Après avoir entendu M. Alexandre LINDEN, commissaire, en son rapport, et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La CNIL a été saisie par la ministre des affaires sociales et de la santé d'une demande d'avis concernant un projet de décret en Conseil d'Etat (ci-après le « projet ») visant à modifier le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (ci-après la « loi Informatique et Libertés »). La modification de ce décret est nécessaire afin de permettre l'application des dispositions de l'article 193 de la loi n° 2016-41 de modernisation de notre système de santé du 26 janvier 2016 (ci-après la « loi de modernisation de notre système de santé »), qui introduisent la notion d'alerte sanitaire à l'article 22-V de la loi n° 78-17 du 6 janvier 1978 modifiée et opèrent une fusion des chapitres IX et X de cette même loi.
Sur l'alerte sanitaire :
L'article 22-V de la loi Informatique et Libertés modifié par la loi de modernisation de notre système de santé prévoit la faculté, pour les organismes ou les services chargés d'une mission de service public figurant sur une liste fixée par arrêté des ministres chargés de la santé et de la sécurité sociale, pris après avis de la commission, de mettre en œuvre des traitements de données de santé à caractère personnel, afin de répondre, en cas de situation d'urgence, à une alerte sanitaire, au sens de l'article L. 1413-1 du code de la santé publique. Ces traitements sont soumis au régime de la déclaration préalable. Par ailleurs, l'article 22-V de la loi Informatique et Libertés prévoit que les conditions dans lesquelles ces traitements peuvent utiliser le numéro d'inscription au répertoire national d'identification des personnes physiques (ci-après le « NIR ») sont définies par décret en Conseil d'Etat, pris après avis de la commission.
L'article ler du projet prévoit l'ajout d'un article 12-1 au décret d'application de la loi Informatique et Libertés. Il détaille les conditions dans lesquelles il pourra être fait usage du NIR en cas d'urgence sanitaire. A cette fin, il précise que le NIR ne pourra être traité que s'il constitue « le seul moyen de collecter des données de santé à caractère personnel nécessaires pour faire face à l'urgence sanitaire ».
L'article 12-1 du projet prévoit en outre que le NIR peut être collecté directement auprès des personnes concernées, indirectement auprès de leur famille ou de toutes personnes morales habilitées à traiter le NIR dans le cadre de leurs missions ou activités, qu'il est conservé pour la durée nécessaire à l'appariement de données et que sa transmission et sa conservation font l'objet d'un chiffrement conforme aux recommandations ou référentiels de la commission.
Sur la réorganisation du chapitre IV du titre Il du décret n° 2005-1309 du 20 octobre 2005 :
Les dispositions de l'article 2 du projet visent principalement à modifier les modalités de présentation et d'instruction des demandes d'autorisation de traitements, à détailler la composition et le fonctionnement du comité d'expertise pour les recherches, les études et les évaluations dans le domaine de la santé (ci-après, le « CEREES »), ainsi qu'à préciser les modalités d'information et d'exercice des droits des personnes concernées.
A cet égard, la commission rappelle qu'elle est favorable à la simplification des procédures et qu'elle a ainsi homologué récemment des méthodologies de référence en matière de recherche dans le domaine de la santé.
Sur la présentation et l'instruction des demandes d'autorisation de traitements (section 1 du chapitre IV) :
L'article 20 tel qu'il résulte du projet prévoit que les demandes d'autorisation sont déposées auprès du secrétariat unique (ci-après le « secrétariat ») confié à l'Institut national de données de santé (ci-après « l'INDS »), comme prévu par l'article L. 1462-1 (2°) du code de la santé publique. Ce secrétariat transmettra la demande dans un délai de sept jours ouvrés au comité compétent pour rendre un avis sur le projet :
- le comité de protection des personnes mentionné à l'article L. 1123-6 du code de la santé publique, pour les demandes d'autorisation relatives aux recherches impliquant la personne humaine mentionnées à l'article L. 1121-1 du même code (ci-après le « CPP ») ;
- le CEREES, pour les demandes d'autorisation relatives à des études ou à des évaluations ainsi qu'à des recherches n'impliquant pas la personne humaine, au sens de l'article 54 (1°, II) de la loi Informatique et Libertés.
