CHAPITRE III - OBLIGATIONS INCOMBANT AUX RESPONSABLES DE TRAITEMENT ET À LEURS SOUS-TRAITANTS

Article 10 (art. 35 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) - Obligations des sous-traitants des responsables de traitement

Par souci de lisibilité, l'article 10 du projet de loi rappelle que, dans le champ d'application du règlement, le sous-traitant d'un responsable de traitement est soumis aux conditions prévues par ledit règlement.

Est ainsi prévue une articulation complète des dispositions fixant les obligations des sous-traitants selon que les traitements entrent dans le champ du RGPD, de la directive ou ne ressortent ni de l'un ni de l'autre puisque pour mémoire :

- un article spécifique (le nouvel article 70-10 de la loi Informatique et libertés, introduit par l'article 19 du projet de loi) précise le régime applicable aux sous-traitants dans le cadre des traitements relevant de la directive ;

- et, pour les traitements ne relevant ni du règlement, ni de la directive, les dispositions actuelles du I article 35 de la loi n° 78-17 trouveront à s'appliquer.

Votre commission a adopté l'article 10 sans modification.

CHAPITRE IV - DISPOSITIONS RELATIVES À CERTAINES CATÉGORIES PARTICULIÈRES DE TRAITEMENT

Article 11 (art. 9 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) - Traitements de données relatives aux condamnations pénales, aux infractions ou mesures de sûreté

L'article 11 du projet de loi tend à élargir, dans le respect de l'article 10 du règlement (UE) 2016/679, la liste des personnes autorisées à mettre en oeuvre des traitements de données relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes qui ne relèvent pas du champ d'application de la directive (UE) 2016/680 55 ( * ) .

1. Le droit en vigueur : un régime d'autorisation préalable et un nombre limité de responsables de traitements

Les données relatives aux infractions, aux condamnations ou aux mesures de sûreté sont particulièrement sensibles. Comme le souligne l'étude d'impact du projet de loi, ces données peuvent « emporter de graves conséquences si elles sont révélées à autrui » . En conséquence, le législateur a prévu un encadrement strict de leur traitement.

• Un régime d'autorisation préalable

Actuellement, en application du 3° du I de l'article 25 de la loi n° 78-17 du 6 janvier 1978, les traitements , automatisés ou non, portant sur des données relatives aux infractions, condamnations ou mesures de sûreté , sauf ceux mis en oeuvre par des auxiliaires de justice pour les besoins de leurs missions de défense des personnes concernées, ne sont mis en oeuvre qu'après autorisation préalable de la Commission nationale de l'informatique et des libertés (CNIL).

Exemples de traitements automatisés de données relatives aux infractions, condamnations ou mesures de sûreté, autorisés par la CNIL

traitement automatisé de données à caractère personnel ayant pour finalité la constatation et le suivi des infractions au péage par la chambre de commerce et de l'industrie Seine Estuaire (autorisé par la délibération n° 2017-260 du 5 octobre 2017) ;

traitement automatisé de données à caractère personnel ayant pour finalité la connaissance statistique de la réponse pénale apportée aux infractions à caractère raciste et l'analyse statistique des jugements comportant au moins une infraction commise en raison de l'origine, la nationalité, la religion, la race, réelles ou supposées, des victimes (autorisé par la délibération n° 2017-186 du 15 juin 2017) ;

traitement automatisé de données à caractère personnel ayant pour finalités la constatation d'infractions au code de la route et la transmission de données d'infractions à l'Agence nationale de traitement automatisé des infractions (ANTAI) par la RATP (autorisé par la délibération n° 2017-021 du 26 janvier 2017) ;

traitement automatisé de données à caractère personnel ayant pour finalités la gestion des infractions à la police des chemins de fer (autorisé par la délibération n° 2016-177 du 9 juin 2016) ;

traitements automatisés de données à caractère personnel relatifs à la gestion du contentieux lié au recouvrement des contraventions au code de la route et à l'identification des conducteurs dans le cadre du système de contrôle automatisé des infractions au code de la route (autorisés par la délibération n° 2016-036 du 11 février 2016) ;

• traitement de données à caractère personnel ayant pour finalité le suivi du contentieux du contrôle ordinal et pénal par la caisse primaire d'assurance maladie de Montpellier (autorisé par la délibération n° 2009-608 du 26 novembre 2009) ;

traitements automatisés de données à caractère personnel relatifs à la gestion précontentieuse des infractions constatées par les commerçants sur les lieux de vente (autorisés par la délibération n° 2008-491 du 11 décembre 2008).

Ce régime d'autorisation préalable s'applique sans préjudice de garanties supplémentaires exigées pour certains traitements mis en oeuvre par l'État, en application des articles 26 et 27 de la loi n° 78-17 du 6 janvier 1978.

Mis en oeuvre directement ou indirectement pour le compte de l'État, ces fichiers qui intéressent la sûreté de l'État, la défense ou la sécurité publique ou qui ont pour objet « la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l'exécution des condamnations pénales ou des mesures de sûreté » doivent faire l'objet d'une autorisation par un arrêté ministériel, pris après avis motivé et publié de la CNIL. Lorsque ces traitements concernent des données dites « sensibles 56 ( * ) », le fichier doit être autorisé par décret en Conseil d'État, pris après avis motivé et publié de la CNIL.

Par dérogation, pour les fichiers les plus sensibles, s'ils demeurent autorisés par un acte réglementaire (arrêté ministériel ou décret en Conseil d'État), ce dernier peut ne pas être publié. Reste publié le décret autorisant la dispense de publication de l'acte et la nature de l'avis émis par la CNIL (à savoir « favorable », « favorable avec réserve » ou « défavorable »).

• Un nombre limité de responsables de traitements

En application de l'article 9 de la loi n° 78-17 du 6 janvier 1978, tel qu'il résulte de la loi n° 2004-801 du 6 aout 2004 57 ( * ) , le nombre de personnes pouvant mettre en oeuvre de tels traitements est également limité. Cette possibilité est ouverte :

- aux juridictions, aux autorités publiques et aux personnes morales gérant un service public, agissant dans le cadre de leurs attributions légales ;

- aux auxiliaires de justice pour les stricts besoins de l'exercice des missions qui leur sont confiées par la loi ;

- aux sociétés de perception et de gestion des droits d'auteur et de droits voisins et aux organismes de défense professionnelle (soit les personnes morales mentionnées aux articles L. 321-1 et L. 331 du code de la propriété intellectuelle), par exemple la SACEM, dans le cadre de la lutte contre les atteintes à la propriété littéraire et artistique.

Si ce régime a été jugé conforme à la Constitution en 2004 58 ( * ) par le Conseil constitutionnel, dans le cadre de son contrôle a priori de constitutionnalité, ce dernier a, à cette occasion, censuré l'élargissement de cette autorisation aux personnes morales « victimes d'infractions ou agissant pour le compte desdites victimes pour les stricts besoins de la prévention et de la lutte contre la fraude ainsi que de la réparation du préjudice subi, dans les conditions prévues par la loi ».

Le Conseil avait considéré « qu'en raison de l'ampleur que pourraient revêtir les traitements de données personnelles ainsi mis en oeuvre et de la nature des informations traitées », une telle disposition « pourrait affecter, par ses conséquences, le droit au respect de la vie privée et les garanties fondamentales accordées aux citoyens pour l'exercice des libertés publiques ». La rédaction de cette disposition était imprécise, laissant « indéterminée la question de savoir dans quelle mesure les données traitées pourraient être partagées ou cédées, ou encore si pourraient y figurer des personnes sur lesquelles pèse la simple crainte qu'elles soient capables de commettre une infraction » et muette « sur les limites susceptibles d'être assignées à la conservation des mentions relatives aux condamnations ».

Le Conseil constitutionnel avait considéré que ces précisions « ne sauraient être apportées par les seules autorisations délivrées par la Commission nationale de l'informatique et des libertés » ou par de futures dispositions législatives : considérée « entaché[e] d'incompétence négative » , cette disposition avait été déclarée contraire à la Constitution .

2. Le cadre conventionnel des fichiers concernant les condamnations pénales et les infractions

Comme précédemment la directive 95-46/CE du 24 octobre 1995 transposée en droit français par la loi n° 2004-801 du 6 aout 2004 59 ( * ) , l'article 10 du règlement (UE) 2016/679 dispose que les traitements « des données à caractère personnel relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes » ne peuvent être effectués « que sous le contrôle de l'autorité publique » ou en cas d'autorisation par le droit de l'Union ou le droit national, possible sous réserve de garanties appropriées pour les droits et libertés des personnes concernées. Le règlement général de protection des données à caractère personnel (RGPD) renvoie donc aux législations nationales le soin de définir les modalités de contrôles de l'autorité publique ou les critères d'une autorisation législative spécifique .

