Le Conseil d’Etat a rendu le 26 mai 2014 une décision qui restera certainement dans les annales tant du droit de la santé que du droit de la protection des données personnelles.
Pour la 1ère fois, une délibération de la CNIL avait été déférée à la Haute Juridiction Administrative afin d’obtenir son annulation. Outre quelques précisions sur la procédure d’adoption des délibérations de la Commission, on retiendra de cet arrêt un refus d’appliquer le « principe de cohérence » à l’autorité française de protection des données. Les juges ont en effet considéré que la requérante ne pouvait « utilement opposer à la CNIL l’interprétation que celle-ci aurait faite par le passé des dispositions législatives et réglementaires dont elle a pour mission d’assurer l’application » (§7). La solution était logique. Le contraire eut figé la doctrine de la CNIL, de sorte qu’une loi aurait systématiquement dû être adoptée pour la faire évoluer.
Mais la délibération est tout aussi intéressante en ce qui concerne le fond de l’affaire.
Le 8 septembre 2011, la CNIL autorisait la société Celtipharm à mettre en œuvre un traitement de données issues des feuilles de soins anonymisées à bref délai. Les connaisseurs reconnaitront ici une des exceptions au principe d’interdiction des données sensibles (catégorie dans laquelle rentrent les données de santé, est-il besoin de le rappeler ?). La finalité du traitement était de réaliser des études statistiques relative à la consommation de produits de santé.
Comment était assurée l’anonymisation des données de santé relative aux consommateurs et les données à caractère personnel relatives aux professionnels de santé ?
Toutes ces données sont transmises par les pharmaciens à l’Assurance Maladie via des Organismes Concentrateurs Techniques (OCT). Ces organismes s’analysent juridiquement comme des sous-traitants des pharmaciens. Ils ne peuvent donc agir que sur instructions du pharmacien responsable de traitement. En l’occurrence, il leur était demandé d’anonymiser les données Patients par un processus de « hachage » irréversible et de chiffrer (pour les puristes, c’est le gros point noir de la décision qui utilise l’anglicisme « cryptage »…) les données identifiant les professionnels de santé. A réception des données, Celtipharm déchiffre les données « Professionnels de santé » à l’aide de la clé de déchiffrement (sic !) du GIE SESAM VITALE, avant de les anonymiser au moyen d’un algorithme de hachage irréversible. Quant aux données Patients, elles font l’objet d’une seconde anonymisation.
La technicité de ce processus d’anonymisation a été considérée par la CNIL comme étant suffisamment protectrice du principe de confidentialité des données de santé. Mais la requérante n’a pas partagé cet avis et a saisi le Conseil d’Etat d’un recours pour excès de pouvoir.
La requérante a critiqué la délibération au motif que la CNIL ne pouvait valablement autoriser le traitement sans s’assurer au préalable des conditions dans lesquelles les clés de déchiffrement seraient fournies. Rejet clair et net du Conseil d’Etat qui estime que les conditions d’obtention de ces clés et les éventuelles difficultés rencontrées par la société Celtipharm pour ce faire sont sans incidence sur le respect des dispositions de la loi du 6 janvier 1978. Seul compte le processus d’anonymisation.
La requérante excipe ensuite d’une violation du secret professionnel et de la vie privée des patients. Ici, les juges relèvent le caractère irréversible du processus de double anonymisation des données Patients pour rejeter le moyen, et ce sans même évoquer les dispositions de l’article 34 de la loi Informatique et Libertés.
Continuant sur sa lancée, la requérante considérait que les données de santé étaient détournées de leur finalité – ce qui constitue un délit – et ce à des fins purement commerciales. Mais là encore, le moyen est rejeté. Le traitement ayant pour finalité la réalisation d’études statistiques, la réutilisation des données est licite du fait de l’exception « statistiques – recherche » mentionnée au 2° de l’article 6 de la loi du 6 janvier 1978.
Outre le fait d’être licite, le traitement a été jugé légitime. Améliorer la connaissance relative à la consommation de produits de santé constitue une finalité conforme à la volonté du législateur.
Quant au principe de proportionnalité des données, l’anonymisation préalable des données garantit son respect.
Voilà, on en arrive enfin au passage « croustillant » de l’arrêt : la collecte et le traitement du numéro d’inscription au répertoire des personnes physiques, plus communément désigné sous l’acronyme NIR ou la locution « Numéro de Sécu ».
La requérante, se fondant sur la doctrine de cantonnement du NIR, qui interdit de le réutiliser en dehors de la sphère sociale (ie remboursement des soins, relations avec l’Assurance Maladie et l’Assurance Vieillesse), estimait cette collecte illicite.
Nouvel échec : le Conseil d’Etat rappelle en fait que les données identifiantes, dont le NIR, font l’objet d’une anonymisation par les OCT, tiers de confiance et en droit que la CNIL peut autoriser une entreprise privée à traiter cette donnée, et ce notamment à des fins statistiques et de recherche scientifique.
La boucle était bouclée :
– le traitement a pour finalité la réalisation d’études statistiques : il est licite ;
– la CNIL peut autoriser la collecte du NIR par une entreprise privée à des fins statistiques : la collecte est licite du fait même de l’objet du traitement.
CQFD. Enfin il fallait le faire et pour une première fois, on ne peut que se féliciter de la maitrise de la loi Informatique et Libertés par le Conseil d’Etat.