le traitement des donnees de sante
TRANSCRIPT
LES DOSSIERS TECHNIQUES
LE TRAITEMENT DES
DONNEES DE SANTE
Avril 2019
CLUB DE LA SECURITE DE LâINFORMATION FRANĂAIS
11 rue de Mogador - 75009 Paris
TĂ©l. : +33 1 53 25 08 80 â [email protected] â https://clusif.fr
2/69 Le traitement des données de santé © CLUSIF 2019
Lâarticle L. 122-5 de la propriĂ©tĂ© intellectuelle nâautorisant pas les reprĂ©sentations ou reproduction intĂ©grale, ou partielle,
faite sans le consentement de lâauteur ou de lâayant droit ou ayant cause, sauf exception stricte (« copies ou reproductions
rĂ©alisĂ©es Ă partir dâune source licite et strictement rĂ©servĂ©es Ă lâusage privĂ© du copiste et non destinĂ©es Ă une utilisation
collective », analyses et les courtes citations dans un but dâexemple et dâillustration, etc.), toute reprĂ©sentation ou
reproduction, par quelque procédé que ce soit du présent document sans autorisation préalable du CLUSIF constituerait une
contrefaçon sanctionnée par les articles L. 335-2 et suivants du Code de la propriété intellectuelle.
3/69 Le traitement des données de santé © CLUSIF 2019
Table des matiĂšres
I. Introduction ........................................................................................................................... 6
I.1. Description du sujet ....................................................................................................... 6
I.2. Objectifs du document .................................................................................................. 7
I.3. A qui sâadresse ce document ? ...................................................................................... 7
II. Le traitement des données de santé ..................................................................................... 8
II.1. Un usage encadré .......................................................................................................... 9
II.2. Les utilisations interdites ............................................................................................. 13
II.3. La communication des données de santé ................................................................... 14
III. Données de santé : comment informer ? ........................................................................ 17
III.1. Qui doit informer ? ...................................................................................................... 17
III.2. Quelle est la nature de lâinformation ? ........................................................................ 17
III.3. Quelle information doit ĂȘtre dĂ©livrĂ©e ? ....................................................................... 17
III.4. Le responsable de traitement peut-il ĂȘtre dispensĂ© de son obligation dâinformation ?
19
III.5. Quelle est la forme de lâinformation ? ......................................................................... 20
III.6. Comment informer si la personne est mineure ? ........................................................ 21
IV. Les recherches dans le domaine de la santé ................................................................... 22
IV.1. Des modalités adaptées aux enjeux de la recherche scientifique ............................... 23
IV.2. Etudes internes (avec les données des seuls patients dont les professionnels assurent
la prise en charge) ................................................................................................................... 25
IV.3. Recherches multicentriques ou appariement entre plusieurs bases de données ...... 25
IV.4. Modification des recherches ....................................................................................... 27
V. Le systÚme national des données de santé (SNDS) ............................................................ 29
V.1. DĂ©finitions .................................................................................................................... 30
V.2. Quels accÚs aux données du SNDS .............................................................................. 31
V.3. Qui peut utiliser les donnĂ©es du SNDS et comment peut-on en demander lâaccĂšs ? . 32
V.4. Quelles sont les mesures de sécurité à mettre en place ? .......................................... 35
VI. Health Data Hub â La Plateforme de donnĂ©es de santĂ© ................................................. 37
VI.1. Rappel du contexte ...................................................................................................... 37
VI.2. Bilan de la mission de préfiguration ............................................................................ 38
VI.3. Un nouvel accÚs aux données de santé ....................................................................... 38
4/69 Le traitement des données de santé © CLUSIF 2019
VI.4. Projet de loi â CrĂ©ation dâun guichet unique dâaccĂšs aux donnĂ©es ............................ 41
VI.5. Projet de loi â Enrichissement des bases de donnĂ©es du SNDS .................................. 43
VII. LâhĂ©bergement des donnĂ©es de santĂ© ............................................................................ 46
VII.1. DĂ©finition .................................................................................................................. 46
VII.2. Evolution du cadre législatif ..................................................................................... 46
VII.3. Champs dâapplication de lâhĂ©bergement ................................................................. 48
VII.4. Contenu du contrat dâhĂ©bergement ........................................................................ 48
VII.5. Procédure de certification ........................................................................................ 49
VII.6. Les principaux objectifs de sécurité ......................................................................... 50
VII.7. Information des personnes ...................................................................................... 51
VIII. Le NIR dans les traitements de données de santé .......................................................... 52
VIII.1. Utilisation du NIR (numĂ©ro dâinscription au rĂ©pertoire national dâidentification des
personnes physiques) ............................................................................................................. 52
VIII.2. Lâobligation dâutiliser le NIR comme identifiant national de santĂ© ......................... 54
VIII.3. Lâutilisation du NIR dans le cadre de projets de recherche ..................................... 57
IX. Echanges informatisés de données de santé .................................................................. 58
IX.1. Messagerie sécurisée de santé .................................................................................... 58
IX.2. Le dossier médical partagé (DMP) ............................................................................... 59
IX.3. Le dossier pharmaceutique (DP) .................................................................................. 61
X. Les données génétiques ...................................................................................................... 62
X.1. DĂ©finition ..................................................................................................................... 62
X.2. Des données particuliÚrement protégées par la loi .................................................... 62
X.3. Le statut particulier des données génétiques ............................................................. 63
X.4. Lâencadrement du traitement des donnĂ©es gĂ©nĂ©tiques ............................................. 63
X.5. Données génétiques et anonymisation ....................................................................... 64
X.6. Information et consentement ..................................................................................... 64
Annexe I - Glossaire .................................................................................................................... 66
Annexe II â Tableau de concordance LIL .................................................................................... 68
5/69 Le traitement des données de santé © CLUSIF 2019
Remerciements
Le CLUSIF tient à mettre ici à l'honneur les personnes qui ont rendu possible la réalisation de ce
document, tout particuliĂšrement :
Le responsable du groupe de travail :
Thomas VAN DEN HEUVEL Agence de la biomédecine
Les contributeurs :
Patrick BLUM ESSEC Business School
Afaf FAFI CONIX
Fabrice IDIER Conseil départemental de la Seine Saint-Denis
Thierry MATUSIAK IBM France
Le CLUSIF remercie également les adhérents ayant participé à la relecture.
6/69 Le traitement des données de santé © CLUSIF 2019
I. Introduction
I.1. Description du sujet
Les dispositions européennes sur la protection des données, qui visent à rendre aux citoyens le contrÎle
de leurs données personnelles et à créer un niveau élevé et uniforme de protection à travers l'Union
européenne, sont intégrées dans le rÚglement européen du 27 avril 20161. Elles sont applicables depuis
le 25 mai 2018 dans tous les pays membres. Le rÚglement remplace les diverses législations nationales
actuelles par un ensemble de rÚgles uniques qui ont pour objectif de faciliter la circulation des données
au sein de lâUnion europĂ©enne tout en renforçant les droits des citoyens et en leur donnant plus de
contrÎle sur leurs données personnelles.
Les Ătats membres conservent toutefois la possibilitĂ© de prĂ©voir des dispositions spĂ©cifiques pour
compléter le rÚglement (RGPD, cons. 82). La France a ainsi choisi de faire évoluer la loi Informatique et
Libertés afin de préciser certains des 57 renvois possibles prévus dans le rÚglement.
Câest particuliĂšrement vrai pour le traitement des donnĂ©es de santĂ©.
Les données relatives à la santé sont considérées par le rÚglement européen (RGPD, Art. 9) et la loi
Informatique et Libertés (LIL, Art. 63) comme une catégorie de données sensibles (ou catégorie particuliÚre
de données, selon la définition du rÚglement) dont la collecte et le traitement sont par principe interdits4,
de nombreuses exceptions étant par ailleurs prévues (LIL, Art. 44).
Une fois la qualification de données de santé retenue, un régime juridique particulier justifié par la
sensibilitĂ© des donnĂ©es sâapplique. Le traitement de ces donnĂ©es, quâil soit mis en Ćuvre par une entitĂ©
publique ou privée, est ainsi étroitement encadré et soumis au respect de rÚgles contraignantes. Les
donnĂ©es de santĂ© ne peuvent ĂȘtre utilisĂ©es et communiquĂ©es que dans des conditions dĂ©terminĂ©es par
la loi et notamment dans lâintĂ©rĂȘt des patients (assurer le suivi mĂ©dical, faciliter leur prise en charge par
lâassurance maladieâŠ) ou pour des besoins de santĂ© publique.
Outre le rÚglement européen et la loi Informatique et Libertés précités, de nombreux textes ont
également introduit des dispositions juridiques (code de la santé publique, code de la sécurité sociale,
rĂ©fĂ©rentiel de sĂ©curitĂ©, politique gĂ©nĂ©rale de sĂ©curitĂ© des systĂšmes dâinformationâŠ) sur le recueil et
lâutilisation des donnĂ©es de santĂ©, rendant complexes la comprĂ©hension du rĂ©gime juridique applicable
et donc le traitement de ces données.
1 RĂšglement (UE) 2016/679 du Parlement et du Conseil du 27 avril 2016 relatif Ă la protection des personnes physiques Ă lâĂ©gard du traitement des donnĂ©es Ă caractĂšre personnel et Ă la libre circulation de ces donnĂ©es, et abrogeant la directive 95/46/CE (rĂšglement gĂ©nĂ©ral sur la protection des donnĂ©es), JOUE L119/1 du 4 mai 2016. Voir aussi https://www.cnil.fr/fr/reglement-europeen-protection-donnees 2 Lorsque le prĂ©sent rĂšglement dispose que le droit d'un Ătat membre peut apporter des prĂ©cisions ou des limitations aux rĂšgles qu'il prĂ©voit, les Ătats membres peuvent intĂ©grer des Ă©lĂ©ments du prĂ©sent rĂšglement dans leur droit dans la mesure nĂ©cessaire pour garantir la cohĂ©rence et pour rendre les dispositions nationales comprĂ©hensibles pour les personnes auxquelles elles s'appliquent. 3 Les rĂ©fĂ©rences aux articles issues de la loi Informatique et LibertĂ©s sont celles mentionnĂ©es dans lâordonnance 2018-1125 du 12 dĂ©cembre 2018, prise en application de la loi 2018-493 du 20 juin 2018 (LIL modifiĂ©e). Voir en annexe le tableau de concordance entre lâancienne et la nouvelle numĂ©rotation. 4 La notion de donnĂ©e sensible nâest explicite que dans les considĂ©rants du rĂšglement (RGPD, C10 et 51 notamment). Le rĂšglement les
mentionne sous les termes de catégories particuliÚres de données à caractÚre personnel et de données relatives aux condamnations pénales et
infractions (RGPD, Art.9 et 10). Le G29 (remplacé par le CEPD4) évoque la notion de données à caractÚre hautement personnel. Il y a parfois
confusion entre les données qui sont sensibles pour une organisation et le régime juridique des données sensibles, au sens de la loi française.
7/69 Le traitement des données de santé © CLUSIF 2019
I.2. Objectifs du document
Pour ces raisons, le présent document a pour objectif de permettre à toute personne amenée à traiter
des donnĂ©es de santĂ© dâapprĂ©hender, de maniĂšre pragmatique et accessible, la multiplicitĂ© et les
spécificités des exigences légales et réglementaires applicables dans ce domaine.
Ce document est une déclinaison sectorielle de la série de fiches thématiques (FAQ) mise à disposition du
CLUSIF visant à expliciter les grandes notions du rÚglement européen et à apporter des réponses
concrÚtes dans le traitement des données à caractÚre personnel.
Sous forme de fiches pratiques, il contient les premiers éléments de réponse sur une thématique définie
afin de permettre dâidentifier les principales questions juridiques liĂ©es au traitement des donnĂ©es de santĂ©
et acquérir ainsi les bons réflexes en matiÚre de gestion des exigences légales et réglementaires.
Il a pour ambition de fournir les clefs de lecture du cadre juridique applicable dans ce domaine en matiĂšre
de sĂ©curitĂ© de lâinformation et de dĂ©livrer les points de vigilance affĂ©rents. Mais ce document ne prĂ©tend
pas Ă lâexhaustivitĂ© et ne dispense pas de recourir Ă un conseil juridique spĂ©cialisĂ©, quâil soit interne ou
externe Ă lâorganisme.
I.3. A qui sâadresse ce document ?
Le document sâadresse Ă tout organisme, privĂ© ou public, amenĂ© Ă recueillir et exploiter des donnĂ©es de
santé dans le cadre de leur activité, à des fins médicales ou de recherche scientifique.
8/69 Le traitement des données de santé © CLUSIF 2019
II. Le traitement des données de santé
Les données relatives à la santé sont considérées par le rÚglement européen (RGPD, Art. 9) et la loi
Informatique et Libertés (LIL, Art. 65) comme une catégorie de données sensibles (ou catégorie particuliÚre
de données, selon la définition du rÚglement) dont la collecte et le traitement sont par principe interdits6.
Des exceptions existent cependant (LIL, Art. 44).
Le traitement de ces donnĂ©es, quâil soit mis en Ćuvre par une entitĂ© publique ou privĂ©e, est Ă©troitement
encadré et soumis au respect de rÚgles contraignantes. Le rÚglement, dans son considérant 35, définit les
données de santé comme les données à caractÚre personnel relatives à la santé physique ou mentale
dâune personne physique, y compris la prestation de soins de santĂ©, qui rĂ©vĂšlent des informations sur
lâĂ©tat de santĂ© dâune personne (RGPD, Art. 4 (15) et considĂ©rant 35)7.
Cette définition comprend :
âą Les informations relatives Ă une personne physique collectĂ©es lors de son inscription en vue de bĂ©nĂ©ficier dâune prise en charge ;
âą Les informations obtenues lors dâun test ou un examen, y compris Ă partir des donnĂ©es gĂ©nĂ©tiques et dâĂ©chantillons biologiques ;
âą Les informations concernant une maladie, un handicap, un risque de maladie, les antĂ©cĂ©dents mĂ©dicaux, un traitement clinique ou lâĂ©tat physiologique ou biomĂ©dical de la personne concernĂ©e (indĂ©pendamment de sa source, quâelle provienne par exemple dâun mĂ©decin ou dâun autre professionnel de santĂ©, dâun hĂŽpital, dâun dispositif mĂ©dical ou dâun test de diagnostic in vitro).
