Frédérique Lesaulnier est déléguée à la protection des données de l’Inserm. Docteur en droit, spécialiste des systèmes d’information et de la protection des données de santé, elle a passé 10 ans à la Commission nationale de l’informatique et des libertés (CNIL) avant de rejoindre l’Inserm en 2014. Auprès de la direction, elle est chargée du pilotage stratégique de la politique de l’établissement relative à la protection des données personnelles.
Qu’est-ce que le RGPD ?
Le Règlement général sur la protection des données personnelles (RGPD) est le nouveau texte de référence dans l’Union européenne en matière de données personnelles. Il est applicable depuis le 25 mai 2018 et remplace la directive 95/46/CE de 1995 qui datait des débuts d’internet. Son objectif est d’établir un équilibre entre l’usage des données et le droit des personnes. Aujourd’hui, l’échange de données personnelles est nécessaire à l’activité économique et à l’action publique. Mais ces usages ne doivent pas se faire au détriment des personnes concernées. Le nouveau règlement européen prend en compte ces deux aspects.
Marque-t-il une révolution, comme on l’entend parfois ?
C’est plutôt une évolution. Bien sûr, le RGPD modifie l’approche en matière de données personnelles, mais les principes fondamentaux restent pour l’essentiel inchangés. L’alarmisme de certains est un peu surprenant : la CNIL et la loi Informatique et libertés existent depuis 40 ans !
Il y a toutefois des changements majeurs. Le régime de protection des données antérieur reposait en grande partie sur des formalités préalables : il fallait effectuer des déclarations ou des demandes d’autorisation auprès de la CNIL en amont du projet. Avec le règlement actuel, on passe à une logique de conformité continue et de responsabilité. Les acteurs doivent prendre en compte la protection des données personnelles dès la conception d’un projet et tout au long de sa vie. Cela inclut aussi les sous-traitants.
Ces acteurs doivent être capables de démontrer leur conformité aux principes de protection des données à tout moment, notamment en cas de contrôle par la CNIL. Cela suppose de développer des politiques de conformité. Concrètement, il faudra documenter ses activités, mettre en place et formaliser des procédures, réaliser des audits et utiliser des outils informatiques adaptés aux risques.
La disposition relative au « ciblage » a aussi beaucoup fait parler d’elle : les structures établies hors de l’UE devront respecter le RGPD dès qu’elles traiteront les données de résidents européens. Cela étend grandement le champ d’application du texte.
Pourquoi l’Inserm est-il particulièrement impacté ?
L’Inserm est impacté dans l’ensemble de ses activités : aussi bien administratives (contrat de travail, gestion de la paye…) que scientifiques. Dans son cœur de métier, l’Inserm est à la fois producteur et utilisateur de données personnelles de santé. Elles sont un matériau de base pour les chercheurs, notre plan stratégique leur accorde une place majeure. Elles représentent un potentiel de contribution à la santé individuelle et un puissant levier d’innovation scientifique. Pour concrétiser ce potentiel, nous travaillons au développement d’un écosystème qui facilite l’accès et l’exploitation scientifique de ces données.
Cela ne peut se faire que dans le respect du cadre éthique, réglementaire et de la confidentialité de ces données, qui sont dites « sensibles ». Cela suppose que les données personnelles soient exploitées avec la plus grande rigueur et grâce à des solutions de sécurité de haut niveau. C’est pourquoi l’Inserm a décidé de mettre en place une politique de protection des données personnelles fondée sur la confiance des chercheurs.
Où en est l’Inserm dans la mise en place du RGPD ?
L’Inserm se prépare depuis plusieurs mois. Nous avons identifié les différents chantiers du plan de mise en conformité, nous les priorisons et organisons leur réalisation en mode projet, avec des groupes de travail dédiés. Par exemple, un plan de conformité concernant les accès permanents de l’Inserm au Système national des données de santé (SNDS) est en cours de déploiement et devrait être finalisé à l’été.
De nombreux actions de sensibilisation et de formation ont été mises en place et d’autres sont programmées. Des séminaires d’information, avec des ateliers pratiques, vont être développés afin que chacun puisse comprendre les enjeux du Règlement et l’impact sur son activité. Un espace dédié au Délégué à la protection des données sera prochainement créé sur l’intranet de l’Inserm. Il permettra d’animer le réseau du délégué et de diffuser de façon régulière des documents utiles pour accompagner le personnel autour de ces sujets.
La conformité au RGPD est un chantier important et un sujet majeur pour les années à venir, mais il ne faut pas voir la date du 25 mai 2018 comme un couperet. La présidente de la CNIL a indiqué que la Commission contrôlera la mise en mouvement des organismes plutôt que leur complète conformité au RGPD. Sauf manquement grave ou mauvaise foi délibérée, la CNIL s’inscrira dans une démarche d’accompagnement pendant la première année. Elle développe d’ailleurs des outils qu’elle met à disposition sur son site et qu’il nous appartiendra d’adapter.
On parle parfois de « nouvelles normes pour la recherche », c’est-à-dire ?
Le RGPD est un texte général : il n’est propre ni à la santé, ni à la recherche. Il devra être articulé avec les autres textes européens relatifs à la recherche. Il devra aussi s’articuler avec le droit national de chaque pays, où certaines spécificités subsistent. Les États membres gardent d’importantes marges de manœuvres en ce qui concerne les données de santé, les données génétiques, le numéro d’identification nationale, ou les traitements de données à des fins de recherche scientifique.
