Les clés de déchiffrement des feuilles de soins électroniques ne sont pas des documents administratifs communicables

Les instantanés

Événements, publications, actualités du cabinet

Les dernières actus


Les clés de déchiffrement des feuilles de soins électroniques ne sont pas des documents administratifs communicables

Les clés de déchiffrement des feuilles de soins électroniques ne sont pas des documents administratifs communicables

Le contentieux relatif à l’accès aux clés de déchiffrement des feuilles soins électroniques revient sur le devant de la scène après plusieurs années de contentieux divers et variés.

Celtipharm, devenue entretemps OpenHealth Company, est une société anonyme spécialisée dans la collecte et l’analyse des données de santé. Par une délibération en date du 8 septembre 2011, cette société a été autorisée par la CNIL à « mettre en œuvre un traitement ayant pour finalité la réalisation d’études épidémiologiques à partir de données issues des feuilles de soins électroniques anonymisées à bref délai ».

Il faut préciser que cette délibération de la CNIL a été contestée par une autre société devant le juge administratif. Le Conseil d’Etat a confirmé la légalité de cette délibération en précisant notamment que :

« pour la mise en oeuvre du traitement autorisé par la délibération attaquée, les données cryptées contenues dans les feuilles de soins électroniques sont appelées à être décryptées par la société Celtipharm au moyen de clés de déchiffrement fournies par le GIE Sésame-Vitale et insérées dans une  » boîte noire  » ; que, s’agissant des donnés identifiant les professionnels de santé, la délibération attaquée prévoit qu’il sera procédé à leur anonymisation par la société Celtipharm ; que si la société requérante soutient que la délibération attaquée serait illégale au motif que la CNIL ne pouvait autoriser le traitement en litige sans s’assurer au préalable des conditions dans lesquelles ces clés de déchiffrement seraient fournies à la société requérante, les conditions d’obtention de ces clés et les éventuelles difficultés rencontrées par la société Celtipharm pour ce faire sont sans incidence sur le respect, par la délibération attaquée, des dispositions de la loi du 6 janvier 1978 ; » (Conseil d’État, 10ème / 9ème SSR, 26/05/2014, 354903).

Afin de pouvoir mettre en œuvre cette autorisation, la société devait obtenir la communication des clés de déchiffrement des feuilles de soins électroniques par le GIE SESAM-Vitale créé en 1994 par les Caisses nationales d’assurance maladie, pour lui confier des taches de traitement de l’information.

Le GIE SESAM-Vitale a refusé la demande présentée par la société Celtipharm par une décision en date du 26 juin 2012. Cette décision avait été annulée par la Cour Administrative d’Appel de NANTES dans un arrêt rendu le 07 octobre 2016 en raison du défaut de compétence de son auteur.

Le GIE SESAM-Vitale, par le biais de son comité directeur, a donc adopté une nouvelle décision de refus de la demande de la société Celtipharm.

C’est l’arrêt de la CAA de NANTES rapporté qui rejette la demande en annulation de la société Celtipharm (CAA de NANTES, 4ème chambre, 05/10/2018, 17NT00869).

La Cour commence par préciser que la délibération de la CNIL ne lie pas le GIE SESAM-Vitale et n’entraine donc pas l’obligation pour ce dernier de fournir à la société les clés de déchiffrement. L’autorisation délivrée par la CNIL ne lie que le demandeur de cette autorisation qui doit par la suite s’assurer de disposer des autorisations nécessaires pour mettre en œuvre le traitement désiré.

Sur les trois motifs invoqués par le GIE pour rejeter la demande d’accès de la société aux clés de déchiffrement, le second nous parait particulièrement intéressant à discuter.

Le GIE affirmait que les documents sollicités par la société ne constituaient pas des documents administratifs communicables au sens de la loi du 17 juillet 1978. Il invoquait notamment le fait que la transmission des clés de déchiffrement donnerait à la société un accès aux données confidentielles contenues dans les feuilles de soins électroniques.

Celtipharm contestait en affirmant qu’une double anonymisation était prévue et organisée avec les organismes concentrateurs techniques.

La Cour valide l’argumentaire du GIE en précisant notamment que « la communication de telles données, en l’absence de toute garantie quant à leur complète anonymisation, est de nature à porter atteinte au secret de la vie privée et au secret médical ».

Elle considère qu’en l’absence de garanties portant sur l’anonymisation des données des feuilles de soins, l’exception prévue au II de l’article 6 de la loi du 17 juillet 1978 trouve à s’appliquer à ces données qui ne peuvent, dès lors, être qualifiées de documents administratifs.

