Séance du 29 juin 1999
M. le président. « Art. 37. - I. - Après l'article 40-10 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, il est inséré un chapitre V ter ainsi rédigé :
« Chapitre V
ter
« Traitement des données personnelles de santé
à des fins d'évaluation ou d'analyse
des activités de soins et de prévention
«
Art. 40-11.
- Les traitements de données personnelles de santé qui
ont pour fin l'évaluation des pratiques de soins et de prévention sont
autorisés dans les conditions prévues au présent chapitre.
« Les dispositions du présent chapitre ne s'appliquent ni aux traitements de
données personnelles effectuées à des fins de remboursement ou de contrôle par
les organismes chargés de la gestion d'un régime de base d'assurance maladie,
ni aux traitements effectués au sein des établissements de santé par les
médecins responsables de l'information médicale dans les conditions prévues au
deuxième alinéa de l'article L. 710-6 du code de la santé publique.
«
Art. 40-12.
- Les données issues des systèmes d'information visés à
l'article L. 710-6 du code de la santé publique, celles issues des dossiers
médicaux détenus dans le cadre de l'exercice libéral des professions de santé,
ainsi que celles issues des systèmes d'information des caisses d'assurance
maladie, ne peuvent être communiquées à des fins statistiques d'évaluation ou
d'analyse des pratiques et des activités de soins et de prévention, que sous la
forme de statistiques agrégées ou de données par patient constituées de telle
sorte que les personnes concernées ne puissent être identifiées.
« Il ne peut être dérogé aux dispositions de l'alinéa précédent que sur
autorisation de la Commission nationale de l'informatique et des libertés dans
les conditions prévues aux articles 40-13 à 40-15. Dans ce cas, les données
utilisées ne comportent ni le nom, ni le prénom des personnes, ni leur numéro
d'inscription au répertoire national d'identification des personnes
physiques.
«
Art. 40-13.
- Pour chaque demande, la commission vérifie les
garanties présentées par le demandeur pour l'application des présentes
dispositions et, le cas échéant, la conformité de sa demande à ses missions ou
à son objet social. Elle s'assure de la nécessité de recourir à des données
personnelles et de la pertinence du traitement au regard de sa finalité
déclarée d'évaluation ou d'analyse des pratiques ou des activités de soins et
de prévention. Elle vérifie que les données personnelles dont le traitement est
envisagé ne comportent ni le nom, ni le prénom des personnes concernées, ni
leur numéro d'inscription au répertoire national d'identification des personnes
physiques. En outre, si le demandeur n'apporte pas d'éléments suffisants pour
attester la nécessité de disposer de certaines informations parmi l'ensemble
des données personnelles dont le traitement est envisagé, la commission peut
interdire la communication de ces informations par l'organisme qui les détient,
et n'autoriser le traitement que des données ainsi réduites.
« La commission détermine la durée de conservation des données nécessaires au
traitement et apprécie les dispositions prises pour assurer leur sécurité et la
garantie des secrets protégés par la loi.
«
Art. 40-14.
- La commission dispose, à compter de sa saisine par le
demandeur, d'un délai de deux mois, renouvelable une seule fois, pour se
prononcer. A défaut de décision dans ce délai, ce silence vaut décision de
rejet. Les modalités d'instruction par la commission des demandes
d'autorisation sont fixées par décret en Conseil d'Etat.
« Les traitements répondant à une même finalité portant sur des catérogies de
données identiques et ayant des destinataires ou des catégories de
destinataires identiques peuvent faire l'objet d'une décision unique de la
commission.
«
Art. 40-15.
- Les traitements autorisés conformément aux articles
40-13 et 40-14 ne peuvent servir à des fins de recherche ou d'identification
des personnes. Les personnes appelées à mettre en oeuvre ces traitements, ainsi
que celles qui ont accès aux données faisant l'objet de ces traitements ou aux
résultats de ceux-ci lorsqu'ils demeurent indirectement nominatifs, sont
astreintes au secret professionnel sous les peines prévues à l'article 226-13
du code pénal.
« Les résultats de ces traitements ne peuvent faire l'objet d'une
communication, d'une publication ou d'une diffusion que si l'identification des
personnes sur l'état desquelles ces données ont été recueillies est
impossible.
« II. - Le deuxième alinéa de l'article 10 de la loi n° 78-7 du 6 janvier 1978
précitée est complété par les mots : ", ainsi que des articles 40-13 et
40-14".