Le considérant 19 précise qu'en matière pénale, en ce qui concerne les traitements relevant du champ d'application du règlement, « les États membres devraient pouvoir maintenir ou introduire des dispositions plus spécifiques pour adapter l'application des règles du présent règlement. Ces dispositions peuvent déterminer plus précisément les exigences spécifiques au traitement de données à caractère personnel par ces autorités compétentes à ces autres fins, compte tenu de la structure constitutionnelle, organisationnelle et administrative de l'État membre concerné. »

Enfin, l'article 10 du RGPD prohibe tout registre complet des condamnations pénales en dehors du contrôle de l'autorité publique.

3. L'article 11 du projet de loi : une extension déraisonnable de la liste des personnes autorisées à mettre en oeuvre des fichiers en matière pénale

Si le règlement (UE) 2016/679 est directement applicable en droit national, l'article 11 du projet de loi vise à adapter l'article 9 de la loi n° 78-17 du 6 janvier 1978 pour éviter toute contrariété du droit national au droit européen, tout en utilisant les marges de manoeuvre autorisées par l'article 10 du règlement pour étendre la liste des personnes autorisées à mettre en oeuvre des fichiers en matière pénale.

Sur ce point, votre rapporteur a jugé insuffisantes la plupart des garanties proposées par le projet de loi et a souhaité proposer un régime plus équilibré.

Régime applicable aux traitements de données de nature pénale

Cadre

Directive (UE) 2016/680
du 27 avril 2016

Article 11 du règlement (UE) 2016/679

Champ d'application

Traitements de données à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales

Traitement de données à des fins pénales mis en oeuvre par des personnes morales de droit public ou privé n'exerçant pas l'autorité publique

+

Traitement de données à d'autres fins que les finalités visées par la directive

Nature des données

Données à caractère personnel

Données à caractère personnel relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes

Identité des responsables de traitements

Autorités judiciaires, police, autorités répressives, tout organisme ou entité exerçant l'autorité publique ou des prérogatives de puissance publique

Autorités publiques (y compris les juridictions)

Toute personne autorisée par le droit de l'Union ou le droit national (y compris, les personnes morales gérant un service public ou collaborant au service public de la justice)

• Le 1° de l'article 11 : la mise en cohérence de l'article 9 de la loi n° 78-17 du 6 janvier 1978 avec l'article 10 du règlement (UE) 2016/679

En premier lieu, le 1° de l'article 11 du projet de loi vise à « mettre en cohérence » les termes retenus à l'article 9 de la loi n° 78-17 du 6 janvier 1978 (« infractions, condamnations et mesures de sûreté ») avec les termes du règlement qui font référence « aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes ».

Votre rapporteur s'est interrogée sur la portée normative d'une telle modification : révèle-t-elle une réduction du champ d'application de l'article 9 qui exclurait désormais les condamnations en matière civile, voire les infractions administratives 60 ( * ) ? La mention du caractère connexe des mesures de sûreté a-t-elle pour effet de réduire le champ d'application de l'article 9 ?

En l'absence de précisions, votre rapporteur a considéré qu'une telle modification n'apparaissait ni nécessaire ni souhaitable pour adapter la loi française au RGPD.

En second lieu, le 1° a pour objet d'étendre considérablement la liste des personnes pouvant mettre en oeuvre des fichiers portant sur des condamnations pénales, des infractions ou des mesures de sûreté connexes : il a pour conséquence de permettre à toute personne de mettre en oeuvre de tels fichiers dès lors qu'ils sont mis en oeuvre « sous le contrôle de l'autorité publique » et non par les autorités publiques.

Alors que l'article 9 du projet de loi tend à supprimer le régime d'autorisation préalable de ces fichiers, cet ajout aurait pour effet de permettre, sans autorisation préalable, à toute personne morale de droit privé de mettre en oeuvre des fichiers concernant des condamnations pénales sans aucune condition tenant à la finalité dès lors que le traitement serait placé « sous le contrôle de l'autorité publique », sans aucune précision législative sur la nature de ce contrôle ou sur les finalités autorisées pour ces traitements. Cette disposition, présentée comme une « harmonisation rédactionnelle » avec le règlement, serait en contradiction flagrante avec les autres dispositions de l'article 11 du projet de loi qui tendent à identifier clairement la nature des personnes autorisées à mettre en oeuvre de tels traitements et pour des missions également identifiées.

Une telle modification de notre droit interne relève, selon votre rapporteur, d'une interprétation erronée de la portée de l'article 10 du RGPD qui, par la mention d'un contrôle de l'autorité publique, fait nécessairement référence à l'organisation d'un contrôle étroit de l'autorité publique, tel que défini actuellement au 1° de l'article 9 et au 3° du I de l'article 25 de la loi n° 78-17 du 6 janvier 1978.

En conséquence, votre commission a adopté l' amendement COM-51 de votre rapporteur visant à supprimer le 1° de l'article 11 du projet de loi.

De manière générale, si votre rapporteur est favorable à l'élargissement de la liste des personnes autorisées à traiter des données en matière pénale, elle considère que le dispositif proposé par le Gouvernement est insuffisamment protecteur des droits et libertés des personnes concernées . Avec la suppression de l'ensemble du régime d'autorisation préalable des fichiers prévu actuellement par l'article 25 de la loi n° 78-17 du 6 janvier 1978, le projet de loi tend désormais à encadrer les fichiers mis en oeuvre de l'État plus strictement que les fichiers mis en oeuvre par des personnes physiques ou morales. Votre rapporteur s'étonne de ce paradoxe : a fortiori en matière pénale, les risques pour les personnes, notamment d'atteintes à la vie privée et de négation du droit à l'oubli, peuvent provenir de l'utilisation à des fins privées de telles données.

En application du 5° de l'article 36 du règlement, il est possible d'exiger la consultation préalable de la CNIL pour certains traitements effectués dans le cadre d'une mission d'intérêt public. Votre rapporteur relève que l'ensemble des traitements pour lesquels les personnes seraient autorisées à les mettre en oeuvre doivent répondent à des finalités d'intérêt public. De plus, le considérant 19 du règlement précise que « les États membres devraient pouvoir maintenir ou introduire des dispositions plus spécifiques ». En conséquence, par l'adoption du même amendement COM-51 de votre rapporteur, votre commission a rétabli un régime d'autorisation préalable par la CNIL pour les seuls traitements de données à caractère personnel portant sur les infractions, les condamnations et les mesures de sûreté, qui ne relèvent pas des fichiers restant soumis à des formalités préalables 61 ( * ) . Pour ces fichiers, les exigences prévues par le droit actuel seraient donc maintenues, conformément aux possibilités offertes par le règlement.

• Le 2° de l'article 11 : l'autorisation des personnes morales de droit privé collaborant au service public de la justice à traiter de tels fichiers

Le 2° de l'article 11 vise à permettre aux personnes morales de droit privé collaborant au service public de la justice, en particulier les associations d'aide aux victimes ou de réinsertion des personnes condamnées, de mettre en oeuvre de tels fichiers.

La liste des catégories de personnes morales de droit privé qui bénéficieraient de cette possibilité serait fixée par décret en Conseil d'État, après avis de la CNIL. À l'initiative de sa rapporteure, notre collègue députée Mme Paula Forteza, la commission des lois de l'Assemblée nationale a précisé que cet avis serait motivé et publié.

Contrairement aux exigences de l'article 10 du règlement, aucune garantie particulière n'est prévue quant à la finalité de ces fichiers si ce n'est que cette faculté ne s'exercerait que « dans la mesure strictement nécessaire à leur mission ». À l'initiative de son rapporteur et par le même amendement COM-51 , votre commission a précisé qu'à l'instar des juridictions ou des personnes morales gérant un service public, ces traitements ne pourraient être mis en oeuvre que dans le cadre des missions définies par la loi confiées à ces personnes morales de droit privé.

