« La CNIL a choi­si de contrô­ler la ma­nière dont les as­su­reurs traitent les don­nées de san­té »

L'Opinion - - Santé - In­ter­view Mi­reille Wein­berg

THO­MAS DAUTIEU est di­rec­teur ad­joint à la confor­mi­té à la CNIL.

Les don­nées de san­té sont pro­té­gées par toute une sé­rie de textes. Quelle est leur lo­gique ?

Ces don­nées sont dites « sen­sibles » et à ce titre par­ti­cu­liè­re­ment pro­té­gées par la loi In­for­ma­tique et Li­ber­tés, par le Code de la san­té pu­blique et par une ré­gle­men­ta­tion eu­ro­péenne à ve­nir. Ceux qui col­lectent des don­nées de san­té ne peuvent les uti­li­ser que ce pour quoi ils y ont été au­to­ri­sés : c’est le prin­cipe de fi­na­li­té. Un as­su­reur qui ré­cu­père ces don­nées pour fixer la ta­ri­fi­ca­tion d’un contrat de prêt im­mo­bi­lier, par exemple, ne peut les uti­li­ser que pour cet usage. Les don­nées ne peuvent pas être ven­dues, ni uti­li­sées à une autre fin, si­non c’est un dé­tour­ne­ment de fi­na­li­té pou­vant être sanc­tion­né y com­pris pé­na­le­ment.

Les as­su­reurs com­plé­men­taires uti­lisent de plus en plus ces don­nées de san­té. Sont-ils tous sou­mis aux mêmes règles ?

Qu’il s’agisse d’as­su­reurs pri­vés ou d’en­ti­tés à but non lu­cra­tif, comme des mu­tuelles ou des ins­ti­tu­tions de pré­voyance, ils sont tous sou­mis aux mêmes obli­ga­tions en ma­tière de pro­tec­tion des don­nées de san­té. La CNIL a éta­bli, en concer­ta­tion avec eux, un « pack de confor­mi­té », ac­ces­sible en ligne et qui s’ap­plique de la même ma­nière à tous les types d’as­su­reurs.

Que peuvent-ils faire des don­nées qu’ils ré­cu­pèrent à la sous­crip­tion du contrat ?

Les don­nées qui sont né­ces­saires à la sous­crip­tion du contrat, à l’éta­blis­se­ment des fac­tures ou au paie­ment des pres­ta­tions d’as­su­rance ne doivent être uti­li­sées que pour gé­rer le contrat et rien d’autre, confor­mé­ment au prin­cipe de fi­na­li­té unique évo­qué plus haut.

Qu’en est-il des don­nées re­cueillies dans le cadre de pro­grammes de pré­ven­tion mis en place par cer­tains as­su­reurs ?

Elles peuvent être re­cueillies via des ob­jets connec­tés ou des ap­pli­ca­tions. Pour que l’as­su­reur ou la mu­tuelle puisse les uti­li­ser, les per­sonnes concer­nées doivent avoir don­né leur consen­te­ment. Il faut qu’elles ac­ceptent for­mel­le­ment de par­ta­ger ces don­nées, mais aus­si qu’elles sachent exac­te­ment ce que l’as­su­reur va en faire et pour com­bien de temps.

Quelles sont les obli­ga­tions des or­ga­nismes d’as­su­rance en ma­tière de sé­cu­ri­sa­tion de ces don­nées ?

Il n’y a pas d’au­to­ri­sa­tion de la CNIL à ob­te­nir, si les per­sonnes as­su­rées ont préa­la­ble­ment don­né leur consen­te­ment à la col­lecte de leurs don­nées. Le ni­veau de sé­cu­ri­té in­for­ma­tique doit être ex­trê­me­ment fort, y com­pris lorsque les don­nées sont hé­ber­gées par un pres­ta­taire. L’as­su­reur doit éga­le­ment sa­tis­faire à toutes les obli­ga­tions lé­gales clas­siques concer­nant la du­rée de con­ser­va­tion et le droit d’op­po­si­tion des per­sonnes qui sou­haitent sor­tir des pro­grammes et ne plus com­mu­ni­quer leurs don­nées.

Y a-t-il des contrôles ?

La CNIL dis­pose de pou­voirs de contrôle, en par­ti­cu­lier sur place. Son pro­gramme an­nuel est pu­blic et, en 2017, le choix a no­tam­ment été fait de contrô­ler la ma­nière dont les as­su­reurs traitent les don­nées de san­té.

La nou­velle ré­gle­men­ta­tion eu­ro­péenne sur la pro­tec­tion des don­nées va en­trer en vi­gueur le 25 mai 2018. Que va-t-elle chan­ger ?

