TITRE IX : SIMPLIFIER POUR INNOVER
Article 22
Faciliter l'innovation issue de la recherche
En premier lieu, l'article 22 vise à faciliter l'innovation issue de la recherche en assouplissant le régime de contrôle des opérations d'import-export des promoteurs de recherches impliquant la personne humaine, en supprimant la procédure d'autorisation du ministère chargé de la recherche, qui fait doublon avec celle déjà mise en oeuvre par l'Autorité nationale de la sécurité du médicament. La commission a adopté ces dispositions, enrichies par un amendement visant à simplifier les démarches administratives des promoteurs de ces recherches en matière d'autorisation de réutilisation de données collectées dans le cadre d'études antérieures.
En second lieu, cet article vise à assouplir le régime d'autorisation par la Commission nationale de l'informatique et des libertés (CNIL) régime de contrôle des traitements de données de santé, qui fait intervenir, selon les cas, une déclaration de conformité à un référentiel publié par celle-ci ou à défaut une demande d'autorisation ne pouvant être accordée qu'après avis du comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé (CESREES). La commission a également adopté ces dispositions, en renforçant toutefois les garanties entourant les conditions dans lesquelles un responsable de traitement de données de santé pourrait, en application du présent article, se dispenser de l'avis du CESREES lorsque le projet de traitement a fait l'objet d'un avis favorable d'un comité scientifique et éthique local.
1. Le droit existant
1.1. Le régime de contrôle des opérations d'import-export des promoteurs de recherches impliquant la personne humaine
En l'état de la réglementation, les opérations d'import-export réalisées dans le cadre de recherches sont soumises à un contrôle du ministère chargé de la recherche, destiné à s'assurer de la finalité scientifique de ces opérations. Elle s'applique à toutes les catégories de recherches, qu'elles impliquent ou non la personne humaine. Les dossiers sont instruits dans un délai de trois mois, au terme d'une procédure impliquant une saisine pour avis de l'Agence de la biomédecine222(*).
Pour ce qui concerne spécifiquement les opérations d'import-export dans le cadre de recherches impliquant la personne humaine, cette procédure de contrôle est prévue :
- à l'article L. 1221-12 du code de la santé publique s'agissant du sang, de ses composants ou de ses produits dérivés ;
- à l'article L. 1235-1 du même code s'agissant des organes ;
- aux articles L. 1243-3, L. 1243-4 du même code s'agissant des tissus et des cellules. Les obligations spécifiques en la matière des établissements pharmaceutiques sont régies par l'article L. 1245-5-1 du même code.
Il est à noter qu'en application de l'article L. 1121-4 du même code, les recherches impliquant la personne humaine font, par ailleurs, l'objet d'une procédure d'autorisation spécifique, faisant intervenir l'Agence nationale de sécurité du médicament pour le volet scientifique et le comité de protection des personnes223(*) pour le volet éthique.
Cette procédure concerne également les essais cliniques de médicaments régis par les dispositions du règlement (UE) n° 536/2014 du Parlement européen et du Conseil du 16 avril 2014, les investigations cliniques de dispositifs médicaux mentionnés à l'article 1er du règlement (UE) 2017/745 du Parlement européen et du Conseil du 5 avril 2017 ainsi que les études des performances de dispositifs médicaux de diagnostic in vitro mentionnés à l'article 1er du règlement (UE) 2017/746 du Parlement européen et du Conseil du 5 avril 2017.
1.2. Le régime de contrôle des traitements de données de santé par la Commission nationale de l'informatique et des libertés
Les traitements de données à caractère personnel dans le domaine santé font, au regard de la sensibilité de ces données, l'objet d'un régime spécifique dans le cadre de la loi n° 78-7 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (dite « Loi Informatique et libertés »), pour assurer le respect des dispositions de cette loi et du règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (dit « règlement général sur la protection des données » - RGPD).
Ce régime est prévu à la section 3 de cette loi (articles 64 à 77).
En particulier l'article 66 pose expressément que les traitements relevant de cette section ne peuvent être mis en oeuvre qu'en considération de la finalité d'intérêt public qu'ils présentent.
Pour contrôler le respect de ce principe et la conformité de ces traitements au droit à la vie privée et au droit de la protection des données à caractère personnel, le II du même article 66 prévoit que la Commission nationale de l'informatique et des libertés (CNIL) publie des référentiels et règlements types s'appliquant à ces traitements, dans des conditions précisées à l'article 73 de la même loi. Ces référentiels peuvent également porter sur la description et les garanties de procédure permettant la mise à disposition en vue de leur traitement de jeux de données de santé présentant un faible risque d'impact sur la vie privée.