En France, un projet de loi relatif à la protection des données personnelles a été discuté au Parlement pour adapter notre droit au RGPD. Quand il entrera en vigueur, il devra s’articuler avec le cadre national applicable à la recherche en santé. Je pense notamment aux dispositions issues de la loi de modernisation de notre système de santé (loi du 26 janvier 2016, qui créée le SNDS) et à la réglementation Jardé (relative aux recherches impliquant la personne humaine). Des autorisations préalables sont donc maintenues pour les recherches en santé.
Le RGPD ne supprime donc pas toutes les formalités ?
Le RGPD maintient l’obligation de notifier à la CNIL certains traitements : ceux « susceptibles d’engendrer un risque élevé » pour la vie privée. Une liste sera publiée par la CNIL pour préciser concrètement quels sont les traitements concernés.
En France, le législateur a également maintenu un régime d’autorisation préalable pour les recherches, études et évaluations dans le domaine de la santé. Il s’agit de procédures complexes qui contrastent avec l’esprit d’allègement porté par le RGPD. Toutefois, deux évolutions notables méritent d’être soulignées.
D’abord, le silence de la CNIL vaudra acceptation, à condition que l’avis antérieur des organismes compétents soit « expressément favorable ». Ensuite, les démarches à effectuer auprès de la CNIL vont, à terme, diminuer. Les normes de simplification homologuées par la CNIL devraient se multiplier, réduisant ainsi le nombre de démarches à réaliser.
Mais cela ne signifie pas que la charge administrative globale diminuera pour autant. Les acteurs devront tracer leurs démarches, et pouvoir démontrer à tout moment leur conformité aux méthodologies de références homologuées par la CNIL. Nous travaillons actuellement à fournir des outils qui permettront aux chercheurs d’attester de tout cela.
Cette nouvelle réglementation ne va-t-elle pas pénaliser la recherche ?
C’est une crainte que je souhaite dissiper. Le RGPD encourage à élaborer des codes de conduites sectoriels, construits avec les acteurs de terrain et fondés sur des retours d’expérience. L’objectif est de construire un droit effectif, qui emporte l’adhésion des acteurs.
L’ambition du régulateur est de bâtir un droit vivant, capable s’adapter à l’activité des chercheurs et de prendre en compte les évolutions scientifiques et techniques. L’Inserm a un rôle majeur à jouer dans ce processus. La communauté scientifique a une voix à faire entendre dans la construction des normes qui la concerne. Prenons deux exemples.
En 2016, des chercheurs nous ont alertés sur les difficultés qu’ils rencontraient pour réaliser des recherches sur les personnes mineures. Grâce à leur mobilisation, l’Inserm a coordonné les travaux qui ont conduit à la modification de la loi Informatique et libertés.
Autre exemple : aujourd’hui, la loi Informatique et libertés et la loi Jardé divergent concernant l’accord des personnes en cas de réutilisation secondaire de leurs échantillons biologiques à des fins d’analyse génétique. Cela conduit à des situations de blocage pour des recherches d’intérêt scientifique et thérapeutique. La mobilisation des chercheurs et des institutions concernées (dont l’Inserm) va permettre de réconcilier les deux lois et de faciliter le travail des chercheurs.
Par ailleurs, la CNIL mène des concertations auprès les acteurs de la recherche quand elle élabore des méthodologies de référence pour simplifier les procédures et encadrer les pratiques. Ces travaux sont alimentés par des contributions venant de notre institut et je veux remercier les chercheurs, les collègues et les nombreux experts mobilisés.
Il ne faut pas voir la conformité au RGPD comme une contrainte supplémentaire. C’est un moyen de nous interroger sur nos méthodes, nos pratiques et de favoriser une « conduite responsable de la recherche ». Les citoyens attendent de nos scientifiques une recherche de qualité, qui respecte leurs droits et la sécurité de leurs données. C’est une question de confiance, qui s’inscrit dans la continuité de nos structures dédiées à l’éthique ou l’intégrité scientifique.
Vous avez été nommé Déléguée à la protection des données, quelles sont vos missions ?
Le délégué à la protection des données (ou Data Potection Officer, DPO en anglais) succède au correspondant informatique et liberté. Sa fonction a toutefois une dimension plus politique et son périmètre est plus étendu. Le correspondant s’assurait de la conformité des traitements a priori. Il élaborait des dossiers de formalités auprès de la CNIL. Le délégué, lui, est chargé du pilotage stratégique en continu de la politique générale de protection des données. Il rend compte directement auprès du PDG.
En tant que déléguée, mon rôle va être d’organiser, en lien avec l’ensemble des acteurs concernés dans l’institut, la conformité de l’Inserm et de porter auprès de la CNIL les questions relatives à la recherche. Il ne s’agit pas de se substituer à l’existant, mais d’intervenir en appui, en facilitateur.
Cela passera par des actions de formation et une sensibilisation des personnels, mais aussi par le développement de synergies, d’outils et de procédures et par l’animation d’un réseau de référents. Je compte m’appuyer sur des relais de proximité à différents niveaux au sein de l’établissement.
L’enjeu est de faire redescendre l’information au plus proche des unités. Nous voulons leur fournir des outils pour aider à se mettre en conformité : grilles d’analyse, FAQ, réponses types, guides de bonnes pratiques, etc. Mais ces relais de proximité serviront aussi à permettre des remontées du terrain. Il doit y avoir un échange constant, pour que les outils et les normes puissent s’adapter aux besoins des agents. En un mot, mon rôle est de piloter et d’animer, en concertation constantes avec les directions métiers et en étant à l’écoute du terrain.