Elle permet ainsi dâenglober certaines donnĂ©es de mesures Ă partir desquelles il est possible de dĂ©duire
une information sur lâĂ©tat de santĂ© de la personne. Ces informations ne concernent plus seulement les
donnĂ©es qui permettent dâindiquer la pathologie dont peut ĂȘtre atteint un individu (donnĂ©es de santĂ©
âpar natureâ), elles sont Ă©tendues Ă :
âą Toute donnĂ©e sur lâĂ©tat de santĂ© physique et mental passĂ©, prĂ©sent ou futur de la personne, toute information sur lâidentification du patient dans le systĂšme de soins, toutes les prestations de services de santĂ©, toute information concernant, notamment, une pathologie, un handicap, un risque de maladie, les antĂ©cĂ©dents mĂ©dicaux, un traitement clinique ou lâĂ©tat physiologique ou biomĂ©dical de la personne concernĂ©e, indĂ©pendamment de sa source (donnĂ©es de santĂ© âpar destinationâ)8 ;
âą Toute donnĂ©e, qui du fait de son croisement avec dâautres donnĂ©es, deviennent des donnĂ©es de santĂ© en ce quâelles permettent de tirer une conclusion sur lâĂ©tat de santĂ© ou le risque pour la santĂ© dâune personne : croisement dâune mesure de poids avec dâautres donnĂ©es (nombre de pas, mesure des apports caloriquesâŠ), croisement de la tension avec la mesure de lâeffort, etc... (donnĂ©es de santĂ© âpar croisementâ).
5 Les rĂ©fĂ©rences aux articles issues de la loi Informatique et LibertĂ©s sont celles mentionnĂ©es dans lâordonnance 2018-1125 du 12 dĂ©cembre 2018, prise en application de la loi 2018-493 du 20 juin 2018 (LIL modifiĂ©e). Voir en annexe le tableau de concordance entre lâancienne et la nouvelle numĂ©rotation. 6 La notion de donnĂ©e sensible nâest explicite que dans les considĂ©rants du rĂšglement (RGPD, C10 et 51 notamment). Le rĂšglement les
mentionne sous les termes de catégories particuliÚres de données à caractÚre personnel et de données relatives aux condamnations pénales et
infractions (RGPD, Art.9 et 10). Le G29 (remplacé par le CEPD6) évoque la notion de données à caractÚre hautement personnel. Il y a parfois
confusion entre les données qui sont sensibles pour une organisation et le régime juridique des données sensibles, au sens de la loi française.
7 Cette dĂ©finition reprend une jurisprudence de la Cour de justice de lâUnion europĂ©enne (CJUE) de 2003. 8 https://www.cnil.fr/fr/quest-ce-ce-quune-donnee-de-sante
9/69 Le traitement des données de santé © CLUSIF 2019
Nâentrent pas dans la notion de donnĂ©es de santĂ© celles Ă partir desquelles aucune consĂ©quence ne peut
ĂȘtre tirĂ©e au regard de lâĂ©tat de santĂ© de la personne concernĂ©e (une application collectant un nombre
de pas au cours dâune promenade sans croisement de ces donnĂ©es avec dâautres par exemple).
A noter, la loi ne sâapplique pas aux traitements qui comporteraient des donnĂ©es de santĂ© Ă lâusage exclusif de la personne.
La loi ne sâapplique par exemple pas aux applications mobiles en santĂ© qui proposent dans leurs fonctionnalitĂ©s, la collecte, lâenregistrement ou la conservation de donnĂ©es Ă condition que ces opĂ©rations sâeffectuent localement sur un ordinateur, un smartphone ou une tablette, sans connexion extĂ©rieure et Ă des fins exclusivement personnelles.
II.1. Un usage encadré
Une fois la qualification de données de santé retenue, un régime juridique particulier justifié par la
sensibilitĂ© des donnĂ©es sâapplique. Les donnĂ©es de santĂ© ne peuvent ĂȘtre utilisĂ©es et communiquĂ©es que
dans des conditions dĂ©terminĂ©es par la loi et notamment dans lâintĂ©rĂȘt des patients (assurer le suivi
mĂ©dical, faciliter leur prise en charge par lâassurance maladieâŠ) ou pour des besoins de santĂ© publique.
LâaccĂšs Ă ces donnĂ©es est notamment rĂ©gi par les dispositions du rĂšglement europĂ©en et de la loi
Informatique et LibertĂ©s, la France ayant fait le choix, conformĂ©ment Ă lâarticle 9-4 du rĂšglement, de
maintenir un encadrement spécifique pour les traitements de données de santé.
â INTERDICTION DE PRINCIPE ET EXCEPTIONS Le rĂšglement et la loi Informatique et LibertĂ©s encadrent particuliĂšrement les donnĂ©es de santĂ©. Ces
textes posent un principe dâinterdiction des traitements de donnĂ©s de santĂ©, et des donnĂ©es gĂ©nĂ©tiques.
Mais certains traitements sâavĂ©rant indispensables ou utiles aux personnes, de nombreuses exceptions
ont été prévues (RGPD, Art. 9 et LIL, Art. 44) spécifiquement dans le domaine de la santé :
âȘ Les traitements pour lesquels la personne a donnĂ© son consentement exprĂšs (sauf disposition contraire prĂ©vue par la loi) (RGPD, Art. 9 2°(a)) ;
âȘ Les traitements nĂ©cessaires Ă la sauvegarde de la vie humaine : la personne nâest pas en mesure dâexprimer son consentement par suite dâune incapacitĂ© physique ou dâune impossibilitĂ© matĂ©rielle (RGPD, Art. 9 2° (c)) ;
âȘ Les donnĂ©es âassociationsâ : les traitements effectuĂ©s par une association, Ă condition que ceux-ci correspondent Ă lâobjet de ladite association, se rapportent exclusivement aux membres et ne soient pas transmis Ă des tiers (fichiers rĂ©alisĂ©s par les structures mĂ©dicales pour garantir la prise en charge de patients dans le respect de leurs croyances, association sportive, sociĂ©tĂ© wellness par exemples) (RGPD, Art. 9 2°(d)) ;
âȘ Les donnĂ©es rendues publiques par la personne concernĂ©e (RGPD, Art. 9 2°(e)) ; âȘ Les traitements nĂ©cessaires aux fins de mĂ©decine prĂ©ventive, des diagnostics mĂ©dicaux, de
lâadministration de soins ou de traitements ou de la gestion de services de santĂ© et mis en Ćuvre par un membre dâune profession de santĂ© (RGPD, Art. 9 2° (h) et LIL, Art. 44 1°) ;
âȘ Les traitements permettant dâeffectuer des Ă©tudes Ă partir des donnĂ©es recueillies dans les traitements nĂ©cessaires aux fins de mĂ©decine prĂ©ventive, de diagnostics mĂ©dicaux, de lâadministration des soins ou de traitements, ou de la gestion de services de santĂ©, lorsque ces Ă©tudes sont rĂ©alisĂ©es par les personnels assurant ce suivi et destinĂ©s Ă leur usage exclusif (LIL, Art. 65 2°) ;
10/69 Le traitement des données de santé © CLUSIF 2019
âȘ Les traitements de donnĂ©es de santĂ© Ă des fins de recherche, dâĂ©tude ou dâĂ©valuation dans le domaine de la santĂ© (LIL, Art. 44 3° et 64 et suivants) ;
âȘ Les traitements mis en place dans le cadre de la recherche publique mis en Ćuvre aprĂšs avis de la CNIL (LIL, Art. 6°) ;
âȘ Les traitements justifiĂ©s par lâintĂ©rĂȘt public (RGPD, Art. 9 2°(g) et LIL, Art. 44 3°, 64 et suivants) ; âȘ Les traitements mis en Ćuvre afin dâassurer le service des prestations ou le contrĂŽle par les
organismes chargĂ©s de la gestion dâun rĂ©gime de base de lâassurance maladie (ainsi que la prise en charge des prestations par les organismes complĂ©mentaires (LIL, Art. 65 3°) ;
âȘ Les traitements effectuĂ©s au sein des Ă©tablissements de santĂ© par les mĂ©decins responsables de lâinformation mĂ©dicale pour lâanalyse de leur activitĂ© (LIL, Art. 65 4°) ;
âȘ Les traitements rĂ©alisĂ©s par les agences rĂ©gionales de santĂ©, par lâĂtat et par la personne publique quâil dĂ©signe et relatifs Ă leurs moyens de fonctionnement, leur activitĂ©, leurs donnĂ©es sanitaires, dĂ©mographiques ou sociales nĂ©cessaires Ă lâĂ©laboration et Ă la rĂ©vision du projet rĂ©gional de santĂ©, Ă la dĂ©termination de leurs ressources, Ă lâĂ©valuation de la qualitĂ© des soins, Ă la veille, Ă la vigilance sanitaire et au contrĂŽle des activitĂ©s et de leur facturation (LIL, Art. 65 5°).
Ă noter que dâautres textes organisent Ă©galement lâaccĂšs aux donnĂ©es de santĂ© :
âȘ Le code de la santĂ© publique (Ă©changes dâinformations sur un patient entre professionnels de santĂ© afin dâassurer la continuitĂ© des soins, hĂ©bergement des donnĂ©es de santĂ©, systĂšme national des donnĂ©es de santĂ©, dispositions sur le secret, dispositions relatives aux rĂ©fĂ©rentiels de sĂ©curitĂ© et dâinteropĂ©rabilitĂ© des donnĂ©es de santĂ©, interdiction de procĂ©der Ă une cession ou Ă une exploitation commerciale des donnĂ©es de santĂ©âŠ) ;
âȘ Les dispositions encadrant la tĂ©lĂ©mĂ©decine ; âȘ Le code de sĂ©curitĂ© sociale (transmission par les professionnels de santĂ© du code des actes,
prestations, et pathologies diagnostiquĂ©es aux organismes dâassurance maladie obligatoire) ; âȘ Les textes relatifs aux dĂ©clarations obligatoires de certaines maladies aux autoritĂ©s sanitaires
(pour certaines maladies infectieuses nécessitant une intervention urgente).
Dâune maniĂšre gĂ©nĂ©rale, le traitement des donnĂ©es de santĂ© doit respecter les principes fondamentaux
de la protection des données personnelles (RGPD, Art. 5, LIL, Art. 4), parmi lesquels les principes de
minimisation des donnĂ©es et de conservation limitĂ©e, ainsi que les mesures permettant lâexercice des
droits des personnes pour lesquelles des informations sont recueillies (RGPD, Art. 12 et suivants).
Cf. fiche FAQ Principes et infra, Exercice des droits des personnes et Données de santé : comment
informer ?
â MESURES NECESSAIRES POUR SECURISER ET PROTEGER LES DONNEES DE SANTE La protection des donnĂ©es implique la mise en Ćuvre de mesures techniques et organisationnelles
appropriĂ©es afin de garantir un niveau de sĂ©curitĂ© adaptĂ© au risque (RGPD, Art. 32), sâassurer et ĂȘtre en
mesure de démontrer que le traitement est effectué conformément au rÚglement.
Ce principe de responsabilité repose sur deux principes introduit par le rÚglement :
âȘ Privacy by design ou principe de protection de la donnĂ©e dĂšs la conception du traitement (RGPD, Art. 25.1) : le responsable de traitement doit mettre en Ćuvre, dĂšs la conception du traitement, des mesures pour protĂ©ger les donnĂ©es et les droits des personnes ;
âȘ Privacy by default ou principe de protection des donnĂ©es par dĂ©faut (RGPD, Art. 25.2) : le responsable de traitement doit mettre en Ćuvre des mesures garantissant que, par dĂ©faut, seules sont traitĂ©es les donnĂ©es personnelles nĂ©cessaires Ă chaque finalitĂ© dĂ©terminĂ©e.
Cf. fiche FAQ « Quelles sont les obligations du Responsable de traitement ? »
11/69 Le traitement des données de santé © CLUSIF 2019
Pour sécuriser et protéger les données personnelles traitées, le responsable de traitement doit tenir
compte de lâĂ©tat des connaissances, des coĂ»ts de mise en Ćuvre, de la nature, la portĂ©e, du contexte et
des finalités du traitement, ainsi que des risques pour les droits et libertés des personnes concernées par
le traitement.
Les risques sur les données à prendre en compte sont notamment les suivants : destruction, perte,
altération, divulgation non autorisée, accÚs non autorisé, de maniÚre illicite ou accidentelle.
Sâagissant des impacts techniques, les systĂšmes informatiques doivent assurer la sĂ©curitĂ© et protĂ©ger la
donnée tout au long de son cycle de vie (RGPD, Art. 32) :
âȘ Pseudonymisation et chiffrement des donnĂ©es ; âȘ Mise en place de moyens permettant de garantir la confidentialitĂ©, lâintĂ©gritĂ©, la disponibilitĂ© et la
rĂ©silience ; âȘ Mise en place de moyens permettant de rĂ©tablir la disponibilitĂ© des donnĂ©es personnelles et lâaccĂšs
Ă celles-ci dans des dĂ©lais appropriĂ©s en cas dâincidents ; âȘ Mise en place de procĂ©dure visant Ă tester, analyser et Ă©valuer rĂ©guliĂšrement lâefficacitĂ© des
mesures techniques et organisationnelles pour assurer la sécurité du traitement.
Parmi les mesures Ă mettre en Ćuvre, on peut citer notamment :
âȘ Lâauthentification des utilisateurs : â Utiliser un mot de passe conforme aux recommandations de la CNIL et renouvelĂ©
rĂ©guliĂšrement9 ; â PrivilĂ©gier lorsque cela est possible lâauthentification forte, notamment via une carte de
professionnel de santé (CPS) ou tout moyen alternatif.
La CPS doit rester strictement personnelle et les codes secrets ne peuvent ĂȘtre communiquĂ©s au personnel (notamment les secrĂ©taires mĂ©dicales).
âȘ La gestion des habilitations pour limiter les accĂšs aux seules donnĂ©es dont un utilisateur a besoin ; âȘ La traçabilitĂ© des accĂšs et la gestion des incidents en prĂ©voyant un systĂšme de journalisation afin
de pouvoir rĂ©agir en cas de violation de donnĂ©es (atteinte Ă la confidentialitĂ©, lâintĂ©gritĂ© ou la disponibilitĂ©) ;
âȘ La sĂ©curisation des postes de travail afin de prĂ©venir les accĂšs frauduleux, lâexĂ©cution de virus ou la prise de contrĂŽle Ă distance, notamment via internet :
â Verrouillage de la session informatique automatique en cas de non-utilisation du poste pendant un temps donnĂ© ;
â Utilisation dâun Antivirus Ă jour, installation dâun pare-feu activĂ© ; â Application systĂ©matique des correctifs de sĂ©curitĂ© des composants matĂ©riels et des
logiciels du SI ; â Sauvegarde rĂ©guliĂšre des donnĂ©es ; â Limitation de la connexion de supports mobiles ou dâappareils non professionnels sur le
rĂ©seau (Dans le cas contraire, prĂ©voir des mesures de protection supplĂ©mentaires de type cloisonnementâŠ) ;
âȘ La sĂ©curisation des Ă©changes avec dâautres organismes (chiffrer, garantir lâintĂ©gritĂ© ou signer afin dâassurer lâintĂ©gritĂ©, la confidentialitĂ© et lâauthenticitĂ© des donnĂ©es transmises).
