La Cnil ne peut plus autoriser le traitement du numéro de Sécurité sociale

Si la date du 25 mai 2018 évoque à tout le monde l’entrée en vigueur du règlement général sur la protection des données (RGPD), elle est moins connue pour avoir retiré à la Commission nationale de l’informatique et des libertés (Cnil) son pouvoir d’autorisation du traitement du numéro de Sécurité sociale, ou NIR (numéro d’inscription au répertoire national d’identification des personnes physiques). En effet, afin d’exercer certaines des “marges de manœuvre” nationales autorisées par le RGPD, une nouvelle loi Informatique et libertés, modifiant celle de 1978, est venue compléter le 21 juin le droit français en matière de protection des données personnelles. Sauf que cette loi prévoit, pour tout opérateur souhaitant utiliser le NIR, un décret en Conseil d’État devant “déterminer les catégories de responsables de traitement et les finalités autorisées de ces traitements” lorsqu’ils portent sur des données comportant le NIR. Décret qui, selon Nacéra Bekhat, juriste au service de la santé de la Cnil, est encore en train d’être rédigé dans les ministères. “Avant le 25 mai, nous avions le pouvoir d’autoriser des opérateurs à utiliser le NIR. On ne peut plus aujourd’hui. Nous sommes dans l’attente de ce ‘décret-cadre NIR’.”

Aucune autorisation partielle

Toutefois, précise-t-elle, “nous avons encore ce pouvoir dans certains cas, comme la recherche”. Effectivement, le décret ne couvre pas les traitements ayant “exclusivement des finalités de statistique publique” ou “des finalités de recherche scientifique”. En revanche, “nous n’avons plus ce pouvoir dans la télésurveillance, par exemple”. Pour les solutions souhaitant ainsi être labellisées dans le cadre des expérimentations de télésurveillance actuellement menées par la Direction générale de l’offre de soins, le projet Étapes, “les fournisseurs qui n’ont pas déposé leur dossier à temps (donc avant le 25 mai, ndlr) ne sont pas autorisés à collecter le NIR mais, juridiquement, rien ne les empêche de débuter l’expérimentation dans le respect du RGPD, inclure des patients et collecter leurs données de santé hors NIR”, précise Nacéra Bekhat. Les autres sont-ils en attente ? “Non, les dossiers ayant été déposés hors délai ont été clôturés après avoir informé les responsables de traitement du nouveau cadre juridique et de l’impossibilité de la Cnil d’autoriser ce traitement.” Aucune autorisation partielle n’est par ailleurs délivrée en attendant le fameux décret-cadre NIR. Or, dans le cadre des expérimentations sur la télésurveillance, pour pouvoir être rémunéré le fournisseur doit envoyer à l’Assurance maladie les ordonnances des patients suivis, ordonnances qui comportent bien sûr le NIR…

Le futur décret-cadre sera soumis pour avis à la Cnil et la collecte du NIR ne pourra à nouveau se faire qu’à compter de sa publication “et dans la mesure où les fournisseurs de solutions techniques à des fins de télésurveillance aura été expressément prévue par ce décret”, souligne Nacéra Bekhat. La Cnil, dans son avis sur la nouvelle loi Informatique et libertés quand il n’était encore qu’un projet, regrettait étonnamment le manque de “souplesse” accordé aux responsables de traitement : “à titre d’exemple, les fournisseurs de solutions de télémédecine qui doivent traiter le NIR des patients à des fins de remboursement ne pourraient le faire qu’après y avoir été autorisés par voie réglementaire, ce qui pourrait freiner le développement de dispositifs innovants, en particulier dans le domaine de la santé”. Elle appelait même le gouvernement à renoncer à son “principe général d’interdiction du traitement de cette donnée”.