La commission en prend acte.
L'article 21 tel qu'il résulte du projet détaille la composition du dossier déposé auprès du secrétariat.
La commission relève que ce dossier comprendra notamment l'ensemble des éléments qui lui sont actuellement adressés en application de l'article 34 du décret ainsi que de nouveaux éléments. A cet égard, le projet d'article 21 (1°, a) ajoute aux informations transmises les déclarations publiques d'intérêts du responsable de traitement, ainsi que l'identité et l'adresse du commanditaire de la recherche, de l'étude ou de l'évaluation et de la personne qui en fait la demande.
Sur ce point, si la commission déduit des termes « personne publique qui en fait la demande » qu'il s'agira de mentionner si la recherche, l'étude ou l'évaluation est réalisée à la demande d'une personne publique, telle qu'une agence sanitaire ou un ministère, elle s'interroge sur le sens du terme « commanditaire de la recherche ». Elle suggère que ce terme soit explicité.
Par ailleurs, le projet d'article 21 (1°, b) prévoit, comme l'article 28 (1°) du décret actuellement en vigueur, l'obligation pour le responsable de traitement de préciser les catégories de personnes appelées à mettre en œuvre le traitement ainsi que celles ayant accès aux données. Il ajoute l'obligation de préciser leur nombre.
La commission s'interroge sur la nécessité d'une telle exigence et sur la difficulté de sa mise en œuvre, le nombre de personnes concernées n'étant pas nécessairement connu à ce stade.
Le projet d'article 21-2° complète les mentions devant figurer dans la méthodologie de l'étude ou de l'évaluation ou le protocole de la recherche par l'objectif du traitement, la justification du nombre de sujets et la liste des données à caractère personnel utilisées.
La commission propose d'ajouter les termes « de données à caractère personnel » à la suite du terme « traitement », afin d'éviter une confusion avec un traitement médical.
Le projet d'article 21 (3°) prévoit l'obligation pour le responsable de traitement d'indiquer dans le dossier déposé le type de diffusion ou de publication des résultats du traitement envisagé.
La commission appelle l'attention du ministère sur le fait que les résultats publiés ne sont pas ceux du traitement de données à caractère personnel, mais ceux de la recherche, étude ou évaluation nécessitant le traitement. Elle demande donc que le projet de décret soit modifié sur ce point.
Le projet d'article 21 (4°) complète la formulation de l'article 34 (3°) du décret actuellement en vigueur en précisant que le document d'information prévu par l'article L. 1122-1 du code de la santé publique et les documents de recueil du consentement exprès des personnes concernées, nécessités en application des dispositions de l'article 56 de la loi Informatique et Libertés, devront également figurer au dossier.
Dans la mesure où le recueil du consentement exprès peut également être une condition légale de réalisation de certaines recherches interventionnelles, de réalisation d'analyses génétiques ou de constitution de collections d'échantillons biologiques humains, la commission propose, afin de disposer des éléments nécessaires à l'appréciation des modalités d'information et d'exercice des droits des personnes concernées, de compléter la mention de l'article 56 de la loi Informatique et Libertés par celle des dispositions du code de la santé publique prévoyant l'obligation de recueillir un consentement écrit ou exprès.
Le projet d'article 21 (5°) prévoit que la durée de conservation des données fait partie des caractéristiques du traitement devant être détaillées dans le dossier de demande.
Le projet d'article 21 (6°) ne prévoit plus la possibilité pour le responsable de traitement de justifier scientifiquement et techniquement une demande de dérogation à l'obligation de codage des données permettant l'identification des personnes intéressées, et lui substitue la possibilité de solliciter une dérogation à l'interdiction de conserver les données sous une forme nominative au-delà de la durée nécessaire à la recherche.
Le projet d'article 21 (7°) prévoit notamment que figurent au dossier les avis rendus par le comité d'évaluation des registres.
