Intervention de Jeanne Bossi-Malafosse

Je souhaite, dans le temps relativement bref qui m'est imparti, aborder quatre points qui me semblent essentiels et constituent des sujets juridiques au sens large.

Le premier est celui du statut de la donnée pseudonymisée. M. Gissot a rappelé précédemment que, dans le système national des données de santé, les données concernées étaient pseudonymisées. Qualifiées auparavant de « données indirectement nominatives », elles ne permettent pas, loin s'en faut, l'identification directe de la personne. Or aujourd'hui, ces données pseudonymisées sont juridiquement considérées comme des données à caractère personnel, donc soumises aux règles d'application du règlement général sur la protection des données et de la loi Informatique et libertés modifiée. Il me semble qu'il serait utile de réfléchir davantage à ce statut particulier de la donnée pseudonymisée, dans la mesure où les appréciations restent à ce propos encore divergentes, en particulier lorsqu'il s'agit d'accéder à ces données : comment définit-on le bon niveau d'agrégation de ces données quand elles sont transmises à quelqu'un qui en respecte les conditions ? L'obligation posée d'autre part par le règlement européen de mener une analyse d'impact, c'est-à-dire de constater et d'assumer le risque résiduel d'identification, ne devrait-elle pas être davantage étudiée, pour ne pas se trouver avec des niveaux d'agrégation destructeurs de la valeur des recherches susceptibles d'être menées ? Ce point me paraît devoir être interrogé.

Concernant l'information et le consentement, fort bien présentés par David Gruson, rappelons que le consentement n'est pas, à l'heure actuelle, juridiquement exigé dans tous les cas, loin s'en faut. N'instaurons pas, par conséquent, un consentement général alors que les textes ne l'exigent pas aujourd'hui dans tous les cas. En matière d'information, puisque nous devons appliquer le règlement général d'avril 2016, rappelons que celui-ci prévoit deux situations lorsque l'on entend réutiliser des données : soit la personne a été informée au départ que ses données pouvaient être réutilisées, soit on se dispense de cette nouvelle information. Bien que la CNIL ait mené un important travail de simplification, on constate aujourd'hui dans certains de ses textes, dont une méthodologie qu'elle a fort utilement adoptée l'été dernier sur les recherches impliquant la personne humaine et concernant la réutilisation de données ou d'échantillons biologiques, que, dès lors que l'on veut déroger à l'obligation individuelle d'information, on est obligé de déposer à nouveau une demande d'autorisation auprès de la CNIL, ce qui ne facilite pas l'accès à ces données. Peut-être faudrait-il revoir ce point afin d'alléger les formalités, sous réserve évidemment que toutes les garanties appropriées soient prises.

Le troisième sujet concerne l'incitation au partage des données et les référentiels de sécurité et d'interopérabilité. Nous avons constaté dans notre pays, depuis plusieurs années, que le secteur de la santé n'était pas propice au partage et à l'échange des données. Généralement, les structures détentrices de données entendent les garder et ne les partagent pas si elles n'y sont pas obligées. À partir du moment où l'on souhaite inclure dans le SNDS l'ensemble des données cliniques pour pouvoir enfin mener des études en vie réelle, il va falloir des incitations fortes pour que les professionnels de santé partagent leurs données.

Ceci a également un rapport avec la gouvernance du Health data hub, dont il a été question en début de matinée et sur lequel nous reviendrons certainement plus longuement lors de la seconde table ronde. Il est notamment important de bien réfléchir au statut juridique de cette plateforme et de savoir par exemple si le statut de GIP est le mieux adapté.

Je voudrais particulièrement insister sur les référentiels de sécurité et d'interopérabilité. Il n'y aura pas de SNDS avec les données en vie réelle, ni d'Espace numérique de santé tel que prévu par le projet de loi, si l'on ne rend pas opposables des référentiels de sécurité et d'interopérabilité clairs et lisibles par les acteurs. De tels référentiels figuraient dans la loi HPST de 2009 et avaient été confirmés dans la loi de 2016. Pour autant, on ne dispose toujours pas des arrêtés d'opposabilité. Je puis vous affirmer, pour étudier des cas concrets, que cette situation sert assurément certains acteurs. En effet, si certains respectent ces référentiels, avec des systèmes d'identification et d'authentification forts, d'autres s'en dispensent dans la mesure où les arrêtés d'opposabilité n'ont pas été publiés. Or cet élément est pourtant très important, surtout à l'heure où le règlement européen pose un droit à la portabilité des données, permettant à chacun d'exiger que l'on transfère ses données à un autre responsable de traitement ou que celles-ci lui soient restituées. Ce sujet de l'opposabilité des référentiels de sécurité et d'interopérabilité est absolument fondamental.

Le quatrième sujet que je souhaite aborder est celui des algorithmes. Il faut savoir que figure dans la loi Informatique et libertés, en particulier dans l'alinéa 2 de son article premier, la reconnaissance pour la personne de la possibilité de rester toujours maîtresse de ses données. Ceci rejoint l'autodétermination informationnelle mise en avant par les Allemands. Cette loi comporte également, dans son article 10, l'interdiction de prendre toute décision à l'égard d'une personne sans qu'elle en soit informée, disposition qu'il convient aujourd'hui d'apprécier au regard de celle du RGPD sur le profilage, qui rappelle la nécessité d'une intervention humaine. Ces éléments sont essentiels dans les projets menés aujourd'hui. Peut-être pourrait-on les inclure dans les référentiels éthiques visés par le projet de loi. Il faudra en outre veiller, dans le projet de loi de transformation de notre système de santé et dans le cadre de la révision de la loi relative à la bioéthique, à ce qu'il n'y ait pas une multiplication des référentiels, notamment dans ce domaine qui est une zone grise et un peu molle, bien que tout à fait passionnante. Quelle sera l'autorité en charge de définir ces référentiels ? Quelle sera la légitimité de cette instance ?