Le sujet devrait être clos, après la prise de position de la CNIL (Entrepôt de données santé IQVIA : la CNIL rappelle les conditions et le cadre légal ayant permis son autorisation en 2018). Pourtant, le 3 octobre 2024, une sénatrice a relancé le débat, avec une question n° 00381 sur la vente des données médicales des Français.
La date est intéressante. Le lendemain, la CJUE concluait qu’il n’y avait aucun obstacle à la « communication à titre onéreux de données à caractère personnel » (n° C-621/22), confirmant ainsi la jurisprudence française (CA Orléans, 11 mars 2021).
Ah oui, mais là ce sont des données de santé!
Exact. Mais le RGPD ne distingue pas entre donnée lambda et donnée dite « sensible » à ce sujet. Dès lors que cédant et cessionnaire justifient d’un motif autorisant le traitement de ces données, telle que la recherche scientifique, la cession est donc libre.
Et la marge d’interprétation dont dispose la France?
L’article 9§4 du RGPD autorise les Etats membres à maintenir ou fixer des conditions complémentaires, y compris des limitations, au traitement de données de santé, notamment. Aucune prohibition générale en France. Normal. Une telle mesure contreviendrait-elle directement au texte. Eh oui, prohiber la cession de données de santé, ce ne serait pas limiter le traitement, mais l’interdire.
Quid de l’article L1111-8 CSP?
Effectivement, le dernier alinéa de ce texte peut s’analyser comme l’exercice d’une marge de manoeuvre. Toutefois, le texte est limité aux données identifiantes, directement ou indirectement. Pas d’interdiction générale et absolue.
Un texte inapplicable, au regard des adverbes utilisés
Mais l’argument est intenable, pour plusieurs raisons:
1️⃣ La notion de donnée indirectement identifiante, expression retenue en lieu et place de l’adjectif « nominative »(Amendement n° 143 du 22 juillet 2004), exclurait même la cession de données pseudonymisées.
2️⃣ L’objectif poursuivi par le législateur était d’assurer le caractère non marchand du dossier médical (Les télécommunications à haut débit au service du système de santé, Tome 1, OPECST ; Avis n° 425 (2003-2004) déposé le 21 juillet 2004)
3️⃣ La cession de données est parfois expressément prévue : tel est le cas, par exemple, pour les cessions d’éléments du corps humain, en matière de recherche (Arrêté du 21 décembre 2018)
4️⃣ La CNIL valide la cession de données pseudonymisées – gratuite, sans contrepartie – à un EDS commercial (Délibération n° 2018-369)
Mais quel rempart alors?
Le RGPD! En conditionnant le traitement de données sensibles par la justification d’une exception, dans une liste déterminée, le législateur européen à mis en place un garde fou, sous contrôle des APD et juridictions, suffisants pour éviter toute dérive.
Mais avec la Stratégie interministérielle pour construire notre patrimoine national des données de santé et le futur règlement EEDS n’approchons-nous pas d’un changement de paradigme ?