Politique

Projet de loi Cnil 2: "Une vraie bonne nouvelle pour les industriels de santé"

16/02/2018 0 986

PARIS (TICpharma) - Paula Forteza, députée La République en marche (LREM) de la 2e circonscription des Français établis hors de France et rapporteure à l'Assemblée nationale du projet de loi relatif à la protection des données personnelles, revient pour TICpharma sur les impacts de cette loi pour les industriels de la santé.

TICpharma.com: Les députés ont adopté le 13 février, en première lecture, le projet de loi relatif à la protection des données personnelles intégrant un volet concernant les données de santé (voir dépêche du 14 février 2018). L'objectif est notamment de transposer le règlement européen sur la protection des données (RGPD), qui sera applicable à compter du 25 mai. Concrètement, que va changer cette loi pour les industriels de santé?

Paula Forteza: Cette loi est une vraie bonne nouvelle pour les industriels de santé! Elle va mettre en place de nouvelles mesures relatives aux traitements de données de santé à caractère personnel et précise l'utilisation de ces données par les industriels, qui en ont besoin pour innover. Elle supprime aussi les barrières des demandes préalables d'autorisation. L'enjeu était de trouver un véritable équilibre entre protection des données personnelles de santé et innovation.

La loi va créer un système de déclaration de conformité à des référentiels ou des règlements types édictés par la Commission nationale de l'informatique et des libertés (Cnil) et si la demande d'un industriel entre dans le cadre type qui aura été édicté, alors il pourra lancer ses expérimentations et gagner un temps précieux et rester compétitif. Nous sommes persuadés, avec Cédric Villani (député LREM de l'Essonne, ndlr), que la France peut devenir leader sur ce sujet des données personnelles de santé à l’international et nous devons veiller à ce que nos talents français ne veuillent pas aller développer leurs innovations ailleurs.

Justement, vous avez cosigné avec votre collègue Cédric Villani un amendement précisant que les traitements de données de santé "ne peuvent être mis en œuvre qu’en considération de la finalité d’intérêt public qu’ils présentent", conformément au RGPD. Ne craignez-vous pas que cela décourage les start-up et les entreprises d'e-santé?

P.F.: Avec Cédric Villani, nous pensons qu’il faut développer le plus possible la circulation des données et leur réutilisation tout en les protégeant. Cela doit être fait en toute transparence et nous souhaitons permettre cette réutilisation pour favoriser l’entreprenariat et l’innovation. C'est pour cela que nous avons fait un travail de simplification de l’accès aux données de santé et dans ce cadre, nous avons auditionné des start-up du monde de la santé, l’Institut national des données de santé (INDS), le ministère des solidarités et de la santé et la Cnil. Lors de ces auditions, plusieurs acteurs nous ont signalé que nous ne pouvions pas en rester à la notion d’intérêt public seule sans la préciser.

Pour préciser cette notion, nous avons saisi les marges de manœuvres qui restent aux Etats membres de l'Union européenne (UE) dans le cadre du RGPD pour élargir la "finalité d’intérêt public" au secteur privé et répondre aux craintes des start-up, qui redoutaient que leurs activités ne relèvent pas de cette notion.

Dans le même temps, vous avez choisi de supprimer la possibilité pour l’INDS de s’autosaisir ou d'être saisi par la Cnil sur le caractère d'intérêt public de l'ensemble des traitements de données de santé, pourquoi?

P.F.: Le droit en vigueur dit que l’INDS doit rendre un avis lorsqu’il s’agit d’un projet d’utilisation des données personnelles de santé dans le cadre de la recherche et cela va être maintenu, mais le projet de loi proposait que l’avis de l’INDS soit requis pour tous les projets d’utilisation des données de santé. Or cela alourdirait la procédure et cela serait préjudiciable à certaines start-up.

Par ailleurs, cette obligation de passer par l’INDS pour les projets qui ne touchent pas à la recherche venait rallonger les délais entre la complétude d’un dossier déposé à l’INDS et l’autorisation rendue par la Cnil. Nous avons répondu à une demande formulée par les acteurs.

Et quels seront les nouveaux délais d'attente pour les industriels de santé?

P.F.: Avant ce texte, les délais pouvaient aller jusqu’à un an pour qu’un industriel obtienne une autorisation d'utilisation de données personnelles de santé. Désormais, la réponse devra être délivrée dans un délai de deux mois qui peut être renouvelé une fois et porté à 4 mois, et s’il n’y a pas de réponse de la Cnil dans ces délais, cela vaut accord. Nous avons choisi de laisser à la Cnil le choix de saisir l’INDS si elle a un doute sur une demande. La Cnil développe depuis plusieurs années une expertise sur les données de santé, donc cela faisait aussi doublon. Passer par l’INDS pour les projets qui sont en dehors de la recherche ne nous paraît vraiment pas indispensable.

Après la transposition en droit français du RGPD et de la directive NIS (Network and Information Systems, qui entre en application le 9 mai), ne craignez-vous pas que ce nouveau projet de loi ne fasse fuir les industriels? Et quelle pédagogie allez-vous mettre en place pour les informer?