9 https://www.cnil.fr/fr/authentification-par-mot-de-passe-les-mesures-de-securite-elementaires
12/69 Le traitement des données de santé © CLUSIF 2019
Sâagissant des impacts organisationnels :
âȘ Nomination dâun dĂ©lĂ©guĂ© Ă la protection des donnĂ©es (DPO) ; âȘ Sensibilisation des utilisateurs ; âȘ Concernant la gouvernance et la conformitĂ© :
â DonnĂ©es : mapping, analyse des flux ; â Tenue dâun registre des activitĂ©s de traitements ; â RĂ©alisation dâune analyse dâimpact sur la vie privĂ©e des personnes10 Cf. fiche FAQ sur
« Analyse dâimpact » ; â Mise en place de procĂ©dures de documentation et de conservation ; â Recommandations de bonnes pratiques ou application dâun code de conduite Ă lâintention
des utilisateurs ;
Sâagissant des impacts juridiques :
âȘ RĂ©alisation dâun audit juridique et technique des traitements et de politiques internes afin de dĂ©finir un plan dâactions pour la mise en conformitĂ© des traitements de donnĂ©es personnelles ;
âȘ Revue des contrats conclus avec les sous-traitants et dĂ©finition dâune politique en matiĂšre de sous-traitance (avec renforcement des clauses relatives Ă la protection des donnĂ©es personnelles) ;
âȘ DĂ©finition dâune politique de gouvernance en matiĂšre de protection des donnĂ©es personnelles A noter que la CNIL et le Conseil national de lâOrdre des mĂ©decins ont rĂ©digĂ© un guide pratique sur la
protection des données qui reprend les éléments mentionnés ci-dessus et fixent les grands principes qui
doivent ĂȘtre respectĂ©s11.
â QUELLES FORMALITES ACCOMPLIR ?
Traitement de dossiers patients
Il nâexiste pas de formalitĂ©s prĂ©alables Ă rĂ©aliser auprĂšs de la CNIL pour ce type de traitement avant sa mise en Ćuvre (absence de dĂ©claration prĂ©alable). Depuis lâentrĂ©e en vigueur du rĂšglement, il nâest mĂȘme plus nĂ©cessaire de rĂ©aliser auprĂšs de la CNIL un engagement de conformitĂ© Ă la norme simplifiĂ©e12 50 (NS-50) pour la gestion des cabinets mĂ©dicaux. En effet, alors que les obligations des organismes au regard de la loi Informatique et LibertĂ©s reposaient en grande partie sur les formalitĂ©s prĂ©alables (dĂ©claration, autorisation), le rĂšglement repose sur une logique de responsabilisation et de transparence. Cette notion de responsabilitĂ© (accountability) se traduit notamment par : âȘ La prise en compte de la protection des donnĂ©es personnelles dĂšs la conception dâun service ou dâun
produit et par dĂ©faut (privacy by design et by default, cf. supra) ; âȘ La mise en place dâune organisation, de mesures, de documentation et dâoutils internes garantissant
une protection optimale des données personnelles traitées (cf. supra, mesures nécessaires pour protéger les données de santé).
En revanche, un registre des activitĂ©s de traitement doit ĂȘtre tenu. Il doit recenser tous les traitements
de donnĂ©es Ă caractĂšre personnel mis en Ćuvre dans le cadre de lâactivitĂ© des professionnels de santĂ©
(au sein dâun Ă©tablissement de santĂ©, dâun laboratoire de biologie mĂ©dicale ou dâun cabinet libĂ©ral). Il doit
notamment comporter les traitements relatifs :
10 Cette analyse dâimpact peut avoir dĂ©jĂ Ă©tĂ© rĂ©alisĂ©e dans des traitements similaires, quand le traitement rĂ©pond Ă une obligation lĂ©gale ou lorsquâil est nĂ©cessaire Ă lâexercice dâune mission de service public (RGPD, art 6.1(c), 6.1(e)). 11 Edition juin 2018 12 A noter que mĂȘme si elles nâont plus de valeur juridique depuis lâentrĂ©e en vigueur du rĂšglement, ces normes restent intĂ©ressantes et sont toujours disponibles sur le site de la CNIL.
13/69 Le traitement des données de santé © CLUSIF 2019
âȘ A la gestion des dossiers patients ; âȘ A lâutilisation dâune messagerie sĂ©curisĂ©e ; âȘ Ou au dispositif de tĂ©lĂ©mĂ©decine.
Les professionnels de santĂ© exerçant Ă titre individuel ne sont pas soumis Ă lâobligation de dĂ©signation
dâun dĂ©lĂ©guĂ© Ă la protection des donnĂ©es (DPO). En revanche, il est obligatoire de dĂ©signer un DPO dans
les Ă©tablissements de santĂ© ou si, en raison de lâactivitĂ© rĂ©alisĂ©e, le professionnel de santĂ© estime que le
traitement des donnĂ©es de santĂ© est Ă grande Ă©chelle (exercice au sein dâun rĂ©seau de professionnels,
maisons de santĂ©, centre de santĂ©, dossiers partagĂ©s). La dĂ©signation peut ĂȘtre faite en interne mais il est
possible de solliciter les services dâun DPO externe ou de mutualiser la dĂ©signation dâun DPO entre
plusieurs organismes, Ă certaines conditions.
Cf. fiche FAQ « Le délégué à la protection des données ».
Autres traitements de données de santé
Les traitements de donnĂ©es de santĂ© Ă caractĂšre personnel ne peuvent ĂȘtre mis en Ćuvre quâen
considĂ©ration de la finalitĂ© dâintĂ©rĂȘt public (notamment la « garantie de normes Ă©levĂ©es de qualitĂ© et de
sécurité des soins de santé, des médicaments ou des dispositifs médicaux ») (LIL, Art. 66 I).
Des rĂ©fĂ©rentiels et des rĂšglements types peuvent ĂȘtre Ă©tablis par la CNIL. Ils permettent, pour les
traitements conformes Ă ces rĂ©fĂ©rentiels, dâĂȘtre mis en Ćuvre sans autorisation spĂ©cifique de lâautoritĂ©
de contrÎle. Le responsable de traitement doit simplement adresser à la CNIL une déclaration
dâengagement de conformitĂ© Ă ces traitements (LIL, Art. 66 II). La tenue dâun registre des activitĂ©s de
traitement et la rĂ©alisation prĂ©alable dâune analyse de risques sur la vie privĂ©e restent cependant
applicables.
Les traitements qui ne sont pas conformes Ă ces rĂ©fĂ©rentiels ne peuvent quant Ă eux ĂȘtre mis en Ćuvre
quâaprĂšs autorisation. La CNIL se prononce dans un dĂ©lai de 2 mois Ă compter de la rĂ©ception de la
demande (dĂ©lai renouvelable une fois). En lâabsence de rĂ©ponse dans ce dĂ©lai, la demande dâautorisation
est rĂ©putĂ©e acceptĂ©e, sauf dans les cas oĂč lâautorisation est subordonnĂ©e Ă un avis prĂ©alable et que ce
dernier nâest pas « expressĂ©ment favorable » (LIL, Art. 66 III).
à noter que la CNIL, comme dans les autres domaines, peut prendre une décision unique permettant de
dĂ©livrer Ă un mĂȘme demandeur une autorisation pour des traitements rĂ©pondant Ă une mĂȘme finalitĂ©,
portant sur des catégories de données et des catégories de destinataires identiques (LIL, Art. 66 IV). Avant
la modification de la loi du 6 janvier 1978 intervenue en décembre 2018, la CNIL avait ainsi adopté des
autorisations uniques notamment en matiÚre de pharmacovigilance ou de messageries sécurisées de
santĂ©âŠ
II.2. Les utilisations interdites
Les donnĂ©es de santĂ© ne peuvent faire lâobjet dâune cession ou dâune exploitation commerciale.
En outre, en application de lâarticle L. 4113-7 du code de la santĂ© publique, la constitution ou lâutilisation
à des fins de prospection ou de promotion commerciale de fichiers composés à partir de données issues
directement ou indirectement des prescriptions mĂ©dicales ou des donnĂ©es de santĂ© est interdite (mĂȘme
14/69 Le traitement des données de santé © CLUSIF 2019
pour des donnĂ©es rendues anonymes), dĂšs lors que ces fichiers permettent dâidentifier directement ou
indirectement le professionnel prescripteur.
II.3. La communication des données de santé
Les donnĂ©es de santĂ© peuvent ĂȘtre communiquĂ©es et utilisĂ©es dans des conditions dĂ©terminĂ©es par la loi,
dans lâintĂ©rĂȘt direct du patient (assurer son suivi mĂ©dical, faciliter sa prise en charge par lâassurance
maladieâŠ) ou pour des besoins de santĂ© publique.
â LA COMMUNICATION A DES TIERS AUTORISES Les tiers autorisĂ©s au sens de la loi sont les personnes habilitĂ©es par des textes lĂ©gislatifs ou
réglementaires à obtenir un accÚs ponctuel et limité aux données.
Il sâagit des autoritĂ©s judiciaires (procureurs de la RĂ©publique, juges, officiers de police judiciaire ou de la
gendarmerie nationale lorsquâils agissent sur rĂ©quisition judiciaire dans le cadre dâune enquĂȘte de
flagrance, dâune enquĂȘte prĂ©liminaire ou dâune instruction sur commission rogatoire), des experts
(dĂ©signĂ©s par une juridiction dans le cadre dâun contentieux, sous rĂ©serve du consentement du patient
concernĂ©) ou des agents de lâadministration fiscale.
Les mĂ©decins des compagnies dâassurance ou les employeurs ne sont pas considĂ©rĂ©s comme des tiers autorisĂ©s Ă obtenir le dossier mĂ©dical des patients.
Le consentement du patient ne suffit pas à exonérer le professionnel de son obligation de secret
professionnel.
â LES AUTRES HYPOTHESES DE COMMUNICATION DES DONNEES DE SANTE La communication Ă des tiers non autorisĂ©s est rĂ©primĂ©e par lâarticle 226-13 du code pĂ©nal. Toutefois, des
exceptions sont prévues au regard de leurs missions, et certains tiers peuvent accéder aux données de
santĂ© des patients. En pratique, il importe de veiller au respect des rĂšgles relatives Ă lâĂ©change et au
partage des données entre professionnels13.
Seules certaines personnes sont autorisées, au regard de leurs missions et en vertu de dispositions
lĂ©gislatives les habilitant, Ă accĂ©der aux donnĂ©es de santĂ© des patients (Ă©quipe de soins dâun
Ă©tablissement de santĂ© intervenant dans la prise en charge sanitaire dâun patientâŠ). On parle alors de
secret partagé.
Tout professionnel de santĂ© intervenant dans la prise en charge dâun patient peut avoir un accĂšs
spĂ©cifique aux seules informations nĂ©cessaires Ă cette prise en charge ou, si cela nâest pas possible, le
médecin peut envoyer les informations nécessaires directement aux professionnels concernés. Quant au
personnel administratif, il ne peut avoir un accĂšs global aux dossiers des patients. Seules certaines
13 Cf. fiche du Conseil national de lâOrdre des mĂ©decins (CNOM), Echange et partage dâinformations, dĂ©cembre 2016, disponible sur le site du conseil national de lâOrdre des mĂ©decins.
15/69 Le traitement des données de santé © CLUSIF 2019
informations (nom, prĂ©nom, code de lâacte, NIR14, date de consultation) sont adressĂ©es aux organismes
dâassurance maladie via la tĂ©lĂ©transmission ou les feuilles de soins.
Lâarticle L. 161-29 du code de la sĂ©curitĂ© sociale prĂ©voit que les professionnels de santĂ© communiquent,
sous forme nominative, aux organismes dâassurance maladie obligatoire, le code dĂ©taillĂ© des actes,
prestations et pathologies diagnostiquĂ©es. En application de lâarticle L. 3113-1 du code de la santĂ©
publique, les professionnels de santé sont également tenus de déclarer aux autorités sanitaires certaines
maladies infectieuses qui nécessitent une intervention urgente ou dont la surveillance est nécessaire à la
conduite et Ă lâĂ©valuation de la politique de santĂ© publique.
En cas de recours à un prestataire de services pour assurer la maintenance du logiciel gérant les dossiers
de patients, ce dernier nâest pas censĂ© accĂ©der aux donnĂ©es de santĂ©. Les donnĂ©es doivent donc en
principe ĂȘtre chiffrĂ©es afin de permettre au technicien dâassurer ses missions sans pouvoir lire les
données.
Si les donnĂ©es de santĂ© sont confiĂ©es Ă un prestataire chargĂ© dâen assurer la conservation, dans des
serveurs Ă distance, celui-ci doit ĂȘtre agrĂ©Ă© ou certifiĂ© pour lâhĂ©bergement, le stockage et la conservation
de donnĂ©es de santĂ© conformĂ©ment aux dispositions de lâarticle L. 1111-8 du code de la santĂ© publique.
Toute personne qui héberge des données de santé à caractÚre personnel recueillies à l'occasion
d'activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de
personnes physiques ou morales à l'origine de la production ou du recueil de ces données ou pour le
compte du patient lui-mĂȘme, rĂ©alise cet hĂ©bergement dans les conditions prĂ©vues au prĂ©sent article.
Cf. infra, LâhĂ©bergement des donnĂ©es de santĂ©.
En toute hypothĂšse (sociĂ©tĂ© de maintenance, hĂ©bergeurâŠ), le prestataire agit pour le compte du
professionnel de santĂ©. Cette relation doit ĂȘtre formalisĂ©e en passant un contrat de sous-traitance.
Cf. fiche FAQ Responsabilité du sous-traitant.
Check-list des éléments à prendre en compte :
Limiter les informations collectées ou nécessaires et utiliser les dossiers patients conformément aux finalités définies (= suivi des patients) ;
Tenir un registre des activités de traitement ; Supprimer les dossiers patients ou toute information ayant dépassé la durée de
conservation mentionnĂ©e ; Sâassurer que lâĂ©tablissement de santĂ© met en place des mesures appropriĂ©es de sĂ©curitĂ©
des dossiers (via des analyses dâimpact sur la vie privĂ©e des personnes notamment) ; Utiliser une messagerie sĂ©curisĂ©e de santĂ© pour les Ă©changes entre professionnels de
santĂ© (Ă dĂ©faut, sâassurer que les messages sont bien sĂ©curisĂ©s et chiffrer les piĂšces jointes) ;
Informer les patients et sâassurer du respect de leurs droits.
