Merci d'avoir convié la CNIL, autorité administrative indépendante en charge de la protection des données, à cette table ronde.
Nous constatons, depuis une dizaine d'années, un double mouvement, avec, d'une part, l'émergence et la multiplication des données massives, du big data, et, d'autre part, le développement de moyens techniques permettant une exploitation de plus en plus puissante de ces données. Nous sommes ainsi à un moment charnière de bouleversement du traitement des données, y compris dans le domaine de la santé. Toutes ces évolutions offrent évidemment des perspectives formidables en termes de médecine prédictive, de diagnostic, mais posent aussi un certain nombre de questions en matière de protection des données, sur lesquelles je vais centrer mon propos.
Les algorithmes, l'intelligence artificielle, ont besoin de beaucoup de données pour apprendre, fonctionner, s'améliorer. Or le plus souvent, les algorithmes préfèrent pour ce faire disposer de données non anonymes, c'est-à-dire soit directement personnelles, soit pseudonymisées, afin de pouvoir les chaîner entre elles et établir des corrélations et des liens. À partir de là, on entre, face à ces données pseudonymisées ou personnelles, dans un cadre protecteur, prévu, d'une part, par le règlement général européen sur la protection des données, d'autre part, par la loi Informatique et libertés, dans la mesure où le législateur français a fait le choix, en juin dernier, de prévoir des dispositions spécifiques en matière de traitement des données de santé. C'est dans ce cadre protecteur que l'on doit traiter les données de santé, juridiquement qualifiées de « sensibles ». Qu'y a-t-il en effet de plus parlant qu'une donnée de santé par rapport à la vie privée des personnes concernées ?
En matière de SNDS, les prémices de ce cadre exigeant, qui va évoluer avec le projet de loi déposé voici quelques jours, ont été posés par la loi dite « Touraine » de janvier 2016.
La CNIL identifie dans ce contexte un certain nombre de problématiques, dont deux nous paraissent essentielles. La première est l'information des personnes. Le traitement des données de santé ne pourra s'effectuer sereinement que dans un cadre de confiance partagée entre les patients, les professionnels de santé et les industriels. Pour que cette confiance s'installe et que les patients acceptent que leurs données soient traitées, il faut leur délivrer une information quant au devenir et au traitement de ces données, afin qu'ils puissent dans un second temps, le cas échéant, exercer leurs droits : droit d'accès, de rectification, d'opposition, que nous connaissons en France depuis plus de quarante ans, mais aussi désormais droit de portabilité. Cette question de l'information des personnes est, de notre point de vue, tout à fait centrale. Elle renvoie à la notion de transparence portée par le règlement général sur la protection des données. Ceci est d'autant plus important que l'on assiste actuellement à l'émergence d'acteurs privés, dont le modèle économique repose sur la revente de données de santé, alors que ce secteur était jusqu'à présent essentiellement le fait d'opérateurs publics. Certains fournissent des objets connectés, des applications, d'autres des tests génétiques ; mais le business model réel en arrière-plan repose toujours sur la revente des données de santé collectées. Nous n'avons pas à porter d'appréciation sur cette mécanique, mais il nous importe que les personnes à l'origine des données sachent ce qu'il va en advenir.
J'attire votre attention sur le fait qu'information ne signifie pas consentement. L'AP-HP a par exemple souhaité constituer un entrepôt de données pour mener des études ultérieurement. Plus de huit millions de personnes ont ainsi vu leurs données versées dans cet entrepôt. Juridiquement, les textes n'exigent pas un consentement de ces personnes. Ces dernières ont simplement dû être informées, afin de pouvoir, le cas échéant, s'opposer au transfert de leurs données dans cet entrepôt.