P.F.: Ce texte a fait peur aux entreprises, surtout les TPE-PME, qui ne sentaient pas prêtes, mais il permet justement d’assouplir les règles et de faciliter l’entreprenariat car il n’y a plus toutes ces démarches préalables qui sont assez lourdes pour une entreprise et qui peuvent freiner les nouveaux projets. Avec cette loi, les entreprises sont responsabilisées et la Cnil vient en soutien. Elle va prendre en considération les particularités des TPE-PME et édicter des référentiels, des codes de bonne conduite et des guides pour les accompagner. Cela fait partie de ses nouvelles missions.

En revanche, s’il y a contrôle de la Cnil, les entreprises devront prouver qu’elles font le maximum pour protéger les données personnelles de santé et comme la Cnil a un pouvoir de sanction, cela permet de contrebalancer intelligemment cette responsabilisation des acteurs.

Quid des établissements de santé? A quels changements doivent-ils se préparer?

P.F.: Ce projet de loi va concerner les établissements de santé sur le volet "consentement", c’est-à-dire qu’ils devront obtenir le consentement des patients avant de partager leurs données et pour cela, ils leur feront signer une décharge préalable. Par ailleurs, à l’Assemblée nationale, nous avons aussi beaucoup débattu de la question du secret médical dans les établissements de santé et il a été décidé que la Cnil pourra effectuer des contrôles, et là encore mettre en place un guide de bonnes pratiques afin de s'assurer qu'il soit protégé.

Vous l'aurez compris, la Cnil voit ses missions élargies et forcément la question des ressources s’est régulièrement posée. Nous nous assurerons lors des discussions du projet de loi de financement de la sécurité sociale (PLFSS) pour 2019 qu'elle dispose de ressources suffisantes pour mener à bien sa tâche.

Le projet de loi sera examiné par le Sénat en séance publique à compter du 20 mars.

Wassinia Zirar
Wassinia.Zirar@apmnews.com

Article précédent

Article suivant

À suivre

Nokia réfléchit à l'avenir de sa division santé numérique

https://www.eventbrite.fr/e/billets-hdi-day-2020-120031939763

Acteurs

Gafam: un été placé sous le signe de l'e-santé et de la lutte contre le Covid-19

PARIS (TICpharma) - Les étés se suivent et se ressemblent presque pour les Gafam (Google, Apple, Facebook, Amazon et Microsoft), qui poursuivent leur offensive en e-santé tout participant à la lutte engagée contre le Covid-19.

28/08/2020

0 1265

Acteurs

Dispositifs médicaux connectés: la Cnam plaide pour un nouveau cadre de droit commun

PARIS (TICpharma) - La Caisse nationale de l'assurance maladie (Cnam) recommande d'utiliser les expérimentations "article 51" dans "un objectif cible de nouveau champ de droit commun pour les dispositifs médicaux connectés" (DMC), dans son rapport "charges et produits" pour 2021 publié le 26 juin.

02/07/2020

0 965

Vos réactions

L'édito hebdo

Turbulences en vue pour l'hébergement des données?

Le Conseil d'Etat a maintenu le 13 octobre l'hébergement du Health Data Hub (HDH) par Microsoft "dans l’attente d’une solution qui permettra d’éliminer [le] risque d’accès aux données personnelles par les autorités américaines", et a demandé au Hub d'apporter rapidement de nouvelles garanties. Une validation a minima qui renvoie le fond du problème au politique, alors que la Cnil a nettement pris position contre l'hébergement du Hub par Microsoft, ainsi que l'ont révélé plusieurs médias dont APMnews/TICpharma. Le régulateur s'est inquiété de la possibilité de "transferts de données opérés par Microsoft à la demande des services de renseignement des Etats-Unis" et recommande de "confier l'hébergement de ces données à des sociétés non soumises au droit états-unien". Le changement d'hébergeur "devrait intervenir dans un délai aussi bref que possible", que ce soit pour une société n'ayant pas d'activités aux Etats-Unis ou ayant mis en place une filialisation de ses activités outre-Atlantique ou un accord de licence. Cette préconisation de la Cnil ne concerne pas seulement le HDH, mais plus largement les "autres entrepôts de données de santé hébergés par les sociétés soumises au droit états-unien". Autrement dit, la Cnil incite fortement tous les acteurs du secteur, qu'ils soient entreprises pharmaceutiques, CRO ou établissements de santé, à éviter les hébergeurs ayant un pied aux Etats-Unis. Cette position n'a pas de valeur normative, et le Conseil d'Etat s'est bien gardé de lui en donner une. Mais le collectif Santénathon, à l'origine du référé, a déjà annoncé son intention saisir la juridiction sur le fond. Le Conseil d'Etat pourrait donc être amené à prendre une décision impactant directement tous les acteurs de la santé ayant recours à ces hébergeurs, ce qui ne serait pas sans conséquence, étant donnée la très forte présence d'Amazon Web Services (AWS) et de Microsoft, pour ne citer qu'eux, dans le secteur.

Léo Caravagna

Les offres APMjob.com