« III. - La première phrase du dernier alinéa de l'article 8 de la loi n° 93-8
du 4 janvier 1993 relative aux relations entre les professions de santé et
l'assurance maladie est complétée par les mots : "ou, à défaut, à condition
qu'elles ne comportent ni leur nom, ni leur prénom, ni leur numéro
d'inscription au répertoire national d'identification des personnes
physiques".
« IV. - Dans le dernier alinéa du I de l'article L. 710-7 du code de la santé
publique, après les mots : "respectant l'anonymat des patients", sont insérés
les mots : "ou, à défaut, ne comportant ni leur nom, ni leur prénom, ni leur
numéro d'inscription au répertoire national d'identification des personnes
physiques". »
Par amendement n° 62, M. Claude Huriet, au nom de la commission des affaires
sociales, propose de rédiger comme suit cet article :
« Sans préjudice de l'application des dispositions de la loi n° 78-17 du 6
janvier 1978 relative à l'informatique, aux fichiers et aux libertés aux
données de santé non visées par le présent article, les données mentionnées
dans la première phrase du dernier alinéa de l'article 8 de la loi n° 93-8 du 4
janvier 1993 relative aux relations entre les professions de santé et
l'assurance maladie et à l'article L. 710-7 du code de la santé publique sont
communiquées à des tiers dans les conditions prévues par la loi n° 78-753 du 17
juillet 1978 portant diverses mesures d'amélioration des relations entre
l'administration et le public et diverses dispositions d'ordre administratif,
social et fiscal, après avoir subi un traitement garantissant qu'elles ne
permettront pas d'identification, même indirecte, des personnes qu'elles
concernent. »
La parole est à M. Huriet, rapporteur.
M. Claude Huriet,
rapporteur.
Il s'agit là aussi de rétablir la rédaction que le Sénat
avait retenue en première lecture.
L'article 37 est relatif au traitement des données personnelles de santé à des
fins d'évaluation ou d'analyse des activités de soins et de prévention. C'est
sans doute l'un des points sur lesquels je suis très surpris et très déçu de
voir que l'Assemblée nationale n'a pas suivi les propositions du Sénat, alors
que personne ne peut contester que ces dispositions avaient le mérite de la
simplicité.
Elles avaient d'ailleurs recueilli l'aval d'interlocuteurs aussi différents
que la Ligue de défense des droits de l'homme ou des spécialistes du PMSI. Ce
sont des dispositions techniques simples, qui apportaient, semble-t-il, des
réponses, alors même que le débat en première lecture à l'Assemblée nationale
avait été particulièrement difficile et passionnel.
Les dispositions proposées par le Sénat sont donc marquées au coin du bon sens
- ce n'est ni la première ni la dernière fois que je le souligne. Elles
visaient, je vous le rappelle, mes chers collègues, à dissocier, dans des
informations médicales, tout un tronc commun comportant des données dites «
identifiantes ». Les techniciens nous avaient bien expliqué qu'il était
possible de supprimer ces données directement ou indirectement identifiantes,
et qu'une fois que ces données avaient été écartées et rendues non accessibles
il était tout à fait envisageable d'autoriser un accès très large à des
informations qui ne pouvaient plus être personnalisées.
Ces dispositions ne sont donc absolument pas marquées par des considérations
politiques ou idéologiques, et je suis extrêmement surpris de voir que
l'Assemblée nationale, sur ce point comme sur d'autres, n'a pas suivi le Sénat,
comme si elle en faisait une question de principe.
M. le président.
Quel est l'avis du Gouvernement ?
M. Bernard Kouchner,
secrétaire d'Etat.
Défavorable. S'il s'agissait en effet d'une question
de principe, je serais d'accord avec M. le rapporteur.
Mais nous avons acquis la conviction que le texte adopté par l'Asemblée
nationale est le bon. Le compromis qui a été trouvé est une procédure
d'autorisation par une autorité incontestable et indépendante, la CNIL - le
Gouvernement ne peut s'y dérober. Je n'y ai pas cru au début, mais on m'a fait
la démonstration qu'avec un ordinateur, en connaissant simplement la date et le
lieu d'entrée, on pouvait s'immiscer dans l'intimité pathologique des
personnes.
Ce compromis, c'est encore des garanties pour limiter les risques. Jamais, en
effet, les informations fournies ne seront directement nominatives et la CNIL a
le pouvoir de demander que certaines informations soient supprimées des données
transmises. C'est enfin le renvoi aux sanctions de la loi pénale.
