Par une requête en date du 23 octobre 2014, la société Celtipharm demande au Conseil d’Etat, d’une part, d’annuler pour excès de pouvoir la décision implicite de rejet du ministre de la santé sur sa demande tendant à l’abrogation de l’arrêté du 19 juillet 2013 relatif à la mise en œuvre du Système national d’information interrégimes de l’assurance maladie (SNIIRAM) ; et d’autre part, d’enjoindre au ministre de la santé d’abroger cet arrêté.
Les dispositions contestées par Celtipharm sont issues du 3° du III de l’article 4 de l’arrêté, en vertu duquel « le traitement des informations énumérées à l’article 3 [i.e. les informations nécessaires à l’établissement du SNIIRAM] demandé par tout autre organisme de recherche, des universités, écoles ou autres structures d’enseignement liés à la recherche que ceux mentionnés au paragraphe précédent est soumis à l’approbation du bureau de l’Institut des données de santé. Aucun organisme de recherche, université, école ou autre structure d’enseignement lié à la recherche poursuivant un but lucratif ne peut accéder aux informations de l’article 3 ».
En premier lieu, dans sa décision du 20 mai 2016 (1ère / 6ème chambres réunies, 20/05/2016, n°385305), le Conseil d’Etat rappelle qu’aucun texte législatif ou règlementaire « ne donne compétence [au ministre de la santé] pour déterminer les organismes de recherche ou d’enseignement pouvant accéder aux données du SNIIRAM », et retient que les dispositions du 3° du III de l’article 4 de l’arrêté sont entachées d’incompétence.
En second lieu, le Conseil d’Etat rappelle que, « si elles soumettent à l’autorisation de la CNIL (…) la communication des données susceptibles de permettre une identification [des personnes concernées] », les dispositions du 3° du III de l’article 4 de l’arrêté « n’excluent pas qu’une personne poursuivant un but lucratif puisse bénéficier d’une autorisation dès lors que toutes les conditions en seraient remplies ».
Les juges du Palais-Royal considèrent qu’ « en prévoyant que les organismes de recherche, universités, écoles ou autres structures d’enseignement liées à la recherche poursuivant un but lucratif ne pourraient accéder aux informations mentionnées à son article 3, l’arrêté du 19 juillet 2013 a ajouté une condition non prévue par la loi ».
Le Conseil d’Etat fait ici une application stricte de la hiérarchie des normes (la loi étant supérieure à l’arrêté, celui-ci doit la respecter), et retient que les dispositions du 3° du III de l’article 4 de l’arrêté sont entachées d’illégalité.
La juridiction suprême fait droit à la requête de la société Celtipharm, annule la décision implicite de rejet du ministre de la santé et enjoint à celui-ci d’abroger, dans un délai de quatre mois, les dispositions du 3° du III de l’article 4 de l’arrêté du 19 juillet 2013.
Le Conseil d’Etat se prononce donc clairement en faveur de l’ouverture des données du SNIIRAM. Il confirme ici la position adoptée dans un autre arrêt Celtipharm du 26 mai 2014 (Conseil d’Etat, 10ème / 9ème SSR, 26/05/2014, n°354903), dans lequel ont été jugées légales les autorisations de la CNIL pour exploiter les feuilles de soins électroniques anonymisées circulant entre les pharmacies et les organismes d’assurance maladie.
A travers ces différentes jurisprudences, le Conseil d’Etat s’inscrit dans une mouvance générale favorable à l’ « open data ». C’est aussi dans ce sens que se prononce la [Cour des comptes dans son rapport du 3 mai 2016 –> https://www.ccomptes.fr/Actualites/A-la-une/Les-donnees-personnelles-de-sante-gerees-par-l-assurance-maladie]. La juridiction financière de l’ordre administratif appelle à une libération contrôlée des données de santé détenues par l’assurance maladie.
La Cour des comptes rappelle à ce titre que le SNIIRAM est « une base exceptionnelle par son exhaustivité, sa richesse et sa finesse d’informations », source de « potentialités considérables en matière de santé publique ». Mais elle estime que cette base est sous-exploitée au vu des enjeux sanitaires de notre pays, son utilisation étant « insuffisante » et « hétérogène » selon les régions.
La juridiction financière considère que « loin du jeu actuel complexe de dérogations à un principe général d’interdiction de traitement des données du SNIIRAM, le principe qui prévaut pour le système national des données de santé est celui d’une mise à disposition des données ». Elle encourage donc l’intensification de l’utilisation de ces bases de données et son exploitation accrue par les pouvoirs publics.
Mais l’ouverture des données de santé étant intrinsèquement liée à un « risque d’atteinte à la protection de la vie privée et au secret médical » des personnes concernées, la Cour des comptes appelle à la plus grande prudence et à la mise en place de mécanismes permettant de contrôler l’utilisation de ces données a posteriori, en plus des autorisations déjà exigées a priori.
