http://www.computer-engineering.fr
15/12/2017   Envoyer par mail Imprimer   Aucun commentaire
Pour commenter cette dépêche Identifiez-vous

Présentation du projet de loi relatif à la protection des données personnelles

PARIS, 18 décembre 2017 (TICsanté) - Un projet de loi relatif à la protection des données personnelles comprenant des dispositions sur le traitement des données de santé a été adopté le 13 décembre en conseil des ministres, a annoncé le gouvernement à l'issue de sa réunion.

L'objectif du texte, porté par la garde des sceaux et ministre de la justice, Nicole Belloubet, est d'adapter au droit de l'Union européenne la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés dite "informatique et libertés", précise le gouvernement dans le compte rendu du conseil des ministres.

Il permet ainsi de transposer le nouveau cadre européen en la matière, composé du règlement européen 2016/679 sur la protection des données (RGPD) applicable à compter du 25 mai 2018 (voir dépêche du 13 mai 2016) et de la directive 2016/680 du 27 avril 2016 concernant les fichiers de la sphère pénale.

Dans un avis daté du 30 novembre, la Cnil "souligne le calendrier trop tardif retenu pour l'examen de ce texte", rappelant que le projet de loi et ses décrets d'application "devront impérativement entrer en vigueur avant le 25 mai 2018". Le gouvernement a engagé la procédure d'examen accélérée sur le texte.

Le projet de loi, mis en ligne sur Légifrance avec son étude d'impact, comporte 24 articles. Son article 13 traite spécifiquement de la question de la protection des données de santé.

Le texte instaure "de nouveaux droits pour les citoyens, en particulier un droit à la portabilité des données personnelles", explique le gouvernement dans le compte rendu du conseil des ministres.

Il simplifie aussi certaines procédures, abandonnant le système de contrôle a priori par un contrôle a posteriori, et consacre "de nouvelles modalités de régulation et d'accompagnement" des acteurs "à travers des outils de droit souple", tout en renforçant les pouvoirs de la Cnil et les sanctions encourues.

Certaines formalités préalables seront maintenues "pour les traitements des données les plus sensibles" (données biométriques utilisées pour les contrôles d'identité, données génétiques, traitements utilisant le numéro de sécurité sociale -NIR). Le droit interne sera mis en conformité avec le règlement européen, qui prévoit pour chaque traitement la désignation d'un délégué à la protection des données (DPD).

Le texte prévoit la publication d'un décret cadre, pris après avis de la Cnil, afin d'autoriser l'utilisation du NIR par catégorie de responsables de traitement et pour des finalités précises (hors traitements à finalité exclusivement statistique, répondant à une alerte sanitaire et téléservices de l'administration électronique).

A cet égard, la Cnil regrette dans son avis le manque de souplesse d'un tel dispositif, citant l'exemple des fournisseurs de solutions de télémédecine, qui seraient contraints d'obtenir l'autorisation avant de traiter le NIR des patients à des fins de remboursement, "ce qui pourrait freiner le développement de dispositifs innovants, en particulier dans le domaine de la santé".

Allègement général des procédures

Une grande partie de l'adaptation de la législation française au droit européen est prévue par voie d'ordonnance, à l'article 20 du projet de loi.

L'article 7 procède à une réécriture des dispositions énumérant les différentes catégories de données sensibles, en y intégrant les données biométriques et génétiques pour l'ensemble du droit national, y compris pour les traitements ne relevant pas du droit de l'Union européenne.

L'article 13 réécrit le chapitre de la loi informatique et libertés consacré aux "traitements de données à caractère personnel dans le domaine de la santé", récemment modifié par la loi de modernisation de notre système de santé du 26 janvier 2016, et qui fixe un régime spécial d'autorisation pour les traitements de données à caractère personnel à des fins de recherche, d'étude ou d'évaluation dans le domaine de la santé (voir dépêche du 16 septembre 2016).

Les modifications envisagées visent à "conserver les procédures d'accès en vigueur pour les traitements à fin de recherche observationnelle (notamment ceux mobilisant le SNDS -Système national des données de santé) et les traitements de données impliquant la personne humaine", selon l'étude d'impact.

L'objectif est aussi d'introduire "un dispositif général permettant de couvrir tous les traitements de données à caractère personnel dans le domaine de la santé impliquant un intérêt public, une saisine éventuelle de l'INDS [Institut national des données de santé] et une autorisation de la Cnil".

Le recours aux référentiels et règlements types et aux méthodologies de référence homologuées par la Cnil deviendrait le principe et les demandes de traitement autorisées par la Cnil, l'exception, poursuit le gouvernement dans l'étude d'impact.

Le gouvernement souhaite par ailleurs étendre les procédures simplifiées à l'ensemble des jeux de données, au-delà des seuls jeux de données agrégées et des échantillons.

Silence vaut accord

Enfin, il propose d'appliquer la règle du "silence vaut accord" pour les demandes d'autorisation de la Cnil.

Le Conseil d'Etat a rendu un avis assez critique sur le projet de loi, estimant que l'étude d'impact "n'éclaire, en dépit de son volume, qu'assez peu les choix stratégiques que le gouvernement a pratiqués".

Il n'émet pas de réserves sur le chapitre concernant les données de santé, mais avertit le gouvernement de la nécessité d'opérer une articulation subtile entre les dispositions actuelles fixant à 15 ans l'âge du consentement des mineurs à un traitement de leurs données personnelles de santé, et le risque de révélation d'informations les concernant aux titulaires de l'autorité parentale.

Les articles L1111-5 et L1111-5-1 du code de la santé publique "permettent aux médecins, sages-femmes et infirmiers, s'ils ne sont pas parvenus à persuader un mineur de les laisser recueillir l'accord de leur parent à des actes de santé, d'y procéder avec le seul consentement des mineurs, ce qui leur interdit d'en informer les parents", rappelle le Conseil d'Etat.

Dans son avis, la Cnil se félicite "de la prise en compte de ses observations sur de nombreux points", citant notamment ses pouvoirs de contrôle et de réalisation d'opérations conjointes avec d'autres autorités européennes, les pouvoirs de sa formation restreinte et la clarification des conditions de traitement des données biométriques.

Elle appelle à la publication rapide de l'ordonnance prévue dans le texte, afin de rendre lisible une réforme rendue complexe par le législateur européen lui-même. "Cet enjeu de lisibilité dépasse la seule structuration technique du texte" et "conditionne la pleine effectivité des droits des citoyens et des obligations des différents acteurs", souligne la Cnil.

Elle émet plusieurs réserves sur les dispositions relatives aux données de santé, mais le gouvernement semble en avoir tenu compte, au moins partiellement, dans la version définitive du projet de loi.

(Projet de loi, étude d'impact, avis du Conseil d'Etat et avis de la Cnil)

vg/gb/ab

Partagez cet article

Les dépêches liées à cette information
https://www.groupepsih.com/
http://www.web100t.fr
http://www.ticsante.com/show.php?page=inscription