On définit une donnée à caractère personnel en tant qu’information concernant une personne physique identifiée ou pouvant l’être, directement ou indirectement – dichotomie entre « nominativité » et « pseudonymisation », par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres (Art 2 Loi informatique et libertés). L’article 4 du General Data Protection Regulator (GDPR) précise le champ d’acception de la donnée personnelle comme « toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».
L’objet du GDPR est officiellement de « redonner aux citoyens le contrôle de leurs données personnelles, tout en simplifiant l’environnement réglementaire des entreprises » (Conseil européen, 11 avril 2016). Les mauvais esprits argueront qu’au vu de la difficulté pour les citoyens de faire respecter leurs droits légaux d’accès à l’information par l’Etat et ses agences, le chemin de la réalité risque d’être pénible, tant il est escarpé. Le texte est proposé en premier lieu en 2012 au Conseil européen, il bénéficie d’un vote positif de la Commission des libertés civiles, de la Justice et des Affaires intérieures en 2015 pour être définitivement adopté en 2016 sous forme d’un règlement et non d’une directive qui entérine son caractère non dérogatoire, non négociable et non décalable. La fête est programmée pour le 25 mai 2018 comme vu plus haut où les entreprises et les administrations devront être conformes. Champomy pour tout le monde !
Les autres et moi
Bad news guys, nous sommes tous concernés. En effet, toute personne, toute organisation, publique ou privée, basée dans l’Union européenne, mais également tous les NON-membres de l’Union s’ils gèrent les données personnelles de résidents européens devront être conformes. Ainsi, les Microsoft, Salesforce, Amazon, Apple, Google, Facebook, IMS et consorts devront respecter le GDPR. Après le lobbying forcené de nos amis américains auprès de la Commission européenne pour éviter toute contrainte, notamment sur le commerce des données personnelles de santé, on, peut considérer que le GDPR est une avancée. Mais le Diable étant dans les détails et la créativité commerciale sans limite, il n’est pas temps de crier victoire. S’agissant des bases de données françaises, on attend avec curiosité voire délectation la réaction des grandes organisations restées « souples » sur les réglementations antérieures comme les assureurs, les banques, La Poste, la SNCF, EDF, l’assurance maladie, les mutuelles, les organismes de recherche (Inserm et ses amis), les caisses de retraite, les associations de patients – hélas -, les pharmaciens, les hôpitaux, mais aussi la Défense nationale – et oui -, le ministère de l’Intérieur – bis – ou le ministère des Affaires sociales et de la Santé. Qu’on se rassure, la Cnil et ses 5,5 experts santé et Dominique Polton à la présidence de l’Institut des données de santé et ses troupes veillent l’arme légale au pied pour faire respecter le droit. C’est peu dire que nous avons besoin de remettre un peu d’ordre. Pour ne prendre qu’un exemple, le très en vogue Doctolib, expert en levée de fonds par millions, serait bien en peine de justifier l’obtention du consentement des rappels de RDV médicaux qu’il gère en agissant pour le compte d’hôpitaux et manipulant, en tant que tiers, les noms des patients, leurs numéros de téléphone et la nature des services où ils sont attendus (cancérologie, gynécologie, etc.).
La raison du plus fort sera-t-elle toujours la meilleure ?
L’intention de la régulation européenne est louable, la route pavée de bonnes intentions et l’objet réaliste, sans doute en réaction au pillage de nos données personnelles par les agents commerciaux de tous bords peu embarrassés par des considérations morales au nom du géant vert. Ce règlement intervient surtout après le constat d’incurie du Safe Harbor, riposte minimaliste au USA Patriot Act (Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act) signé par le « va-t’en-guerre » George. W. Bush en 2001 et prorogé par « le prix Nobel de la Paix » Barack Obama depuis son accession à la fonction suprême.
Plus qu’une réponse au terrorisme et sans doute principalement, le USA Patriot Act permet aux services américains (NSA, CIA et 17 autres agences), sous couvert de sécurité nationale, de s’offrir un outil mondial d’intelligence économique au profit des entreprises américaines. Cette loi s’applique à tout citoyen ou entreprise américain/e résident/e aux Etats-Unis ou non. Elle concerne entre autres « les livres, bases de données informatique, messages, archives, papiers, documents, ou tout autre bien tangible ».
Petit manuel de liberté américaine (Pr. W. Mastor, Université de Limoges, membre de l’OMIJ) :
En vertu de l’article 215 du USA Patriot Act, il est interdit à tout individu ou société recevant une telle ordonnance de la Cour de divulguer l’existence de cette ordonnance sous peine de sanctions. Selon cette logique, il est interdit à un employé citoyen américain, à qui on demande la remise de certains documents, d’en informer son employeur (ou son supérieur immédiat) ou le conseil d’administration de la compagnie. L’individu ou la société qui divulgue des informations au FBI suite à l’émission d’une ordonnance en vertu du USA Patriot Act bénéficie d’une immunité totale et ne peut pas être poursuivi en dommages par un tiers pour avoir, par exemple, communiqué des informations confidentielles et privilégiées le concernant. Inversement, le USA Patriot Act « relativise » les droits constitutionnels de procédure. Ainsi, pour ne citer qu’eux, le droit à l’assistance d’un avocat protégé par le sixième amendement ou la célèbre clause de Due process contenue dans les cinquième et quatorzième amendements (obligation pour l’Etat de respecter tous les droits des citoyens) sont « retoqués ». La section 412 accroît les pouvoirs de l’Attorney General en matière de détention. Sur la seule base d’un « soupçon raisonnable » (Reasonable suspicion) ou en cas de révélation d’une demande d’informations, il peut décider d’incarcérer un individu pendant une semaine puis prolonger sa détention pendant six mois – sans accès à une quelconque protection juridique -. Une lettre de cachet moderne en somme. On dirait du Charles Pasqua dans le texte qui s’y connaissait en raison d’états, indiquant que « la Démocratie s’arrête où commence la raison de l’Etat ».