Cela ne m'amuse pas du tout d'avoir à consulter la CNIL, car je veux que la
liberté de la presse soit respectée et qu'elle puisse se servir de ces
informations. Voilà pourquoi cela nous apparaît maintenant le meilleur
moyen.
M. le président.
Je vais mettre aux voix l'amendement n° 62.
M. Philippe Marini.
Je demande la parole pour explication de vote.
M. le président.
La parole est à M. Marini.
M. Philippe Marini.
La question est grave. Pour ma part, je ne dispose que de peu d'éléments
techniques pour l'apprécier, mais j'ai lu le rapport de M. Huriet, au nom de la
commission. Je trouve que les propos qu'il tient à ce sujet sont extrêmement
préoccupants : « La commission ne peut accepter, comme le prévoit cet article,
que des données susceptibles d'être identifiantes puissent faire l'objet d'une
communication à des tiers ».
Je voudrais bien comprendre, monsieur le secrétaire d'Etat : le dispositif que
vous envisagez permet-il oui ou non la transmission de ces données
identifiantes à des tiers ? Nous remarquons avec la commission que la
protection des personnes « ne peut être à la charge des destinataires de telles
informations, même si » - comme vous le dites - « toutes les garanties sont
prises
a priori
pour s'assurer que ces données ne seront pas utilisées à
des fins d'identification. »
La commission me semble avoir raison de noter que la CNIL « ne dispose d'aucun
moyen pour vérifier que la durée limite de conservation des données aura été
respectée, ni qu'un travail d'identification n'aura pas été accompli,
volontairement ou non, à l'occasion des traitements statistiques. »
Monsieur le secrétaire d'Etat, les doutes exprimés dans le rapport de la
commission, il faut que vous en fassiez justice ; il faut que vous nous disiez
clairement que nous nous trompons ; il faut que vous nous expliquiez pourquoi,
techniquement. Car le sujet que nous évoquons à cette heure tardive ou
matinale...
Mme Nicole Borvo.
Il est trop tard !
M. François Autain.
Oui, il est tard !
(Sourires.)
M. Philippe Marini.
... est un sujet de liberté publique, mes chers collègues. C'est un sujet qui
est très sensible du point de vue des libertés publiques. On ne peut pas le
traiter sans l'approfondir correctement, car les travaux préparatoires de cette
loi, dont nous sommes responsables les uns et les autres, doivent être clairs
pour bien apprécier les conditions dans lesquelles le législateur prend sa
décision.
M. Alain Vasselle.
Très bien ! Très bonne argumentation !
M. François Autain.
On ne vous suivra pas là-dessus !
M. Claude Huriet,
rapporteur.
Je demande la parole.
M. le président.
La parole est à M. Huriet, le rapporteur.
M. Claude Huriet,
rapporteur.
Je veux également développer l'argumentation très forte et
très brillamment défendue à l'instant par notre collègue Philippe Marini quant
aux dispositions que l'Assemblée nationale a finalement adoptées et qui mettent
en cause les libertés publiques.
M. Bernard Kouchner,
secrétaire d'Etat.
Ah bon ?
M. Claude Huriet,
rapporteur.
Il y a également un autre élément, qui n'est pas de même
portée, j'en conviens, mais qui concerne les attributions confiées à la
CNIL.
Pour chaque demande, la CNIL vérifie les garanties présentées par le demandeur
pour l'application des présentes dispositions et, le cas échéant, la conformité
de sa demande à ses missions et à son objet social.
Monsieur le secrétaire d'Etat, peut-on admettre que la CNIL a dans ses
attributions à la fois ce rôle et les moyens de le jouer pour vérifier de
telles données ? C'est bien un argument qui nous avait amenés à considérer que
les dispositions que nous avons défendues et adoptées, à une très large
majorité d'ailleurs, répondaient beaucoup mieux à des impératifs
contradictoires.
Sur ce point, j'espère donc encore que l'Assemblée nationale fera preuve de
sagesse et d'objectivité.
M. François Autain.
Il ne faut pas trop espérer !
M. le président.
Personne ne demande plus la parole ?...
Je mets aux voix l'amendement n° 62, repoussé par le Gouvernement.
(L'amendement est adopté.)
M. le président.
En conséquence, l'article 37 est ainsi rédigé.
Article 37 bis AA