14 NumĂ©ro de sĂ©curitĂ© sociale : « numĂ©ro d'inscription au rĂ©pertoire des personnes physiques » (abrĂ©gĂ© en NIRPP ou plus simplement NIR). Cf. Lâutilisation du NIR dans les traitements de donnĂ©es de santĂ©, infra.
16/69 Le traitement des données de santé © CLUSIF 2019
Pour aller plus loin15
âȘ Les donnĂ©es recueillies, en dehors dâun contexte mĂ©dical (nombre de pas, poids, activitĂ© quotidienneâŠ), par des outils de mesure de soi (montres, bracelets connectĂ©s, applications mobiles, etc.) sont-elles des donnĂ©es de santĂ© ? Tout dĂ©pend de la nature des donnĂ©es (un poids excessif peut rĂ©vĂ©ler une obĂ©sitĂ©), et du croisement ou non de ces donnĂ©es Ă dâautres donnĂ©es rĂ©vĂ©lant ainsi des informations sur lâĂ©tat de santĂ© de la personne.
âȘ Lâinformation sur le handicap, contenue dans un traitement, est-elle une donnĂ©e de santĂ© ? Oui. Constitue un handicap toute limitation d'activitĂ© ou restriction de participation Ă la vie en sociĂ©tĂ© subie dans son environnement par une personne en raison d'une altĂ©ration substantielle, durable ou dĂ©finitive d'une ou plusieurs fonctions physiques, sensorielles, mentales, cognitives ou psychiques, d'un polyhandicap ou d'un trouble de santĂ© invalidant (article L. 114 du code de lâaction sociale et des familles).
âȘ Lâinformation sur un taux dâinvaliditĂ©, contenue dans un traitement, est-elle une donnĂ©e de santĂ© ? Oui, si le taux dâinvaliditĂ© rĂ©vĂšle que la personne est atteinte dâun handicap (cf. ci-dessus).
âȘ Lâinformation sur la prise en charge dans une structure de soins, contenue dans un traitement, est-elle une donnĂ©e de santĂ© ? Oui, dĂšs lors quâelle donne une indication sur lâĂ©tat de santĂ© (ex : admission dans un Ă©tablissement ou service hospitalier spĂ©cialisĂ©).
âȘ Le codage CCAM (Classification Commune des Actes MĂ©dicaux) est-elle une donnĂ©e de santĂ© ? Oui, si lâinformation dĂ©coulant de ce codage conduit Ă dĂ©livrer une information sur lâĂ©tat de santĂ© ou sur une prise en charge en lien avec une pathologie particuliĂšre.
âȘ Le numĂ©ro dâinscription au rĂ©pertoire national dâidentification des personnes physiques (NIR) est-il une donnĂ©e de santĂ© ? Non, le NIR nâest pas une donnĂ©e de santĂ©, mĂȘme sâil est utilisĂ© comme identifiant national de santĂ©.
âȘ Lâaptitude Ă lâexercice dâune activitĂ© sportive est-elle une donnĂ©e de santĂ© ? Non, lâaptitude Ă lâexercice dâune activitĂ© sportive nâest pas en soi une donnĂ©e de santĂ©. NĂ©anmoins, si elle est associĂ©e Ă dâautres informations comme les circonstances de dĂ©livrance du certificat, elle est considĂ©rĂ©e comme Ă©tant une donnĂ©e de santĂ©. Lâinaptitude Ă lâexercice dâune activitĂ© sportive est une donnĂ©e de santĂ©.
15 https://www.cnil.fr
17/69 Le traitement des données de santé © CLUSIF 2019
III. Données de santé : comment informer ?
En application des dispositions du rÚglement européen sur la protection des données, les personnes dont
les donnĂ©es de santĂ© sont collectĂ©es doivent ĂȘtre informĂ©es du recueil et du traitement de leurs donnĂ©es
Ă caractĂšre personnel. Il peut sâagir notamment de patients ou de personnes participant Ă une recherche.
Lâinformation permet Ă ces personnes de conserver la maĂźtrise des donnĂ©es les concernant.
III.1. Qui doit informer ?
Câest le responsable de traitement des donnĂ©es recueillies qui doit prendre les mesures appropriĂ©es pour
informer les personnes concernées. Dans le secteur de la santé, on rencontre un certain nombre de
responsables de traitement : professionnels de santé, structures de soins, fournisseurs de solutions
techniques... En pratique, ce sont les acteurs opérationnels (professionnels de santé notamment) agissant
au nom et pour le compte du responsable de traitement (établissement de santé, service de soins, etc.)
qui sont chargĂ©s de dĂ©livrer lâinformation aux patients dont ils assurent la prise en charge. Exerçant Ă titre
libéral, le médecin traitant sera à la fois le responsable de traitement et la personne chargée de délivrer
lâinformation.
III.2. Quelle est la nature de lâinformation ?
Lâinformation doit ĂȘtre dĂ©livrĂ©e de façon concise, transparente, comprĂ©hensible et aisĂ©ment accessible.
Lâensemble des mentions obligatoires doit figurer dans le document dâinformation. La CNIL recommande
par ailleurs de rĂ©diger un support rendant lâinformation la plus intelligible possible (utilisation de
pictogrammes visuels, surlignage des informations essentielles dans des documents Ă©crits [ex : livret
dâaccueil, documents Ă©crits dâinformation remis aux patients] ou recours Ă la vidĂ©o [ex : diffusion de
vidĂ©os dans les salles dâattente] âŠ).
Lâinformation doit Ă©galement ĂȘtre adaptĂ©e, en fonction de la pathologie de la personne, de son Ăąge,
des circonstances du recueil des données. Une information spécifique aux mineurs ou aux personnes
vulnĂ©rables doit ainsi ĂȘtre prĂ©vue.
III.3. Quelle information doit ĂȘtre dĂ©livrĂ©e ?
Deux situations peuvent ĂȘtre envisagĂ©es : les donnĂ©es de santĂ© ont Ă©tĂ© collectĂ©es directement (collecte
directe) ou non auprÚs de la personne concernée (collecte indirecte).
18/69 Le traitement des données de santé © CLUSIF 2019
COLLECTE DIRECTE AUPRES DE LA PERSONNE CONCERNEE COLLECTE INDIRECTE
INFORMATIONS
COMMUNES
LâidentitĂ© et les coordonnĂ©es du responsable de traitement et, le cas Ă©chĂ©ant, de son reprĂ©sentant.
Le cas échéant, les coordonnées du délégué à la protection des données (DPO).
Les finalités du traitement et la base juridique du traitement (Préciser pourquoi le traitement est
constituĂ© et sa base lĂ©gale : consentement, respect dâune obligation lĂ©gale, sauvegarde des intĂ©rĂȘts
vitaux de la personne...). Cette information est importante car la base lĂ©gale conditionne lâexercice de
certains droits.
Cf. fiche FAQ Les principes du rĂšglement.
Le cas Ă©chĂ©ant, les intĂ©rĂȘts lĂ©gitimes poursuivis par le responsable du traitement ou par un tiers (si
le traitement est nĂ©cessaire Ă la poursuite des intĂ©rĂȘts lĂ©gitimes du responsable du traitement ou du
tiers).
Le cas échéant, les destinataires (dont les sous-traitants) ou les catégories de destinataires des
données16.
Le cas Ă©chĂ©ant, le transfert de donnĂ©es Ă caractĂšre personnel en dehors de lâUE vers un pays tiers
ou à une organisation internationale, et l'existence ou l'absence d'une décision d'adéquation rendue
par la Commission européenne ou, pour certains transferts particuliers, la référence aux garanties
appropriĂ©es ou adaptĂ©es et les moyens d'en obtenir une copie ou l'endroit oĂč elles ont Ă©tĂ© mises Ă
disposition.
Cf. fiche FAQ Transfert de données personnelles.
La durée de conservation des données ou les critÚres utilisés pour déterminer cette durée.
Les droits des personnes :
âȘ Droit de demander l'accĂšs aux donnĂ©es ; âȘ Droit Ă la rectification ou l'effacement de ces donnĂ©es ou Ă la limitation du traitement relatif
Ă la personne concernĂ©e ; âȘ Droit de s'opposer au traitement (sauf si le responsable de traitement apporte la preuve quâil
existe des motifs lĂ©gitimes et impĂ©rieux qui prĂ©valent sur les intĂ©rĂȘts, les droits et les libertĂ©s des personnes) ;
âȘ Droit Ă la portabilitĂ© des donnĂ©es ; âȘ Droit de retirer son consentement Ă tout moment pour les traitements fondĂ©s sur le recueil de
celui-ci ; âȘ Droit dâintroduire une rĂ©clamation auprĂšs dâune autoritĂ© de contrĂŽle (en France, la CNIL) ; âȘ Le cas Ă©chĂ©ant, lâexistence d'une prise de dĂ©cision automatisĂ©e, y compris un profilage, et les
informations utiles pour appréhender la logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement pour la personne concernée.
Cf. fiche FAQ Exercice des droits des personnes.
16 Le destinataire d'un traitement de données à caractÚre personnel est toute personne habilitée à recevoir communication de ces données autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, en raison de leurs fonctions, sont chargées de traiter les données.
19/69 Le traitement des données de santé © CLUSIF 2019
INFORMATIONS
SPECIFIQUES
Conditions de licéité du traitement des
données de santé (obligation réglementaire,
contrat, etc.) et impacts de la non-transmission
des données.
Indiquer :
âȘ Si l'exigence de recueil des donnĂ©es de santĂ© a un caractĂšre rĂ©glementaire ou contractuel ou si elle conditionne la conclusion d'un contrat,
âȘ Et si la personne concernĂ©e est tenue de fournir les donnĂ©es,
âȘ Ainsi que les consĂ©quences Ă©ventuelles de la non-fourniture de ces donnĂ©es.
Les catégories de données à caractÚre personnel
concernées
La source d'oĂč proviennent les donnĂ©es (Il sâagit
notamment de définir auprÚs de qui les données
ont été recueillies : famille, proches, professionnels
de santé...).
Si le responsable de traitement souhaite effectuer un traitement ultérieur des données à caractÚre
personnel pour une finalité autre que celle pour laquelle les données à caractÚre personnel ont été
collectées, une information préalable de la personne concernée quant à cette autre finalité et toute
autre information pertinente permettant de garantir un traitement Ă©quitable et transparent est
nécessaire.
Par exemple, si un professionnel de santé souhaite utiliser ultérieurement à des fins de recherche des
donnĂ©es de santĂ© quâil aurait collectĂ©es Ă lâoccasion de la prise en charge mĂ©dicale du patient. Cette
information devra ĂȘtre individuelle, prĂ©alable Ă la mise en Ćuvre de la recherche et spĂ©cifique Ă
chaque projet.
Lorsque les donnĂ©es ne sont pas collectĂ©es directement auprĂšs de la personne concernĂ©e, lâinformation est assurĂ©e par le responsable de traitement, en principe dans un dĂ©lai raisonnable, eu Ă©gard aux circonstances particuliĂšres dans lesquelles les donnĂ©es Ă caractĂšre personnel sont traitĂ©es. Si les donnĂ©es Ă caractĂšre personnel doivent ĂȘtre utilisĂ©es Ă des fins de communication avec la personne concernĂ©e, lâinformation doit intervenir au plus tard au moment de la premiĂšre communication Ă la personne ou, s'il est envisagĂ© de communiquer les informations Ă un autre destinataire, au plus tard lorsque les donnĂ©es Ă caractĂšre personnel sont communiquĂ©es pour la premiĂšre fois.
Si la personne concernĂ©e a dĂ©jĂ Ă©tĂ© informĂ©e, elle doit de nouveau ĂȘtre informĂ©e en cas de modification
substantielle du traitement, transmission des données de santé du responsable de traitement à une
nouvelle catégorie de destinataire, utilisation des données de santé par le responsable de traitement pour
une autre finalitĂ©âŠ
III.4. Le responsable de traitement peut-il ĂȘtre dispensĂ© de son obligation
dâinformation ?
Il existe des hypothĂšses dans lesquelles le responsable de traitement peut ĂȘtre dispensĂ© dâinformer la
personne concernée. Les cas de dispense dépendent selon que les données de santé ont été collectées
directement ou indirectement auprÚs de la personne concernée.
20/69 Le traitement des données de santé © CLUSIF 2019
COLLECTE DIRECTE COLLECTE INDIRECTE
CAS COMMUN DE DISPENSE
DâINFORMATION La personne concernĂ©e dispose dĂ©jĂ de lâintĂ©gralitĂ© des informations qui lui sont dues
CAS SPECIFIQUES DE DISPENSE
DâINFORMATION -
La fourniture de telles informations se révÚle impossible ou
exigerait des efforts disproportionnĂ©s, notamment et, Ă
certaines conditions, pour le traitement Ă des fins de recherche
scientifique.
Dans ce cas, le responsable du traitement prend des mesures
appropriées pour protéger les droits et libertés ainsi que les
intĂ©rĂȘts lĂ©gitimes de la personne concernĂ©e, y compris en
rendant les informations publiquement disponibles (par
exemple, information générale publiée sur un site internet).
L'obtention ou la communication des informations sont expressément prévues par un texte.
Les données à caractÚre personnel doivent rester confidentielles en vertu d'une obligation de secret professionnel réglementée.
Les traitements mis en Ćuvre pour le compte de lâEtat et intĂ©ressant la sĂ»retĂ© de lâEtat, la dĂ©fense ou la sĂ©curitĂ© publique, dans la mesure oĂč une telle limitation est nĂ©cessaire au respect des fins poursuivies par le traitement.
III.5. Quelle est la forme de lâinformation ?
Le support dâinformation est libre : par oral, par Ă©crit ou par tout autre moyen (affichage dans les lieux
de soins, dans les secrĂ©tariats, remise de documents Ă©crits dâinformation...). En toute hypothĂšse, les
personnes ne doivent pas avoir Ă chercher lâinformation et sa fourniture doit sâadapter aux situations et
aux supports.
Lâinformation dĂ©livrĂ©e Ă la personne concernĂ©e sous la forme dâun affichage est-elle suffisante ?
Ă lâexception des situations pour lesquelles il existe une obligation lĂ©gale dâinformer la personne
concernĂ©e individuellement (exemple de la recherche mĂ©dicale), lâinformation de la personne
peut ĂȘtre rĂ©alisĂ©e par voie dâaffichage.
