SNDMA. Le Système National des Données Médico-Administratives.
La base de données titanesque, pensée par la Commission Opendata Santé, serait créée par le projet de loi Santé Publique pour permettre l’accès en opendata aux données de santé. Mais ce serait une mégabase qui en fait ne devrait rien changer pour l’accès aux données agrégées, une demande CADA suffisant toujours à y accéder, tout en alourdissant en revanche les conditions d’accès aux données. Il faudrait en effet naviguer entre comité technique et comité d’expert avant d’arriver au 8 rue Vivienne, le siège de la CNIL. En terme de simplification, on a connu mieux.
Mais le SNDMA, c’est aussi la base de données titanesque dont on peut douter de la constitutionnalité et de l’eurocompatibilité, et ce avant même que le projet de loi soit déposé au Parlement.
Vous êtes sceptique ? Un petit examen des jurisprudences de la Cour de Justice de l’Union Européenne (CJUE) et du Conseil Constitutionnel s’impose, alors.
Ce devrait être assez facile, puisque l’une et l’autre éprouvent la même répulsion vis-à-vis de ce qu’ils nomment les « traitements de masse », les mégabases de données à caractère personnel recensant la quasi-totalité de la population.
Le Conseil constitutionnel a ainsi eu l’occasion de le préciser dans une décision du 22 mars 2012 au terme de laquelle il censurait l’article 5 de la loi n° 2012-410 du 27 mars 2012 relative à la protection de l’identité. Il s’agissait alors de rassembler l’ensemble des données biométriques requises pour la délivrance d’un passeport ou d’une carte d’identité et de les rassembler dans une unique base accessible à d’autres fins que la vérification d’identité. Et la plus haute instance française garante des libertés fondamentales avait alors considéré qu’un traitement portant sur des données sensibles, concernant la quasi-totalité de la population et n’étant pas voué à satisfaire une finalité unique et déterminée était contraire au droit à la vie privée (Art. 2 de la Déclaration des droits de l’homme et du citoyen de 1789), car disproportionné par rapport aux objectifs poursuivis par le législateur (CC, 22 mars 2012, n° 2012-652-DC).
Plus récemment, la CJUE a annulé la directive 2006/24 relative à la rétention de données (CJUE, 8 avril 2014, Digital Rights Ireland Ltd & Kärntner Landesregierung, n° C-293/12 et C-594/12). Pour mémoire, cette « loi » communautaire imposait aux Etats membres de conserver les « données de connexion », c’est-à-dire l’ensemble des données relatives aux télécommunications passées par le biais d’opérateurs européens. Les auteurs du texte avaient pris soin de préciser que les conversations et échanges de toute autre nature ne seraient pas enregistrés, mais cela n’a pas suffi à garantir la compatibilité de la directive avec les articles 7 et 8 de la Charte des droits fondamentaux de l’Union Européenne :
« Article 7 – Respect de la vie privée et familiale
Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de ses communications.
Article 8 – Protection des données à caractère personnel
1. Toute personne a droit à la protection des données à caractère personnel la concernant.
2. Ces données doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d’un autre fondement légitime prévu par la loi. Toute personne a le droit d’accéder aux données collectées la concernant et d’en obtenir la rectification.
3. Le respect de ces règles est soumis au contrôle d’une autorité indépendante. »
Et ce qui est intéressant ici, c’est de voir que la CJUE a retenu les mêmes motifs que le Conseil Constitutionnel : certes, il existait un objectif d’intérêt général, mais la grave ingérence du législateur communautaire dans les droits au respect de la vie privée et à la protection des données a été jugée disproportionnée.
Les critères d’annulation posés par ces deux décisions semblent donc être les suivants :
– un traitement de données de masse, concernant la quasi-totalité de la population : en l’occurrence, le SNDMA devrait recueillir les données du SNIIRAM (ce qui suffit à concerner l’ensemble de la population, dès lors qu’il s’agit d’un régime d’assurance maladie obligatoire), du PMSI, du Centre d’épidémiologie sur les causes médicales de décès, des traitements de données des organismes médico-sociaux ainsi que des données de remboursement par bénéficiaire transmises par les organismes d’assurance maladie complémentaire. Ici, non seulement on aurait la quasi-totalité de la population, mais surtout on aurait la quasi-totalité des données de santé. Ce critère pourrait donc être considéré comme satisfait ;
– un traitement concernant des données sensibles : la loi n° 78-17 du 6 janvier 1978 et la directive n° 95/46 du 24 octobre 1995 précisent clairement que tel est le cas pour des données de santé. Ce critère serait donc évidemment satisfait ;
– un traitement constitué dans une finalité n’étant pas claire, unique et précise : en l’occurrence, le SNDMA devrait notamment permettre l’information du public sur la santé, les soins et la prise charge médico-sociale, la définition, la mise en œuvre et l’évaluation des politiques de santé et de protection sociale, la connaissance des dépenses de l’assurance maladie et des dépenses médico-sociales, l’information des professionnels, structures et établissements de santé ou médico-sociaux sur leur activité, la surveillance, la veille et la sécurité sanitaires, la recherche, les études et l’innovation dans les domaines de la santé et de la prise en charge médico-sociale. La finalité du SNDMA serait donc particulièrement large, d’autant que la liste ne paraît pas exhaustive. Mais le système pourrait par ailleurs être interrogé pour la réalisation d’études par les autorités publiques, sans que l’on sache précisément de quel type d’études et, pire encore, sans contrôle de la CNIL. Les hypothèses de consultation du SNDMA ne seraient donc pas clairement définies, de sorte que ce critère semblerait également rempli ;
– un traitement pour lequel aucune mesure de sécurité adéquate n’est prévue : en l’occurrence, il semble que rien ne soit prévu (à confirmer, naturellement), mais rappelons qu’actuellement, les données SNIIRAM et PMSI ne sont pas chez un hébergeur de données de santé agréé par le Ministre et qu’aucun texte spécifique ne contraint l’Assurance Maladie, l’ATIH, l’InVS et les autres organismes publics à recourir à un tel prestataire. Ce critère semblerait alors également rempli.
Une comparaison rapide de ce que l’on sait du SNDMA avec la jurisprudence constitutionnelle et communautaire paraît donc faire peser des doutes importants sur la constitutionnalité du système envisagé par la commission Opendata Santé.
Espérons que les débats parlementaires tiendront compte de ce point pour assortir le projet de loi de l’ensemble des mesures nécessaires à garantir la proportionnalité de l’ingérence du SNDMA dans le droit au respect de la vie privée.