• Le 3° de l'article 11 : l'autorisation de toute personne à traiter de tels fichiers pour certaines finalités

Le 3° de l'article 11 vise à permettre à toute personne de mettre en oeuvre des fichiers portant sur des condamnations pénales, des infractions ou des mesures de sûreté aux fins de préparer, « d'exercer et de suivre une action en justice » , et de « faire exécuter la décision rendue ».

Cette disposition vise ainsi à permettre, par exemple à des sociétés, de gérer des fichiers de suivis de contentieux mais également, potentiellement, aux victimes de rassembler dans un fichier des éléments concernant de potentielles infractions en vue d'une action en justice.

Alors que le Conseil constitutionnel avait censuré en 2004 une disposition similaire en raison de l'absence de précision sur « les limites susceptibles d'être assignées à la conservation des mentions relatives aux condamnations », l'article 11 du projet de loi prévoit que la durée est « proportionnée à cette finalité ».

Votre rapporteur s'est interrogée sur la conformité de cet ajout aux exigences constitutionnelles, en particulier la disposition autorisant une communication de ces fichiers à des tiers. Il lui a semblé nécessaire de préciser que ce régime dérogatoire devait être précisé par un décret en Conseil d'État, pris après avis motivé et publié de la CNIL, qui aurait pour objet de déterminer les catégories de personnes tiers qui seraient autorisées à bénéficier d'une telle transmission et qui devrait également préciser les durées maximales autorisées de conservation des informations enregistrées. Afin d'assurer la constitutionnalité d'un tel régime, votre rapporteur a souhaité préciser dans la loi que la durée de conservation des données pour ces traitements devait être « strictement proportionnée » à la finalité poursuivie. Par l'adoption du même amendement COM-51 de son rapporteur, votre commission a précisé ce régime d'autorisation à ces fins.

Comparaison des régimes applicables

Droit actuellement en vigueur

Droit tel qu'il résulte du règlement et de l'article 11 du projet de loi tel qu'adopté par l'Assemblée nationale

Droit tel qu'il résulte du règlement et de l'article 11 du projet de loi tel qu'adopté par votre commission

Champ des données

Infractions, condamnations et mesures de sûreté

Condamnations pénales, infractions ou mesures de sûreté connexes

Infractions, condamnations et mesures de sûreté

Responsables pouvant mettre en oeuvre ces traitements (finalités)

Juridictions, autorités publiques, personnes morales gérant un service public (pour leurs attributions légales)

Auxiliaires de justice (pour les stricts besoins de l'exercice des missions qui leur sont confiées par la loi)

Sociétés de perception et de gestion des droits d'auteur et de droits voisins, organismes de défense professionnelle (aux fins d'assurer la défense des droits dont elles assurent la gestion ou le compte des victimes d'atteintes à ces droits)

ø

Personnes morales de droit privé collaborant au service public de la justice et appartenant à des catégories dont la liste est fixée par décret en Conseil d'État (dans la mesure strictement nécessaire à leur mission)

Idem ( dans la mesure strictement nécessaire à l'exercice des missions qui leur sont confiées par la loi )

Personnes physiques ou morales aux fins de préparation, exercice et suivi d'une action en justice ou de faire exécuter une telle décision

Idem ( renvoi à un décret en Conseil d'État )

Réutilisateurs des informations publiques figurant dans les décisions de justice mises à disposition du public

Régime d'autorisation du traitement

Régime d'autorisation, sauf pour les besoins de l'exercice des droits de la défense

Aucun sauf pour les fichiers mis en oeuvre pour le compte de l'État.

Régime d'autorisation

• Le 4° de l'article 11 : l' open data des décisions de justice

En sus du régime historique de publicité et de diffusion au public des décisions de justice, les articles 20 et 21 de la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique organisent un nouveau régime de mise à disposition gratuite des décisions de justice : il est prévu que les jugements et les décisions rendus par les juridictions administratives et judiciaires sont mis à la disposition du public à titre gratuit « dans le respect de la vie privée des personnes concernées » à condition de faire précéder cette mise à disposition « d'une analyse du risque de ré-identification des personnes ». Ces dispositions, conditionnées à la publication prochaine d'un décret en Conseil d'État, ne sont pas encore applicables.

L'application future de ce cadre juridique de la mise à disposition du public des décisions de justice entre cependant en contrariété avec l'article 10 du règlement (UE) 2016/679, d'application directe. Ce dernier interdit, en principe, tout traitement de données relatives aux infractions, aux condamnations et aux mesures de sûreté en dehors du contrôle de l'autorité publique. Ce même article autorise cependant les États membres à prévoir des autorisations spécifiques avec des garanties appropriées.

Dans le cadre de cette marge de manoeuvre offerte par le cadre européen, le rapport de M. Loïc Cadiet sur l'ouverture au public des décisions de justice 62 ( * ) recommandait de modifier l'article 9 de la loi n° 78-17 du 6 janvier 1978, mais également l'article 8 concernant les données sensibles susceptibles d'être concernées 63 ( * ) , afin d'étendre la liste des personnes autorisées à traiter de telles données aux réutilisateurs des informations fournies par les décisions de justice mise à disposition du public. Cette réutilisation ne serait autorisée que dans la mesure où elle n'aurait ni pour objet ni pour effet de permettre la réidentification des personnes concernées.

Votre rapporteur approuve cette extension. Néanmoins, comme le relevait le rapport de M. Cadiet, « il n'est pas exclu que des garanties supplémentaires soient en effet nécessaires pour assurer la conformité au droit de l'Union et au droit interne de dispositions autorisant un tel traitement de données « sensibles », au sens de l'article 8 de la loi « Informatique et libertés », et de données d'infractions au sens de l'article 9 de la même loi. »

De même, comme votre commission l'avait déjà souligné, le dispositif d' open data des décisions de justice continue de susciter de nombreuses inquiétudes au regard des risques qu'il présente.

Comme l'ont relevé nos collègues François-Noel Buffet et Jacques Bigot 64 ( * ) , de nombreuses interrogations portent sur l'anonymisation des noms des magistrats et des avocats : « Sur ce point, la rédaction en vigueur des deux articles L. 111-13 du code de l'organisation judiciaire et L. 10 du code de justice administrative n'apporte pas de garanties suffisantes, car elle se borne à prévoir que « les décisions rendues par les juridictions (...) sont mises à la disposition du public à titre gratuit dans le respect de la vie privée des personnes concernées » et que « cette mise à disposition du public est précédée d'une analyse du risque de réidentification des personnes » : la notion de personnes concernées n'englobe pas les magistrats, greffiers et avocats qui concourent à la décision de justice. L'enjeu de protection des données personnelles et de la vie privée dépasse les seuls justiciables. »

Sur leur rapport, le Sénat a adopté le 24 octobre dernier la proposition de loi n° 641 (2016-2017) d'orientation et de programmation pour le redressement de la justice, présentée par notre collègue Philippe Bas, président de la commission des lois : l'article 6 de cette proposition de loi vise à renforcer le cadre juridique de la mise à disposition du public des décisions de justice afin d'éviter tout risque d'atteinte à la liberté d'appréciation du magistrat et à l'impartialité des juridictions. Par l'adoption de l' amendement COM-52 de votre rapporteur, votre commission a inséré ses dispositions à l'article 11 du projet de loi.

Votre commission a adopté l'article 11 du projet de loi ainsi modifié .

Article 12 (art. 36 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés) - Traitements à des fins archivistiques, scientifiques, historiques et statistiques

L'article 12 du projet de loi prévoit, en ce qui concerne les traitements de données personnelles à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques , des dérogations à la durée maximale de droit commun de conservation des données ainsi qu'aux droits des personnes concernées, sous réserve de certaines garanties.

1. Le droit en vigueur

Les traitements de données personnelles opérés par les services publics d'archives, ainsi que ceux qui répondent à des fins historiques, statistiques ou scientifiques sont soumis, en l'état du droit, à un régime dérogatoire .

Ainsi, l'article 36 de la loi n° 78-17 du 6 janvier 1978 précitée dispose que les données à caractère personnel peuvent être conservées au-delà de la durée nécessaire aux finalités pour lesquelles elles sont initialement collectées et traitées, « en vue d'être traitées à des fins historiques, statistiques ou scientifiques ». Il est précisé que le choix des données ainsi conservées est opéré dans les conditions prévues à l'article L. 212-3 du code du patrimoine ; or celui-ci ne concerne que les archives publiques , et prévoit que les données à conserver sont sélectionnées par accord entre l'autorité qui les a produites ou reçues et l'administration des archives. Dans le silence de la loi, la CNIL a cependant estimé que des entreprises, organismes ou établissements privés pouvaient également conserver définitivement des données à caractère personnel « présentant un intérêt historique, scientifique ou statistique justifiant qu'elles ne fassent l'objet d'aucune destruction », tout en recommandant des mesures propres à garantir leur intégrité et leur confidentialité 65 ( * ) .