Dans le cas des Ă©tablissements de santĂ©, lâinformation peut Ă©galement se faire dans le livret
dâaccueil remis au patient Ă lâoccasion de son hospitalisation. Lâaffichage doit ĂȘtre bien visible et
comporter toutes les mentions obligatoires précisées ci-dessus. Une information individuelle est
tout de mĂȘme Ă privilĂ©gier.
21/69 Le traitement des données de santé © CLUSIF 2019
III.6. Comment informer si la personne est mineure ?
Les titulaires de lâautoritĂ© parentale sont informĂ©s des traitements de donnĂ©es de santĂ© portant sur
lâenfant mineur (LIL, Art. 7017). Lâenfant mineur reçoit Ă©galement une information spĂ©cifique et adaptĂ©e.
Lorsque les donnĂ©es sont collectĂ©es auprĂšs dâun mineur de moins de 15 ans, le responsable de
traitement doit transmettre les mĂȘmes informations quâĂ toute personne concernĂ©e dans un langage
clair et accessible adapté à son ùge.
Si le traitement de donnĂ©es de santĂ© est mis en Ćuvre dans le cadre de recherches impliquant la
personne humaine ou en cas dâĂ©tudes, recherches et Ă©valuations dans le domaine de la santĂ© ayant une
finalitĂ© dâintĂ©rĂȘt public et incluant des personnes mineures, la loi informatique et libertĂ©s prĂ©voit que
lâinformation peut nâĂȘtre dĂ©livrĂ©e quâĂ un seul des titulaires de lâautoritĂ© parentale « sâil est impossible
dâinformer lâautre titulaire ou sâil ne peut ĂȘtre consultĂ© dans des dĂ©lais compatibles avec les exigences
mĂ©thodologiques propres Ă la rĂ©alisation de la recherche, de lâĂ©tude ou de lâĂ©valuation au regard de ses
finalités » (LIL, Art. 70 alinéa 2).
Pour ces traitements, le mineur ĂągĂ© de 15 ans ou plus peut sâopposer Ă ce que les titulaires de lâautoritĂ©
parentale aient accĂšs aux donnĂ©es le concernant. Il reçoit alors lâinformation et peut seul exercer ses
droits.
Ce dernier peut Ă©galement sâopposer Ă ce que les titulaires de lâautoritĂ© parentale soient informĂ©s du
traitement des donnĂ©es si le fait dây participer « conduit Ă rĂ©vĂ©ler une information sur une action de
prĂ©vention, un dĂ©pistage, un diagnostic, un traitement ou une intervention pour laquelle le mineur sâest
expressĂ©ment opposĂ© Ă la consultation des titulaires de lâautoritĂ© parentale » (LIL, Art. 70 alinĂ©a 3). Cette
disposition renvoie aux dispositions du code de la santé publique (par exemple les articles L. 1111-5 et
L. 1111-5-1 du code de la santé publique sur la prise en charge des mineurs dans la confidentialité).
17 Les rĂ©fĂ©rences aux articles issues de la loi Informatique et LibertĂ©s sont celles mentionnĂ©es dans lâordonnance 2018-1125 du 12 dĂ©cembre 2018, prise en application de la loi 2018-493 du 20 juin 2018 (LIL modifiĂ©e). Voir en annexe le tableau de concordance entre lâancienne et la nouvelle numĂ©rotation.
22/69 Le traitement des données de santé © CLUSIF 2019
IV. Les recherches dans le domaine de la santé
Plusieurs dispositions du rÚglement européen sur la protection des données à caractÚre personnel
tiennent compte des enjeux de la recherche à des fins scientifiques et en favorisent la réalisation. Le
considérant 159 donne une définition trÚs large de ce que recouvre la notion de recherche scientifique.
La recherche scientifique devrait ainsi couvrir notamment la recherche fondamentale, la recherche
appliquĂ©e et la recherche financĂ©e par le secteur privĂ© ou les Ă©tudes menĂ©es dans lâintĂ©rĂȘt public dans le
domaine de la santé publique.
Le rĂšglement laisse dâimportantes marges de manĆuvre aux Ătats membres pour maintenir ou adopter
des spécificités nationales pour certains types de traitements parmi lesquels les traitements qui portent
sur les donnĂ©es de santĂ©, les donnĂ©es gĂ©nĂ©tiques, le numĂ©ro dâidentification national (NIR) et les
traitements à des fins de recherche scientifique (RGPD, Art. 9.4 et considérant 156). La loi Informatique
et LibertĂ©s a ainsi Ă©tĂ© modifiĂ©e afin de tenir compte de cette marge de manĆuvre offerte aux Ătats
membres. La bonne compréhension du cadre juridique applicable aux recherches dans le domaine de la
santĂ© impose donc dâarticuler les dispositions du RGPD avec celles de la loi Informatique et LibertĂ©s, ainsi
quâavec dâautres dispositions applicables Ă la recherche18.
Lorsque sont menées des études ou des recherches à partir de données de santé des patients dont les
professionnels assurent la prise en charge (études internes) ou lorsque des professionnels de santé
participent Ă des recherches mĂ©dicales en partenariat avec des instituts de recherche, dâautres centres
hospitaliers, la loi Informatique et Libertés a mis en place un cadre spécifique.
Ce cadre juridique dĂ©finit les conditions dâaccĂšs, dâutilisation et de partage des donnĂ©es de santĂ© Ă des
fins de recherche scientifique et en assure la protection.
Ă noter que le rĂšglement nâest pas applicable aux donnĂ©es anonymes, quâelles le soient initialement ou
quâil sâagisse de donnĂ©es Ă caractĂšre personnel qui ont donnĂ© lieu Ă une anonymisation.
Les procĂ©dures administratives dâaccĂšs aux donnĂ©es nĂ©cessaires aux traitements relatifs Ă la recherche
dans le domaine de la santĂ© demeurent complexes. Un rĂ©gime dâautorisation est maintenu pour les
recherches, études et évaluations dans le domaine de la santé à moins que les traitements soient
rĂ©alisĂ©s par des personnels soumis au secret professionnel assurant le suivi mĂ©dical afin dâeffectuer des
études destinées à leur usage exclusif (LIL, Art. 6519).
18 Notamment le rĂšglement europĂ©en 2014/536 du 16 avril 2014 relatif aux essais cliniques de mĂ©dicaments, les dispositions du code de la santĂ© publique issues de la loi 2016-41 du 26 janvier 2016 de modernisation de notre systĂšme de santĂ© qui crĂ©Ă© le SystĂšme national des donnĂ©es de santĂ© (SNDS) et la rĂ©glementation applicable aux recherches impliquant la personne humaine (RIPH) issue de la loi 2012-300 du 5 mars 2012 et de lâordonnance 2016-800 du 16 juin 2016. 19 Les rĂ©fĂ©rences aux articles issues de la loi Informatique et LibertĂ©s sont celles mentionnĂ©es dans lâordonnance 2018-1125 du 12 dĂ©cembre 2018, prise en application de la loi 2018-493 du 20 juin 2018 (LIL modifiĂ©e). Voir en annexe le tableau de concordance entre lâancienne et la nouvelle numĂ©rotation.
23/69 Le traitement des données de santé © CLUSIF 2019
IV.1. Des modalités adaptées aux enjeux de la recherche scientifique
â FINALITES DES TRAITEMENTS Lâarticle 5 du rĂšglement prĂ©voit que les donnĂ©es personnelles ne peuvent ĂȘtre collectĂ©es que pour des «
finalitĂ©s dĂ©terminĂ©es, explicites et lĂ©gitimes » qui doivent en principe ĂȘtre dĂ©finies en amont du traitement
et ĂȘtre portĂ©es Ă la connaissance des personnes concernĂ©es (RGPD, art. 13 et 14). Le considĂ©rant 33 admet
cependant quâil nâest pas toujours possible de dĂ©terminer Ă lâavance la finalitĂ© exacte dâun traitement
effectué à des fins de recherche scientifique.
Les chercheurs disposent ainsi dâune marge de manĆuvre pour formuler les finalitĂ©s des traitements de
donnĂ©es collectĂ©es dâune maniĂšre moins prĂ©cise que ce qui est exigĂ© en principe. Cette finalitĂ© pourra
sâĂ©largir ou se prĂ©ciser au fil du projet de recherche et en fonction de ses nĂ©cessitĂ©s.
Le rĂšglement exige par ailleurs que la finalitĂ© dâun traitement soit « dĂ©terminĂ©e », mais il admet quâun
responsable de traitement puisse en changer du moment que les nouvelles finalités restent « compatibles
» avec la finalitĂ© initiale de la collecte de donnĂ©es. Sâagissant de la recherche scientifique, le texte instaure
une forme de présomption aux termes de laquelle le changement de finalité sera systématiquement
réputé compatible avec la finalité initiale du moment que le traitement ultérieur est effectué à des fins
de recherche scientifique (RGPD, cons. 50).
Cette dĂ©rogation au principe de limitation des finalitĂ©s est reprise Ă lâarticle 5 du rĂšglement qui considĂšre
que « [âŠ] le traitement ultĂ©rieur Ă des fins archivistiques dans lâintĂ©rĂȘt public, Ă des fins de recherche
scientifique ou historique ou Ă des fins statistiques nâest pas considĂ©rĂ©, conformĂ©ment Ă lâarticle 89,
paragraphe 1, comme incompatible avec les finalités initiales [limitation des finalités] ».
La loi Informatique et Libertés contient une disposition similaire à son article 4. 2°, mais elle ajoute que le
traitement ultĂ©rieur devra ĂȘtre exercĂ© dans le respect des dispositions du rĂšglement et de la loi. Cette
dérogation emporte des conséquences importantes, car elle permet à des chercheurs de se rapprocher
de responsables de traitement ayant collecté de maniÚre licite des données personnelles afin que celles-
ci leur soient remises pour conduire des recherches.
Les chercheurs ne sont donc pas obligĂ©s de collecter par eux-mĂȘmes les donnĂ©es sur la base du
consentement des personnes. Ils peuvent aussi passer par des tiers afin de se faire confier des données
par le responsable du traitement initial, puisque le changement de finalité à des fins de recherche est
admis. Ce type de partenariats de recherche peut notamment passer par la signature de conventions aux
termes desquelles le fournisseur de donnĂ©es et lâĂ©quipe de recherche se reconnaissent comme co-
responsables du traitement.
â DUREE DE CONSERVATION Le rĂšglement prĂ©voit une dĂ©rogation au principe de limitation de la durĂ©e de conservation lorsque les
traitements sont rĂ©alisĂ©s Ă des fins de recherche scientifique : les donnĂ©es peuvent ĂȘtre conservĂ©es pour
des durĂ©es plus longues « dans la mesure oĂč elles seront traitĂ©es exclusivement Ă des fins archivistiques
dans lâintĂ©rĂȘt public, Ă des fins de recherche scientifique ou historique ou Ă des fins statistiques
conformĂ©ment Ă lâarticle 89, paragraphe 1, pour autant que soient mises en Ćuvre les mesures techniques
et organisationnelles appropriées requises par le présent rÚglement afin de garantir les droits et libertés
de la personne concernée. » (RGPD, Art. 5 e).
â EXERCICE DES DROITS DES PERSONNES
24/69 Le traitement des données de santé © CLUSIF 2019
Les droits des personnes sur les données qui les concernent sont réaffirmés et renforcés par le RGPD et
participent des principes de transparence et de loyauté à leur égard (RGPD, Art. 12).
Le rÚglement et la loi Informatique et Libertés posent cependant un principe de présomption de
compatibilité des traitements ultérieurs à des fins de recherches scientifiques moyennant certaines
garanties (RGPD, Art. 5 b et LIL, Art. 4.2).
Le consentement des personnes nâest ainsi pas systĂ©matiquement requis pour les traitements des
données à des fins de recherche scientifique, le traitement pouvant reposer sur une ou plusieurs
conditions qui fondent le fondement juridique du traitement (RGPD, Art. 6).
Cf. fiche FAQ « Quels sont les principes du rÚglement ? ».
Les méthodologies de référence mises en place par la CNIL, notamment la MR-00120, introduisent par
ailleurs des spécificités en matiÚre de recueil de consentement des personnes concernées.
Le rĂŽle des patients ou des personnes Ă lâorigine des donnĂ©es est majeur et leurs droits Ă ĂȘtre informĂ©s et
Ă donner leur accord Ă la rĂ©utilisation des donnĂ©es et Ă©chantillons doivent ĂȘtre respectĂ©s. Pourtant,
lâexigence dâune information individuelle et spĂ©cifique pour chaque projet issu de ces donnĂ©es ou
échantillons est difficilement compatible avec les projets reposant sur une réutilisation secondaire
renouvelĂ©e et rĂ©itĂ©rĂ©e de donnĂ©es ou dâĂ©chantillons biologiques faiblement identifiants collectĂ©s Ă cette
fin (cas des bio-banques ou des cohortes qui ont vocation à mettre leurs données à disposition de la
communautĂ© des chercheurs). Une telle information, dans le cadre de ce type dâinfrastructure, ne permet
pas Ă la personne constamment sollicitĂ©e de disposer dâune vue dâensemble de lâutilisation des donnĂ©es
qui la concernent.
La doctrine de la CNIL a ainsi évolué sur cette problématique. La méthodologie de référence MR-00421
admet que des donnĂ©es ou des Ă©chantillons biologiques puissent faire lâobjet dâune rĂ©utilisation et que
lâinformation puisse ĂȘtre considĂ©rĂ©e comme valablement dĂ©livrĂ©e dĂšs lors que les personnes avaient Ă©tĂ©
informées de la réutilisation possible de leurs données ou échantillons biologiques lors de la collecte
initiale et que lâinformation initiale renvoie Ă un dispositif spĂ©cifique dâinformation (site internet par
exemple).
Il est aussi possible de dĂ©roger Ă lâobligation dâinformation individuelle en cas de rĂ©utilisation secondaire
des donnĂ©es lorsque la fourniture des informations «âse rĂ©vĂšle impossible ou exigerait des efforts
disproportionnĂ©sâ» ou dans la mesure oĂč lâobligation dâinformation «âest susceptible de rendre impossible
ou de compromettre gravement la réutilisation des objectifs dudit traitement⻠sous réserve que soient
mises en place des garanties appropriées, notamment la pseudonymisation (RGPD, Art. 14.5.b)22.
Cf. supra DonnĂ©es de santĂ© : comment informerâ?