Il n’y au­ra au­cun chan­ge­ment ma­jeur sur le fond. Les obli­ga­tions et contraintes ac­tuel­le­ment at­ta­chées aux don­nées per­son­nelles de san­té res­te­ront les mêmes. Les or­ga­ni­sa­tions sont ce­pen­dant da­van­tage res­pon­sa­bi­li­sées car, plu­tôt que de dé­po­ser des for­ma­li­tés au­près de la CNIL, il leur in­com­be­ra de do­cu­men­ter en in­terne leur propre confor­mi­té. Dans ce même es­prit de « res­pon­sa­bi­li­sa­tion », la lé­gis­la­tion eu­ro­péenne ren­dra obli­ga­toire une étude d’im­pact sur la vie pri­vée pour chaque pro­gramme pro­po­sé par les as­su­reurs ou mu­tuelles. Tous les fi­chiers de don­nées uti­li­sées vont de­voir faire l’ob­jet de cette étude. Un as­su­reur ou une mu­tuelle qui crée un pro­gramme de pré­ven­tion en san­té va de­voir se po­ser une sé­rie de ques­tions : de quel type de don­nées ai-je be­soin, pour com­bien de temps, quid si les ob­jets connec­tés sont pi­ra­tés, si le pres- ta­taire in­for­ma­tique fait faillite, si l’hé­ber­geur des don­nées fait faillite ou est ven­du, etc. Tous les risques sont ain­si iden­ti­fiés et pas­sés au crible et les or­ga­nismes d’as­su­rance vont de­voir être ca­pables d’ex­pli­quer, pour cha­cun des risques, ce qu’ils vont mettre en oeuvre pour pro­té­ger la vie pri­vée de leurs clients.

Un fi­chier na­tio­nal a été mis en place cette an­née, le sys­tème na­tio­nal des don­nées de san­té (SNDS). Les or­ga­nismes d’as­su­rance peuvent-ils y avoir ac­cès ?

Ce fi­chier re­groupe toute une sé­rie de don­nées de san­té, col­lec­tées par l’As­su­rance-ma­la­die obli­ga­toire, les hô­pi­taux, les mé­de­cins, etc. La lo­gique du dis­po­si­tif est d’ou­vrir toutes ces don­nées à des fins de re­cherche, en par­ti­cu­lier mé­di­cale. Cer­tains ser­vices pu­blics y ont un ac­cès per­ma­nent, d’autres, no­tam­ment les or­ga­nismes pri­vés, doivent res­pec­ter une cer­taine pro­cé­dure vi­sant à ga­ran­tir la lé­gi­ti­mi­té de leur de­mande.

Quelle est la pro­cé­dure pour les or­ga­nismes pri­vés ?

Ils doivent jus­ti­fier d’un in­té­rêt pu­blic, ob­te­nir un avis fa­vo­rable d’un co­mi­té d’ex­perts in­dé­pen­dants et l’au­to­ri­sa­tion de la CNIL. Cette pro­cé­dure per­met de s’as­su­rer que n’im­porte qui n’ac­cède pas pour n’im­porte quoi aux don­nées du SNDS.

Quid du rôle de la CNIL dans ce pro­ces­sus ?

Nous vé­ri­fions en par­ti­cu­lier que ce­lui qui de­mande à avoir ac­cès au fi­chier peut sé­cu­ri­ser les don­nées aux­quelles il au­ra ac­cès et que ces don­nées sont per­ti­nentes pour l’ob­jet de la re­cherche. Si­non, l’ac­cès au fi­chier est re­fu­sé.

Y a-t-il des garde-fous par­ti­cu­liers pour les as­su­reurs ?

Il y a deux fi­na­li­tés in­ter­dites, qui concernent les la­bo­ra­toires phar­ma­ceu­tiques et le monde de l’as­su­rance. Les la­bo­ra­toires ne peuvent pas uti­li­ser le SNDS pour pro­mou­voir des pro­duits de san­té en di­rec­tion des pro­fes­sion­nels ou des éta­blis­se­ments de san­té. Les as­su­reurs, de leur cô­té, ne peuvent pas avoir ac­cès au SNDS pour mo­di­fier leurs co­ti­sa­tions ou primes d’as­su­rance. D’ailleurs, pour en être sûr, les as­su­reurs et les la­bo­ra­toires ne peuvent pas ac­cé­der di­rec­te­ment au fi­chier na­tio­nal SNDS mais doivent pas­ser par un tiers de confiance, bu­reau d’études ou la­bo­ra­toire de re­cherche, qui lui-même s’en­gage sur un ré­fé­ren­tiel qui ga­ran­tit son in­dé­pen­dance. Les or­ga­nismes d’as­su­rance et les la­bo­ra­toires phar­ma­ceu­tiques n’au­ront donc pas ac­cès aux don­nées : le bu­reau d’études ou le la­bo­ra­toire va leur li­vrer les ré­sul­tats de l’étude com­man­dée avec des don­nées uni­que­ment ano­nymes et agré­gées.

De­puis quand les or­ga­nismes d’as­su­rance ont-ils ac­cès au SNDS ?

Ils peuvent dé­po­ser leurs de­mandes de­puis le 28 août.

« Les or­ga­nismes d’as­su­rance vont de­voir être ca­pables d’ex­pli­quer, pour cha­cun des risques, ce qu’ils vont mettre en oeuvre pour pro­té­ger la vie pri­vée de leurs clients »

DR

Newspapers in French

Newspapers from France

© PressReader. All rights reserved.