La commission attire l'attention du ministère sur le fait que le fonctionnement de ce comité n'est détaillé par aucun texte législatif ou réglementaire. Elle relève que le formulaire de demande d'évaluation disponible sur le site internet de cet organisme prévoit notamment le recueil de l'année de création du registre ainsi que la date et le numéro d'autorisation délivrée par la commission pour la constitution du registre.
A cet égard et dans la mesure où un avis du comité d'évaluation du registre ne semble pouvoir être rendu que concernant un registre existant, la commission suggère qu'il n'en soit pas fait mention dans les pièces devant figurer dans le dossier constitutif de la demande d'autorisation.
Le projet d'article 21 (11°) prévoit que la liste des traitements répondant aux caractéristiques prévues au IV de l'article 54 de la loi Informatique et Libertés, c'est-à-dire les traitements réalisés dans le cadre des méthodologies de référence homologuées par la commission, devra être fournie avec le dossier.
La commission propose que cette liste de traitements de données à caractère personnel lui soit transmise annuellement par les responsables de traitement concernés.
Le projet d'article 21 confie au secrétariat la mission de vérifier la complétude du dossier produit à l'appui de la demande et de réceptionner les éléments modificatifs du dossier.
L'article 22 tel qu'il résulte du projet prévoit que ravis du CEREES est notifié au secrétariat par tout moyen permettant de dater la réception et que le demandeur est informé de cette notification. Il précise que cet avis est réputé favorable passé un délai de trente jours à compter de la réception du dossier complet.
La commission suggère qu'il soit précisé que le demandeur est destinataire de l'avis du CEREES.
Le projet d'article 23 prévoit la faculté, pour le CEREES de rendre des avis favorables, le cas échéant de façon tacite, et des avis avec recommandations, réservés ou défavorables. Il prévoit en outre que le demandeur informe le secrétariat de sa volonté de saisir ou non la commission.
Le demandeur dispose également de la faculté de retirer, rectifier ou compléter son dossier.
La commission propose que le projet précise que le dossier devra être à nouveau soumis au comité compétent s'il fait l'objet de rectifications ou de compléments de la part du demandeur.
L'article 23 tel qu'il résulte du projet prévoit par ailleurs que lorsque l'avis du CEREES ou du CPP est favorable ou lorsque le demandeur sollicite la transmission de son dossier à la commission, le secrétariat transmet sans délai le dossier à la commission, accompagné des avis rendus, ou de l'avis de réception ou du récépissé de la demande d'avis lorsque le comité compétent a rendu un avis tacitement favorable. La commission statuera ensuite dans les conditions prévues par l'article 54-III de la loi Informatique et Libertés.
Enfin, le projet d'article 23 prévoit que le secrétariat unique informe les comités des suites données à leurs avis, et tient à la disposition du demandeur les informations relatives à l'état d'avancement de l'instruction de son dossier jusqu'à l'avis rendu par la commission.
L'article 24 prévoit la faculté pour la commission et le ministère de la santé de saisir l'INDS, afin qu'il se prononce sur le caractère d'intérêt public que présente une recherche, une étude ou une évaluation justifiant une demande d'autorisation de traitement de données en application du chapitre IX de la loi Informatique et Libertés. L'INDS dispose également de la faculté de s'autosaisir pour les mêmes raisons dans un délai d'une semaine à compter de l'avis du CEREES, concernant les recherches, études ou évaluations n'impliquant pas la personne humaine et lorsque la réalisation de ces dernières n'aura pas été demandée par une agence sanitaire ou un ministère. Dans tous les cas, le demandeur en sera informé sans délai par le secrétariat et sera destinataire de l'avis de l'INDS. La saisine de l'institut suspend le délai d'instruction de la demande d'autorisation qui lui aura été transmise. L'avis de l'Institut devra être rendu dans le délai d'un mois.
Le projet d'article 24 mentionne par ailleurs que l'INDS peut se prononcer sans débat sur des traitements similaires à ceux qu'il a déjà examinés et définit ces traitements comme ceux répondant à une même finalité, portant sur des catégories de données identiques et ayant des catégories de destinataires identiques.