De la mĂȘme maniĂšre, le droit Ă lâeffacement des donnĂ©es est susceptible dâentrer en contradiction avec
les exigences mĂ©thodologiques dâune recherche, la sĂ©curitĂ© des participants Ă un essai clinique ou des
obligations lĂ©gales qui incombent au responsable de la recherche. Le droit Ă lâeffacement nâest donc pas
20 DĂ©libĂ©ration 2018-153 du 3 mai 2018 portant homologation dâune mĂ©thodologie de rĂ©fĂ©rence relative aux traitements de donnĂ©es Ă caractĂšre personnel mis en Ćuvre dans le cadre des recherches dans le domaine de la santĂ© avec recueil du consentement de la personne. 21 DĂ©libĂ©ration 2018-155 du 3 mai 2018 portant homologation de la mĂ©thodologie de rĂ©fĂ©rence relative aux traitements de donnĂ©es Ă caractĂšre personnel mis en Ćuvre dans le cadre des recherches nâimpliquant pas la personne humaine, des Ă©tudes et Ă©valuations dans le domaine de la santĂ©. 22 Le considĂ©rant 62 du rĂšglement prĂ©cise que devraient alors ĂȘtre pris en considĂ©ration le nombre de personnes concernĂ©es, lâanciennetĂ© des donnĂ©es, les garanties Ă©ventuelles adoptĂ©es.
25/69 Le traitement des données de santé © CLUSIF 2019
applicable, et la conservation ultérieure des données personnelles déjà collectées est licite dÚs lors que le
traitement est nĂ©cessaire Ă des fins de recherche scientifique et que «âlâexercice de ce droit risque de
rendre impossible ou de compromettre gravement la réalisation des objectifs du traitement⻠(RGPD, Art.
17.3 (d), considérant 65).
Cf. fiche FAQ « Exercice des droits des personnes ».
IV.2. Etudes internes (avec les données des seuls patients dont les professionnels
assurent la prise en charge)
Ces Ă©tudes peuvent ĂȘtre conduites sans autorisation de la CNIL dans la mesure oĂč ces Ă©tudes sont
réalisées par les professionnels qui assurent la prise en charge des patients et pour leur usage exclusif (LIL,
Art. 53 3°). Seul un avis favorable dâun comitĂ© de protection des personnes est alors nĂ©cessaire si ladite
recherche implique une intervention sur une personne.
En revanche, les dispositions relatives Ă lâexercice des droits des personnes, aux mesures de sĂ©curitĂ© Ă
mettre en place (identiques Ă celles concernant les dossiers patients) sont applicables. Le responsable de
traitement devra ainsi au préalable :
âȘ RĂ©aliser une analyse dâimpacts sur la vie privĂ©e des personnes pour chaque recherche ou ensemble de recherches similairesâ;
âȘ Renseigner ces Ă©tudes dans le registre des activitĂ©s de traitement de lâorganisme concernĂ©â; âȘ Sâassurer du respect des rĂšgles relatives Ă lâinformation et Ă lâexercice des droits des personnes.
Les rÚgles de sécurité sont identiques à celles prévues pour la gestion des dossiers patients.
Cf. fiche FAQ Traitement des données de santé
IV.3. Recherches multicentriques ou appariement entre plusieurs bases de
données
Dans lâhypothĂšse de recherches en partenariat avec un tiers ou nĂ©cessitant un recueil de donnĂ©es
supplémentaires (institut de recherche ou établissement de santé, que les données soient collectées dans
le cadre de soins ou spécifiquement pour la recherche), un certain nombre de formalités préalables est
nécessaire :
âȘ DĂ©claration de conformitĂ© Ă une mĂ©thodologie de rĂ©fĂ©rence (cf. site de la CNIL) sâil en existe une applicable (LIL, Art. 73)â;
âȘ Ă dĂ©faut, une autorisation de la CNIL est nĂ©cessaire, avec avis favorable dâun comitĂ© de protection des personnes (si la recherche implique une intervention sur la personne) ou du ComitĂ© dâExpertise pour les Recherches, les Ătudes et les Ăvaluations dans le domaine de la SantĂ© (CEREES, si aucune intervention humaine)â;
â Dans cette seconde hypothĂšse, le dossier doit ĂȘtre adressĂ© Ă lâInstitut national des donnĂ©es de santĂ© (INDS) qui assure le guichet unique et le secrĂ©tariat de ces demandes. Ă noter que dans ce cas, le silence de la CNIL aprĂšs deux mois, renouvelable une fois,
26/69 Le traitement des données de santé © CLUSIF 2019
vaut acceptation, Ă la condition que lâavis ou les avis rendu(s) soient «âexpressĂ©ment favorablesâ»23 (LIL, Art. 66 et 76)â;
âȘ RĂ©alisation dâune Ă©tude dâimpact sur la vie privĂ©e des personnes pour les donnĂ©esâexploitĂ©es dans le cadre de cette recherche ;
âȘ RĂ©daction dâune note dâinformation et modalitĂ©s dâexercice des droits des personnes. Cf. infra, Les donnĂ©es du systĂšme national des donnĂ©es de santĂ©.
Méthodologies de référence :
âȘ La MR-001 encadre les traitements de donnĂ©es de santĂ© et prĂ©sentant un caractĂšre dâintĂ©rĂȘt public, rĂ©alisĂ©s dans le cadre de recherches nĂ©cessitant le recueil du consentement de la personne concernĂ©e : recherches interventionnelles, y compris les recherches Ă risques et contraintes minimes, essais cliniques de mĂ©dicaments et recherches nĂ©cessitant la rĂ©alisation dâun examen des caractĂ©ristiques gĂ©nĂ©tiques. Lâinformation individuelle des patients est obligatoire ;
âȘ La MR-002 concerne les Ă©tudes non interventionnelles de performances menĂ©es sur les dispositifs mĂ©dicaux in vitro (DM DIV) en vue de leur mise sur le marchĂ© ;
âȘ La MR-003 encadre les traitements de donnĂ©es de santĂ© et prĂ©sentant un caractĂšre dâintĂ©rĂȘt public, rĂ©alisĂ©s dans le cadre de recherches impliquant la personne humaine pour lesquelles la personne concernĂ©e ne sâoppose pas Ă participer aprĂšs avoir Ă©tĂ© informĂ©e. : recherches non interventionnelles et essais cliniques de mĂ©dicaments par grappe. Lâinformation individuelle des patients est obligatoire ;
âȘ La MR-004 encadre les traitements de donnĂ©es personnelles Ă des fins dâĂ©tude, Ă©valuation ou recherche nâimpliquant pas la personne humaine : Ă©tudes ne rĂ©pondant pas Ă la dĂ©finition dâune recherche impliquant la personne humaine, en particulier les Ă©tudes portant sur la rĂ©utilisation de donnĂ©es ;
âȘ La MR-005 encadre lâaccĂšs par des Ă©tablissements de santĂ© et des fĂ©dĂ©rations hospitaliĂšres aux donnĂ©es du Programme de mĂ©dicalisation des systĂšmes d'information (PMSI) et aux RPU (RĂ©sumĂ© de passage aux urgences). Aucun appariement avec dâautres donnĂ©es Ă caractĂšre personnel nâest autorisĂ©.
âȘ La MR-006 encadre lâaccĂšs par des industriels de santĂ© aux donnĂ©es du PMSI. Les Ă©tudes menĂ©es doivent prĂ©senter un caractĂšre dâintĂ©rĂȘt public et aucun appariement avec dâautres donnĂ©es Ă caractĂšre personnel nâest possible. Les industriels doivent recourir Ă un bureau dâĂ©tudes ou un laboratoire de recherches.
Sâagissant des recherches rĂ©alisĂ©es Ă partir de donnĂ©es gĂ©nĂ©tiques, la loi Informatique et LibertĂ©s et le
code de la santé publique (article L. 1131-1-1) ont été mis en cohérence sur les modalités de
consentement de la personne Ă lâutilisation secondaire dâĂ©chantillons gĂ©nĂ©tiques pour examen des
caractéristiques génétiques à des fins de recherche scientifique (LIL, Art. 75).
Les chercheurs, dans des conditions trÚs encadrées, sont dispensés de requérir le consentement exprÚs
de la personne pour examiner ses caractĂ©ristiques gĂ©nĂ©tiques Ă partir dâun Ă©chantillon biologique prĂ©levĂ©
Ă dâautres fins que la recherche (pour des projets susceptibles de prĂ©senter un intĂ©rĂȘt sur le plan
scientifique).
23 Il est nĂ©cessaire de souligner ici quâun avis favorable avec recommandations reste un avis expressĂ©ment favorable.
27/69 Le traitement des données de santé © CLUSIF 2019
IV.4. Modification des recherches
Les recherches, études ou évaluations dans le domaine de la santé sont souvent des projets menés à long
terme, pendant plusieurs annĂ©es. Elles sont naturellement susceptibles dâĂ©voluer. Si les modifications ont
un impact sur le traitement des données à caractÚre personnel ou les droits des personnes concernées,
elles peuvent nécessiter une nouvelle autorisation de la CNIL.
Seules les modifications substantielles sont concernées.
Il sâagit des modifications portant sur les caractĂ©ristiques principales du traitement de donnĂ©es Ă
caractÚre personnel (par exemple : ajout de nouvelles finalités, ajout de la collecte de données sensibles,
interconnexions, allongement de la durĂ©e de lâĂ©tude, modification des mesures techniques et
organisationnelles susceptible dâaffaiblir la sĂ©curitĂ© des donnĂ©es, etc.)24.
Les comités compétents (comités de protection des personnes (CPP) pour les recherches biomédicales ou
recherches de soins courants ou les recherches impliquant la personne humaine, CEREES25 pour les
recherches nâimpliquant pas la personne humaine) et la CNIL ne se prononceront pas sur les modifications
non substantielles du traitement de donnĂ©es. Ces modifications nâont pas Ă leur ĂȘtre transmises et font
uniquement lâobjet dâune documentation en interne.
A noter que La modification dâun traitement de donnĂ©es en cours devra sâaccompagner dâune information
aux participants si les mentions obligatoires dâinformation prĂ©vues par le rĂšglement doivent ĂȘtre
modifiées.
En cas de modification substantielle :
â RECHERCHES REALISEES DANS LE CADRE DâUN ENGAGEMENT DE CONFORMITE A UNE METHODOLOGIE DE
REFERENCE Si la modification envisagĂ©e est conforme Ă la MR, les modalitĂ©s suivantes sâappliquent :
- Si la recherche nâa pas fait lâobjet dâun avis prĂ©alable dâun CPP (par exemple : recherche non interventionnelle, recherche sur les donnĂ©es), aucune dĂ©marche nâest Ă rĂ©aliser. La modification devra ĂȘtre documentĂ©e en interne ainsi que sa conformitĂ© avec une MR.
- Si la recherche a Ă©tĂ© soumise initialement Ă un CPP (recherche impliquant la personne humaine, recherche de soins courants ou recherche biomĂ©dicale), la modification devra lui ĂȘtre soumise mais il nâest pas nĂ©cessaire dâinformer la CNIL.
â RECHERCHES REALISEES HORS DU CADRE DâUN ENGAGEMENT DE CONFORMITE A UNE METHODOLOGIE DE
REFERENCE
- Recherche implique la personne humaine, une recherche biomĂ©dicale ou une recherche en soins courants : Les modifications substantielles doivent ĂȘtre soumises au CPP puis Ă la CNIL ;
Lorsque la modification consiste uniquement Ă accĂ©der aux donnĂ©es du SystĂšme National des DonnĂ©es de SantĂ© (SNDS) et que cette modification nâentraĂźne pas de modification substantielle par rapport aux Ă©lĂ©ments du dossier qui ont Ă©tĂ© initialement soumis au CPP, il est recommandĂ© de dĂ©poser un dossier en tant que recherche nâimpliquant pas la personne humaine auprĂšs de
24 https://www.cnil.fr/fr/modification-dun-traitement-de-donnees-ayant-pour-finalite-une-recherche-une-etude-ou-une-evaluation 25 ComitĂ© dâexpertise pour les recherches, les Ă©tudes et les Ă©valuations dans le domaine de la santĂ©.
28/69 Le traitement des données de santé © CLUSIF 2019
lâINDS. Le promoteur devra informer le CPP compĂ©tent lui transmettre le protocole modifiĂ©, pour information, lorsque la dĂ©cision de la CNIL est obtenue.
- Recherche est non-interventionnelle et a Ă©tĂ© mise en Ćuvre sans avis dâun comitĂ© de protection des personnes (avis CCTIRS26 et autorisation CNIL) : Il est nĂ©cessaire de transmettre les modifications substantielles Ă lâINDS qui transmettra le dossier Ă la CNIL. Celle-ci pourra, en raison de la complexitĂ© de la modification, transmettre le dossier pour avis au CEREESâŠ
- Recherche, Ă©tude ou Ă©valuation nâimpliquant pas la personne humaine (autorisation CNIL aprĂšs avis CEREES) : la demande de modification substantielle doit suivre la mĂȘme procĂ©dure que la demande initiale : INDS27 / CEREES / CNIL, mais avec un dossier allĂ©gĂ©.
Check-list des bonnes pratiques Ă respecter :
RĂ©aliser une analyse dâimpact avant la rĂ©alisation dâĂ©tudes internes sur les donnĂ©es des patients pris en charge par le professionnel de santĂ© afin de sâassurer que le traitement de donnĂ©es nâest pas susceptible dâengendrer un risque Ă©levĂ© pour les droits et libertĂ©s des personnes physiquesâ;
Tenir un registre des activitĂ©s de traitementâ; Sâassurer que lâĂ©tablissement de santĂ© met en place des mesures appropriĂ©es de sĂ©curitĂ©
des dossiers (via une analyse dâimpact notamment)â; Le cas Ă©chĂ©ant, informer les patients et sâassurer du respect de leurs droits.
26 Comité consultatif sur le traitement de l'information en matiÚre de recherche. 27 Institut national des données de santé.
29/69 Le traitement des données de santé © CLUSIF 2019
V. Le systÚme national des données de santé (SNDS)
En lâabsence de rĂšgles nationales de gouvernance pour lâutilisation des bases nationales de donnĂ©es,
chaque responsable de traitement instruisant les demandes selon ses propres critÚres et procédures, le
Haut Conseil de la santé publique (HCSP) a été chargé en décembre 2011 de rédiger un rapport sur les
besoins identifiés par les acteurs de la recherche et de la surveillance en santé concernant le croisement
des données contenues dans les principales bases nationales de données économiques et médico-sociales.
Ces bases sont centralisées, constituées et gérées par des organismes publics, couvrant ainsi de maniÚre
exhaustive et permanente lâensemble de la population dans des domaines stratĂ©giques. Sont ainsi
notamment cités par le Haut conseil de santé publique :
- Pour la mortalitĂ©, le RĂ©pertoire national dâidentification des personnes physiques (RNIPP) et la base de donnĂ©es du Centre dâĂ©pidĂ©miologie de lâINSERM (CĂ©piDc)â;
- Pour lâhospitalisation, le Programme de mĂ©dicalisation du systĂšme dâinformation (PMSI)â; - Pour les donnĂ©es de lâassurance maladie, la base Extraction recherche analyses pour un suivi mĂ©dico-
Ă©conomique (Erasme et Hippocrate), et le SystĂšme national dâinformation inter-rĂ©gimes de lâassurance maladie (SNIIRAM)â;
- Les registres des maladies (cancer, maladies raresâŠ)â; - Le RĂ©seau Ă©pidĂ©miologie et information en nĂ©phrologie (REIN)â; - Le registre national des fĂ©condations in vitro (GAIA).
