Avis 20154412 Séance du 18/02/2016

Monsieur X, pour la société X, a saisi la commission d'accès aux documents administratifs, par courrier enregistré à son secrétariat le 8 septembre 2015, à la suite du refus opposé par le directeur du groupement d'intérêt économique (GIE) « SESAM-Vitale » à sa demande de communication d'une copie des clés de déchiffrement destinées à chiffrer et déchiffrer les codes des médicaments figurant dans les feuilles de soins électroniques. La société X propose de confiner ces clefs dans un dispositif matériel dédié assurant leur confidentialité, et fait valoir que la CNIL l'a autorisée à mettre en œuvre un traitement de données à caractère personnel ayant pour finalité la réutilisation d'études pharmaco-épidémiologiques à partir de données issues des feuilles de soins électroniques anonymisées à brefs délais. La commission rappelle que les dispositions de l'article L311-6 du code des relations entre le public et l'administration prohibent la communication à des tiers de documents dont la divulgation porterait atteinte à la protection de la vie privée et au secret médical, tels que des feuilles de soins permettant d'identifier les patients. Elle constate que si la demande de la société X ne tend pas à ce que lui soit donné un accès direct aux clés de déchiffrement permettant la lecture des données nominatives contenues dans les feuilles de soins électroniques dont elle souhaite réutiliser les autres informations, cette réserve repose tout entière sur la fiabilité d'une boîte noire qui lui serait remise par le GIE SESAM-Vitale. Si la société X soutient qu'il existerait des dispositifs de ce type sur le marché, il ne ressort pas des informations portées à la connaissance de la commission que ces dispositifs présenteraient le niveau de sécurité nécessaire pour empêcher tout accès aux informations permettant d'identifier des patients. Il résulte au contraire d'un avis du directeur général de l'agence nationale de la sécurité des systèmes d'information (ANSSI) en date du 16 décembre 2015 que le dispositif envisagé par la société X laisse entier le risque d'un accès aux données d'identification des feuilles de soins hors du boîtier de sécurité envisagé. La commission souligne au demeurant que le droit d'accès aux documents administratifs garanti par le titre Ier du livre III du code des relations entre le public et l'administration ne confère aux demandeurs ni un droit, lorsque le document sollicité leur est communicable, à ce que l'administration procède à cette communication selon d'autres modalités que celles qui sont énumérées à l'article L311-9 de ce code, dans lesquelles n'entrent pas celles que propose la société X, ni un droit, lorsque le document n'est pas communicable aux tiers, notamment dans le cas où sa communication porterait atteinte au respect de la vie privée ou au secret médical, à ce que l'administration mette sur pied des procédures ou des dispositifs, autres que les occultations irréversibles prévues à l'article L311-7, destinés à ce que le document soit remis au demandeur sans qu'il puisse en prendre connaissance, du type de celui que propose la société X. La commission ne peut donc que réitérer l'avis défavorable qu'elle a déjà émis le 6 décembre 2012 sur la précédente demande de la société X tendant aux mêmes fins (avis n° 20123985).