À ce jour, 13 référentiels ont été publiés par la CNIL. Certains s'appliquent en dehors du domaine de la recherche, et concernent les traitements en matière de vigilance sanitaire224(*), les « entrepôts de données de santé »225(*) ainsi que les traitements de données réalisés dans le cadre des accès compassionnels226(*). D'autres référentiels s'appliquent aux recherches impliquant la personne humaine227(*) ou non228(*).
Les traitements conformes à ces référentiels peuvent être mis en oeuvre à la condition que leurs responsables adressent préalablement à la CNIL une déclaration attestant de cette conformité. D'après les données communiquées au rapporteur de la commission spéciale Catherine Di Folco, la CNIL reçoit plus de 2 000 déclarations de conformités par an (2 701 déclarations en 2023), la plus grande part concernant la recherche (2 464 déclarations).
En application du III du même article 66, il est prévu qu'en l'absence de conformité à ces référentiels les responsables de traitement sont tenus de demander à la CNIL une autorisation. Le IV vient préciser à cet égard que la CNIL peut, par décision unique, délivrer à un même demandeur une autorisation pour des traitements répondant à une même finalité, portant sur des catégories de données identiques et ayant des catégories de destinataires identiques. D'après les données communiquées au rapporteur, la CNIL traite entre 400 et 600 demandes d'autorisation par an (520 en 2023). De même, la plupart concernent la recherche (429 demandes).
En application de l'article 76 de la même loi, il est prévu que cette autorisation ne peut est accordée par la CNIL qu'après avis :
- du comité de protection des personnes pour les recherches impliquant la personne humaine ;
- du comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé (CESREES) pour les recherches n'impliquant pas la personne humaine.
2. Le dispositif proposé
2.1. Une simplification du régime de contrôle des opérations d'import-export des promoteurs de recherches impliquant la personne humaine, avec la suppression de la procédure d'autorisation du ministère chargé de la recherche
Le I du présent article vise à supprimer la procédure d'autorisation par le ministère chargé de la recherche des opérations d'import-export dans le cas des recherches impliquant la personne humaine pour lesquelles, dans les conditions rappelées supra, un contrôle est déjà exercé par l'Autorité nationale de la sécurité du médicament et le comité de protection des personnes.
Il tend à modifier à cette fin les articles précités L. 1221-12 du code de la santé publique s'agissant des produits sanguins (au 1°), L. 1235-1 du même code s'agissant des organes (au 2°) et L. 1243-3, L. 1243-4 et L. 1245-5-1 du même code s'agissant des tissus et cellules (aux 3° à 5°).
2.2. Un assouplissement du régime de contrôle des traitements de données de santé par la Commission nationale de l'informatique et des libertés
Le présent article vise également à assouplir le régime de contrôle par la CNIL des traitements de données à caractère personnel dans le domaine de la santé.
Les 2° à 4° du II du présent article tendent à apporter plusieurs modifications l'article 66 de la loi Informatique et libertés dans l'objectif de faciliter l'élaboration des référentiels et d'améliorer son appropriation par les acteurs.
Son 2° tend à modifier le II du même article 66 de façon à :
- inscrire dans la loi le principe selon lequel ces référentiels sont adoptés en vue d'assurer un équilibre entre la protection des données à caractère personnel et l''intérêt public s'attachant au développement de la recherche dans le domaine de la santé ;
- permettre au ministère chargé de la santé ou aux organismes publics et privés représentatifs des acteurs concernés de proposer à la CNIL des référentiels, dans des conditions prévues par décret en Conseil d'État ;
- prévoir que la CNIL élabore et publie une stratégie comportant une programmation des référentiels à adopter, dans des conditions définies par décret en Conseil d'État
Son 3° tend à modifier le III du même article 66 de façon à préciser le droit existant tel qu'il est appliqué, soit qu'une seule déclaration de conformité à un référentiel est nécessaire lorsqu'un responsable de traitement entend mettre en oeuvre plusieurs traitements relevant d'un même référentiel.
Son 4° tend à modifier la rédaction du IV du même article 66 tout en préservant la règle selon laquelle un traitement qui n'est pas conforme à un référentiel peut, par dérogation, être mis en oeuvre sur autorisation de la CNIL.
Le présent article vise également à assouplir les modalités de saisine pour avis du CESREES dans le cadre des demandes d'autorisation.
Le 6° du même II tend ainsi à modifier l'article 76 de la même loi de façon à dispenser d'un tel avis les demandes d'autorisation concernant un traitement ayant fait l'objet d'un avis favorable d'un comité scientifique et éthique local dont le fonctionnement respecte un cahier des charges établi au niveau national par le ministre chargé de la santé pris après avis du CESREES.