Le HCSP insistait dans son rapport, remis en 2012, sur le fait que ces bases pourraient favoriser les Ă©tudes
de pharmaco-Ă©pidĂ©miologie, de phĂ©nomĂšnes territoriaux, dâĂ©pidĂ©miologie sociale et le suivi de cohortes
épidémiologiques longitudinales. Il notait cependant que ces études étaient peu nombreuses du fait des
obstacles réglementaires concernant la protection des données à caractÚre personnel dans le domaine de
la santĂ© (CNIL, CCTIRS28, IDS29âŠ) et de lâimpossibilitĂ© de recueillir le consentement exprĂšs de la personne
concernée avant chaque étude ou appariement des bases.
Le HCSP proposait ainsi un certain nombre de recommandations afin de faciliter leur accĂšs :
- Une Ă©valuation scientifique prĂ©alable du projet par des organismes lĂ©gitimes (CCTIRS, comitĂ©s scientifiques, organismes subventionnairesâŠ)â;
- Une utilisation des donnĂ©es par les seuls organismes publics ou parapublics, dans une finalitĂ© dâintĂ©rĂȘt gĂ©nĂ©ralâ;
- Un contrÎle préalable par les organismes gestionnaires des bases de données sur les demandes qui leur sont adressées.
La loi n°2016-41 du 26 janvier 2016 de modernisation de notre systÚme de santé, tenant compte de ces
propositions, a introduit de nouvelles dispositions au sein du code de la santé publique (article 193). Les
articles L. 1460-1 et suivants du code de la santĂ© publique prĂ©cisent les conditions dâaccĂšs aux informations
contenues dans le SystĂšme national des donnĂ©es de santĂ© (SNDS). Celles-ci peuvent dĂ©sormais faire lâobjet
de traitement Ă des fins de recherches, dâĂ©tudes ou dâĂ©valuation prĂ©sentant un caractĂšre dâintĂ©rĂȘt public
dans le respect des dispositions du rÚglement et de la loi informatique et libertés. Ces traitements ne
peuvent porter atteinte Ă la vie privĂ©e des personnes et ne peuvent permettre lâidentification directe ou
indirecte des personnes.
28 ComitĂ© consultatif sur le traitement de l'information en matiĂšre de recherche auquel a succĂ©dĂ© le CEREES. 29 Institut des donnĂ©es de santĂ©, remplacĂ© par lâInstitut national des donnĂ©es de santĂ©.
30/69 Le traitement des données de santé © CLUSIF 2019
V.1. DĂ©finitions
Les donnĂ©es concernĂ©es couvrent lâensemble de la population française et sont les suivantes30 :
a. Les donnĂ©es issues du Programme de mĂ©dicalisation du SystĂšme dâInformation (PMSI) (donnĂ©es des Ă©tablissements de santĂ©)â;
b. Les donnĂ©es de lâassurance maladie (SNIIRAM)â; c. Les donnĂ©es sur les causes mĂ©dicales de dĂ©cĂšs (base de donnĂ©es du Centre dâĂ©pidĂ©miologie de
lâINSERM (CĂ©piDc))â; d. Les donnĂ©es des maisons dĂ©partementales des personnes handicapĂ©es (bases mĂ©dico-sociales du
systĂšme dâinformation de la Caisse nationale de la solidaritĂ© pour lâautonomie (CNSA â handicap et personnes ĂągĂ©es)â;
e. Un Ă©chantillon reprĂ©sentatif des donnĂ©es de remboursement par bĂ©nĂ©ficiaire (EGB) transmises par des organismes dâassurance maladie complĂ©mentaire et dĂ©fini en concertation avec leurs reprĂ©sentants.
Les données contenues dans le SNDS ont un caractÚre médico-administratif.
Le SystÚme national des données de santé a pour finalité la mise à disposition des données pour
contribuer :
Ă lâinformation sur la santĂ©, lâoffre de soins, la prise en charge mĂ©dico-sociale et leur qualitĂ©â; Ă la dĂ©finition, la mise en Ćuvre et lâĂ©valuation des politiques de santĂ©â; Ă la connaissance des dĂ©penses de santĂ©â; Ă lâinformation des professionnels de santĂ© sur leur activitĂ©â; Ă la surveillance, la veille et la sĂ©curitĂ© sanitairesâ; Ă la recherche, aux Ă©tudes et Ă©valuations dans les domaines de la santĂ© et de la prise en charge
médico-sociale.
30 https://www.snds.gouv.fr/SNDS/Accueil
OBJECTIF
Ouvrir lâaccĂšs aux donnĂ©es en santĂ© afin dâutiliser au mieux leurs
potentialitĂ©s dans lâintĂ©rĂȘt de la collectivitĂ© et dans le respect de
la confidentialitĂ© des donnĂ©es personnelles et des principes Ă
valeur constitutionnelle.
3 AXES
PRINCIPAUX
1. Mise Ă disposition des donnĂ©es de santĂ© : Institution du SystĂšme national des donnĂ©es de santĂ© (SNDS)â;
2. AmĂ©liorer la gouvernance des donnĂ©es de santĂ© : Institution de lâINDS (Institut national des donnĂ©es de santĂ©)â;
3. Simplification des procĂ©dures pour les chercheurs : Modification de la LIL pour favoriser la mise en Ćuvre de traitements de donnĂ©es Ă caractĂšre personnel Ă des fins de recherche, dâĂ©tude ou dâĂ©valuation dans le domaine de la santĂ©.
31/69 Le traitement des données de santé © CLUSIF 2019
V.2. Quels accÚs aux données du SNDS
LâaccĂšs Ă ces donnĂ©es est notamment rĂ©gi par les dispositions du rĂšglement europĂ©en et de la loi
Informatique et LibertĂ©s, la France ayant fait le choix, conformĂ©ment Ă lâarticle 9-4 du rĂšglement, de
maintenir un encadrement spécifique pour les traitements de données de santé.
Les dispositions du code de la santĂ© publique (rĂ©sultant de lâarticle 193 de la loi du 26 janvier 2016)
limitent lâutilisation des donnĂ©es du SNDS aux traitements Ă des fins de recherche, dâĂ©tude ou
dâĂ©valuation, ce qui rend impossible la rĂ©alisation dâappariements pĂ©rennes avec ces donnĂ©es.
LâaccĂšs Ă ces donnĂ©es ne peut sâeffectuer que dans des conditions assurant la confidentialitĂ© et lâintĂ©gritĂ©
des données et la traçabilité des accÚs et des autres traitements, conformément à un référentiel pris par
arrĂȘtĂ© des ministres chargĂ©s de la santĂ©, de la sĂ©curitĂ© sociale et du numĂ©rique pris aprĂšs avis de la CNIL31.
Le SNDS ne contient ni les noms et prĂ©noms des personnes, ni leur numĂ©ro dâinscription au Registre
national dâinscription des personnes physiques (RNIPP ou NIR), ni leur adresse.
Les données sont conservées pendant une durée maximale de 20 ans.
LâaccĂšs ne peut ĂȘtre autorisĂ© que sous conditions :
- LâintĂ©rĂȘt public ; - Deux finalitĂ©s sont interdites : la promotion en direction des professionnels et Ă©tablissements de
santĂ© dâune part, et lâexclusion de garanties des contrats dâassurance et la modification des primes dâautre part.
Deux types dâaccĂšs sont envisagĂ©s :
- OPEN DATA : DonnĂ©es agrĂ©gĂ©es et non identifiantes. Mise Ă disposition gratuite du public de statistiques agrĂ©gĂ©es32 ou donnĂ©es individuelles constituĂ©es de telle sorte que lâidentification directe ou indirecte des personnes concernĂ©es est impossible (article L. 1461-2 du code de la santĂ© publique)â;
- ACCĂS LIMITĂ : Les donnĂ©es Ă caractĂšre personnel du SNDS font lâobjet dâune mise Ă disposition limitĂ©e (article L. 1461-3 du code de la santĂ© publique) pour :
âȘ Les accĂšs sur projet : Il sâagit de permettre des traitements Ă des fins de recherche, Ă©tude ou Ă©valuation pour une finalitĂ© du SNDS, un motif dâintĂ©rĂȘt public (sur engagement de conformitĂ© Ă un rĂ©fĂ©rentiel ou autorisation CNIL)â;
âȘ Les accĂšs permanents : pour lâaccomplissement de missions de service public. Le dĂ©cret du 26 dĂ©cembre 2016 fixe la liste des Ă©tablissements concernĂ©s autorisĂ©s Ă traiter les donnĂ©es du SNDS pour les besoins de leurs missions, lâĂ©tendue des donnĂ©es et les conditions dâaccĂšs (article L. 1461-7 du code de la santĂ© publique)33.
31 ArrĂȘtĂ© du 22 mars 2017 relatif au rĂ©fĂ©rentiel de sĂ©curitĂ© applicable au SystĂšme national des donnĂ©es de santĂ© (JO 24/03). 32 DonnĂ©es anonymisĂ©es. 33 Ce type dâaccĂšs suppose la rĂ©alisation dâun certain nombre dâactions prĂ©alables de lâorganisme autorisĂ© : dĂ©signation dâun DPO, recensement des utilisateurs (registre Ă jour des personnes et des projets de recherche), procĂ©dure dâhabilitation et revue rĂ©guliĂšre (au moins annuelle), accĂšs sur un poste utilisateur conforme Ă la politique gĂ©nĂ©rale des systĂšmes dâinformations des ministĂšres chargĂ©s des affaires sociales, analyses de risques pour chaque projet. Des sanctions sont prĂ©vues en cas de non-respect des dispositions, dont la fermeture du compte pour lâorganisme.
32/69 Le traitement des données de santé © CLUSIF 2019
V.3. Qui peut utiliser les données du SNDS et comment peut-on en demander
lâaccĂšs ?
Toute personne ou structure, publique ou privée, à but lucratif ou non lucratif, peut accéder aux données
du SNDS en vue de rĂ©aliser une Ă©tude, une recherche ou une Ă©valuation prĂ©sentant un intĂ©rĂȘt public.
Ă noter que lâaccĂšs Ă ces donnĂ©es par les entreprises productrices de produits de santĂ© et des assureurs
en santĂ© est soumis Ă des dispositions spĂ©cifiques. Ils doivent soit passer par un bureau dâĂ©tudes ou un
organisme de recherche indĂ©pendant, soit dĂ©montrer que les modalitĂ©s techniques dâaccĂšs ne
permettent en aucun cas dâutiliser le SNDS pour des finalitĂ©s interdites identifiĂ©es dans la loi (cf. supra,
Quel accÚs aux données du SNDS ?).
Un accÚs permanent est par ailleurs accordé au bénéfice de certains services publics ou organismes
publics (Direction gĂ©nĂ©rale de la santĂ©, Agences rĂ©gionales de santĂ©, agences sanitairesâŠ) pour
lâaccomplissement de leurs missions et dans les limites fixĂ©es par dĂ©cret en Conseil dâĂtat.
Les mĂȘmes rĂšgles et procĂ©dures sont valables quelles que soient les donnĂ©es auxquelles lâorganisme
souhaite avoir accĂšs.
Les données sont traitées et mises à disposition dans des conditions de sécurité conformes à un
référentiel de sécurité applicable à tout systÚme destiné à traiter des données du SNDS (SNDS, systÚmes
âsourcesâ et systĂšmes âfilsâ) et assurant la confidentialitĂ©, lâintĂ©gritĂ© des donnĂ©es et la traçabilitĂ© des accĂšs
et des autres traitements34. Un comitĂ© dâaudit du SNDS est Ă©galement mis en place pour renforcer la
bonne application des rÚgles de sécurité et de protection des données pour le SNDS en complément des
contrÎles opérés par la CNIL (LIL, Art. 7735).
â ORGANISMES DISPOSANT DâUN ACCES PERMANENT La logique dâaccĂšs repose sur la responsabilisation des acteurs qui doivent mettre en place des procĂ©dures
et des mécanismes de contrÎle spécifiques. Chaque organisme se voit préciser par décret le responsable
habilitĂ© Ă dĂ©livrer des accĂšs nominatifs aux donnĂ©es : lâAutoritĂ© d'Enregistrement (AE).
Celle-ci (ou lâautoritĂ© dâenregistrement dĂ©lĂ©guĂ©e â AED) est chargĂ©e de demander auprĂšs de la CNAM36
lâouverture dâun compte pour chaque utilisateur concernĂ©, les Ă©ventuelles modifications de droits
associés aux comptes et la clÎture des comptes (en cas de changement de mission ou de départ de
l'organisme).
La crĂ©ation dâun compte ne peut ĂȘtre envisagĂ©e que dans le respect des conditions suivantes :
âȘ Conditions relatives Ă lâutilisateur : - Obligation de suivre une formation en architecture des donnĂ©es du CNAMâ; - Obligation de suivre une formation individuelle spĂ©cifique pour l'accĂšs aux donnĂ©es
individuellesâ; - Obligation de signer les conditions gĂ©nĂ©rales d'utilisation ; - Obligation de remettre un rapport annuel d'Ă©valuation des donnĂ©es du SNDS.
34 ArrĂȘtĂ© du 22 mars 2017 relatif au rĂ©fĂ©rentiel de sĂ©curitĂ© applicable au SNDS. 35 Les rĂ©fĂ©rences aux articles issues de la loi Informatique et LibertĂ©s sont celles mentionnĂ©es dans lâordonnance 2018-1125 du 12 dĂ©cembre 2018, prise en application de la loi 2018-493 du 20 juin 2018 (LIL modifiĂ©e). Voir en annexe le tableau de concordance entre lâancienne et la nouvelle numĂ©rotation. 36 Caisse nationale dâassurance maladie. LâaccĂšs aux donnĂ©es et la gestion des comptes se fait via une application internet AUCAS.
33/69 Le traitement des données de santé © CLUSIF 2019
âȘ Conditions relatives au projet37 : - Attribution limitĂ©e pour une durĂ©e dĂ©finie et en fonction du projet dĂ©diĂ©â; - Le compte est strictement personnel et ne peut ĂȘtre utilisĂ© par un tiers.