Les finalités archivistiques, historiques, scientifiques ou statistiques des traitements justifient aussi des dérogations aux droits reconnus aux personnes concernées.

S'agissant du droit à l'information défini à l'article 39 de la loi n° 78-17 du 6 janvier 1978 précitée, dit « droit d'accès » 66 ( * ) , le même article précise qu'il ne s'applique pas « lorsque les données à caractère personnel sont conservées sous une forme excluant manifestement tout risque d'atteinte à la vie privée des personnes concernées et pendant une durée n'excédant pas celle nécessaire aux seules finalités d'établissement de statistiques ou de recherche scientifique ou historique ». Cette exception n'a donc pas une portée absolue, et elle ne concerne pas expressément les traitements à finalité exclusivement archivistique, au sujet desquels une incertitude demeure.

Droit d'accès aux données personnelles et liberté d'accès aux archives publiques

Le code du patrimoine pose en principe la liberté d'accès aux archives publiques, sous les réserves énoncées à son article L. 213-2 (délais de communicabilité, exclusions), étant entendu que des documents d'archives peuvent être communiqués avant l'expiration des délais légaux « dans la mesure où l'intérêt qui s'attache à la consultation de ces documents ne conduit pas à porter une atteinte excessive aux intérêts que la loi a entendu protéger 67 ( * ) ». La liberté d'accès aux archives publiques, au sens du code du patrimoine, diffère cependant du droit d'accès aux données personnelles au sens de la loi n° 78-17 du 6 janvier 1978 : si toute personne peut, en principe, obtenir communication d'un document d'archive publique, dans des conditions alignées sur le régime de communication des documents administratifs défini à l'article L. 311-9 du code des relations entre le public et l'administration, ce principe n'implique pas par lui-même qu'un service public d'archives doive fournir à un demandeur les informations exigées par la loi n° 78-17 du 6 janvier 1978.

Le droit à l'effacement des données personnelles collectées lorsque la personne concernée était mineure, prévu à l'article 40 de la loi n° 78-17 du 6 janvier 1978, ne s'applique pas lorsque le traitement de données est nécessaire « à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, dans la mesure où [ce droit] est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs du traitement ».

Enfin, le droit reconnu à une personne de s'opposer au traitement de données qui la concernent ( droit d'opposition ), défini à l'article 38 de la même loi, ne peut être exercé « lorsque le traitement répond à une obligation légale », ce qui est le cas des archives publiques.

2. Les dérogations et garanties prévues par le règlement européen

Le règlement (UE) 2016/679 du 27 avril 2016 prévoit des dérogations du même ordre aux règles qu'il institue, en faveur des traitements de données à caractère personnel « à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques ».

L'article 5 du règlement prévoit que des données personnelles, lorsqu'elles sont traitées exclusivement à ces fins, peuvent être conservées au-delà de la durée nécessaire au regard des finalités pour lesquelles elles ont initialement été traitées, moyennant des garanties appropriées pour les droits et libertés des personnes concernées. L'article 89 précise que doivent être mises en place des « mesures techniques et organisationnelles, en particulier pour assurer le respect du principe de minimisation des données », qui peuvent comprendre leur pseudonymisation. Chaque fois que les mêmes finalités peuvent être atteintes par un traitement ne permettant pas ou plus l'identification des personnes concernées, le règlement impose de procéder de cette manière.

Le même article 89 comporte également des « marges de manoeuvre » permettant de restreindre les droits reconnus aux personnes sur leurs données :

- lorsque des données à caractère personnel sont traitées à des fins de recherche scientifique ou historique ou à des fins statistiques, le droit de l'Union ou le droit d'un État membre peut prévoir des dérogations aux droits d'accès, de rectification, de limitation du traitement ou d'opposition au traitement, définis aux articles 15, 16, 18 et 21 du règlement ;

- lorsqu'elles sont traitées à des fins archivistiques dans l'intérêt public, le droit de l'Union ou le droit d'un État membre peut, en outre, prévoir des dérogations à l'obligation de notification de la rectification ou de l'effacement de données, mentionné à l'article 19, ainsi qu'au droit à la portabilité des données, mentionné à l'article 20.

Le règlement lui-même comporte des dispositions d'application directe en ce sens :

- ainsi, le droit à l'effacement ou « droit à l'oubli » ne s'applique pas lorsque le traitement est nécessaire « à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques [...] dans la mesure où [ce droit] est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement » (article 17) ;

- le droit à la portabilité des données défini à l'article 20 ne s'applique pas aux traitements « nécessaire[s] à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique », ce qui comprend les traitements des services publics d'archives ;

- en ce qui concerne le droit d'opposition (qui ne concerne pas les traitements nécessaires au respect d'une obligation légale, comme ceux des archives publiques), l'article 21 prévoit qu'une personne peut l'exercer « pour des raisons tenant à sa situation particulière » lorsque ses données sont traitées à des fins de recherche scientifique ou historique ou à des fins statistiques, « à moins que le traitement ne soit nécessaire à l'exécution d'une mission d'intérêt public ».

3. Le projet de loi : de larges dérogations pour les seules archives publiques

L'article 12 du projet de loi, qui n'a pas été modifié par l'Assemblée nationale, comprend des dispositions de plusieurs ordres.

Il comprend d'abord des dispositions rédactionnelles ou de coordination , puisqu'il vise à harmoniser la terminologie de l'article 36 de la loi n° 78-17 du 6 janvier 1978 précitée avec celle du règlement (UE) 2016/679 du 27 avril 2016, et à supprimer des règles qui n'ont plus lieu d'être dès lors que l'on passe, sauf exceptions, d'un régime d'autorisation ou de déclaration préalable des traitements de données à caractère personnel à un régime de contrôle a posteriori 68 ( * ) .

Surtout, l'article 12 prévoit d' appliquer aux traitements de données à caractère personnel mis en oeuvre par les services publics d'archives, mais à eux seuls, les dérogations prévues par le règlement aux droits d'accès, de rectification, de limitation du traitement, de notification, d'opposition, ainsi qu'au droit à la portabilité des données, « dans la mesure où ces droits rendent impossible ou entravent sérieusement la réalisation des finalités spécifiques et où de telles dérogations sont nécessaires pour atteindre ces finalités ». S'agissant des archives publiques, le projet de loi va donc sensiblement plus loin que le droit en vigueur , qui ne prévoit pas de dérogation aussi large et explicite au droit d'accès aux données, et qui n'impose aucune restriction au droit de rectification de données inexactes. L'étude d'impact justifie la dérogation au droit d'accès par le fait que ce droit « implique de pouvoir identifier les personnes mentionnées dans l'ensemble des documents et données, ce qui est impossible pour les milliers de kilomètres de dossiers papier archivés et pour les données versées dans les services d'archives dans des formats et selon des modalités qui ne permettent pas de les interroger dans les mêmes conditions que celles qui prévalent lorsque ces données sont exploitées dans la finalité initiale ». Quant à la dérogation au droit de rectification, elle serait destinée à préserver « le caractère intègre et authentique des données ».

L'article précise que les garanties appropriées pour les droits et libertés des personnes, prévues à l'article 89 du règlement, sont celles qui sont déterminées par le code du patrimoine et les autres dispositions législatives et règlementaires applicables aux archives publiques. Elles seraient également assurées par le respect des normes conformes à l'état de l'art en matière d'archivage électronique.

En revanche, contrairement à ce qu'indique l'étude d'impact, le Gouvernement a renoncé à prévoir qu'un décret en Conseil d'État puisse étendre ces dérogations, en totalité ou partiellement, aux traitements mis en oeuvre à des fins de recherche scientifique ou historique ou à des fins statistiques .