En outre :
- le 1° du même II tend à modifier l'article 65 de la loi Informatique et libertés de façon à préciser le droit existant tel qu'il est appliqué en prévoyant que la section 3 précitée de cette loi s'applique aux traitements qui, cumulativement, sont mis en oeuvre dans le domaine de la santé et contiennent des données concernant la santé ;
- le 7° du même II tend à modifier l'article 125 de la même loi de façon à assurer l'application du dispositif outre-mer.
3. La position de la commission
3.1. S'agissant de la simplification du régime de contrôle des opérations d'import-export des promoteurs de recherches impliquant la personne humaine
La commission spéciale ne peut que souscrire à la mesure de simplification portée par cet article, approuvée comme telle par le Conseil d'État dans son avis sur le projet de loi ainsi que par les administrations compétentes des ministères chargés de la santé et de la recherche entendues par son rapporteur Catherine Di Folco.
Le dispositif vient utilement supprimer un contrôle exercé en doublon par les administrations, qui alourdit la charge administrative des promoteurs de recherche impliquant la personne humaine, tels que les industriels du médicament.
Il concourt également à l'objectif de simplification de l'action administrative, dont la complexité est fortement consommatrice de ressources publiques. Selon les données communiquées par la direction générale de la recherche et de l'innovation, les tâches de contrôle des opérations d'import-export mobilisent 3 agents de catégorie A de cette direction et un agent de l'Agence de la biomédecine. Ainsi, en 2023, 989 autorisations d'import-export ont été autorisées, concernant pour 48 % des recherches impliquant la personne humaine.
La commission spéciale a ainsi adopté ces dispositions.
Elle a également adopté l'amendement n° COM-216 visant à clarifier les démarches administratives des promoteurs de recherches cliniques dans les cas où celles-ci nécessitent, dans le cadre de « bras contrôles » ou de « bras témoins », la réutilisation de données recueillies dans le cadre de la prise en charge ou d'études antérieures.
3.2. S'agissant de l'assouplissement du régime de contrôle des traitements de données de santé par la Commission nationale de l'informatique et des libertés
La commission spéciale s'est également montrée favorable à l'adoption du dispositif d'assouplissement du régime de contrôle des traitements de données de santé par la CNIL, approuvé par celle-ci dans son avis public sur le présent projet de loi229(*).
Ce dispositif est en effet, comme l'expose cet avis, de nature à simplifier les démarches des acteurs du secteur de la santé et permettre un élargissement et une diversification du champ des référentiels. Reste qu'il appartiendra aux acteurs du secteur de se saisir pleinement de cette nouvelle capacité de proposition de référentiels à la CNIL, ce qui suppose une communication adéquate de la part de celle-ci.
Suivant les recommandations de l'avis précité, la commission spéciale a cependant entendu renforcer les garanties entourant les conditions dans lesquelles un responsable de traitement de données de santé pourrait se dispenser de l'avis du CESREES lorsque le projet de traitement a fait l'objet d'un avis favorable d'un comité scientifique et éthique local.
À cette fin, elle a adopté l'amendement n° COM-353 de son rapporteur Catherine Di Folco tendant à préciser, d'une part, le contenu des règles de fonctionnement de ces comités, dont la définition resterait renvoyée à un cahier des charges fixé au niveau réglementaire et à prévoir, d'autre part, une consultation préalable de la Commission nationale de l'informatique et des libertés sur ce cahier des charges.
La commission a adopté l'article 22 ainsi modifié.
Article
23
Intégrer l'innovation dans le mandat
de la Commission nationale
de l'informatique et des libertés
L'article 23 vise à modifier le mandat de la Commission nationale de l'informatique et des libertés (CNIL) pour y intégrer explicitement la prise en compte des enjeux d'innovation.
La commission spéciale a constaté la portée limitée de l'évolution législative proposée, dans la mesure où, de fait, la CNIL tient d'ores et déjà largement compte de ses enjeux dans l'exercice de ses missions, et a même fait du soutien à l'innovation l'un de ses axes stratégiques.
Elle s'est ainsi efforcée de préciser le dispositif, en adoptant un amendement tendant, d'une part, à consacrer une mission pour la CNIL d'accompagner spécifiquement l'innovation dans le domaine de l'intelligence artificielle et, d'autre part, indiquer explicitement que la CNIL peut accompagner les responsables dans la mise en place d'un traitement innovant, ce qu'elle accomplit déjà grâce aux programmes d'accompagnement mis en place.