La commission en prend acte.
Sur la composition et le fonctionnement du CEREES (section 2 du chapitre IV) :
Le projet d'article 25 fixe la composition du CEREES, qui comprendra vingt et un membres, soit six de plus que l'actuel CCTIRS. Il ajoute aux domaines d'expertise des membres du comité les sciences humaines et sociales et le traitement des données à caractère personnel.
Les candidats sont nommés par arrêté conjoint du ministre chargé de la recherche et du ministre chargé de la santé, après appel à candidatures public et sur proposition d'un comité de sélection. La composition du comité de sélection sera fixée par arrêté de ces ministres.
Parmi les candidats, au moins trois personnes seront choisies par la Caisse nationale d'assurance maladie des travailleurs salariés (CNAMTS), l'Agence nationale de santé publique (ANSP) et l'Institut national de la santé et de la recherche médicale (INSERM) pour leur connaissance des données de santé, et proposées au comité de sélection.
La commission s'interroge sur l'interprétation à donner à l'article 25 tel qu'il résulte du projet, spécialement sur la faculté qu'aurait chacun des trois organismes de choisir plusieurs candidats.
Le projet d'article 26 prévoit que le CEREES sera saisi pour avis de toute demande de mise en œuvre des traitements de données à caractère personnel ayant pour finalités la recherche, l'étude ou l'évaluation dans le domaine de la santé et n'impliquant pas la personne humaine, conformément au 2° du II de l'article 54 de la loi Informatique et Libertés. La commission relève par ailleurs que le projet d'article 26 ajoute l'INDS aux organismes disposant de la faculté de consulter le CEREES.
Enfin la commission relève que le projet d'article 26 prévoit la publication par l'INDS des avis du CEREES.
Le projet d'article 27 prévoit, notamment, les règles relatives aux réunions du CEREES qui se tiendront au moins douze fois par an, le président ayant la possibilité de fixer des réunions supplémentaires. Le projet d'article 27 prévoit également que chaque dossier sera évalué par deux membres du CEREES, sauf exception motivée par le président, qui assure la distribution des dossiers entre les membres du comité en fonction de leurs compétences.
La commission propose que ces précisions, qui ne figurent pas dans la version en vigueur du décret, soient intégrées dans le règlement intérieur du comité dont l'adoption est prévue par ces mêmes dispositions.
Par ailleurs la commission prend acte de ce que le projet d'article 27 prévoit que le comité peut se prononcer sans débat sur des traitements similaires à ceux déjà examinés, ce qui devrait permettre d'accélérer les procédures d'instruction.
Enfin la commission prend acte de ce que les experts extérieurs sont choisis par le président du comité sur proposition de ses membres.
A cet égard, elle recommande que le décret prévoie des règles propres à garantir la transparence des liens d'intérêts des experts et à prévenir les conflits d'intérêts.
Le projet d'article 28 prévoit notamment que les conditions d'indemnisation des membres du comité et des experts extérieurs sont fixées par arrêté conjoint des ministres chargés du budget, de la santé et de la recherche.
L'article 29 prévoit, de même que la version en vigueur du décret, une durée de conservation des dossiers, rapports, délibération et avis de dix ans minimum, avant leur versement aux Archives nationales.
Dans la mesure où ces dossiers sont susceptibles de contenir des données à caractère personnel, la commission demande que la durée proposée soit une durée maximale, conformément aux dispositions de l'article 6 (5°) de la loi Informatique et Libertés.
L'article 30 prévoit que le CEREES établit un rapport annuel. Ce dernier sera adressé au ministre chargé de la recherche, au ministre chargé de la santé, des affaires sociales et de la sécurité sociale ainsi qu'au président de la CNIL.
L'article 32 prévoit la faculté pour le ministre chargé de la recherche, ou le ministre chargé de la santé, des affaires sociales et de la sécurité sociale de demander au CEREES de rendre un avis dans un délai de quinze jours en cas d'urgence.
