La protection des données personnelles est un enjeu de libertés publiques largement traité par le règlement général sur la protection des données (RGPD) du 27 avril 2016, directement applicable en droit français. Mais l’Assemblée Nationale discute en ce moment d’un projet de loi qui devrait sur-transposer le texte pour certains, et l’alléger pour d’autres. Comme par hasard, l’essentiel du débat porte sur le secteur sensible des données de santé.
Dans le même temps, la donnée personnelle est devenue un enjeu économique colossal. L’utilisation commerciale des données, surtout celles qui sont collectées par les réseaux sociaux, représente un marché désormais essentiel dans l’économie mondiale de marché.
On mesure tout de suite la difficulté d’édicter des règles satisfaisantes qui combinent, pour le seul territoire de l’Union Européenne, une protection suffisante des libertés individuelles sans entraver de façon excessive la liberté commerciale des start-up qui se consacrent à cette activité. S’agissant de l’Union Européenne, le problème est d’autant plus compliqué qu’il faut éviter d’établir de trop grandes distorsions avec le pays qui a dépassé la frontière technologique sur ces sujets: les États-Unis.
Protection des données personnelles, entrave à la concurrence
Un secteur concentre la férocité de la concurrence dans le domaine des données personnelles: la santé. C’est dans ce domaine, très prisé de l’Internet des Objets, que le sémillant Bruno Le Maire avait par exemple annoncé que la France investirait.
Bon, la promesse ne sera pas vraiment tenue, puisque le RGPD a largement balayé le champ des objets connectés. Selon le règlement européen, en effet, les données de santé désignent aussi celles qui proviennent d’un dispositif médical. Le traitement des données est lui-même défini de façon très large:
toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction
Bref, le règlement a « réglementé » l’ensemble de l’Internet des Objets que Bruno Le Maire voulait, paraît-il, porter au pinacle de la réindustrialisation française. Il va sans dire que cette réglementation vaut pour l’Europe et pas pour les États-Unis.
La protection des données personnelles comme barrière à l’entrée
Le principe général du règlement est celui du consentement exprès des personnes. D’où l’édiction d’une règle générale: toute collecte des données doit être précédée par un consentement exprès du « client » à cette collecte. Le règlement formule ce principe autour de trois notion fondamentales: licéité, loyauté, transparence.
Autrement dit, un opérateur ne peut utiliser les données d’une personne sans qu’elle n’en connaisse exactement la destination et les conditions.
Pour l’industrie de l’objet connecté, l’entrave est forte sur le sol européen. Ses acteurs ne se sont pas trompés en condamnant cette restriction majeure à leur activité.
L’Union Européenne voudrait vivre dans l’Internet des Objets le même désastre que dans les moteurs de recherche, elle ne s’y prendrait pas autrement.
Comment la France protège ses rentiers contre le RGPD
La France a décidé d’accompagner le règlement (d’application directe, rappelons-le, contrairement aux directives) d’une loi de transposition. La méthode paraît curieuse puisqu’un règlement se suffit à lui-même.
C’est en lisant les débats à l’Assemblée Nationale qu’on comprend pourquoi la France s’offre ce luxe de sur-transposition (au demeurant, vieille tradition française qui utilise souvent le droit communautaire comme levier pour entraver la libre concurrence sur son sol). Le texte prévoit notamment un article 13 qui fixe la liste des organismes non concernés par le RGPD.
Comme par hasard, cet inventaire exonère les associations, les médecins, les administrations et… la sécurité sociale de l’obligation de donner un consentement aux personnes dont les données sont collectées. On ne pouvait imaginer meilleure distorsion de concurrence entre les anciens acteurs de la santé et les nouveaux.
Des petits conflits d’intérêt chez LREM?
Au passage, les esprits vicieux noteront que l’une des rapporteuses du texte est Albane Gaillot, députée marcheuse et ancienne salariée d’un organisme complémentaire de sécurité sociale. C’est probablement sans lien si, en dernière minute, le gouvernement a présenté un amendement accordant aux organismes complémentaires la même exonération qu’à la sécurité sociale.
La majorité devrait se méfier de ce genre d’opérations. Un jour, tout cela lui jouera un vilain tour.
Des barrières à l’entrée pour les start-up
Résumons, donc! l’Union Européenne édicte un règlement qui protège les données personnelles. La France adopte une loi qui exonère ses propres acteurs obsolètes de son application. En revanche, elle y soumet les start-up.
Le monde nouveau est en marche!
Les données à caractère personnel concernant la santé devraient comprendre l’ensemble des données se rapportant à l’état de santé d’une personne concernée qui révèlent des informations sur l’état de santé physique ou mentale passé, présent ou futur de la personne concernée. Cela comprend des informations sur la personne physique collectées lors de l’inscription de cette personne physique en vue de bénéficier de services de soins de santé ou lors de la prestation de ces services au sens de la directive 2011/24/UE du Parlement européen et du Conseil (9)au bénéfice de cette personne physique; un numéro, un symbole ou un élément spécifique attribué à une personne physique pour l’identifier de manière unique à des fins de santé; des informations obtenues lors du test ou de l’examen d’une partie du corps ou d’une substance corporelle, y compris à partir de données génétiques et d’échantillons biologiques; et toute information concernant, par exemple, une maladie, un handicap, un risque de maladie, les antécédents médicaux, un traitement clinique ou l’état physiologique ou biomédical de la personne concernée, indépendamment de sa source, qu’elle provienne par exemple d’un médecin ou d’un autre professionnel de la santé, d’un hôpital, d’un dispositif médical ou d’un test de diagnostic in vitro.
RGPD, attendu 35
Article écrit par Eric Verhaeghe pour son blog