La Commission nationale de l’informatique et des libertés, ayant atteint l’âge vénérable, pour une institution, de 40 ans, a publié il y a quelques jours son 38e rapport d’activité pour l’exercice 2017. Dans les 115 pages du document, le mot « santé » apparaît 89 fois. Vous, je ne sais pas, mais moi, cela m’a intrigué.
La consultation du sommaire fournit une partie de la réponse. Une analyse est consacrée à la protection des données en matière de recherche médicale. Au menu, rappel des règles de base relatives à la conciliation du secret médical et des nécessités de la recherche, qui se traduit par la nécessité de pseudonymiser les données et d’établir une table de concordance entre les codes alphanumériques et l’identité réelle. La CNIL rappelle ensuite les nouveautés 2017 : mise en œuvre du Système National des Données de Santé (SNDS), entrée en application des textes sur la recherche impliquant la personne, mise en conformité du décret CNIL avec la loi Touraine de 2016 qui fusionne les anciens Chapitre IX (autorisation Recherche) et Chapitre X (autorisation Evaluation). Le dossier thématique se poursuit avec une « analyse d’impact » de l’utilisation des méthodologies de référence qui a permis de diminuer de 36% le nombre d’autorisation (et mécaniquement de diminuer le temps d’instruction des demandes d’autorisation). La CNIL annonce ainsi poursuivre l’effort de simplification, notamment avec l’élaboration d’une nouvelle méthodologie de référence pour les recherches n’impliquant pas la personne humaine.
Intéressant. Mais une fois ces éléments étudiés, le terme « santé » apparaît encore 48 fois.
La CNIL fait un point les traitements de données mis en œuvre par l’Education Nationale. Évidemment, ils comportent des données concernant la santé, notamment dans le cadre du système d’information de la médecine scolaire. La CNIL a été directement sollicitée pour participer à son déploiement, et plus précisément sur la durée de conservation des données et les mesures de sécurité à mettre en œuvre. Ce faisant, la Commission brise tacitement une idée reçue selon laquelle l’application du RGPD serait plus souple pour le secteur public. Notez que la mise en demeure adressée début 2018 à la Caisse Nationale d’Assurance Maladie avait déjà sérieusement ébranlé ce cliché.
Plus intéressant encore, cette assertion dans la section dédiée au futur règlement ePrivacy – qui fera évidemment l’objet d’une prochaine tribune, mais après que vous aurez récupéré de la directive NIS et du RGPD ! – relative à la possibilité de « tirer des conclusions précises sur la vie privée des personnes intervenant dans la communication électronique, comme (…) leurs problèmes de santé ». Il est intéressant de voir qu’à partir d’informations souvent banalisées, il apparaît possible de remonter à des données concernant la santé. Si vous vous rappelez ma chronique du 14 février 2018 sur cette notion – si vous ne l’avez pas lue, je vous propose une séance de rattrapage ici : https://huit.re/donnee-sante – vous n’êtes pas sans ignorer que le croisement de données permettant d’aboutir à des conclusions sur l’état de santé de la personne entre dans le champ de la notion de donnée concernant la santé. Si l’on suit l’opinion de la CNIL, cela peut aller très loin puisque la simple connexion à un site internet pourrait être considérée comme permettant d’aboutir à de telles conclusions.
Après l’inévitable évocation de la santé dans le chapitre sur l’analyse d’impact, un petit focus sur le secteur santé / social : 5% d’augmentation du nombre de plaintes reçues. Vraisemblablement, celle-ci devrait se poursuivre en 2018.
Pierre Desmarais
Avocat
IS027001LI / ISO27005RM
Article publié précédemment sur le site de mind Health