Sur la composition et le fonctionnement des CPP :
L'article 33 du décret renvoie aux articles R. 1123-1 et suivants du code de la santé publique concernant la composition et le fonctionnement des comités de protection des personnes prévus par les articles L. 1123-1 et suivants du même code.
Sur les procédures simplifiées :
Le projet d'article 34 du décret détaille les modalités d'homologation des méthodologies de référence.
La commission relève qu'il n'est plus tait mention de la nécessité de fixer par voie d'arrêté la liste des organismes publics et privés représentatifs pouvant participer aux concertations relatives à ces textes, comme le prévoit l'article 27 du décret actuellement applicable. La commission, qui précise que cet arrêté prévu par le décret actuellement applicable n'a pas été publié, en prend acte.
Le projet d'article 34-1 du décret prévoit que l'INDS peut adresser à la commission des propositions de recommandations rendues publiques relatives aux traitements visés au chapitre IX de la loi Informatique et Libertés.
La commission considère qu'une procédure de concertation avec l'INDS et les organismes publics et privés représentatifs serait préférable, ce qui nécessiterait alors une modification du texte.
En outre, la commission relève que le projet de décret tend à définir le champ d'application des recommandations pouvant être adoptées par elle, en précisant que « ces recommandations peuvent s'appliquer à des catégories d'opérations pouvant constituer des étapes indépendantes de traitements automatisés », et que les dossiers de demande peuvent se référer à ces recommandations.
Afin de garantir la lisibilité du dispositif, et plus spécifiquement la distinction entre les propositions de recommandations de l'INDS et les recommandations de la commission, elle demande que le projet soit modifié. Elle demande également que la notion d'« étapes indépendantes de traitements automatisés » soit précisée.
Le projet d'article 34-2 prévoit que « lorsque le responsable d'un traitement ou d'une catégorie de traitements similaires de données à caractère personnel a pris un engagement de conformité à l'une des méthodologies de référence homologuées conformément à l'article 34, seul cet engagement est envoyé à la commission qui en accuse réception. Dès lors, le responsable du traitement ou des traitements déclarés conformes peut le ou les mettre en œuvre. Le responsable des traitements tient à jour la liste des traitements entrant dans le cadre d'un engagement de conformité ».
Le projet d'article 34-2 prévoit en outre que « pour les traitements qui ne sont pas enregistrés dans le répertoire public mentionné à l'article L. 1121-15 du code de la santé publique, les traitements sont enregistrés dans un répertoire public mis à disposition par le secrétariat unique ».
L'article 34-3 du décret décrit les modalités d'homologation par la commission des conditions de mise à disposition des jeux de données agrégées ou échantillons mentionnés à l'article 54-V de la loi Informatique et Libertés. Il prévoit pour ce faire que les demandes d'homologation sont transmises à la commission accompagnées d'un avis du CEREES. La décision de la commission devra être rendue dans un délai de trois mois, assortie de ses motivations en cas de refus.
La commission demande que le décret prévoie la possibilité de proroger ce délai.
L'article 34-4 prévoit pour les responsables de traitement l'obligation de tenir à jour la liste et les caractéristiques du traitement mis en œuvre et autorisé en application de l'article 54-VI de la loi Informatique et Libertés.
La commission relève par ailleurs que les dispositions de l'article 32 et du deuxième alinéa de l'article 35 du décret actuellement en vigueur ne figurent plus dans le projet de décret qui lui a été soumis pour avis.
Sur les modalités d'information des personnes intéressées :
L'article 35 détaille les modalités d'information des personnes concernées. A cet égard, l'alinéa 3, relatif à l'utilisation des données initialement recueillies pour un autre objet que le traitement envisagé, exclut les cas prévus aux II et III de l'article 57 de la loi Informatique et Libertés de ceux dans lesquels les personnes concernées sont informées par écrit par le professionnel de santé en contact direct avec elles et effectivement chargé de leur prise en charge thérapeutique.