On ouvre le paquet cadeau
Le GDPR offre un cadre juridique unifié qui met en place des règles communes, valables pour les adhérents de l’Union européenne. Il rend obligatoire et sans dérogation l’obtention écrite du consentement de la personne dont les données sont collectées et utilisées sauf exceptions de « pseudonymisation » conforme aux règles et gérées par un tiers. Tous les produits et services doivent respecter la protection des données par conception (ex ante) ou se mettre en conformité au 25 mai 2018. Tous les acteurs publics et nombre d’acteurs privés ont pour obligation de désigner un officier de protection des données (Data Protection Officer) qui veillera au respect du GDPR en matière de données personnelles. Cela tombe bien, la loi française vient d’abolir la nécessité pour les hébergeurs de se doter d’un médecin de l’hébergeur. En santé, au vu de l’importance de ce dernier, on est amené à se poser des questions sur ce transfert de responsabilité. Enfin, le GDPR institutionnalise le droit à l’oubli des données et des personnes concernées ainsi que la portabilité desdites données. On sent bien que cela va être aisé pour monsieur Dupont de Mitry-Les-Oies de faire plier Google. Hélas, tout le monde n’est pas Maximilian Shrems, 30 ans, qui a mené l’initiative Europe VS Facebook demandant à ce dernier en 2011 copie de toutes les données détenues par cette entreprise. Malgré l’effacement de ses données sur le site, notre jeune autrichien s’aperçoit que celles-ci sont toujours stockées chez Facebook. En 2015, il obtient, Ô Miracle, l’invalidation par la Cour européenne de Justice du Safe Harbor (encadrement des données des internautes en Europe) connu sous le sobriquet « Data Strainer » (passoire à données en français) ; le 2 décembre de cette même année il attaque les CNIL irlandaise, allemande et belge pour qu’elles interdisent le déplacement des données des européens vers les Etats-Unis. Le Privacy Shield découle des efforts méritoires de cet énergumène soucieux de transparence et de démocratie.
Risques ou menaces ?
Le règlement prévoit des sanctions et fourbit son arsenal de pénalités. En cas de manquement à l’une des obligations, l’incriminé recevra une lettre d’avertissement.
Si le bougre persiste et que l’on constate l’absence de protection des données by design (par conception) et par défaut de sécurité des données, ou l’absence de notification de violation des données, ou l’absence de registre de traitement, ou le non-respect des règles de désignation du Data Protection Officer, ledit bougre se verra infliger 2 % du budget ou chiffres d’affaires de son organisation (y compris les structures publiques donc les hôpitaux, ministères, agences, éditeurs, etc.) à concurrence de 10 millions d’euros .
Si l’on constatait le non-respect des principes de la protection des données personnelles, ou une infraction aux règles applicables au consentement, ou une infraction aux transferts de données personnelles hors de l’Espace européen, la pénalité grimpe à 4 % de son chiffre d’affaires à concurrence de 20 millions d’euros.
Il est donc important de :
faire un état des lieux des solutions informatiques usitées (pays d’origine des solutions, situation géographique des serveurs, cloud, infrastructures), remontée des données ou non) ; nommer un Data Protection Officer qui va assurer la protection des données dont la gestion des droits des personnes, la définition des mécanismes de vérification de la conformité, les audits, la vérification de l’adéquation des mesures de sécurité, le maintien de la documentation. Il aura autorité pour faire respecter les droits des citoyens et des patients, y compris en coupant un service non conforme. C’est dire si l’absence de conflit d’intérêts est ici importante ; mettre en place un plan d’action de mise en conformité par tous moyens techniques, organisationnels, juridiques et de gouvernance.
On attend que des petits malins cherchent les moyens d’échapper à la guillotine juridique de l’Union européenne et déjà des cabinets conseils se répandent auprès de très grands entreprises. Plus amusant, si l’on peut dire, on imagine la réaction de l’Etat français devant une procédure contre un hôpital (autorité juridique) et de l’Etat français (collecteur des pénalités) devant une procédure contre un hôpital non conforme qui condamnerait l’établissement. Pour un peu que la sus-décrite structure soit porteuse d’une dette colossale – comme tous les CHU à l’exception de deux – et demande le recours à son ARS, on verrait l’Etat français – responsable de l’application du règlement GDPR attaquer une organisation qu’elle finance. Ainsi l’Etat récupérerait les pénalités aux dépends d’une structure publique abondée par une ARS et les réinjecterait sans doute pour combler un déficit par décision ministérielle.
En informatique on appelle cela une redondance cyclique. Tout cela nous promet une « poilade » épique.
Protection de l’enfance : Catherine Vautrin affiche ses ambitions pour une « nouvelle impulsion »
Dr Joëlle Belaïsch-Allart : « S’il faut respecter le non-désir d’enfant, le renoncement à la parentalité doit interpeller »
Visite médicale d’aptitude à la conduite : le permis à vie de nouveau sur la sellette
Le dispositif Mon soutien psy peine à convaincre, la Cnam relance l’offensive com’