La méconnaissance de la réglementation est susceptible d'engager la responsabilité des acteurs. Or, en l'absence de définition légale, le champ des données de santé résultait auparavant des décisions jurisprudentielles, françaises comme européennes.
L'article 4 du RGPD met fin à cette absence de base légale. Le périmètre couvre les « données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne ». La définition européenne embrasse la dimension médicale des données de santé en établissant un lien entre le recueil des données et le contexte de leur utilisation.
Cela étant, avec le développement des objets connectés, et en réponse à une demande de la Commission européenne, le G29 a précisé le périmètre des données de santé. Les données brutes, d'apparence inoffensive ou neutre, sont considérées comme des données de santé si elles permettent, en elles-mêmes ou combinées avec d'autres, de tirer des conclusions sur l'état de santé ou les risques de santé d'une personne.
Le nouveau régime prévu combine protection élevée des données de santé et responsabilisation des acteurs. Conformément à l'esprit du règlement, la nouvelle logique de responsabilisation conduit à supprimer la plupart des traitements préalables, y compris pour les données de santé. Cet objectif fait un principe de la déclaration de conformité aux référentiels, aux méthodologies de référence et au respect des règlements types, et une exception de l'autorisation par la CNIL.
En tout état de cause, le projet de loi maintient le délai de deux mois dans lequel la commission est amenée à se prononcer. Surtout, il en modifie la portée puisque l'absence de décision est réputée favorable.
En ma qualité de rapporteure pour avis sur cet article, j'estime que ce renversement de perspective est important pour que notre pays conserve le leadership en matière d'exploitation de données de santé, surtout dans un écosystème numérique qui nécessite une réactivité très importante, notamment face aux GAFA. La qualité du recueil des données autant que leur nombre constituent un réservoir important d'informations susceptible de mieux ajuster notre politique de santé publique.