TICpharma.com: Les députés ont adopté le 13 février, en première lecture, le projet de loi relatif à la protection des données personnelles intégrant un volet concernant les données de santé (voir dépêche du 14 février 2018). L'objectif est notamment de transposer le règlement européen sur la protection des données (RGPD), qui sera applicable à compter du 25 mai. Concrètement, que va changer cette loi pour les industriels de santé?

Paula Forteza: Cette loi est une vraie bonne nouvelle pour les industriels de santé! Elle va mettre en place de nouvelles mesures relatives aux traitements de données de santé à caractère personnel et précise l'utilisation de ces données par les industriels, qui en ont besoin pour innover. Elle supprime aussi les barrières des demandes préalables d'autorisation. L'enjeu était de trouver un véritable équilibre entre protection des données personnelles de santé et innovation.

La loi va créer un système de déclaration de conformité à des référentiels ou des règlements types édictés par la Commission nationale de l'informatique et des libertés (Cnil) et si la demande d'un industriel entre dans le cadre type qui aura été édicté, alors il pourra lancer ses expérimentations et gagner un temps précieux et rester compétitif. Nous sommes persuadés, avec Cédric Villani (député LREM de l'Essonne, ndlr), que la France peut devenir leader sur ce sujet des données personnelles de santé à l’international et nous devons veiller à ce que nos talents français ne veuillent pas aller développer leurs innovations ailleurs.

Justement, vous avez cosigné avec votre collègue Cédric Villani un amendement précisant que les traitements de données de santé "ne peuvent être mis en œuvre qu’en considération de la finalité d’intérêt public qu’ils présentent", conformément au RGPD. Ne craignez-vous pas que cela décourage les start-up et les entreprises d'e-santé?

P.F.: Avec Cédric Villani, nous pensons qu’il faut développer le plus possible la circulation des données et leur réutilisation tout en les protégeant. Cela doit être fait en toute transparence et nous souhaitons permettre cette réutilisation pour favoriser l’entreprenariat et l’innovation. C'est pour cela que nous avons fait un travail de simplification de l’accès aux données de santé et dans ce cadre, nous avons auditionné des start-up du monde de la santé, l’Institut national des données de santé (INDS), le ministère des solidarités et de la santé et la Cnil. Lors de ces auditions, plusieurs acteurs nous ont signalé que nous ne pouvions pas en rester à la notion d’intérêt public seule sans la préciser.

Pour préciser cette notion, nous avons saisi les marges de manœuvres qui restent aux Etats membres de l'Union européenne (UE) dans le cadre du RGPD pour élargir la "finalité d’intérêt public" au secteur privé et répondre aux craintes des start-up, qui redoutaient que leurs activités ne relèvent pas de cette notion.

Dans le même temps, vous avez choisi de supprimer la possibilité pour l’INDS de s’autosaisir ou d'être saisi par la Cnil sur le caractère d'intérêt public de l'ensemble des traitements de données de santé, pourquoi?

P.F.: Le droit en vigueur dit que l’INDS doit rendre un avis lorsqu’il s’agit d’un projet d’utilisation des données personnelles de santé dans le cadre de la recherche et cela va être maintenu, mais le projet de loi proposait que l’avis de l’INDS soit requis pour tous les projets d’utilisation des données de santé. Or cela alourdirait la procédure et cela serait préjudiciable à certaines start-up.

Par ailleurs, cette obligation de passer par l’INDS pour les projets qui ne touchent pas à la recherche venait rallonger les délais entre la complétude d’un dossier déposé à l’INDS et l’autorisation rendue par la Cnil. Nous avons répondu à une demande formulée par les acteurs.

Et quels seront les nouveaux délais d'attente pour les industriels de santé?

P.F.: Avant ce texte, les délais pouvaient aller jusqu’à un an pour qu’un industriel obtienne une autorisation d'utilisation de données personnelles de santé. Désormais, la réponse devra être délivrée dans un délai de deux mois qui peut être renouvelé une fois et porté à 4 mois, et s’il n’y a pas de réponse de la Cnil dans ces délais, cela vaut accord. Nous avons choisi de laisser à la Cnil le choix de saisir l’INDS si elle a un doute sur une demande. La Cnil développe depuis plusieurs années une expertise sur les données de santé, donc cela faisait aussi doublon. Passer par l’INDS pour les projets qui sont en dehors de la recherche ne nous paraît vraiment pas indispensable.

Après la transposition en droit français du RGPD et de la directive NIS (Network and Information Systems, qui entre en application le 9 mai), ne craignez-vous pas que ce nouveau projet de loi ne fasse fuir les industriels? Et quelle pédagogie allez-vous mettre en place pour les informer?

P.F.: Ce texte a fait peur aux entreprises, surtout les TPE-PME, qui ne sentaient pas prêtes, mais il permet justement d’assouplir les règles et de faciliter l’entreprenariat car il n’y a plus toutes ces démarches préalables qui sont assez lourdes pour une entreprise et qui peuvent freiner les nouveaux projets. Avec cette loi, les entreprises sont responsabilisées et la Cnil vient en soutien. Elle va prendre en considération les particularités des TPE-PME et édicter des référentiels, des codes de bonne conduite et des guides pour les accompagner. Cela fait partie de ses nouvelles missions.

En revanche, s’il y a contrôle de la Cnil, les entreprises devront prouver qu’elles font le maximum pour protéger les données personnelles de santé et comme la Cnil a un pouvoir de sanction, cela permet de contrebalancer intelligemment cette responsabilisation des acteurs.

Quid des établissements de santé? A quels changements doivent-ils se préparer?

P.F.: Ce projet de loi va concerner les établissements de santé sur le volet "consentement", c’est-à-dire qu’ils devront obtenir le consentement des patients avant de partager leurs données et pour cela, ils leur feront signer une décharge préalable. Par ailleurs, à l’Assemblée nationale, nous avons aussi beaucoup débattu de la question du secret médical dans les établissements de santé et il a été décidé que la Cnil pourra effectuer des contrôles, et là encore mettre en place un guide de bonnes pratiques afin de s'assurer qu'il soit protégé.

Vous l'aurez compris, la Cnil voit ses missions élargies et forcément la question des ressources s’est régulièrement posée. Nous nous assurerons lors des discussions du projet de loi de financement de la sécurité sociale (PLFSS) pour 2019 qu'elle dispose de ressources suffisantes pour mener à bien sa tâche.

Le projet de loi sera examiné par le Sénat en séance publique à compter du 20 mars.