Petit thread (fatigué) sur les avis de la CNIL

Un fil Twitter de Jean-Marc Manach (@manhack) :

#JORF – Avis @CNIL sur les projets de décrets :

Petit #thread (fatigué) sur les avis de la @CNIL :

En 1978, le Parlement adoptait la loi informatique et libertés portant création de la CNIL, dont les avis faisaient autorité, et devaient être suivis ("avis conformes") par le gouvernement.

En 2004, le Parlement transposait une Directive européenne et adoptait une refonte de ladite loi informatique et libertés, particulièrement originale : s’il ne la respecte pas, l’État ne risque pratiquement rien.

Par exemple, s’il veut créer de nouveaux fichiers régaliens policiers ou de santé, le gouvernement devait toujours, certes, demander son avis à la Cnil.
Mais il n’était plus obligé d’en tenir compte…
Depuis 2004, les avis de la @CNIL ne sont plus que "consultatifs". #FAIL

Cette même CNIL avait, cela dit, en contrepartie, gagné la possibilité de pouvoir infliger des amendes aux contrevenants.
Sauf à l’État.
Le tout avec, comme rapporteur au Sénat, celui qui, à l’époque, était aussi le président de… la @CNIL

Cela fait donc des années que je tente de comparer les avis de la CNIL sur les "projets de décrets" avec les décrets tels qu’ils sont finalement publiés par le gouvernement.
Minus le fait qu’ils ne sont parfois pas publiés ou, comme en l’espèce avec le DMP, avec retard (non expliqué).

Ni la CNIL ni le gouvernement ne rendent en effet publics les éléments pointés du doigt par la 1ère et qui ont (ou pas) été pris en compte par le 2nd.
Et comme ils sont tous deux écrits par et pour des juristes (ce que je ne suis pas),
Et dans une mise en page pas du tout ergonomique #JORF…

Exemple : le décret relatif au dossier médical partagé avait été publié au #JORF le 4 août dernier, mais pas l’avis de la CNIL, qui ne l’a donc été que ce jour (voir plus haut, et encore merci @rabenou !-).

Le décret dispose que lorsque le titulaire d’un DMP créé avant le 1er janvier 2022 s’oppose à la création de son espace numérique en santé (ENS, qui vise à faciliter l’accès et la gestion des données de santé aux patients et aux professions médicales), son DMP reste ouvert pendant une période transitoire d’un an à compter du 1er janvier 2022.
Mais également, et étrangement, que « Pendant cette période transitoire, le titulaire ne peut pas accéder directement à son dossier médical partagé. »

De plus, « Seuls les professionnels dûment habilités conservent la possibilité d’intégrer des données dans le dossier, de le consulter, dans les conditions définies par le code de la santé publique » (CSP).

Or, l’avis de la CNIL estimait que le projet de décret était « contraire aux dispositions de l’article L. 1111-19 » du CSP qui permet d’accéder à son DMP, à la liste des professionnels qui y ont accès, ainsi qu’aux traces d’accès à son dossier.

Selon le ministère, des raisons budgétaires ne permettent pas de maintenir une interface « permettant à ce titulaire d’accéder directement à son DMP »… #WTF
Le titulaire « pourra néanmoins accéder au contenu du DMP par l’intermédiaire d’un professionnel de santé »… #WTFbis

La @CNIL n’a donc pas été entendue.
Elle relevait en outre que le dispositif n’est pas conforme aux dispositions de l’article L. 1111-14 du CSP qui prévoient qu’« à l’issue de cette période transitoire, l’espace numérique de santé est ouvert automatiquement, sauf confirmation de l’opposition de la personne ou de son représentant légal. Cette nouvelle opposition donne lieu à la clôture du dossier médical partagé ».

Il en résulte qu’en l’absence de confirmation de l’opposition à l’ouverture de l’ENS, celui-ci sera automatiquement ouvert, entraînant ainsi le maintien du DMP préexistant.
Vous avez compris ? Moi, non, enfin pas vraiment.

