Blog Sciences du vivant

Les députés affinent la notion « d’intérêt public » dans le contexte des données de santé

Le projet de loi relatif à la protection des données personnelles ambitionne de modifier à nouveau les dispositions du chapitre IX de la loi informatique et libertés. Pour mémoire ce chapitre avait été largement refondu par la loi de modernisation de notre système de santé dont l’adoption remonte au 24 janvier 2016.

C’est cette loi qui a notamment introduit une nouvelle exigence tendant à l’existence d’une finalité d’intérêt public de recherche, d’étude ou d’évaluation dans le domaine de la santé pour pouvoir initier de tels traitements de données personnelles. 

Or, le projet de loi relatif à la protection des données personnelles prévoit de ne plus limiter les dispositions du chapitre IX aux seuls traitements ayant pour finalité la recherche, les études et évaluations en santé mais de l’étendre à l’ensemble des traitements de données à caractère personnel dans le domaine de la santé. Par voie de conséquence et vous l’aurez certainement déduit par vous-même, il était prévu d’étendre la condition de l’existence d’une finalité d’intérêt public à l’ensemble des traitements de données personnelles dans le domaine de la santé. 

Ainsi, l’article 54 était rédigé en ces termes : « Les traitements relevant du présent chapitre ne peuvent être mis en œuvre qu’en considération de la finalité d’intérêt public qu’ils présentent. »

Comme nous avons eu l’occasion de le souligner à plusieurs reprises une telle limitation nous paraissait présenter une importante insécurité juridique compte tenu de l’imprécision autour de cette notion « d’intérêt public ». 

Rappelons d’ailleurs que, dans le prolongement de la loi de modernisation de notre système de santé ayant introduit cette finalité « d’intérêt public », l’IDS, avant de devenir l’INDS, a passé un marché public intitulé « Expertise juridique sur l’intérêt public dans le contexte des données de santé », pour essayer de se faire expliquer ce que couvrait cette notion.

Une démarche pour le moins inédite qui dénotait du flou et donc de l’insécurité juridique entourant ce concept.

En effet, à tout moment l’INDS ou la CNIL pouvait refuser ou s’opposer à la mise en œuvre d’un traitement au motif qu’il ne poursuivait pas une finalité d’intérêt public. 

Or, et bien que le Règlement Général sur la Protection des données (RGPD) utilise le terme « intérêt public », il ne se limite pas à cette seule finalité et évoque également les traitements ayant pour objectifs de garantir des normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux.

 « Article 9 

Traitement portant sur des catégories particulières de données à caractère personnel 

Le traitement des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdits. 

Le paragraphe 1 ne s’applique pas si l’une des conditions suivantes est remplie :

(…)

1. i) le traitement est nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique, tels que la protection contre les menaces transfrontalières graves pesant sur la santé, ou aux fins de garantir des normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux sur la base du droit de l’Union ou du droit de l’État membre qui prévoit des mesures appropriées et spécifiques pour la sauvegarde des droits et libertés de la personne concernée, notamment le secret professionnel ; (…) »
Pour éviter toute insécurité juridique et face aux imprécisions entourant le concept « d’intérêt public », il était donc nécessaire, à tout le moins, de retrouver dans notre droit national des dispositions aussi exhaustives que celles contenues dans le RGPD.

Les discussions conduites autours des amendements n°125 et n°176 portaient donc sur ce besoin de précisions :

 « M. le président. Je suis saisi de deux amendements identiques, nos125 et 176.

La parole est à Mme Paula Forteza, rapporteure, pour soutenir l’amendement no125.

Mme Paula Forteza rapporteure. Cet amendement vise seulement à préciser que la garantie de normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux constitue bien une finalité d’intérêt public.

Cette préoccupation a été exprimée par des acteurs du monde de la santé, des start-up notamment, qui craignaient que les activités du secteur privé ne soient pas considérées comme relevant de la notion de « finalité d’intérêt public », alors qu’elles le sont bien dans le RGPD.

M. le président. La parole est à M. Cédric Villani, pour soutenir l’amendement no176.

Cédric Villani. Je confirme tout ce que vient de dire Mme la rapporteure. Pour accéder à ce titre, dans la rédaction actuelle, il faut justifier d’une finalité d’intérêt public. Or le RGPD évoque des traitements rendus nécessaires « pour des motifs d’intérêt public dans le domaine de la santé public, tels que la protection contre les menaces transfrontalières graves pesant sur la santé » ou — j’insiste sur ce « ou » — « aux fins de garantir des normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux ».

Quand on passe d’un texte qui permet A ou B à un texte qui permet seulement A, les acteurs qui examinent ce texte avec attention — et je pense en particulier aux start-up — doivent se dire qu’il y a une volonté, de la part du pouvoir français, de durcir le droit par rapport à ce que dispose le RGPD. Cette inquiétude a été exprimée explicitement par le représentant de la CNIL que nous avons auditionné. Celui-ci n’a pas fait mystère de ce que, dans son esprit, la question de la haute qualité des normes était incluse implicitement dans la notion d’intérêt public. Dans ce cas, pourquoi ne pas l’indiquer explicitement et, ainsi, rassurer les acteurs privés sur le fait que ce texte ne les contraindra pas davantage que le droit européen ?

M. le président. Quel est l’avis du Gouvernement ? 

Mme Nicole Belloubet garde des sceaux. Je comprends parfaitement la pédagogie que vous souhaitez tous deux imprimer à ce texte. Juridiquement, cette précision me paraît un peu superflue mais, compte tenu de votre force de persuasion, je m’en remets à la sagesse de l’Assemblée sur ces deux amendements.

M. Vincent Thiébaut. Très bien !

 (Les amendements identiques nos 125 et 176 sont adoptés.)

 (Applaudissements sur les bancs du groupe REM.) »

La solution retenue n’est donc finalement pas d’opposer l’intérêt public à la garantie de normes élevées de qualité et de sécurité mais de considérer que cette dernière fait partie intégrante de l’intérêt public.

Ainsi, à l’issue de cette 1ère lecture qui s’est achevée le 7 février 2018, l’article 54 de la loi informatique et libertés est complété par la phrase suivante : « La garantie de normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux constitue une finalité d’intérêt public. ».

Cette analyse n’est pas totalement en cohérence avec les dispositions de l’article 9 du RGPD reproduites ci-dessus, qui prévoient de manière alternative la finalité d’intérêt public et celle de garantie de normes élevées de qualité et de sécurité, mais en réalité, elle vient juste corriger une erreur de traduction ! 

En effet, l’article 9 dans sa version General Data Protection Regulation (GDPR), n’oppose pas ces deux finalités, mais la seconde illustre la première, puisque le « ou » n’est pas précédé d’une virgule !

“processing is necessary for reasons of public interest in the area of public health, such as protecting against serious cross-border threats to health or ensuring high standards of quality and safety of health care and of medicinal products or medical devices, on the basis of Union or Member State law which provides for suitable and specific measures to safeguard the rights and freedoms of the data subject, in particular professional secrecy ;”

La notion « d’intérêt public » à la française s’affine donc au regard de la version anglaise du GDPR !