Intervention de Albane Gaillot

La protection des données personnelles n'est pas une préoccupation nouvelle pour le législateur. La loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, plus connue sous le nom de loi « Informatique et libertés », était déjà la réponse du législateur aux craintes suscitées par l'interconnexion de fichiers à l'aide du numéro Insee.

Cette loi, fondatrice, nécessite aujourd'hui d'être actualisée au regard de l'enjeu sociétal que représente le numérique. Les nouvelles technologies informatiques ont modifié en profondeur nos usages. Elles concernent tous les aspects de notre vie quotidienne – loisirs, nouvelles formes de sociabilité, information, échanges ou développement économique. Elles génèrent également un nombre exponentiel de données.

Le règlement européen de protection des données (RGPD), comme le projet de loi dont nous sommes saisis pour avis, constituent une réponse appropriée à ces nouveaux enjeux. Le RGPD, qui entrera en vigueur le 25 mai 2018, vise à alléger les charges résultant des formalités préalables de déclaration ou d'autorisation de traitements des données personnelles.

Les modifications proposées par ce règlement visent aussi à responsabiliser davantage les acteurs : ils seront désormais tenus de se conformer au cadre de référence, élaboré en lien avec l'autorité de régulation, et de procéder à une analyse des risques d'atteinte aux droits fondamentaux et libertés. Par ailleurs, ces mêmes acteurs pourront faire l'objet d'un contrôle a posteriori. Le régime des sanctions est considérablement renforcé – jusqu'à 4 % du chiffre d'affaires s'agissant des amendes pécuniaires. Ces modifications devraient nous permettre d'améliorer nos capacités de contrôle, dans le cadre d'actions coordonnées au niveau européen entre les autorités régulatrices.

En outre, le principe de l'application du droit de l'Union européenne et de ses États est explicitement prévu, y compris pour les traitements opérés hors territoire de l'Union, s'ils concernent un résident européen.

Enfin, si le règlement présente des mesures directement applicables, il en prévoit plus d'une cinquantaine dont les États membres devront préciser le cadre ou pour lesquelles ils pourront notamment prévoir plus de garanties que le droit européen. C'est le cas des données sensibles, à l'instar des données de santé, qui entrent dans le champ de notre saisine.

Le projet s'inscrit dans ce mouvement et renverse la logique antérieure. Le principe de l'autorisation préalable, accordée par l'autorité de régulation – en l'espèce, la Commission nationale de l'informatique et des libertés (CNIL) – s'efface au profit d'une déclaration de conformité à un référentiel et d'un renforcement des capacités de contrôle. Cela étant, s'agissant des articles 7, 9 et 13 dont nous sommes saisis pour avis, les États membres ont la possibilité d'adapter leur réglementation, afin de prévoir un degré de protection des données à caractère personnel plus élevé et de garantir les droits fondamentaux et les libertés.

L'article 7 traite des données « sensibles » qui méritent, à ce titre, une protection spécifique, car le contexte dans lequel elles sont traitées pourrait entraîner des risques importants. Le projet prend ainsi acte de l'élévation des données biométriques et génétiques au rang de données sensibles, au même titre que les données de santé. Pour ces catégories, le principe reste l'interdiction de traitement, sauf dérogations strictement encadrées.

Le projet de loi précise également les droits attachés à la protection des citoyens faisant l'objet de traitements de données à caractère personnel. Surtout, il définit officiellement les données de santé, élevant ainsi le degré d'exigence applicable aux traitements de données qui ne relevaient jusqu'alors pas de ce périmètre. Ces données de santé couvriront désormais les « données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne ».

L'article 9 traite du numéro d'inscription au répertoire (NIR) des personnes physiques. Au fil des ans, le régime actuel était devenu incompréhensible pour les responsables de traitement. Il combinait diverses autorisations accordées par la CNIL ou relevant du domaine législatif et réglementaire, ainsi que des formules allégées. Le texte prévoit désormais qu'un décret en Conseil d'État listera les acteurs concernés. Il sera publié après avis motivé de la CNIL.