La commission spéciale a également entendu renforcer la portée opérationnelle du dispositif, en sécurisant les conditions dans lesquelles les entreprises peuvent recourir à l'appui de la CNIL, et ainsi encourager ces pratiques.
1. Le droit existant : le mandat de la Commission nationale de l'informatique et des libertés ne fait pas de référence explicite aux enjeux d'innovation
La Commission nationale de l'informatique et des libertés (CNIL) est une autorité administrative indépendante créée par la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (dite « loi Informatique et libertés ») et chargée de réguler le traitement des données personnelles. Elle est, en particulier, l'autorité de contrôle nationale au sens et pour l'application du règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (dit « règlement général sur la protection des données » - RGPD).
Les missions qu'elle exerce à ce titre sont fixées par le I de l'article 8 de la loi précitée. En particulier, il est prévu que la CNIL :
- en application du 1° du même I, informe toutes les personnes concernées et tous les responsables de traitements de leurs droits et obligations et peut, à cette fin, apporter une information adaptée aux collectivités territoriales, à leurs groupements et aux petites et moyennes entreprises ;
- en application du 2°, veille à ce que les traitements de données à caractère personnel soient mis en oeuvre conformément à ces mêmes dispositions et notamment, en application du b) du même 2°, en établissant et publiant des lignes directrices, recommandations ou référentiels destinés à faciliter la mise en conformité des traitements de données à caractère personnel, encourageant l'élaboration de codes de conduite définissant les obligations qui incombent aux responsables de traitement et à leurs sous-traitants, en homologuant et publiant les méthodologies de référence destinées à favoriser la conformité des traitements de données de santé à caractère personnel. Le e) du même 2° prévoit également que, dans ce cadre, elle répond aux demandes d'avis des pouvoirs publics et, le cas échéant, des juridictions, et conseille les personnes et organismes qui mettent en oeuvre ou envisagent de mettre en oeuvre des traitements automatisés de données à caractère personnel ;
- en application du 3°, délivre un label à des produits ou à des procédures tendant à la protection des données à caractère personnel, attestant leur conformité aux dispositions de la loi Informatique et libertés ;
- en application du 4°, se tient informée de l'évolution des technologies de l'information et rend publique le cas échéant son appréciation des conséquences qui en résultent pour l'exercice des droits et libertés, notamment en étant consultée sur des projets de loi ou d'actes réglementaires dans ce domaine, en proposant au Gouvernement des mesures, en conduisant une réflexion sur les problèmes éthiques et les questions de société soulevés par l'évolution des technologies informatiques et numériques et en promouvant l'utilisation des technologies protectrices de la vie privée.
Le II prévoit que, pour l'accomplissement de ses missions, la CNIL peut procéder par voie de recommandation et prendre des décisions individuelles ou réglementaires dans les cas prévus par la loi Informatique et libertés.
2. Le dispositif proposé : intégrer l'innovation dans le mandat de la Commission nationale d'informatique et des libertés
Le présent article tend à modifier le mandat de la CNIL dans l'objectif que celle-ci prenne en compte les enjeux d'innovation dans l'exercice de ses missions.
Ainsi, son 1° vise à modifier le b) du 2° du I de l'article 8 de la loi Informatique et libertés précitée de façon à préciser que, dans le cadre de sa mission de veille quant au respect du droit de l'informatique et des libertés, la CNIL « prenne également en compte, dans tous les domaines de son action, les enjeux d'innovation ».
Son 2° vise à modifier le 4° du I de la même loi, de façon à ce que, dans le cadre de son appréciation publique des conséquences résultant des évolutions technologiques, elle promeuve « la juste prise en compte des enjeux d'innovation associés aux traitements des données à caractère personnel ».
3. La position de la commission : préciser le dispositif et renforcer sa portée opérationnelle
3.1. Un dispositif de portée limitée, alors que la Commission nationale de l'informatique et des libertés intègre déjà pleinement en pratique la prise en compte des enjeux d'innovation dans l'exercice de ses missions
Le présent article, aux termes de son étude d'impact, entend garantir que la CNIL prenne en compte, à leur juste niveau, les enjeux d'innovation dans l'exercice de ses missions.
À cet égard, la portée de l'évolution législative proposée devrait cependant être limitée.
Le dispositif est rédigé en termes très larges, « l'innovation » étant simplement désignée sans plus de précision sur le contenu que le législateur entendrait lui donner et sur les conséquences concrètes de la « prise en compte » par la CNIL des enjeux qui lui sont associés.
La même étude d'impact n'établit pas clairement la nécessité de légiférer dans la mesure où elle ne fournit pas d'exemple de cas dans lesquels l'action CNIL aurait fait obstacle à l'innovation.
