Le texte ne définit comme finalités interdites aux traitements effectués sur les données de santé à caractère personnel que la promotion de produits de santé à destination des professionnels et des établissements de santé et l'exclusion ou le renchérissement de garanties des contrats d'assurance. D'autres mésusages sont à craindre, comme la promotion commerciale de produits de santé ou de services de santé auprès des usagers ou le refus d'un prêt ou d'une location, d'où la rédaction proposée par l'amendement LOIS.20.
L'amendement LOIS.20 est adopté.
Le texte limite aux seules entreprises de produits de santé, banques, sociétés d'assurance et mutuelles l'obligation de passer par un intermédiaire pour accéder à des données de santé à caractère personnel. L'amendement LOIS.21 étend cette obligation à tous les organismes susceptibles de faire un usage commercial ou économique du produit des recherches proposées.
L'amendement LOIS.21 est adopté.
Par exception, les sociétés d'assurance, les mutuelles, les banques et les entreprises pharmaceutiques auront directement accès aux données extraites de la base nationale des données de santé si elles apportent la preuve que les modalités de mise en oeuvre du traitement qu'elles souhaitent leur appliquer rendent impossible toute utilisation pour l'une des finalités interdites. Le danger tient plutôt à un retraitement non-déclaré des données susceptible de constituer un mésusage. Voilà pourquoi l'amendement LOIS.22 impose que l'enregistrement et la conservation des données par l'entreprise concernée soient impossibles.
L'amendement LOIS.22 est adopté.
L'article 38 de la loi Informatique et libertés garantit à chacun le droit de s'opposer, pour des motifs légitimes, à ce que ses données à caractère personnel fassent l'objet d'un traitement. Ce droit concerne aussi la mise à disposition desdites données à un tiers, même à des fins de recherche. L'amendement LOIS.23 en garantit l'effectivité en renvoyant à un décret en Conseil d'État, pris après avis de la Cnil, la définition de la procédure selon laquelle une personne pourrait exiger des gestionnaires du système national des données de santé que ses propres données, recueillies uniquement à des fins de gestion, soient mises à la disposition d'un projet de recherche.
L'amendement LOIS.23 est adopté, ainsi que l'amendement de coordination LOIS.24.
En cas d'urgence sanitaire, l'accès aux bases de données du système national des données de santé relèverait du régime de la déclaration préalable plutôt que de celui de l'autorisation. L'amendement LOIS.25 maintient le principe d'une autorisation mais raccourcit le délai d'examen de deux mois à quarante-huit heures. La Cnil a déjà statué dans un tel délai, et a obtenu la modification de la demande dans un sens plus conforme au droit, sans nuire aucunement à son efficacité.
L'amendement LOIS.25 est adopté.
La Cnil pourra autoriser des projets d'évaluation et de recherche en matière de santé à accéder à des données médicales associées au numéro de sécurité sociale. Rien n'interdirait alors que des entreprises privées croisent très efficacement ces données avec d'autres fichiers. L'amendement LOIS.26 exclut donc que la Cnil donne une telle autorisation aux entreprises privées.
L'amendement LOIS.26 est adopté.
L'amendement LOIS.27 corrige un oubli : le texte ne prévoit pas que, lorsque le projet de recherche porte sur la personne humaine, le comité de protection des personnes se prononce sur les mêmes questions que le comité d'expertise, alors que l'examen de la nécessité du recours aux données et celui de la pertinence de celles-ci est essentiel pour que la Cnil puisse formuler son avis.
L'amendement LOIS.27 est adopté.
Le nouveau paragraphe IV bis de l'article 54 de la loi Informatique et libertés dispense les demandeurs qui souhaiteraient accéder à des échantillons issus des traitements de données de santé à caractère personnel de recueillir l'autorisation préalable de la Cnil, à condition que la mise à disposition de cet échantillon soit effectuée dans des conditions préalablement homologuées par celle-ci. Comme ces échantillons contiennent des données permettant l'identification, l'amendement LOIS.28 précise que la mise à disposition doit intervenir dans des conditions garantissant qu'aucune identification directe ou indirecte des intéressés ne soit possible.
L'amendement LOIS.28 est adopté.
Ce projet de loi n'a vocation à régir que l'open data de santé, à l'exclusion de toutes les données sensibles : opinions politiques ou religieuses, sexe, origine, racial ou ethnique.
L'amendement LOIS.29 est adopté.