Applicabilité du régime de droit commun de protection des données personnelles
aux traitements à finalités archivistiques, historiques, scientifiques ou statistiques

Archives publiques

Autres traitements à des fins archivistiques dans l'intérêt public, historiques, scientifiques ou statistiques

Loi « informatique et libertés »
en vigueur

RGPD

Loi « informatique et libertés »
modifiée

Loi « informatique et libertés »
en vigueur

RGPD

Loi « informatique et libertés » modifiée

Durée de conservation limitée

Droit d'accès

Limité

Marge de manoeuvre

Limité

Marge de manoeuvre

Limité

Droit de rectification

Marge de manoeuvre

Marge de manoeuvre

Droit à l'effacement

(Seulement pour les données recueillies lorsque la personne était mineure)

-

(Seulement pour les données recueillies lorsque la personne était mineure)

-

Droit à la limitation du traitement

-

Marge de manoeuvre

-

Marge de manoeuvre

Obligation de notification

Marge de manoeuvre

Marge de manoeuvre

Droit à la portabilité

-

-

Marge de manoeuvre

Droit d'opposition

Marge de manoeuvre

(sauf si le traitement est nécessaire à l'exercice d'une mission d'intérêt public)

: régime de droit commun),  : dérogation, - : sans objet Source : commission des lois du Sénat

4. La position de votre commission : la recherche d'un meilleur équilibre entre les droits des personnes et les objectifs poursuivis par ces traitements

Le dispositif proposé par le Gouvernement n'a pas paru pleinement satisfaisant à votre rapporteur.

Sur la forme, on constate une nouvelle fois le défaut d'articulation entre le règlement européen, les nouvelles dispositions insérées dans la loi nationale et d'anciennes dispositions qui subsistent. Un travail de toilettage s'imposera rapidement, afin d'harmoniser la terminologie et de supprimer les redondances.

Sur le fond, il est légitime que les services publics d'archives , chargés de transmettre aux générations futures la mémoire de notre société
- à des fins de recherche historique ou scientifique, mais aussi pour permettre l'établissement de droits - bénéficient d'un régime dérogatoire au droit commun de la protection des données personnelles. Ces dérogations ne trouveront à s'appliquer que dans la mesure nécessaire à l'exercice de leurs missions de service public. Votre commission a toutefois jugé opportun, suivant une recommandation de la CNIL, qu'un décret en Conseil d'État, pris après avis de cette dernière, précise la portée de ces dérogations et les modalités d'exercice des droits des personnes concernées, ainsi que les limitations à apporter à la diffusion des données traitées , par exemple en ce qui concerne l'indexation sur des moteurs de recherche externes ( amendement COM-54 du rapporteur).

Votre commission a également supprimé la dérogation prévue au droit de rectification de données inexactes, qui lui a paru dépourvue de justification ( amendement COM-55 du rapporteur).

S'agissant des autres traitements opérés à des fins de recherche scientifique ou historique ou à des fins statistiques , il lui a semblé utile qu'un décret en Conseil d'État, pris après avis de la CNIL, détermine dans quelles conditions et moyennant quelles garanties ils pourraient se voir étendre partiellement ou totalement les dérogations aux droits prévus par le règlement ( amendement COM-53 du rapporteur). Parmi les responsables de tels traitements, l'étude d'impact du projet de loi mentionne le Mémorial de la Shoah, la Fondation Jean-Jaurès, les services d'archives des églises, de partis politiques ou d'associations, etc .

Enfin, un amendement COM-87 du rapporteur a été adopté afin de corriger une erreur légistique.

Votre commission a adopté l'article 12 ainsi modifié .

Article 13 (art. 53 à 63 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ; articles L. 1122-1, L. 1123-7, L. 1124-1 et L. 1461-7 du code de la santé publique) - Données de santé

L'article 13 du projet de loi maintient, comme l'autorise le RGPD, un régime protecteur assorti de formalités préalables spécifiques pour certains traitements de données à caractère personnel dans le domaine de la santé, en distinguant le cas des finalités de recherche.

1. Un cadre récemment rénové pour créer les conditions d'un accès ouvert aux données de santé tout en protégeant les données personnelles

Le régime actuel d'accès aux données de santé est encore relativement récent . Il résulte de la loi du 26 janvier 2016 de modernisation de notre système de santé qui en a profondément réorganisé les modalités pour répondre à trois objectifs :

- pallier les limites du régime antérieur de gestion des données de santé marqué par un éparpillement, l'absence de pilotage unifié et de nombreuses limitations d'accès entraînant une sous-exploitation et une sous-valorisation ;

- faciliter, dans le cadre d'un accès plus ouvert et mieux contrôlé aux données de santé, l'exploitation des vastes jeux de données disponibles en France pour permettre notamment des avancées de l'offre de soins et de la recherche médicale ;

- garantir un niveau de protection suffisant de la vie privée (protection des données personnelles et du secret médical, lutte contre le risque de ré-identification des patients, au besoin via le recours aux techniques d'anonymisation, de pseudonymisation, de tiers de confiance).

a) Les données de santé en France : un ensemble d'une exceptionnelle richesse

Panorama des données de santé françaises
(nature, sources et gestionnaires)

Les données de santé individuelles

Les bases de données de santé médico-administratives, à vocation exhaustive, rassemblent des données personnelles anonymisées, mais pouvant présenter un caractère indirectement identifiant. Leur administration est assurée par différents organismes à des fins de gestion et de régulation du système de soins ou dans un but statistique.

Le système national d'information inter-régimes de l'assurance maladie ( SNIIRAM ), dans sa version d'origine, recouvre les données individuelles issues des feuilles de soins traitées par les caisses et organismes d'assurance maladie obligatoire, c'est-à-dire les données relatives aux actes remboursés par la sécurité sociale. Géré par la caisse nationale d'assurance maladie (CNAM), il est effectivement utilisé depuis 2003.

Le programme de médicalisation des systèmes d'information ( PMSI ), géré par l'agence technique d'information sur l'hospitalisation (ATIH), rassemble les informations sur les séjours hospitaliers . Une copie de cette base est transmise au SNIIRAM depuis 2007 et lui est intégrée depuis 2009, les données de ces deux bases faisant l'objet d'un chaînage qui en augmente encore la pertinence.

Les informations relatives aux décès sont à la fois celles gérées par l'Insee dans le cadre du répertoire national d'identification des personnes physiques (RNIPP) et celles du centre d'épidémiologie sur les causes médicales de décès (CÉPIDC) de l'Inserm. Les premières sont transmises aux organismes de sécurité sociale et intégrées au SNIIRAM, tandis que l'appariement des secondes avec les autres données de santé n'est qu'à l'état de projet.

Dans sa version complète, le SNIIRAM fournit ainsi depuis 2009 des informations individuelles sur les patients (âge, sexe, bénéfice de la CMU, diagnostic de l'affection de longue durée - ALD -, commune et département de résidence, date de décès), sur la consommation de soins en ville et en établissement (date, descriptif et lieu d'exécution des soins), sur l'offre de soins (spécialité du prescripteur, statut conventionnel du praticien ou statut juridique de l'établissement...) et sur les pathologies traitées (de manière indirecte, dès lors qu'il existe un codage associé à certaines consommations associées). Il ne donne pas d'informations, en revanche, sur les facteurs de risques en santé (tabagisme, tension, indice de masse corporelle...), sur la prise en charge en établissement médico-social ou encore sur l'environnement social des patients.

Le SNIIRAM fait l'objet d'une restitution à plusieurs niveaux et plusieurs entrepôts de données coexistent au sein de la base :

- 15 bases de données thématiques totalement agrégées, qui ne permettent donc pas la réidentification, sont librement accessibles ;

- l'accès aux données de consommation individuelles exhaustives et indirectement identifiantes (les données de consommation inter-régimes - DCIR), est, lui, très restreint. Un échantillon généraliste de bénéficiaires (EGB), obtenu à partir de ces données exhaustives à l'échelle du centième de la population, est ouvert à un plus grand nombre d'organismes, à la condition toutefois que leur accès ait été spécifiquement autorisé. La Cnam peut enfin procéder à des extractions précises sur demande.

Les informations relatives à l'offre de soins

La Cnam met à disposition du public, sur son site ameli-direct.fr , diverses informations nominatives relatives aux professionnels de santé (professions, coordonnées, secteur conventionnel, acceptation de la carte vitale...) ainsi qu'aux établissements de soins (détails de l'activité, horaires de consultation...).

