La réutilisation de données à caractère personnel relatives à la santé par les opérateurs économiques – et principalement par les fabricants de produits de santé et les organismes complémentaires d’assurance maladie (OCAM) – effraie.
Cette crainte paraît pourtant peu rationnelle lorsque l’on prend en considération le cadre juridique applicable à ces acteurs.
L’article 1er de la loi Informatique et Libertés énonce ainsi que « l’informatique doit être au service de chaque citoyen » et qu’elle « ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ». L’article 6 exige quant à lui que les données soient collectées pour des finalités « légitimes » et qu’elles soient « adéquates, pertinentes et non excessives au regard des finalités » poursuivies par l’opérateur.
En clair, ça donne quoi ? En clair, l’opérateur économique utilisant des données de santé ne saurait le faire à des fins attentatoires à la vie privée et aux droits de la personne concernée, sauf à démontrer que l’atteinte est proportionnée et justifiée. En 2010, le Conseil d’Etat considérait ainsi de façon générale « que la légitimité des finalités d’un traitement informatisé doit s’apprécier, notamment, au regard des principes posés par l’article 1er de la même loi ». En clair, un organisme complémentaire d’assurance maladie ne saurait vraisemblablement pas légitimement pouvoir collecter des données de santé pour fliquer ses assurés.
Certes, l’existence d’un cadre juridique ne suffit pas à écarter la tentation de l’enfreindre.
Mais n’est-ce pas justement pour limiter cette tentation qu’a été créée l’autorité judiciaire – et que la CNIL peut agir en tant que juridiction, au sens de l’article 6 de la Convention Européenne des Droits de l’Homme (CEDH) – et que les lois sont très fréquemment assorties de dispositions répressives – lesquelles augmenteront d’ailleurs sérieusement avec l’entrée du Règlement Général relatif à la Protection des Données (RGPD) ?
Un récent arrêt de la Première Chambre Civile de la Cour de Cassation, rendu notamment sur le fondement des dispositions du Code Civil relatives à la vie privée, vient illustrer le rôle du juge dans l’appréciation du rapport entre l’intérêt de l’assureur et les droits de l’assuré (Civ. 1ère, 22 Septembre 2016, n° 15-24015).
En l’occurrence, l’assureur avait mandaté un « détective privé » pour vérifier le degré de mobilité et d’autonomie de la victime d’un accident de la circulation causé par son assuré. Interrogée quant à savoir si ce procédé constituait une atteinte proportionnée à la vie privée de la victime, la Cour de Cassation a répondu par l’affirmative. Elle a ainsi considéré :
- « que les opérations de surveillance et de filature menées par les enquêteurs mandatés par l’assureur étaient, par elles-mêmes, de nature à porter atteinte à la vie privée » non seulement de la victime, mais également de sa mère, chez laquelle il vivait ;
- et que cette atteinte était disproportionnée, « cette immixtion dans leur vie privée [excédant] les nécessités de l’enquête privée»
Le contrôle exercé ici par le juge judiciaire n’a aucune raison d’être différent dans des cas relatifs à des traitements de données ou de ne pas être partagé par le Conseil d’Etat – qui est seul compétent pour statuer sur les contestations relatives aux décisions adoptées par la Commission Nationale de l’Informatique et des Libertés (CNIL).
Dès lors, les chances de voir un opérateur économique tel qu’un fabricant de produits de santé ou un organisme complémentaire d’assurance maladie mettre légitimement en œuvre – c’est-à-dire en conformité avec la loi – un traitement de données de santé portant une atteinte disproportionnée aux droits des malades et assurés paraissent quasiment nulles.
Cela n’exclut pas une mise en œuvre d’un tel traitement sans contrôle préalable des autorités. Certes.
Mais est-ce que le risque d’une amende administrative d’un montant maximal de 10 000 000 d’euros ou de 2% du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu, ne contribue pas très fortement à réduire ce risque de mise en œuvre d’un traitement de données clandestin ?