Dans la mesure où le premier alinéa de l'article 35 indique que ses dispositions ne s'appliquent pas lorsqu'une dérogation à l'obligation d'informer est accordée, la commission propose de supprimer, dans le projet d'article 35 (3°), la mention du II de l'article 57 de la loi précitée, relatif aux dérogations à l'obligation d'information pouvant être accordées par la commission.
L'article 36 détaille les conditions d'information des personnes concernées s'agissant des traitements réalisés dans le cadre de l'article 57-III de la loi Informatique et Libertés et de l'article L. 1461-3 du code de la santé publique, à savoir les recherches, les études ou les évaluations recourant à des données de santé à caractère personnel non directement identifiantes recueillies à titre obligatoire et destinées aux services ou aux établissements de l'Etat ou des collectivités territoriales ou aux organismes de sécurité sociale et contenues dans le Système national des données de santé (ci-après le « SNDS »).
L'information des personnes concernées consistera en une mention figurant sur le site intemet des établissements de santé, des établissements médico-sociaux et des organismes d'assurance maladie obligatoire et sur d'autres supports, notamment des affiches dans les locaux ouverts au public ou des documents qui seront remis aux personnes intéressées. L'article 36 précise aussi que cette information est effectuée sous la responsabilité des directeurs des établissements de santé, des directeurs des établissements médico-sociaux et des directeurs des organismes d'assurance maladie obligatoire, précision qui ne paraît pas utile puisque que l'information des personnes concernées est une obligation légale du responsable de traitement, réalisée sous la responsabilité de son ou ses représentants.
La commission suggère que cette information soit également relayée par les organismes d'assurance maladie complémentaire, dans la mesure où l'article L. 1461-1 (5°) du code de la santé publique prévoit que le SNDS contient « un échantillon représentatif des données de remboursement par bénéficiaire » transmis par ces organismes.
L'article 38, relatif au droit d'opposition des personnes concernées prévoit notamment que ce droit ne peut s'exercer dans le cas prévu par l'article R. 1461-6 du code de la santé publique.
La commission indique que l'article visé ne figure pas à ce jour dans le code de la santé publique, mais dans un projet de décret dont elle a été saisie pour avis concomitamment au projet de décret modificatif du décret N° 2005-1309. A cet égard, il convient de préciser que le projet d'article R. 1461-6 du code de la santé publique porte sur la sécurité des données, et n'est donc pas relatif aux droits des personnes.
Il semble que les dispositions visées soient celles de l'article R. 1461-7-Il qui prévoient notamment que le droit d'opposition des personnes concernées s'exerce sauf dans les cas prévus par l'article L. 1461-3 (1, 2°) du code de la santé publique, à savoir dans le cas des traitements prévoyant un accès aux données du SNDS et nécessaires à l'accomplissement des missions des services de l'Etat, des établissements publics ou des organismes chargés d'une mission de service public compétents.
La commission suggère, afin d'améliorer la lisibilité du projet, que celui-ci opère un renvoi vers les dispositions législatives du code de la santé publique.
L'article 3 du projet de décret abroge le chapitre V du titre II du décret du 20 octobre 2005.
Sur l'entrée en vigueur et les dispositions transitoires :
L'article 5 relatif à l'entrée en vigueur du décret prévoit que les demandes d'autorisation de traitements relevant du chapitre IX ou du chapitre X de la loi n° 78-17 du 6 janvier 1978 susvisée transmises à la Commission nationale de l'informatique et des libertés, antérieurement à l'entrée en vigueur des articles 2 et 3 du présent décret, sont examinées selon la procédure fixée par les dispositions de ces mêmes chapitres, dans leur rédaction antérieure à la loi n° 2016-41 du 26 janvier 2016, en vigueur au moment de la transmission de la demande.
Par ailleurs, l'article 6 du projet de décret prévoit que les dispositions des articles 2 et 3 du décret entrent en vigueur à la date à laquelle l'INDS et le CEREES auront tous deux été créés.
Les autres dispositions du projet de décret n'appellent pas d'observation.