À l'inverse, comme le rappelle le Conseil d'État dans son avis sur le projet de loi, cet objectif est dans les faits largement pris en compte par la CNIL. Celle-ci a d'ailleurs fait de « l'appui à l'innovation » l'un des axes de son plan stratégique 2022-2024 (axe 2 point 4).
Ainsi, la CNIL a utilisé l'ensemble de ses compétences pour agir dans ce domaine, notamment au travers :
- des divers documents qu'elle publie, avec notamment la communication d'éléments d'analyse sur le régime d'application de la réglementation en matière de chaînes de blocs (ou « blockchain ») ainsi que de fiches sur des sujets innovants tels que l'intelligence artificielle ou encore les applications mobiles ;
- de son action d'accompagnement des entreprises, avec la mise en place d'une procédure de « demandes de conseil » dans le cadre de laquelle 1 600 consultations environ sont traitées chaque année, la création de nouveaux services dédiés à l'innovation tels que le « laboratoire d'innovation numérique » de la CNIL (LINC) ou encore la mise en oeuvre d'un dispositif d'accompagnement renforcé, fonctionnant par appel à projets destiné aux entreprises innovantes (« start-ups ») ;
- des travaux de réflexion qu'elle conduit, avec par exemple le lancement en 2023 d'une mission d'analyse économique destinée à parfaire sa compréhension du modèle d'affaires et du rôle économique des données personnelles.
3.2. La commission spéciale s'est efforcée de préciser le dispositif et renforcer sa portée opérationnelle
Au vu de ces éléments, et dans la lignée des recommandations formulées par la CNIL dans le cadre de son avis publié sur le présent article230(*), la commission spéciale a entendu préciser la portée du dispositif.
À cette fin, elle a adopté l'amendement COM-354 de son rapporteur Catherine Di Folco qui précise que l'objectif d'accompagnement de l'innovation concerne notamment le domaine de l'intelligence artificielle, qui constitue le principal enjeu des années à venir en matière de conciliation entre la protection des droits et libertés et le soutien à l'innovation.
En outre, le même amendement tend à indiquer explicitement que la CNIL peut accompagner les responsables de traitement de données dans la mise en place de traitements innovants, ce qu'elle accomplit déjà grâce aux divers programmes d'accompagnement mis en place.
Dans le souci de renforcer la portée opérationnelle de cette consécration législative de la mission d'accompagnement des entreprises en matière d'innovation, la commission spéciale a également adopté l'amendement COM-355 de son rapporteur Catherine Di Folco, qui tend à prévoir une dérogation aux règles relatives au droit de communication des documents administratifs posées à l'article L. 311-5 du code des relations entre le public et l'administration s'agissant des documents transmis dans le cadre des dispositifs d'accompagnement aux entreprises mis en oeuvre par la CNIL.
Des difficultés pratiques ont en effet été rencontrées en la matière, les entreprises concernées n'ayant en général pas conscience que leur demande d'accompagnement ou d'information auprès de la CNIL était susceptible de créer un droit de communication au titre des documents échangés à cette occasion.
Le dispositif proposé paraît ainsi de nature à encourager les entreprises à solliciter les programmes d'accompagnement de la CNIL en sécurisant leurs conditions de mise en oeuvre. Il contribue ainsi à renforcer la portée opérationnelle de l'article 23 du présent projet de loi, dont l'objectif est de favoriser une innovation respectueuse du droit à la vie privée et à la protection des données personnelles.
La commission a adopté l'article 23 ainsi modifié.
* 222 Article R. 1235-9 du code de la santé publique.
* 223 Le comité de protection des personnes est régi par les articles L. 1123-1 et suivants du code de la santé publique.
* 224 Référentiel RS-001 adopté le 16 juillet 2019.
* 225 Référentiel RS-002 adopté le 26 octobre 2021.
* 226 Référentiel RS-004 adopté le 22 septembre 2022.
* 227 Référentiels MR-001 adopté le 3 mai 2018, MR-002 adopté le 16 juillet 2015 et MR-003 adopté le 3 mai 2018.
* 228 Référentiels MR-004 adopté le 3 mai 2018, MR-005 et MR-006 adoptés le 7 juin 2018, MR-007 et MR-008 adoptés le 20 juillet 2023 et ENSD adopté le 13 octobre 2022.
* 229 Commission nationale de l'informatique et des libertés, délibération n° 2024-030 du 11 avril 2024 portant avis sur un projet de loi de simplification.
* 230 Commission nationale de l'informatique et des libertés, délibération n° 2024-030 du 11 avril 2024 portant avis sur un projet de loi de simplification.