La publication des informations relatives aux liens d'intérêt entre les professionnels de santé et les industriels du secteur a été prévue par la loi dite « Médicament » du 29 décembre 2011 . La base de données publique « Transparence - Santé » précise, pour chaque type de lien d'intérêts, plusieurs informations pertinentes (participations aux conventions ; avantages en nature et en espèce, directs ou indirects ; rémunérations ou avantage versé par une entreprise). Elle est accessible sur Internet à l'adresse www.transparence.sante.gouv.fr

Les informations médicales d'ordre général

Des informations médicales sont fournies par les sites internet de plusieurs agences sanitaires, notamment la Haute Autorité de santé (HAS) et l'agence nationale de sécurité du médicament et des produits de santé (ANSM). L'objectif de ces portails d'information est de fournir une information fiable et certifiée au grand public comme aux professionnels de santé et de créer un « service public de l'information en santé » .

Une base de données fournissant des informations sur les médicaments a par ailleurs été mise en ligne à l'adresse www.medicaments.gouv.fr .

Source : extrait du rapport de la mission commune d'information sénatoriale
sur l'accès aux documents administratifs et aux données publiques 69 ( * )

Parmi les qualités particulières des bases françaises, l'étude d'impact du projet de loi de modernisation de notre système de santé mettait en avant « l'exhaustivité de la population (effectif et absence de biais), qui lui confère sa grande puissance statistique ; les données détaillées sur les consommations de soins en ville et à l'hôpital, notamment tous les traitements médicamenteux prescrits au long cours et toutes les hospitalisations ; le chainage (suivi longitudinal des données par personne) ; la chronologie précise ; la qualité d'ensemble des données ».

Selon des chiffres avancés par l'assurance-maladie et repris par l'étude d'impact précitée, le système national d'information inter-régimes de l'assurance maladie (SNIIRAM), combiné avec le programme de médicalisation des systèmes d'information (PMSI), constituerait « la plus grande base de données médico-administratives au monde [regroupant] par an 1,2 milliard de feuilles de soins, 500 millions d'actes médicaux et 11 millions de séjours hospitaliers (en médecine, chirurgie et obstétrique), avec potentiellement (au terme de la montée en charge) une profondeur historique de 14 ans (et même de 20 ans pour l'échantillon généraliste de bénéficiaires et le PMSI). »

b) La gouvernance des institutions chargées d'organiser la mise à disposition des données de santé

La loi du 26 janvier 2016 a consolidé les bases de données de santé dites « médico-administratives » et créé un système national des données de santé (SNDS) qui rassemble les données des bases existantes, ou en cours de constitution, sous la responsabilité de la Caisse nationale de l'assurance maladie des travailleurs salariés.

Le décret n° 2016-1871 du 26 décembre 2016 relatif au traitement de données à caractère personnel dénommé « Système National des Données de Santé » complète ces dispositions. Les articles R. 1461-1 à R. 1461-19 du code de la santé publique viennent, notamment, définir les organismes chargés de gérer la mise à disposition effective des données et leurs responsabilités respectives, la liste des catégories de données réunies et des modalités d'alimentation, y compris par les organismes d'assurance maladie complémentaire, la liste des services, des établissements ou des organismes bénéficiant d'un accès permanent aux données, les conditions de désignation et d'habilitation des personnes autorisées à y accéder et les modalités d'application des droits d'accès et d'opposition.

Le Système national des données de santé (SNDS) :
Contenu, gestion et finalités
(article L. 1461-1 du code de la santé publique)

L'intégration de l'ensemble des bases disponibles

Conformément à l'article L. 1461-1 du code de la santé publique, le SNDS doit permettre de chainer : les données de l'assurance maladie (base SNIIRAM), les données des hôpitaux (base PMSI), les causes médicales de décès (base de l'INSERM), les données relatives au handicap (données de la caisse nationale de solidarité pour l'autonomie) et un échantillon de données de remboursement en provenance des organismes complémentaires.

Une gestion pluripartite

La Caisse nationale de l'assurance maladie des travailleurs salariés est responsable du traitement et organise l'ensemble des données. Elle opère dans le cadre d'orientations générales définies par l'État (direction de la recherche, des études, de l'évaluation et des statistiques) en concertation avec les différents organismes responsables des systèmes d'information sources des données ainsi intégrées.

Des finalités autorisées limitatives et des finalités exclues

Les finalités de la mise à disposition de ces données sont limitativement énumérées au même article et doivent permettre de contribuer à l'information sur la santé ainsi que sur l'offre de soins, à la prise en charge médico-sociale et leur qualité, à la définition, la mise en oeuvre et l'évaluation des politiques de santé et de protection sociale, à la connaissance des dépenses de santé, des dépenses d'assurance maladie et des dépenses médico-sociales, à l'information des professionnels, des structures et des établissements de santé ou médico-sociaux sur leur activité, à la surveillance, la veille et la sécurité sanitaires, à la recherche, les études, l'évaluation et l'innovation dans les domaines de la santé et de la prise en charge médico-sociale.

Par ailleurs, les données du SNDS ne peuvent être utilisées en vue  de promouvoir des produits de santé ou cosmétiques en direction des professionnels de santé ou d'établissements de santé ni d'exclure un individu présentant un risque de garanties prévues par des contrats d'assurance et de modifier ses cotisations ou ses primes d'assurance.

Garanties

Les données comprises dans le SNDS sont « pseudonymisées » 70 ( * ) , c'est-à-dire qu'elles ne présentent pas les noms, prénoms, adresse et NIR des personnes concernées (pouvant néanmoins être associées à une personne identifiée ou identifiable, certaines n'en perdent pas leur qualité de données à caractère personnel).

Elles sont également mises à disposition conformément à un référentiel de sécurité assurant la confidentialité et l'intégrité des données, ainsi que la traçabilité des accès et autres traitements.

L' Institut national des données de santé (INDS), groupement d'intérêt public créé par l'article L. 1462-1 du code de la santé publique, est désormais chargé en pratique d'assurer le pilotage de l'ensemble du système, notamment :

- en veillant à la qualité des données de santé et aux conditions générales de leur mise à disposition, garantissant leur sécurité et facilitant leur utilisation dans le respect de la loi informatique et libertés ;

- en jouant le rôle de « guichet unique » dans la réception des dossiers de demande de recherche ;

- et en se prononçant à ce titre, le cas échéant, sur la finalité d'intérêt public que présente ou non une recherche, une étude ou une évaluation (condition pour faire autoriser le traitement par la CNIL) 71 ( * ) .

c) Les procédures d'accès et de mise à disposition des données de santé : des mécanismes distincts pour les données personnelles et pour les données anonymes

La loi du 26 janvier 2016 a entendu adapter les garanties et les procédures d'accès aux données de santé en fonction de la capacité des utilisateurs de ces données d'identifier ou de ré-identifier les personnes concernées. Différentes voies d'accès sont dès lors distinguées, selon que les données peuvent soit être associées à une personne identifiée ou identifiable (et donc être qualifiées de données à caractère personnel), soit être agrégées ou traitées de telle manière qu'aucune identification n'est possible (données anonymisées) 72 ( * ) .

- L'accès aux données de santé à caractère personnel : des finalités limitées et des garanties spécifiques

Concernant les données qui ne sont pas anonymisées, leur accès est une opération régie en premier lieu par la loi Informatique et libertés et ses garanties générales (loyauté et licéité du traitement ; finalités déterminées, explicites et légitimes ; durée de conservation ; recueil du consentement sauf exceptions limitatives ; etc .). En outre, pour les données personnelles contenues dans le SNDS, des conditions et garanties supplémentaires spécifiques s'appliquent et portent sur les finalités autorisées : aux termes de l'article L. 1461-3 code la santé publique, en effet, « un accès aux données à caractère personnel du système national des données de santé ne peut être autorisé que pour permettre des traitements :

« 1° Soit à des fins de recherche, d'étude ou d'évaluation contribuant à une finalité [du SNDS] et répondant à un motif d'intérêt public ;

« 2° Soit nécessaires à l'accomplissement des missions des services de l'État, des établissements publics ou des organismes chargés d'une mission de service public compétents 73 ( * ) (...) »,

Le premier de ces régimes, celui spécifique aux demandes d'accès aux données personnelles de santé à des fins de recherche, d'étude ou d'évaluation, a été profondément révisé par la loi du 26 janvier 2016 et isolé au sein de l'actuel chapitre IX de la loi Informatique et libertés (« Traitements de données à caractère personnel à des fins de recherche, d'étude ou d'évaluation dans le domaine de la santé »).