Le II de l’article 6 de la loi n°78-753 du 17 juillet 1978, repris à l’article L.311-6 du Code des relations entre le public et l’administration, prévoit notamment que ne sont communicables qu’à l’intéressé les documents administratifs dont « la communication porterait atteinte à la protection de la vie privée, au secret médical et au secret en matière commerciale et industrielle ».

Une telle décision apparaît étonnante à plusieurs égards.

Tout d’abord, la délibération adoptée par la CNIL en 2011 imposait la mise en œuvre d’une double anonymisation pour les données d’identification du patient sur la base d’une clé secrète de type FOIN2. L’anonymisation des données était réalisée par les organismes concentrateurs techniques d’une part et par la société Celtipharm d’autre part, sans que jamais ces clés de chiffrement ne soient échangées entre les différents organismes.

La CNIL semblait donc penser qu’un tel mode d’anonymisation était suffisant.

Cet arrêt de la CAA de NANTES semble en outre avoir été adoptée en contradiction avec l’arrêt du Conseil d’Etat du 26 mai 2014 précité qui indiquait que :

« dès lors que ces données font l’objet d’une anonymisation irréversible, le traitement autorisé par la délibération attaquée ne saurait avoir pour effet de porter atteinte au secret professionnel et au respect de la vie privée des patients ; »

[…]

si la société requérante soutient que le traitement autorisé par la délibération qu’elle attaque est illégal en ce qu’il permettrait aux organismes concentrateurs techniques d’agir pour le compte de la société Celtipharm, l’anonymisation des données identifiant les patients et la transmission de ces données anonymisées ne peuvent être faites que sur instruction des pharmaciens d’officine participants, de même que la transmission des données cryptées identifiant les professionnels de santé aux fins d’anonymisation à bref délai par la société Celtipharm ; qu’il suit de là que le moyen tiré de la méconnaissance de l’article 35 de la loi de 1978 ne peut qu’être écarté ».

Ainsi, soit la CAA de NANTES considère que la double anonymisation prévue par la délibération de la CNIL n’est pas un moyen suffisant pour garantir la complète anonymisation des données des feuilles de soins électroniques, soit Celtipharm n’a pas apporté les éléments nécessaires pour justifier de sa capacité à répondre aux exigences de l’autorisation notamment pour assurer une double anonymisation des données confidentielles.

C’est cette deuxième réponse qui semble devoir être privilégiée et elle rejoindrait notamment le troisième point soulevé par le GIE sur l’absence de « boite noire » pour utiliser les clés de déchiffrement.

Ce point avait d’ailleurs été soulevé par le Conseil d’Etat qui indiquait l’importance de cette mesure pour assurer la sécurité des clés de déchiffrement fournies par le GIE.

Cela rejoint en outre les avis émis par la Commission d’accès aux documents administratifs qui a toujours considéré que le dispositif prévu par Celtipharm ne présentait pas les garanties nécessaires pour empêcher tout accès aux informations permettant d’identifier des patients.

La CADA ajoute que la demande de Celtipharm revient à disposer d’un accès aux à des documents administratifs non communicables à des tiers alors même que la société ne mettrait pas en œuvre les occultations irréversibles prévues par le Code des relations entre le public et l’administration.

La Cour semble donc retranscrire l’avis de la CADA en jugeant que les moyens d’anonymisation présentées par Celtipharm ne permettraient pas de garantir une complète anonymisation des données confidentielles.

Le raisonnement de la Cour est donc le suivant : donner un accès aux clés de déchiffrement donnerait à Celtipharm un accès potentiel aux données confidentielles contenues dans les feuilles de soins. La double anonymisation ne permettant pas de garantir la confidentialité des informations, les clés de déchiffrement ne peuvent être transmises à la société.

Cet arrêt nous apparaît contradictoire avec la décision rendue par le Conseil d’Etat sur la légalité de l’autorisation CNIL relative à ce traitement de données sauf à ce qu’il puisse être démontré que la société Celtipharm n’est pas en mesure de mettre en œuvre les prescriptions imposées par la CNIL dans sa délibération du 8 septembre 2011, ce que semble indiquer la Cour administrative d’appel de NANTES en l’espèce.

Mathieu GAUTIER, Avocat à la cour

Avec Delphine JAAFAR, Avocat Associé

Pour le département Santé