EXAMEN DES ARTICLES
____________
Article 1er
Instauration
d'une carte Vitale biométrique
Objet : Cet article prévoit l'instauration d'une carte Vitale biométrique et d'un traitement de données correspondant.
I - Le dispositif proposé
A. Un nouveau traitement de données
Le 3° du présent article complète l'article L. 161-31 du CSS par un paragraphe relatif à la nouvelle base de données mise en oeuvre pour la conservation de données biométriques .
Il prévoit la mise en oeuvre par le ministre chargé des affaires sociales d'un traitement de données à caractère personnel permettant l'enregistrement de l'image numérisée des empreintes digitales du titulaire. La base de données ainsi créée serait par ailleurs alimentée par des données relatives à l'identité, au sexe, à la taille et à la couleur des yeux, ainsi que par la photographie.
La consultation de cette base de données serait restreinte aux seuls agents désignés et habilités des organismes de sécurité sociale. Les données stockées seraient conservées pour une durée maximale de dix ans après la délivrance de la carte.
Les 1° et 2° opèrent en conséquence plusieurs coordinations, en précisant la nature biométrique de la carte alimentée par ces données.
B. Un régime juridique partiellement dérogatoire
1. L'application du droit commun en matière de protection de données
Le droit applicable à ce nouveau traitement de données est ensuite défini par plusieurs renvois à la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés 7 ( * ) (dite loi « LIL »).
Le paragraphe fait également mention des obligations qui s'imposeraient au responsable du traitement qui, outre celles résultant directement du RGPD, recouvrent :
- l'obligation de notification du titulaire en cas de rectification ou d'effacement des données stockées ;
- l'obligation d'assurer leur protection par des mesures techniques et organisationnelles appropriées ;
- l'obligation d'information de la Cnil et du titulaire intéressé en cas de violation de ses données personnelles ;
- enfin les obligations incombant éventuellement au sous-traitant en cas de délégation par le responsable de traitement de la gestion de la base de données.
Le paragraphe précise par ailleurs que les droits de la personne concernée recouvrent notamment :
- son droit à être informé de la destination et de l'usage des données collectées, étant néanmoins entendu que l'intéressé ne pourrait se prévaloir de ce droit dans le cas où la base de données créée servirait à contrôler la commission éventuelle d'une infraction ;
- son droit à accéder aux données collectées ;
- son droit de rectifier les données collectées ;
- son droit à limiter le traitement des données collectées, dans les cas où la personne contesterait leur exactitude et dans des délais permettant au responsable de traitement de procéder à leur vérification.
Le texte spécifie enfin que le nouveau traitement de données est pleinement intégré au champ de compétences de la Cnil, et qu'outre les mentions spécifiques évoquées précédemment, les régimes de droit commun d'obligations des responsables de traitements et de droits des personnes s'appliquent.
2. Deux exceptions au cadre fixé par le RGPD
Il est précisé que, par dérogation aux dispositions de la LIL telle que résultant de la transposition du RGPD, le titulaire des données biométriques stockées dans le nouveau traitement ne pourra pas se prévaloir d'un droit à l'effacement (« droit à l'oubli ») ni exercer de droit d'opposition .
En outre, et bien que le traitement visé par la présente proposition de loi soit susceptible d'engendrer un risque élevé pour les droits et libertés des titulaires des données biométriques, le texte prévoit la non-application des articles 62 et 63 de la LIL , qui obligent le responsable du traitement à :
- effectuer, préalablement à la mise en oeuvre du traitement, une analyse d'impact des opérations de traitement envisagées ;
- consulter la Cnil préalablement à la mise en oeuvre du traitement lorsqu'il ressort de cette analyse d'impact que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque. Cette disposition spécifique pose une difficulté au regard de l'application directe du RGPD.
II - La position de la commission
En cohérence avec la position précédemment exprimée, votre commission, favorable sur le principe à l'introduction d'un élément biométrique au sein de la carte Vitale, souhaite assurer l'articulation du dispositif proposé avec les expérimentations en cours de carte Vitale dématérialisée .
Par un amendement n° 1 , elle substitue au présent article 1 er un dispositif expérimental qui, pour une durée de douze mois, autorise des organismes gestionnaires de l'assurance maladie, qui seront désignés par décret, à délivrer une carte Vitale biométrique aux bénéficiaires qui leur sont rattachés.
Le pilotage, le suivi et l'évaluation de cette expérimentation seront confiés aux organismes d'assurance maladie ainsi qu'au GIE SESAM-Vitale.
Au moment de l'enrôlement, les bénéficiaires seront informés de la mise en place d'un traitement de données dédié et des modalités d'exercice des droits d'accès et de rectification prévues par la LIL.
Une disposition spécifique prévoit la procédure applicable en cas de perte ou de vol de la carte Vitale biométrique, qui, à l'instar de la carte Vitale actuelle, prévoit un signalement du titulaire à sa caisse d'affiliation, lui-même transmis au GIE SESAM-Vitale. Ce dernier en informera les professionnels de santé qui participent à l'expérimentation.
La fin du bénéfice des droits aux prestations d'assurance maladie entraîne par ailleurs l'impossibilité d'utiliser la carte Vitale biométrique.
Enfin, le dispositif prévoit la remise d'un rapport, deux mois avant la fin de l'expérimentation, faisant notamment état de l'évolution des chiffres de la fraude en obtention des droits dans le ressort des caisses désignées.
La commission a adopté cet article ainsi modifié.
Article 2
Entrée en vigueur
Objet : Cet article prévoit une entrée en vigueur de la présente proposition de loi un an après sa publication.
I - Le dispositif proposé
Le présent article 2 laisse un délai d'un an à compter de la publication de la présente proposition de loi pour la mise en oeuvre du nouveau traitement de données biométriques.
II - La position de la commission
En cohérence avec le dispositif adopté par votre commission à l'article 1 er , votre commission a supprimé, par un amendement n° 2 , le délai d'entrée en vigueur à un an.
La commission a supprimé cet article.
Article 3
Gage
Objet : Cet article gage les mesures contenues dans la présente proposition de loi susceptibles d'avoir un impact sur les finances publiques.
I - Le dispositif proposé
Le présent article 3 propose un gage financier, pour les collectivités territoriales, les organismes de sécurité sociale et l'État, des mesures contenues dans la présente proposition de loi susceptibles d'avoir un impact sur les finances publiques.
II - La position de la commission
La commission a adopté cet article sans modification.
* 7 Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.