Intervention de Albane Gaillot
Séance en hémicycle du mardi 6 février 2018 à 15h00
Protection des données personnelles — Présentation
Albane Gaillot, rapporteure pour avis de la commission des affaires sociales :Monsieur le président, madame la garde des sceaux, monsieur le secrétaire d'État, madame la présidente de la commission des lois, mesdames les rapporteures, chers collègues, 50 milliards, c'est le nombre d'objets connectés qu'il y aura en 2020. Le paquet européen – soit le règlement et la directive – et ce projet de loi s'inscrivent dans ce cadre toujours plus numérique, où l'enjeu de la protection des données est crucial. La commission des affaires sociales s'est saisie pour avis des articles 7, 9 et 13 du projet de loi et a émis un avis favorable. Je ne reviendrai pas sur la présentation de ces articles et m'attacherai à répondre à certaines des interventions qui ont eu lieu lors des débats en commission. En effet, sur certains bancs, une inquiétude s'est exprimée au sujet des données collectées par l'entremise des objets connectés.
S'il s'agit de dispositifs médicaux, la question du régime de protection des données ne se pose pas, puisqu'il s'agit de données de santé – je pense en particulier à la télémédecine. En revanche, la question peut se poser s'agissant des données transmises par certains objets connectés, comme ceux que nous avons tous dans notre poche, qui ne sont pas des dispositifs médicaux. Ces informations ne renseignent pas directement sur l'état de santé d'une personne, mais il est toujours possible d'en déduire des indications relatives à sa santé. Le règlement général sur la protection des données – le RGPD – , en proposant une définition assez large des données de santé, répond aux attentes exprimées, en étendant leur périmètre. Il m'apparaît donc que le nouveau cadre juridique élève le degré de protection des citoyens en la matière. Ainsi, des données brutes d'apparence anodine peuvent être considérées comme des données de santé, comme je l'ai écrit dans mon rapport.
Ce cadre étant posé, je voudrais conforter ma réponse par deux éléments importants. Je rappelle tout d'abord que la transmission des données personnelles via les objets connectés repose sur le principe du consentement. La protection des données personnelles commence avec lui. Lors de mes interventions, tant en commission des affaires sociales qu'en commission des lois, j'ai insisté sur cet immense défi. La collecte des données personnelles suppose donc une plus grande sensibilisation de nos concitoyens à cet enjeu, mais également des responsables de traitement, eu égard au fait que le consentement doit être éclairé et explicite. C'est le premier message que je souhaite faire passer aujourd'hui.
Je rappelle également que des obligations pèsent sur les responsables de traitement. Les données doivent être collectées pour des finalités déterminées, explicites et légitimes. Elles ne doivent pas être traitées ultérieurement de manière incompatible avec ces finalités. Peu d'acteurs sont aujourd'hui conscients de ces enjeux.
L'ambition du projet de loi, comme du RGPD, est d'accroître cette responsabilité en la combinant avec des mesures d'accompagnement du régulateur et, éventuellement, des sanctions. Nombre de personnes auditionnées ont fait part du caractère anxiogène qui accompagne l'application de ces textes. J'associe cette crainte à la prise de conscience qui s'opère aujourd'hui chez les responsables de traitement. Ce projet de loi, comme d'ailleurs le RGPD, est donc l'occasion d'une mise en conformité avec des règles dont je me dois de souligner qu'elles existent depuis plus de quarante ans dans le droit français.
Enfin, il m'apparaît important de souligner que le projet que nous examinons n'abaisse pas le degré de protection des données de santé. Il maintient, au contraire, le régime existant qui les fait ressortir à la catégorie des données sensibles et au principe de l'interdiction de traitement. S'il existe des dérogations, celles-ci trouvent à s'appliquer dans l'esprit du droit européen qui opère le basculement du régime d'autorisation vers un contrôle a posteriori par la CNIL.
L'équilibre dégagé par la loi de modernisation de notre système de santé n'est pas remis en question par le RGPD, ni par le projet de loi. Le cadre juridique opère une conciliation entre les exigences de la vie privée et l'intérêt général. L'ouverture de l'accès aux données de santé reste inchangée et doit permettre de favoriser la recherche, l'innovation, l'amélioration de la prise en charge des patients, ainsi que la définition de nos politiques de santé publique.
Parallèlement, le traitement des données de santé ne doit pas avoir pour effet de permettre l'identification et la réidentification des personnes. La CNIL joue un rôle central dans la protection des données personnelles depuis 1978. Le nouveau cadre suppose de sa part l'établissement de règles stables et partagées. Je me félicite qu'elle ait déjà anticipé ces évolutions. Ces heureuses initiatives devraient, à mon sens, pouvoir être confortées par une réflexion portant sur les moyens adaptés à l'accomplissement de cette nouvelle mission.
Ce projet de loi est une réponse en totale adéquation avec le contexte dans lequel nous nous trouvons : celui d'un perpétuel changement et d'un développement exponentiel des données de santé. Il nous faut être au rendez-vous des objectifs fixés par le RGPD. Le législateur y prend sa part en examinant ce texte.
