Cyrille Dalmont, chercheur associé à l’Institut Thomas More spécialisé dans les enjeux liés à la souveraineté numérique et les enjeux éthiques du numérique, explique dans un article pour Marianne que la doctrine de la CNIL en matière de protection des données personnelles a fini par céder aux sirènes de la marchandisation des données de santé.

En délivrant à la fin du mois de mai une autorisation permettant la mise en place d’un traitement automatisé de données à caractère personnel de santé dans l’optique de la création d’un « entrepôt » de données (bases de données de santé multiples) par un consortium d’entreprises privées baptisé « Agoria Santé » (regroupant AstraZeneca, la start-up Impact Healthcare et Docapost, filiale de La Poste), la CNIL (Commission nationale de l’informatique et des libertés) a fait un choix qui, derrière des dehors techniques qui rebuteront la plupart des citoyens et des responsables politiques, accélère son changement de doctrine (notable depuis quelques temps) mais surtout acte la bascule définitive vers la marchandisation des données de santé dans notre pays.

Cette décision met en effet un terme à l’équilibre (plus ou moins bien) observé depuis la loi informatique et libertés de 1978. Cet équilibre entre libertés publiques, missions d’intérêt public et protection de la vie privée des Français mais permettant la recherche, l’innovation et le progrès technique, reposait essentiellement sur l’intérêt général et la non-marchandisation de données dites sensibles (maladies, traitements, incapacités, etc.). C’est donc désormais à une vision anglo-saxonne à caractère mercantiliste – pour laquelle, schématiquement, seul le profit des entreprises permet l’innovation – à laquelle la France se rallie en matière de santé. Les nombreuses questions éthiques et politiques posées ces dernières années par cette approche marchande de la santé (qu’on pense au scandale Facebook-Cambridge Analytica révélé en 2018) ne sont donc plus considérées comme un frein suffisant à l’extension du « business médical » en France.

La CNIL avait déjà engagé une profonde remise en cause de l’équilibre entre protection des libertés et régulation des échanges de données personnelles avec sa délibération du 7 octobre 2021, qui visait à permettre la création d’« entrepôts » (bases de données multiples) de données personnelles mais aussi la possible réutilisation de ces données dans l’hypothèse où ces entrepôts de santé correspondraient strictement au référentiel préétabli par ses soins dans le cadre de missions d’intérêt public.

Cette évolution donne raison à Guillaume Desgens-Pasanau et Eric Freyssinet qui remarquaient, dès 2009 dans leur livre L’identité à l’ère numérique qu’« au gré des évolutions technologiques et commerciales, la CNIL a dépassé son rôle de gardien des libertés publiques pour devenir plutôt une institution de régulation de marché ». Ce nouveau pas de la CNIL, qui permet donc à AstraZeneca (entreprise biopharmaceutique au passif judiciaire assez lourd), Impact Healthcare (start-up au capital de 9 000 euros… vous avez bien lu : 9 000 euros !) et Docapost (filiale de La Poste), de collecter, de traiter et de donner accès à des tiers à des données personnelles de santé « théoriquement anonymisées » marque l’achèvement de ce processus.

Il faut dire que les intérêts financiers en jeu sont tellement considérables que le domaine de la santé ne pouvait rester longtemps à l’écart de la tentation : en 2019, les dépenses courantes de santé représentaient près de 10% du PIB des États membres de l’Union européenne, soit environ 1 640 milliards d’euros. Gageons que de nombreux autres laboratoires et entreprises pharmaceutiques ne vont pas tarder à emboîter le pas à AstraZeneca…

Pour bien comprendre cette évolution, il faut revenir un peu en arrière. La question du traitement des données à caractère personnel est de longue date l’objet de divergences d’appréciation. En effet, si la France adopta une législation protectrice en 1978, l’OCDE fit le choix deux ans plus tard d’une vision plus mercantiliste (« Recommandation concernant les lignes directrices régissant la protection de la vie privée et les flux transfrontières de données de caractère personnel » du 23 septembre 1980). Et l’Union européenne lui emboîta le pas.

A son origine certes, la directive 95/46/CE, qui constitue le socle de l’ordonnancement juridique européen en matière de protection des données personnelles, se fondait sur l’article 100A du traité de Maastricht relatif à la liberté de circulation des marchandises, des services et des capitaux. Mais aujourd’hui la sémantique de la protection des « données personnelles » ne permet plus de dissimuler la marchandisation de plus en plus massive des données personnelles et (non-personnelles) voulue par la Commission. Elle souhaite en effet, comme le détaille sa « Stratégie européenne pour les données », orienter la politique numérique européenne vers cet objectif qui « doit permettre à l’Union européenne de devenir un acteur de premier plan dans une société axée sur les données. La création d’un marché unique des données permettra la libre circulation de ces dernières au sein de l’UE et entre les secteurs, dans l’intérêt des entreprises, des chercheurs et des administrations publiques ». La pandémie de Covid-19 a permis d’accélérer cette évolution puisque le 19 mars 2020, le Comité européen de la protection des données (CEPD) a levé l’interdiction sur l’échange et le traitement des informations personnelles des citoyens membres de l’UE, en indiquant que « le RGPD permettait aux autorités sanitaires compétentes de traiter les données personnelles dans le contexte d’une épidémie, conformément au droit national et dans les conditions qui y sont fixées ».

C’est cette évolution que la CNIL fait sienne avec cette autorisation au profit d’un consortium d’entreprises privées. Cette dernière ne laisse néanmoins pas d’être surprenante puisque la CNIL avait déjà autorisé la création de la Plateforme des données de santé (PDS), plus connue sous le nom de « Health Data Hub », visant à faciliter le partage des données de santé afin de favoriser la recherche dans le cadre d’un groupement d’intérêt public (GIP) et d’une mission d’intérêt générale.

On pourrait nous retorquer que cette initiative vise à contrer l’ambition des GAFAM américains et des BATX chinois qui collectent massivement des données de santé sous couvert d’outils et d’applications visant à améliorer sa santé ou ses performances physiques (Smartphones, IOT, GoogleFit, Samsung Health, Apple Fitness+, Zepp ) mais également avec la création ou le rachat de très nombreuses Health Tech (start-up médicales), dont la liste ne cesse de s’allonger (Calico, Verify, 1492, Google Venture VG, Health, Share Care, etc.). Dans l’absolue, la démarche du consortium « Agoria Santé » est la même. En réalité, elle est pire, car elle est trompeuse. Les GAFAM et les BATX ne dissimulent qu’artificiellement leur objectif (faire du business au travers de leurs activités de santé) et offrent dans la plupart des cas un service au consommateur en contrepartie de ses données. « Agoria Santé », elle, va valoriser et vendre à ses clients les données de santé des Français qu’elle aura collectées sans rien leur propose en retour. Et si de nouveaux traitements sont découverts grâce à ces données, les profits seront pour elle…

S’il était contestable quant au choix de Microsoft pour héberger les données des Français, le « Health Data Hub » avait au moins le mérite de viser un objectif de santé publique tout en assurant un traitement égalitaire quant à l’accès aux données et les garanties éthiques que doivent fournir les porteurs de projets souhaitant avoir accès à ces données. Ce n’est pas le cas pour « Agoria Santé », qu’il faut regarder comme un doublon mercantile du « Health Data Hub ». Doublon qui souhaite d’ailleurs coopérer avec lui afin d’avoir accès aux données de l’Assurance Maladie et enrichir ses propres données…

Cyrille Dalmont