L'article 13 modifie le chapitre IX de la loi du 6 janvier 1978 afin qu'il regroupe l'ensemble des règles dévolues au traitement des données de santé. Les dispositions sont actuellement dispersées – aux articles 25, 27 et au chapitre IX de la loi.

Par ailleurs, s'il allège les formalités dans l'esprit du RGPD, cet article n'opère pas de bouleversement dans les procédures. Le projet de loi conforte les évolutions apportées par la loi de modernisation de notre système de santé (LMSS), s'agissant de l'ouverture encadrée aux informations du système national des données de santé (SNDS). Il maintient aussi la possibilité d'apparier le NIR aux données de santé, sous le contrôle de la CNIL, tout en maintenant la possibilité d'effectuer des travaux de recherche de qualité.

Une évolution doit cependant être soulignée : désormais, en cas de demande d'autorisation, le silence gardé par la CNIL pendant plus de deux mois vaudra acceptation. Cette modification permettra d'accélérer le traitement des demandes tout en maintenant un haut niveau de recherche, donc d'innovation et de compétitivité.

Le texte présente enfin plusieurs défis. Le premier devra être relevé par les responsables de traitement. L'appropriation des normes et leurs impacts économiques ont été régulièrement abordés au cours des auditions. Une certaine anxiété demeure et peut se nourrir des confusions résultant des choix rédactionnels opérés par le Gouvernement. Sur ce point, ce dernier a indiqué que l'urgence commandait de toiletter le droit en vigueur afin de supprimer les règles en contradiction flagrante avec le droit européen. Mais l'article 20 du projet habilite également le Gouvernement à légiférer par ordonnance, afin de procéder à la réécriture de la loi du 6 janvier 1978.

Le second défi concerne la CNIL. Cette dernière a parfaitement anticipé les évolutions du RGPD. Elle a élaboré une doctrine d'emploi conforme aux nouvelles exigences, tout en opérant un basculement de ses services vers l'accompagnement des opérateurs publics et privés. Toutefois, les objectifs sous-tendus par la nouvelle logique de régulation nécessitent un renforcement de ses capacités opérationnelles, tant pour l'accompagnement que pour le contrôle. La puissance publique doit prendre ses responsabilités, afin de faciliter la transformation de la CNIL en un accompagnateur, et non plus simplement un contrôleur.

Le dernier défi concerne ceux que j'appelle les « acteurs de données », qu'ils soient citoyens producteurs de données ou responsables de traitement des données personnelles – professionnels de santé, acteurs industriels ou organismes de recherche. Le recueil du consentement, le droit à l'information, le droit de rectification, le droit à l'oubli, pour ne citer qu'eux, supposent une démarche éthique de la part des responsables de traitement, qui compte autant que la qualité des données recueillies, aussi bien lors de la collecte que lors du traitement et de l'analyse. Les données de santé requièrent une vigilance toute particulière. Aussi, me semble-t-il indispensable de saluer le développement des labels et certifications, prévu par le texte.

De leur côté, les citoyens, producteurs de données, doivent être particulièrement vigilants quant au consentement accordé à l'utilisation de leurs données personnelles, surtout de leurs données de santé, alors que notre univers tend à devenir complètement numérique. Un ambitieux chantier de sensibilisation doit être entrepris. L'hiatus important entre la légitime volonté de protéger ses données personnelles et une forme d'insouciance quand il s'agit de donner son accord dans le cadre de nos outils numériques quotidiens pose question. On voit ainsi des internautes publier des informations sur leur santé sur les réseaux sociaux…

Il nous faut donc à la fois adopter un cadre juridique sécurisant et développer une pédagogie adaptée à cet environnement en perpétuelle mutation. Telle est la voie tracée par ce projet et je vous invite à donner un avis favorable aux articles dont nous sommes saisis.