L'ordonnance sur la protection des données personnelles est publiée

Présentée en Conseil des ministres le 12 décembre, l'ordonnance relative à la loi sur la protection des données personnelles a été publiée le 13 au Journal officiel. La loi a été validée en début d'année par le Parlement (lire nos articles ici et là) et encadre les modalités d'accès et de traitements de ces données. L'une des sections concerne le domaine de la santé.

Il y est rappelé que les traitements de données de santé ne peuvent être mis en œuvre qu'en considération de la finalité d'intérêt public qu'ils présentent. "La garantie de normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux constitue une finalité d'intérêt public", est-il ajouté. Des référentiels et des règlements types sont dans ce cadre établis par la Commission nationale de l'informatique et des libertés (Cnil). Les dispositions particulières quant aux traitements à des fins de recherche, d'étude ou d'évaluation dans le domaine de la santé sont aussi détaillées dans l'ordonnance.

Le numéro d'inscription au répertoire national d'identification des personnes physiques, dit Nir, fait lui aussi l'objet d'un chapitre. L'ordonnance précise qu'un décret doit déterminer "les catégories de responsables de traitement et les finalités de ces traitements au vu desquelles ces derniers peuvent être mis en œuvre lorsqu'ils portent sur des données comportant le Nir". En revanche, les traitements qui ont exclusivement des finalités de statistique publique sont exclus du dispositif, comme ceux aux finalités de recherche scientifique ou historique ou encore ceux ayant pour objet de mettre à disposition des usagers de l'administration un ou plusieurs téléservices de l'administration électronique. Au préalable, le Nir doit toutefois faire l'objet d'une opération cryptographique "lui substituant un code statistique non signifiant".

Le rôle de la Cnil est défini également dans cette ordonnance. Sans entrer dans le détail, elle informe toutes les personnes concernées de leurs droits et obligations et peut apporter à cette fin tout information adaptée. Elle veille aussi à ce que les traitements de données à caractère personnel soient mis en œuvre conformément aux dispositions de la loi. La Cnil publie des référentiels ou des méthodologies et a aussi la mission d'établir une liste des traitements susceptibles de créer un risque élevé devant faire l'objet d'une consultation préalable.