En substance, les demandes d'accès doivent être déposées devant l'INDS qui sert de guichet unique et passer, en fonction de la nature du traitement, par la consultation d'un comité, soit le comité de protection des personnes pour les recherches biomédicales (article L. 1123-6 du code de la santé publique) soit le comité d'expertise pour les recherches, les études et les évaluations dans le domaine de la Santé (CEREES) pour celles n'impliquant pas la personne humaine, dont le rôle est de donner à la CNIL un avis sur la cohérence entre la finalité de l'étude proposée, la méthodologie présentée et le périmètre des données auxquelles il est demandé accès.

Source : Système national des données de santé

L'article 54 de la loi Informatique et libertés prévoit en outre des procédures simplifiées dans trois cas de figure :

- pour les catégories les plus usuelles de traitements automatisés de données de santé à caractère personnel à des fins de recherche, d'étude ou d'évaluation dans le domaine de la santé, un demandeur qui s'engage à se conformer à une méthodologie de référence (homologuée par la CNIL et publiée sur son site internet) peut être ainsi dispensé de demander une autorisation ;

- la CNIL peut en outre délivrer des autorisations uniques à des organismes réalisant plusieurs traitements répondant à une même finalité, portant sur des catégories de données identiques et ayant des catégories de destinataires identiques ;

- l'INDS peut enfin mettre à disposition des jeux de données agrégées ou des échantillons, issus des traitements des données de santé à caractère personnel pour des finalités et dans des conditions reconnues conformes à la loi Informatique et libertés par la CNIL.

Source : Système national des données de santé

- L'accès aux données anonymisées de santé : un principe d'ouverture et un contrôle de la CNIL limité aux processus d'anonymisation

Aux termes de l'article L. 1461-2 du code de la santé publique, les données de santé « traitées pour prendre la forme de statistiques agrégées ou de données individuelles constituées de telle sorte que l'identification directe ou indirecte des personnes concernées y est impossible » font par principe l'objet d'une mise à disposition gratuite.

Le contrôle exercé par la CNIL se limite, conformément à l'article 8 de la loi Informatique et libertés, aux procédés d'anonymisation qui doivent au préalable être reconnus conformes par elle.

2. Le texte transmis : une adaptation du dispositif au RGPD généralisant à tous les traitements de données personnelles de santé certains principes protecteurs régissant actuellement les traitements à finalité de recherche

L'article 13 du projet de loi propose une réécriture intégrale du chapitre IX de la loi Informatique et libertés pour y faire figurer l'ensemble des dispositions relatives aux traitements de données à caractère personnel dans le domaine de la santé.

La section 1, relative aux dispositions générales, établit les règles s'appliquant à l'ensemble des traitements de données de santé .

L'article 53 en fixe le champ d'application , qui est sensiblement le même que celui en vigueur dans l'actuel chapitre IX (encadrant le traitement de données de santé en matière particulière de recherche, d'étude et d'évaluation). Ne seraient ainsi concernés par ce régime :

- ni certains traitements portant sur des données sensibles (autorisés par exception en application de l'article 8 de la loi Informatique et libertés) ;

- ni les traitements permettant d'effectuer des études à partir des données recueillies aux fins de la médecine préventive, des diagnostics médicaux, de l'administration de soins ou de traitements, ou de la gestion de services de santé lorsque ces études sont réalisées par les personnels assurant ce suivi et destinées à leur usage exclusif ;

- ni les traitements effectués à des fins de remboursement ou de contrôle par les organismes chargés de la gestion d'un régime de base d'assurance maladie 74 ( * ) ;

- ni les traitements effectués au sein des établissements de santé par les médecins responsables de l'information médicale ;

- ni les traitements effectués dans le cadre de certaines activités des agences régionales de santé.

Les traitements ainsi hors du champ du nouveau chapitre IX en vertu de l'article 53 demeurent régis, le cas échéant, par d'autres textes spécifiques (figurant notamment dans le code de la santé publique et imposant des garanties supplémentaires sur le mode de traitement des données ou sa finalité) et, en tout état de cause, par les principes classiques et les garanties de base de la loi Informatique et libertés et du RGPD .

L'article 54 fixe les conditions de licéité particulières des traitements de données personnelles de santé, reprenant également, en grande partie, celles prévues par le droit actuellement en vigueur pour les traitements à des fins de recherche, d'étude et d'évaluation : les traitements ne peuvent être mis en oeuvre qu'en considération de la finalité d'intérêt public qu'ils présentent. Ils restent soumis à des formalités préalables : déclaration (pour ceux conformes à des référentiels 75 ( * ) établis par la CNIL (qui peut également édicter des règlements types ), autorisation , voire autorisation unique 76 ( * ) .

L'article 55 reprend les dispositions dérogatoires prévues par le droit en vigueur pour les dispositifs de réponse aux alertes sanitaires.

L'article 56 reprend aussi celles régissant les transferts de données par les professionnels de santé.

L'article 57 reprend également les dispositions existantes fixant les conditions dans lesquelles une personne peut s'opposer à ce que des données la concernant fassent l'objet de la levée du secret professionnel.

L'article 58 rappelle le principe, consacré par le RGPD, d'obligation d'information individuelle des personnes auprès desquelles sont recueillies les données personnelles (sous réserve du droit des personnes d'être tenues dans l'ignorance d'un diagnostic ou d'un pronostic).

L'article 59, reproduisant également pour l'essentiel le droit en vigueur, concerne les conditions d'information et d'exercice des droits des personnes mineures et des majeurs protégés . Comme en l'état actuel du droit, est notamment maintenu à 15 ans l'âge auquel un mineur peut s'opposer à ce que les titulaires de l'exercice de l'autorité parentale aient accès aux données le concernant recueillies au cours de la recherche, de l'étude ou de l'évaluation. À cet égard, comme le relève le Conseil d'État : « il [serait] en effet particulièrement dommageable pour les intérêts des mineurs qu'à raison de [leur] simple inclusion dans un traitement informatique, des éléments relatifs à la santé susceptibles d'entraîner des conséquences très négatives dans la relation avec le mineur puissent être portés à la connaissance des parents (informations relatives à des traitements en lien avec les addictions, ou les relations et l'orientation sexuelle, notamment) ».

L'article 60 instaure une obligation d'information relative aux dispositions de ce chapitre devant être assurée dans tout établissement ou centre où s'exercent des activités de prévention, de diagnostic et de soins donnant lieu à la transmission de données personnelles en vue d'un traitement.

La section 2 établit des règles particulières s'appliquant aux traitements à des fins de recherche, d'étude ou d'évaluation dans le domaine de la santé.

Les articles 61 à 63 visent à pérenniser l'organisation de l'accès aux données de santé telle qu'elle résulte des dispositions actuellement en vigueur au sein du chapitre IX et des textes spécifiques organisant le régime de mise à disposition des données de santé (décrit supra). Afin d'éclairer la CNIL qui est chargée d'autoriser ces traitements, sont notamment repris dans ce dispositif tant le rôle du comité compétent de protection des personnes (pour les demandes d'autorisation relatives aux recherches impliquant la personne humaine) que celui du CEREES (pour les demandes d'autorisation relatives à des études ou à des évaluations ainsi qu'à des recherches n'impliquant pas la personne humaine).

3. La position de la commission

Votre rapporteur note avec satisfaction la volonté du Gouvernement de tirer parti des marges de manoeuvre reconnues par le RGPD aux États membres pour assurer un encadrement spécifique et protecteur des traitements de données personnelles de santé.

Elle relève que le régime proposé respecte les orientations et les équilibres issus de la récente réforme du pilotage et de l'accès aux données de santé initiée par la loi du 26 janvier 2016 de modernisation de notre système de santé . Il assure ainsi une conciliation équilibrée entre le respect de la protection des données des personnes concernées et la vie privée des patients et l'objectif de ne pas constituer un frein à l'innovation dans un domaine où la France peut être particulièrement compétitive.

Si elle se félicite, par exemple, que des mesures soient prévues pour réduire encore les délais souvent trop longs d'instruction des demandes, notamment dans le domaine de la recherche, votre rapporteur s'inquiète de ce que le système envisagé reporte in fine sur la CNIL le poids de procédures nouvelles et complexes, qui risquent d'être nombreuses, et dont il n'est pas sûr que l'autorité puisse assurer le traitement dans des conditions satisfaisantes en raison de son manque de moyens.

Elle regrette enfin l'articulation encore peu lisible et incertaine de certaines dispositions proposées avec le code de la santé publique , qui mériterait une meilleure harmonisation, alors même que certains textes réglementaires d'application de la loi du 26 janvier 2016 de modernisation de notre système de santé viennent d'être adoptés et devront déjà être modifiés par cohérence avec le présent texte.

