La question posée par M. Gorce et les cosignataires de cet amendement est extrêmement importante.
Nos collègues entendent soumettre l’utilisation du NIR en matière de recherche médicale au même régime particulier que dans le cadre du système national des données de santé, ou SNDS. Dans un cas comme dans l’autre, le NIR devrait être détenu par un unique organisme tiers de confiance.
Le recours au tiers de confiance se justifie pour le SNDS, car l’utilisation du NIR permettrait la réidentification précise de toute la base. Il faut donc éviter que le gestionnaire du SNDS détienne aussi la clef de correspondance avec le NIR.
Ce schéma, demandez-vous avec raison, mon cher collègue, est-il transposable à l’utilisation du NIR dans le cadre d’une recherche biomédicale ?
À l’heure actuelle, une telle utilisation par des organismes d’État ou des personnes morales assurant une mission de service public ne peut être autorisée que par décret en Conseil d’État, pris avec avis de la CNIL. Les organismes privés sont quant à eux soumis à la seule autorisation de la CNIL.
Demain, cette utilisation du NIR pourrait être autorisée par la seule CNIL, selon la procédure définie au chapitre 9 de la loi Informatique et libertés. Elle ne concernerait que les traitements à des fins de recherche, d’étude ou d’évaluation. Elle ne serait plus limitée aux seuls organismes d’État ou de service public ; elle exclurait, en revanche, tous les établissements à but lucratif, ainsi que les mutuelles.
Prévoir dans ce nouveau cadre, comme le proposent les auteurs de cet amendement, que le NIR soit confié à un organisme tiers, risque certes de poser une difficulté de gestion pour les chercheurs et d’être de peu d’effet lorsque la cohorte sur laquelle porte l’étude est déjà très identifiée ou peu nombreuse. En revanche, pour d’autres études plus importantes, qui porteraient sur des données anonymisées, le recours au NIR faciliterait l’identification éventuelle et pourrait justifier le recours à un tiers de confiance qui, seul, détiendrait les clefs de cette réidentification.
Après réflexion, la solution à ce problème pourrait être de confier à la CNIL l’appréciation de l’opportunité, selon la recherche considérée, de faire appel ou non à un tiers de confiance.
Cela supposerait de rectifier l’amendement. Par conséquent, monsieur Gorce, nous vous proposons de rédiger ainsi les deux phrases qui, dans votre amendement, complètent l’alinéa 106 :
« La Commission nationale de l’informatique et des libertés peut imposer que le numéro d’inscription au répertoire national d’identification des personnes physiques soit alors confié à un organisme tiers, distinct du responsable de traitement, habilité à détenir cet identifiant et chargé de procéder aux appariements nécessaires. Un décret en Conseil d’État, pris après avis de la Commission nationale de l’informatique et des libertés, précise les modalités d’application du présent article. »
La commission des lois émettra un avis favorable sur cet amendement si vous voulez bien le rectifier, faisant droit à la tentative d’explication que je vous ai donnée à l’instant.