Paris, le mercredi 1er juin 2016 - L’administration française est assise sur un trésor. Un trésor numérique constitué des centaines de milliards de données stockées au sein du Système national d'information inter-régimes de l'Assurance-maladie (Sniiram), l’organisme qui archive chaque année 1,2 milliard de feuilles de soins, 500 millions d'actes médicaux et 11 millions de séjours hospitaliers. Une base de données que la Cour des comptes qualifie, dans un rapport rendu public le 3 mai dernier, d’ « exceptionnelle par son exhaustivité, sa richesse et sa finesse d’informations, qui n’a pas d’exemple dans le monde, et aux potentialités considérables en matière de santé publique, de recherche, d’efficience du système de soins et de maîtrise des dépenses ».
Dans un monde où le moindre octet d’information sur nos habitudes de consommation, nos goûts culturels et tout ce qui permet de nous cibler commercialement se négocie au prix du kilo de safran, il eut été étonnant que les données détenues par le Sniiram ne soient pas l’objet de toutes les convoitises. Et c’est une PME bretonne, l’entreprise Celtipharm spécialisée dans les services aux pharmaciens et laboratoires, qui, la première, s’est attaquée à la forteresse Sniiram en demandant au Conseil d’Etat d’annuler « pour excès de pouvoir, la décision implicite de rejet résultant du silence gardé par le ministre des Affaires sociales, de la santé et des droits des femmes sur sa demande du 19 juillet 2014 tendant à l'abrogation de l'arrêté du 19 juillet 2013 relatif à la mise en œuvre du Sniiram ».
Mic-mac juridico-administratif
Que dit cet arrêté du ministère de la Santé dont Celtipharm demande l’abrogation ? Tout simplement que les données personnelles stockées au sein du Sniiram, jusque là ouvertes partiellement aux organismes de recherche publique, ne peuvent en aucun cas être transmises à des organismes à but lucratif, comme les compagnies d’assurance ou les laboratoires pharmaceutiques. Une interdiction formelle que le Conseil d’Etat, saisi par Celtipharm, a finalement jugée illégale puisqu’il vient de demander au ministère de la Santé d’annuler cet arrêté dans un délai de 4 mois, comme le révèle Le Figaro dans son édition du 30 mai.
Outre les débats sur la protection des données personnelles que cette demande ne va pas manquer de susciter, elle risque surtout de faire s’écrouler l’édifice juridique mis en place par la nouvelle loi de santé quant à l’utilisation de ces données. Cette dernière prévoit en effet, outre l'ouverture inconditionnelle et gratuite à tous des données agrégées qui ne représentent aucun risque pour la vie privée (Open Data), que des conditions très strictes d’accès soient appliquées aux données personnelles.
Ainsi, tout organisme, à but lucratif ou non, qui souhaiterait les utiliser devra se soumettre à plusieurs étapes de validation : prouver que l’objectif est d’intérêt public et obtenir, sur ce point, l’agrément de l'Institut national des données de santé (INDS), puis soumettre sa requête à un comité scientifique avant que la Commission nationale de l'informatique et des libertés (CNIL) ne donne son accord final. Les décrets de mise en œuvre de ces 3 instances de contrôle n’étant pour l’heure pas publiés, la décision du Conseil d’Etat risque donc de compromettre cette belle architecture juridique.
Benoît Thelliez
