29.

< Avis du Conseil d'État >

Le Gouvernement a choisi d'employer les facultés qui lui sont reconnues par le règlement pour le traitement des données de santé (notamment à l’article 23 du règlement (UE) 2016/679).

Le régime propre à ces traitements, décrit par les nouveaux articles 53 à 63 de la loi du 6 janvier 1978, en exonère certains d'entre eux, qu’ils soient par exemple destinés à l'administration de la sécurité sociale ou créés dans des conditions préservant les droits et libertés fondamentales par nature, ou qu'ils répondent aux nécessités d'une situation d'urgence en cas de crise sanitaire. Ce régime prévoit la création de référentiels par la CNIL. L'attestation de s'y soumettre suffit à permettre la mise en œuvre de ce traitement. A défaut, l'autorisation de la CNIL est nécessaire, le cas échéant articulée avec l’Institut national des données de santé et, en matière de recherche, avec les comités créés par le code de la santé publique à cette fin. La décision de la CNIL doit intervenir dans le délai de deux mois à l'expiration desquels, sauf prolongation prévue par la loi, la décision est réputée favorable. Le Conseil d'Etat observe que les conséquences de ce régime de décision implicite sur les moyens humains et matériels de la CNIL n'ont pas fait l'objet d'une analyse de la part du Gouvernement qui devra veiller à ce que cette commission dispose des moyens de prendre effectivement position au regard de l'importance et du nombre de ces traitements.

Le régime applicable aux données de santé est ainsi conforme au règlement de l’Union et reprend largement celui existant aujourd'hui dans le chapitre 9 de la loi. Sans formuler de réserves sur ce choix, le Conseil d’Etat appelle le Gouvernement à apporter un soin particulier à l’articulation de ce régime avec celui issu de la loi du 26 janvier 2016 ayant modifié le code de la santé publique, dont les décrets d’application viennent d’être pris.

< Avis du Conseil d'État >