La CNIL sert-elle encore à quelque chose ?

La CNIL est née en 1978, à la suite du tristement célèbre projet SAFARI, qui ne visait rien moins que tous nous ficher, classer, estampiller et ranger nos fiches dans des cartons sur les étagères de l'administration. La page consacrée à cet épisode sur le site Wikipedia est très bien détaillée et cela fait froid dans le dos. Que l'idée de ficher et corréler toutes les données soit née dans quelque esprit bureaucratique n'étonne personne en fait tant on retrouve là le délire habituel des décideurs : pouvoir, en appuyant sur un seul bouton, avoir accès à toutes les données d'un individu - salaires, impôts, santé, contraventions, etc.

37 ans plus tard, la donne a changé : l'informatique est partout, les citoyens se fichent eux-mêmes (Facebook), la capacité de traitement est sans commune mesure et il suffit de savoir que Google a été capable, lors de l'épidémie de grippe H1N1, de prévoir l'avancée de la maladie avant l'OMS juste en analysant les requêtes de recherche dans son moteur web pour mesurer ce qui nous attend. Dans le monde de la santé, nous faisons actuellement face à plusieurs problèmes qui démontrent clairement la limite de la CNIL – ou son impuissance, c'est selon.

Tout d'abord, de cloisonnés les SIH deviennent ultra connectés. Qu'un établissement puisse envoyer une image de scanner d'un patient à un autre établissement pour avis médical, tout le monde applaudit : lutte contre la désertification de certaines professions ou régions, travail en commun pour le bien du patient, etc. Qu'un établissement envoie ses RUM et RSS pour optimisation du codage PMSI à une société privée, là on rigole moins. Qu'un autre établissement envoie des comptes-rendus sous format mp3 à une entreprise offshore francophone pour externaliser la frappe, là c'est pire puisque tout le monde fait semblant de ne pas voir. La CNIL a bien montré les dents au début, mais depuis silence radio. Certes la future loi de santé 2015 va étendre le périmètre du SIH en étendant celui de la personnalité juridique du traitant (l'hôpital), mais le « dehors » du SIH existera toujours, il faudra toujours connecter, échanger, etc.

Enfin, il faut avoir le courage de le reconnaître, les principaux manquements (pour rester polis) à la CNIL ne sont pas à chercher dans les traitements non déclarés. A peu d'exceptions, tous les établissements déclarent leurs traitements, et si l'un d'eux est passé au travers la plupart du temps il s'agit d'un oubli en toute bonne foi. Non, le principal manquement, au moins dans les CHU, concerne les acteurs au sein des traitements : si une donnée de santé est réservée à l'équipe médicale qui prend en charge, alors dès que les équipes de recherche accèdent à cette donnée il faudrait crypter l'identité – ce que personne ne fait jamais. Pire encore, les stagiaires, qui accèdent aux données médicales nominatives – et qui ne sont Ô grand jamais mentionnés dans les déclarations. Pire du pire, les stagiaires des entités extérieures mis à disposition de l'établissement, et qui accèdent aussi aux même données. Et dans ces cas spécifiques, à moins de savoir précisément où chercher les contrôles CNIL ne peuvent débusquer ce type de déviance et on pourrait à loisir multiplier les cas d'usage.

Il est question de modifier les statuts de cette institution, et de supprimer la notion même de déclaration. La CNIL se concentrerait alors sur les contrôles, et seule serait examinée la conformité à la loi. Ce serait une bonne chose en soit – surtout si les amendes passent d'un mode de calcul forfaitaire à un pourcentage du chiffre d'affaire – mais encore faudra-t-il que des amendes soient vraiment prononcées. Bref, nous sommes certainement au début d'une grande mutation en la matière et nul ne sait si la notion de données personnelles subsistera, sous sa forme actuelle, dans les dix prochaines années où si les citoyens devront développer individuellement des capacités « furtives » pour échapper au fichage – mais cela est une autre histoire.