LOI n° 2016-41 du 26 janvier 2016 de modernisation de notre système de santé
La loi sur la santé, à l’occasion de la partie consacrée à l’accès à certaines données de santé (voir notre article Loi de santé et « Open Data »), a fusionné les chapitres IX et X de la loi informatique et libertés.
I – Suppression du chapitre X
Le chapitre X de la loi informatique et libertés était consacré exclusivement aux « traitements des données de santé à caractère personnel à des fins d’évaluation ou d’analyse des pratiques ou des activités de soins et de prévention ».
Le champ exact du chapitre X soulevait certaines difficultés en ce qu’il n’existait pas de définition plus précise des termes « évaluation des pratiques de soins et de prévention ». De plus, la CNIL considérait que ce chapitre n’avait pas vocation à s’appliquer dès lors qu’une action ou qu’une collecte d’information non prévue dans le suivi habituel du patient a lieu (par exemple, l’ajout d’un questionnaire). Elle ne permettait pas non plus les traitements faisant apparaître le nom, le prénom ou le numéro de sécurité sociale du patient.
II – Le Chapitre IX regroupe dorénavant la « recherche » et « l’étude ou d’évaluation dans le domaine de la santé »
1 – Champ d’application
Les traitements exclus du champ d’application sont globalement les mêmes que ceux exclus précédemment des chapitres IX et X combinés, ainsi que les traitements mis en œuvre afin de répondre à une alerte sanitaire en cas de situation d’urgence.
La Loi distingue : – Les recherches « impliquant la personne humaine » et pour lesquelles la CNIL prendra sa décision après avis du comité compétent de protection des personnes (CPP) et
– Les études ou évaluations ainsi que les recherches « n’impliquant pas la personne humaine », pour lesquelles la CNIL prendra sa décision après avis d’un comité d’expertise (dont la composition et les règles de fonctionnement seront déterminées par décret en Conseil d’État, pris après avis de la CNIL). Le comité d’expertise émettra son avis dans un délai d’un mois (quinze jour en cas d’urgence). Le cas échéant, le comité peut recommander des modifications du projet. À défaut d’avis, l’avis est réputé favorable.
Dans des conditions définies par décret en Conseil d’État, l’Institut national des données de santé (à constituer), peut être saisi.
2 – Procédure
Les traitements sont soumis à autorisation préalable de la CNIL.
La CNIL vérifie les garanties présentées. « Si le demandeur n’apporte pas d’éléments suffisants pour attester la nécessité de disposer de certaines informations parmi l’ensemble des données à caractère personnel dont le traitement est envisagé, la commission peut interdire la communication de ces informations par l’organisme qui les détient et n’autoriser le traitement que pour ces données réduites ».
La commission statue sur la durée de conservation des données nécessaires au traitement et apprécie les dispositions prises pour assurer leur sécurité et la garantie des secrets protégés par la loi.
3 – Procédures simplifiées
Comme par le passé (mais étendu aux études et évaluations et non plus limité à la recherche), la CNIL peut, pour les catégories les plus usuelles, homologuer et publier des méthodologies de référence destinées à simplifier la procédure d’examen. Celles-ci sont établies en concertation avec le comité d’expertise et des organismes publics et privés représentatifs des acteurs concernés.
Des jeux de données agrégées ou des échantillons, peuvent faire l’objet d’une mise à disposition, dans des conditions préalablement homologuées par la commission, sans qu’une autorisation soit requise.
Comme par le passé (mais étendu à la recherche et non plus limité aux études et évaluations) la CNIL peut, par décision unique, délivrer à un même demandeur une autorisation pour des traitements répondant à une même finalité, portant sur des catégories de données identiques et ayant des catégories de destinataires identiques
4 – Information individuelle et réutilisation de données collectées pour une finalité différente
L’article 57 de la Loi Informatique impose une obligation d’information préalable « individuelle » du patient.
Outre l’exception pour « difficulté de retrouver les personnes concernées », la loi a introduit une deuxième exception pour « les traitements nécessaires à la conservation de ces données à des fins historiques, statistiques ou scientifiques ».
Par ailleurs quand les traitement utilisent des données de santé « non directement identifiantes, recueillies à titre obligatoire et destinées aux services ou aux établissements de l’État ou des collectivités territoriales ou aux organismes de sécurité sociale », « l’information des personnes concernées quant à la réutilisation possible de ces données, à des fins de recherche, d’étude ou d’évaluation, et aux modalités d’exercice de leurs droits est assurée selon des modalités définies par décret en Conseil d’État, pris après avis de la CNIL ». Il s’agit principalement des données qui seront regroupées dans le système national des données de santé (SNDS) au titre de l’open data (voir notre article Loi de santé et « Open Data »).
5 – Articles 55, 56, 58 à 61 de la loi informatique et libertés
Ils sont globalement inchangés.
Contact : stephanie.faber@squirepb.com