La CNIL demandait « donc que le projet de décret soit modifié afin de prévoir que la clôture du DMP n’interviendra qu’en cas de nouvelle opposition à l’ouverture de l’ENS. »

En l’espèce, le décret dispose que « Dans un délai de deux mois précédant la fin de cette période transitoire, et au plus tard le 31 décembre 2022, le titulaire du dossier médical partagé est informé, selon les mêmes modalités que celles relatives à l’ouverture de l’ENS, que la confirmation de son opposition à la création de son espace numérique de santé entraînera la clôture de son dossier médical partagé. »
La CNIL aurait donc (si j’ai bien compris, je ne suis pas juriste) été entendue sur ce point-là.

Sauf que la conclusion de l’avis de la CNIL #fatigue :
« En l’absence d’informations concernant la mise en œuvre du traitement envisagé et la sécurité des données traitées, la Commission n’est pas en mesure de vérifier la conformité du traitement au RGPD, et prend acte de ce que le ministère a prévu de lui adresser des demandes de conseil sur ces questions. »
Et là, ben… on ne sait pas, l’avis de la CNIL sur le projet de décret, pas plus que le décret finalement publié, ne revenant sur ces "demandes de conseil" et questions.

Tout juste apprend-on que « La Commission prend acte de ce que l’Analyse d’impact relative à la protection des données qui lui sera transmise sera mise à jour au fur et à mesure de l’avancement du projet, et souhaite en être destinataire avant chaque jalon de déploiement. »

En l’état, je ne peux donc guère écrire d’article (je suis journaliste) sur ce décret DMP, faute de lisibilité ; et ce, sans parler de la complexité du droit en la matière, non plus que du volume croissant de systèmes d’informat(isat)ion des données de santé…

Et je suis fatigué de devoir comparer les avis de la @CNIL sur les "projets de décret" avec ceux qui sont finalement publiés par le gouvernement, alors qu’il y a forcément des gens, de part et d’autres, qui font le job et qui pourraient le rendre public, en termes de transparence.

Ce qui, in fine, ne pourrait que contribuer à renforcer la confiance dans nos institutions, alors que le gouvernement n’a de cesse d’ètre accusé d’en faire trop (ou pas assez) sur ces questions, et que la @CNIL est elle aussi accusée d’en faire trop (ou pas assez), alors qu’en fait on n’en sait trop rien, faute pour les gens qui s’y connaissent un tantinet sur ces questions de comprendre ce qui est fait (ou pas), le diable se nichant souvent dans les petits détails…
Et j’essaierai de mettre ce #thread à jour, si possible.

Et ce, d’autant qu’on croule sous l’ultracrépidarianisme (comportement consistant à donner son avis sur des sujets à propos desquels on n’a pas de compétence crédible ou démontrée) et l’effet Dunning-Kruger, ce biais cognitif controversé par lequel les moins qualifiés dans un domaine pourraient surestimer leur compétence.

Je ne sais pas combien de dizaines (de dizaines ?) d’heures j’ai pu passer, depuis… 17 ans maintenant, à comparer les avis de la CNIL sur les projets de décret aux décrets publiés.
Pour, dans la majorité des cas, ne rien pouvoir en faire… #FAIL

C’est d’autant plus déplorable que je suis conscient du fait que, de part et d’autre, tant du côté du gouvernement que de la CNIL, il y a des gens, (hauts) fonctionnaires et juristes qui tentent de service l’intérêt général… mais sans être audibles, ni compris.

Au final, on en arrive à une telle absence de lisibilité que ce qui ressort, ce qui reste, c’est une vision caricaturale et biaisée en mode :

  • le gouvernement nous enfume
  • la CNIL ne sert à rien

… alors que ben non en fait, le monde n’est pas en N/B
#NousSachons
#FacePalm

Leave a Reply


quatre + = treize


css.php