Votre commission a adopté les amendements de clarification rédactionnelle (COM-56 et COM-57) et de coordination (COM-58) , de votre rapporteur puis adopté l'article 13 ainsi modifié.

Article 13 bis (art. L. 312-9 du code de l'éducation) - Sensibilisation des élèves à la protection des données personnelles par l'Éducation nationale

Issu de l'adoption de plusieurs amendements identiques en séance à l'Assemblée nationale, dont un de la rapporteure, l'article 13 bis prévoit une sensibilisation à la protection des données personnelles dans le cadre de l'Éducation nationale

Il complète l'article L. 312-9 du code de l'éducation pour prévoir que la formation à l'utilisation des outils et des ressources numériques dispensée dans les établissements scolaires doit comporter, outre une sensibilisation aux droits et aux devoirs liés à l'usage de l'internet et des réseaux, dont la protection de la vie privée et le respect de la propriété intellectuelle, une sensibilisation spécifique « aux règles applicables aux traitements de données à caractère personnel ».

Votre rapporteur, qui approuve l'objectif de ces dispositions, appelle au développement et à la promotion d'une véritable éducation citoyenne au numérique .

À ce titre, elle salue les initiatives comme celles entreprises depuis 2013 au sein d'« Educnum » 77 ( * ) , collectif d'éducation au numérique piloté par la CNIL pour porter et soutenir des actions visant à promouvoir une véritable culture citoyenne du numérique, et dont plusieurs associations qu'elle a reçues ont approuvé les actions.

Plus spécifiquement, elle note la conclusion en 2016 par le ministère de l'éducation nationale et de l'enseignement supérieur, d'une part, et la CNIL, d'autre part, d'une convention « portant sur les usages responsables et citoyens du numérique à l'école » 78 ( * ) , et appelle le Gouvernement à dresser et à publier un premier bilan de cette initiative.

Enfin, comme l'association de protection E-enfance l'a justement souligné lors de son audition, elle note que l'effort de pédagogie auprès des élèves ne pourra être poursuivi au sein de l'Éducation nationale qu'avec une formation adéquate du corps enseignant lui-même, pour le familiariser aux problématiques liées à la protection des données personnelles.

Votre commission a adopté l'article 13 bis sans modification.


* 55 Sur ce point, votre rapporteur renvoie au commentaire du titre III du projet de loi.

* 56 À savoir les données à caractère personnel dont le traitement révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique.

* 57 Loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés .

* 58 Décision n° 2004-499 DC du 29 juillet 2004, loi relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

* 59 Loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés .

* 60 Votre rapporteur remarque que dans la traduction française du règlement, à l'instar de la traduction italienne (« condanne penali e reati »), l'adjectif qualificatif « pénales » ne s'applique pas aux infractions. Votre rapporteur observe néanmoins que certaines traductions du règlement appliquent l'adjectif qualificatif « pénales » tant aux condamnations qu'aux infractions : « condenas e infraciones penales » dans la version espagnole ; « criminal convictions and offences » dans la version anglaise.

* 61 Sur ce point, votre rapporteur renvoie au commentaire de l'article 9 du projet de loi.

* 62 M. Loïc Cadiet, rapport à Madame la garde des sceaux, ministre de la justice, « L' open data des décisions de justice », mission d'étude et de préfiguration sur l'ouverture au public des décisions de justice, novembre 2017.

* 63 Sur ce point, voir le commentaire de l'article 7.

* 64 Rapport n° 33 (2017-2018) de MM. Jacques Bigot et François-Noël Buffet, fait au nom de la commission des lois, déposé le 18 octobre 2017, sur la proposition de loi n° 641 (2016-2017) d'orientation et de programmation pour le redressement de la justice.

* 65 Voir la délibération de la CNIL n° 2005-213 du 11 octobre 2005.

* 66 Pour mémoire, l'article 39 de la loi n° 78-17 du 6 janvier 1978 prévoit qu'une personne physique a le droit d'interroger un responsable de traitement en vue d'obtenir notamment la confirmation que des données à caractère personnel la concernant font ou non l'objet de ce traitement, des informations relatives aux finalités du traitement, aux catégories de données traitées et à leurs destinataires, aux transferts de données hors de l'Union européenne, ainsi que la communication des données qui la concernent.

* 67 Voir le chapitre III du livre I er du livre II du code du patrimoine.

* 68 Plus précisément, il est prévu de supprimer les dispositions selon lesquelles 1° les traitements dont la finalité se limite à assurer la conservation à long terme de documents d'archives sont dispensés de formalités préalables, 2° les données conservées au-delà de leur durée initiale de conservation par les services publics d'archives peuvent être traitées à d'autres fins qu'historiques, statistiques ou scientifiques avec l'autorisation de la CNIL.

* 69 Refonder le droit à l'information publique à l'heure du numérique : un enjeu citoyen, une opportunité stratégique , rapport d'information n° 589 (2013-2014) de Mme Corinne Bouchoux au nom de la mission commune d'information sur l'accès aux documents administratifs.

Ce rapport est consultable à l'adresse suivante : http://www.senat.fr/rap/r13-589-2/r13-589-2.html

* 70 Article L. 161-28-1 du code de la sécurité sociale : « les données reçues et traitées par le [SNIIRAM] préservent la vie privée des personnes ayant bénéficié des prestations de soins »

* 71 Art. 54 de la loi Informatique et libertés « Les traitements de données à caractère personnel ayant une finalité d'intérêt public de recherche, d'étude ou d'évaluation dans le domaine de la santé sont autorisés par la Commission nationale de l'informatique et des libertés, dans le respect des principes définis par la présente loi (...) Dans des conditions définies par décret en Conseil d'État, l'Institut national des données de santé, prévu à l' article L. 1462-1 du code de la santé publique, peut être saisi par la Commission nationale de l'informatique et des libertés ou le ministre chargé de la santé sur le caractère d'intérêt public que présente la recherche, l'étude ou l'évaluation justifiant la demande de traitement ; il peut également évoquer le cas de sa propre initiative. Dans tous les cas, il rend un avis dans un délai d'un mois à compter de sa saisine. »

* 72 Pour une présentation plus détaillée, on pourra se reporter utilement à la très riche étude de Jean Cattan, « La mise à disposition des données de santé » (Droit Administratif n° 5, mai 2016).

* 73 Ces organisations, listées par décret en conseil d'État, pris après avis de la CNIL, peuvent pour accomplir leurs missions accéder à certaines données de manière permanente

* 74 L'Assemblée nationale a adopté un amendement du Gouvernement excluant également du champ d'application de ce chapitre les traitements « mis en oeuvre aux fins d'assurer (...) la prise en charge des prestations par les organismes d'assurance maladie complémentaire », en plus de ceux déjà exclus relevant du régime de base d'assurance maladie.

* 75 L'Assemblée nationale a adopté deux amendements identiques de sa rapporteure et de M. Cédric Villani limitant la compétence de l'Institut national des données de santé d'émettre un avis sur le caractère d'intérêt public que présente un traitement non à l'ensemble des traitements de données de santé (section 1) mais bien, comme en l'état du droit, au seul cas des traitements effectués dans le cadre d'une recherche, une étude ou une évaluation portant sur des données personnelles en matière de santé (section 2).

* 76 Autorisation en faveur d'un même demandeur concernant des traitements répondant à une même finalité, portant sur des catégories de données identiques et ayant des catégories de destinataires identiques.

* 77 La CNIL a rassemblé, en mai 2013, un collectif d'acteurs issus du monde de l'éducation, de la recherche, de l'économie numérique, de la société civile, de fondations d'entreprises et d'autres institutions. Le collectif regroupe près de 70 structures. www.educnum.fr

* 78 Convention dont l'objet visait notamment : à concevoir des ressources pédagogiques en matière de protection des données personnelles, les tester et en évaluer la pertinence et l'efficacité ; à mettre ces ressources à disposition tant des enseignants que des élèves ; organiser et promouvoir des actions de formation et des opérations (concours, séminaires de réflexion, colloques...) ; à sensibiliser les enseignants, les élèves et les étudiants à un usage responsable et éclairé du numérique.

Cette convention est accessible sur le site Internet de la CNIL à l'adresse suivante : https://www.cnil.fr/sites/default/files/atoms/files/convention_men_cnil.pdf

Les thèmes associés à ce dossier

Page mise à jour le

Partager cette page