L'accÚs aux données du SNDS pour ces organismes suppose au préalable :
âȘ La dĂ©signation obligatoire dâun dĂ©lĂ©guĂ© Ă la protection des donnĂ©esâ; âȘ Le recensement des utilisateurs : lâAE a lâobligation de tenir un registre des utilisateurs Ă jour, et
des projets nĂ©cessitant l'accĂšs permanent aux donnĂ©es. Une procĂ©dure d'habilitation des personnes avec formulaires Ă renseigner doit Ă ce titre ĂȘtre mise en placeâ;
âȘ La revue rĂ©guliĂšre au moins 1 fois/an au sein de l'organisme des comptes utilisateurs et des projetsâ;
âȘ Un accĂšs sur un poste utilisateur conforme Ă la PGSSIS-MCAS38 (en tenant compte du rĂ©fĂ©rentiel de sĂ©curitĂ©)â;
âȘ La rĂ©alisation dâune analyse de risques prĂ©alable obligatoire pour chaque projet dâĂ©tude.
L'AE est responsable des actions réalisées par les utilisateurs sur les données. En cas de non-respect des
conditions ou des prescriptions par un utilisateur de lâorganisme, des sanctions peuvent ĂȘtre appliquĂ©es
pouvant aller jusquâĂ supprimer lâaccĂšs aux donnĂ©es de lâorganisme. LâAE peut donc supprimer les accĂšs
si les conditions d'utilisation ne sont pas conformes et il doit procéder réguliÚrement à des revues
d'habilitations.
Les organismes disposant dâun accĂšs permanent aux donnĂ©es du SNDS doivent par ailleurs constituer des
demandes dâautorisation pour :
- AccĂ©der Ă des donnĂ©es qui ne sont pas dans le pĂ©rimĂštre du dĂ©cret les autorisant Ă accĂ©der Ă ces donnĂ©es (par exemple les donnĂ©es nationales si le dĂ©cret limite aux donnĂ©es rĂ©gionales)â;
- RĂ©aliser des appariements des donnĂ©es du SNDS avec dâautres bases de donnĂ©es (notamment avec leurs propres registres).
Cf. schémas page suivante.
â PROCEDURE DâACCES CLASSIQUE AUX DONNEES DU SNDS LâaccĂšs aux donnĂ©es du SNDS ou lâappariement avec dâautres bases de donnĂ©es dĂ©jĂ disponibles passe
par une procĂ©dure dâautorisation qui implique plusieurs organismes : lâInstitut national des donnĂ©es de
santĂ© (INDS), le ComitĂ© dâexpertise pour les recherches, les Ă©tudes et les Ă©valuations dans le domaine de
la santé (CEREES) et la CNIL.
Cf. schémas page suivante.
37 LâaccĂšs aux donnĂ©es du SNDS ne peut ĂȘtre envisagĂ© que pour un protocole dâĂ©tude dĂ©fini avec une durĂ©e limitĂ©e dans le temps pour chacun des utilisateurs de lâorganisme ayant besoin dâaccĂ©der aux donnĂ©es du SNDS pour les besoins de cette Ă©tude. 38 Politique gĂ©nĂ©rale de sĂ©curitĂ© des systĂšmes dâinformation des ministĂšres chargĂ©s des affaires sociales.
34/69 Le traitement des données de santé © CLUSIF 2019
Circuit des demandes dâaccĂšs au SNDS â ReprĂ©sentation schĂ©matique (source DREES)
Trois procédures simplifiées correspondant à des usages des données (source DREES)
CEREES
DĂ©claration simple auprĂšs de lâINDS qui enregistre lâengagement
CEREES Dans certains
cas
CEREES Dans certains
cas
35/69 Le traitement des données de santé © CLUSIF 2019
V.4. Quelles sont les mesures de sécurité à mettre en place ?
Les donnĂ©es mises Ă disposition du SNDS sont sensibles. Bien quâentreposĂ©es sur la base de pseudonymes
afin de préserver la vie privée des personnes, la combinaison de plusieurs variables peut déboucher sur
lâidentification des personnes concernĂ©es, constituant un risque dâatteinte Ă la vie privĂ©e des personnes.
â GARANTIR LA SECURITE ET LâINTEGRITE DES DONNEES MISES A DISPOSITION DES UTILISATEURS LâaccĂšs aux donnĂ©es sâeffectue dans des conditions assurant la confidentialitĂ©, lâintĂ©gritĂ© des donnĂ©es et
la traçabilitĂ© des accĂšs et des autres traitements. Cet accĂšs doit ĂȘtre rĂ©alisĂ© conformĂ©ment Ă un rĂ©fĂ©rentiel
dĂ©fini par arrĂȘtĂ© des ministres chargĂ©s de la santĂ©, de la sĂ©curitĂ© sociale et du numĂ©rique pris aprĂšs avis
de la CNIL39.
Ce rĂ©fĂ©rentiel du SNDS a Ă©tĂ© Ă©laborĂ© sur la base dâune analyse de risques de façon Ă mettre en place les
mesures de sĂ©curitĂ© adĂ©quates : pseudonymisation des donnĂ©es, mise en place dâun systĂšme
dâauthentification forte, traçabilitĂ© des actions, contrĂŽle, sensibilisation et formation :
LâhĂ©bergement des donnĂ©es du SNDS doit ĂȘtre rĂ©alisĂ© sur le territoire europĂ©en ou dans des pays qui, sâils nâappartiennent pas Ă la communautĂ© europĂ©enne, sont reconnus par la Commission europĂ©enne comme « offrant un niveau de protection des donnĂ©es suffisant » ou qui ont obtenu lâaccord spĂ©cifique de la CNIL40 ;
Dans le cas dâune externalisation de tout ou partie dâun âsystĂšme filsâ, il est nĂ©cessaire de rĂ©aliser une analyse de risques prĂ©alable, de prĂ©voir lâencadrement contractuel de lâexternalisation avec le tiers hĂ©bergeur, et de dĂ©finir les modalitĂ©s dâaudits et de contrĂŽle de sĂ©curitĂ© pour sâassurer du respect dâengagements du tiers ;
Lâensemble des gestionnaires des systĂšmes SNDS doit rĂ©guliĂšrement mettre en place des actions de sensibilisation et de formation Ă destination des utilisateurs et des administrateurs (utilisation des donnĂ©es, consĂ©quences en cas de mauvaise utilisation, bonnes pratiques, responsabilitĂ©, traçabilitĂ©âŠ) afin de limiter les incidents de sĂ©curitĂ© et les fuites de donnĂ©es, souvent dues Ă une action humaine (erreur ou acte intentionnel) ;
Le gestionnaire du SNDS doit sâassurer que les donnĂ©es sont archivĂ©es et sauvegardĂ©es dans des conditions de nature Ă garantir le respect du rĂšglement sur la durĂ©e de conservation des donnĂ©es. Les donnĂ©es non anonymes doivent ĂȘtre conservĂ©es dans un environnement maĂźtrisĂ©. Seules les donnĂ©es anonymes peuvent ĂȘtre sorties du systĂšme ;
LâaccĂšs aux donnĂ©es doit se faire Ă partir dâun poste respectant les exigences de la politique de sĂ©curitĂ© des systĂšmes dâinformation des ministres chargĂ©s des affaires sociales (PGSSI-MCAS). Afin de garantir lâintĂ©gritĂ© des donnĂ©es, les utilisateurs ne sont pas autorisĂ©s Ă modifier les donnĂ©es du SNDS central ;
La traçabilitĂ© doit ĂȘtre mise en place afin de garantir le contrĂŽle de lâutilisation de donnĂ©es (journaux de traces, horodatages des journaux, traitement des incidentsâŠ).
Tant que lâorganisme nâa pas la certitude que les donnĂ©es sont anonymes, le rĂ©fĂ©rentiel de sĂ©curitĂ© est
applicable.
39 ArrĂȘtĂ© du 22 mars 2017 relatif au rĂ©fĂ©rentiel de sĂ©curitĂ© applicable au SystĂšme national des donnĂ©es de santĂ©. 40 Pays dits « adĂ©quats ».
36/69 Le traitement des données de santé © CLUSIF 2019
â CONSTITUTION DE SYSTEMES FILS Lâexportation de jeux de donnĂ©es non anonymes dâun systĂšme du SNDS vers un autre systĂšme doit se
faire uniquement si le destinataire respecte, avant la mise à disposition, le référentiel de sécurité du SNDS.
DĂšs lors que des donnĂ©es du SNDS sont extraites de la plateforme pour ĂȘtre conservĂ©es par lâorganisme,
le responsable de traitement devient en effet gestionnaire dâun systĂšme du SNDS Ă©largi (ou âsystĂšme filsâ).
Il doit alors apporter la preuve du respect du référentiel de sécurité, du rÚglement européen, de la loi
informatique et libertés et des référentiels applicables en la matiÚre (politiques générales de sécurité des
systĂšmes dâinformation, rĂ©fĂ©rentiel gĂ©nĂ©ral de sĂ©curitĂ©âŠ).
Lâexportation de donnĂ©es doit se faire dans le cadre dâune convention afin de permettre au gestionnaire
du systÚme cédant les données de conserver des moyens de contrÎle sur la bonne application du
référentiel de sécurité sur le systÚme fils.
La demande dâautorisation dâexportation est faite auprĂšs de lâInstitut national des donnĂ©es de santĂ©. Le
CEREES évaluera la demande et si le résultat est favorable, la demande est transmise à la CNIL.
Chaque systĂšme fils doit ĂȘtre homologuĂ©41. Ă ce titre, le gestionnaire du systĂšme doit adopter la
démarche de mise en conformité suivante :
- RĂ©alisation dâune analyse de risques ; - RĂ©alisation dâune Ă©tude dâimpact sur la vie privĂ©e des personnes (PIA) ; - RĂ©alisation du plan dâaction dĂ©coulant des analyses (mesures de couverture des risques associĂ©es) ; - RĂ©alisation dâune homologation de sĂ©curitĂ© sur le pĂ©rimĂštre considĂ©rĂ© ; - Suivi opĂ©rationnel de la sĂ©curitĂ© du systĂšme dâinformation.
41 https://www.ssi.gouv.fr/guide/lhomologation-de-securite-en-neuf-etapes-simples/
37/69 Le traitement des données de santé © CLUSIF 2019
VI. Health Data Hub â La Plateforme de donnĂ©es de santĂ©
Ă la suite de la remise du rapport Villani, le prĂ©sident de la RĂ©publique a annoncĂ© la crĂ©ation dâun « Health Data Hub » comme un des points forts de la stratĂ©gie Intelligence Artificielle française (IA). Lâobjectif de ce projet est la crĂ©ation dâun guichet unique, assurant un accĂšs simplifiĂ©, effectif et accĂ©lĂ©rĂ© aux donnĂ©es de santĂ©. Le principe fondateur est que les donnĂ©es de santĂ© financĂ©es par la solidaritĂ© nationale constituent un patrimoine commun. La ministre des SolidaritĂ©s et de la SantĂ© a lancĂ© le 12 juin 2018 une mission de prĂ©figuration de cette plateforme dâexploitation des donnĂ©es de santĂ©.
La mission, pilotĂ©e par trois experts dont Dominique Polton (prĂ©sidente de lâINDS), rĂ©unit Ă©galement des
reprĂ©sentants de la recherche, de lâĂ©cosystĂšme des start-ups, de lâindustrie, des professionnels et
Ă©tablissements de santĂ©, de lâadministration et de lâAssurance Maladie. Un trĂšs grand nombre dâacteurs
de lâĂ©cosystĂšme ont Ă©tĂ© entendus ou ont activement contribuĂ© Ă ces rĂ©flexions. Le rapport, remis le 12
octobre 2018, propose une feuille de route pour la mise en Ćuvre opĂ©rationnelle du « Health Data
Hub », ainsi que des recommandations, notamment sur les aspects organisationnels et réglementaires
pour que cette feuille de route puisse se dérouler dans un contexte favorable.
Un projet de loi, adoptĂ© en conseil des ministres le 13 fĂ©vrier 2019, a Ă©tĂ© dĂ©posĂ© Ă lâAssemblĂ©e nationale
le mĂȘme jour. Le texte a Ă©tĂ© votĂ© en premiĂšre lecture par lâAssemblĂ©e nationale le 26 mars 2019 et est
renvoyé pour discussions au Sénat. Il vise à mettre au service du plus grand nombre les données de
santĂ© financĂ©es par la solidaritĂ© nationale dans le respect de lâĂ©thique et des droits fondamentaux des
personnes.
VI.1. Rappel du contexte
La loi 2016-41 du 26 janvier 2016 de modernisation de notre systÚme de santé a créé le SNDS qui regroupe actuellement les données issues du SNIIRAM, du PMSI et la base des causes médicales de décÚs ;
Tous les organismes publics et privĂ©s peuvent dâores-et-dĂ©jĂ accĂ©der Ă cette base pour mener des Ă©tudes, recherches et Ă©valuations prĂ©sentant un intĂ©rĂȘt public, dans un cadre sĂ©curisĂ© juridiquement et techniquement et dans le respect de la vie privĂ©e des personnes (sans possibilitĂ© dâidentification directe) ;
En parallĂšle, les Ă©tablissements de santĂ© organisent lâexploitation de leurs informations par la mise en Ćuvre dâentrepĂŽts de donnĂ©es de santĂ© (EDS) et il existe par ailleurs un certain nombre de registres, cohortes ou bases de donnĂ©es crĂ©Ă©es pour des finalitĂ©s particuliĂšres.
Si la loi a facilitĂ© lâaccĂšs aux donnĂ©es de santĂ© (notamment via le circuit mis en place autour de lâINDS),
et en fixant des dĂ©lais rĂ©duits dâinstruction des demandes, lâaccĂšs aux donnĂ©es reste contraint par :
âȘ Des investissements matĂ©riels et mĂ©thodologiques importants ; âȘ Un circuit de gouvernance qui peut diffĂ©rer dâune base de donnĂ©es Ă lâautre ; âȘ Le rapprochement de donnĂ©es de sources diverses (donnĂ©es du SNDS et registres ou cohortes) est
juridiquement et techniquement complexe. Cf. supra, Le SystÚme national des données de santé.
38/69 Le traitement des données de santé © CLUSIF 2019
On remarque une forte accĂ©lĂ©ration du dĂ©veloppement de lâintelligence artificielle dans le domaine de
la santé. De nombreux programmes sont déployés, notamment en médecine préventive, dans le
domaine des prothĂšses, en radiologie (nouveaux outils dâaide au diagnostic) ou en tĂ©lĂ©-suivi
personnalisĂ© et contrĂŽle dâobservance.
Câest dans ce cadre quâintervient le Health Data Hub (HDH) ou Plateforme des donnĂ©es de santĂ©.
Lâobjectif est de faciliter le rapprochement des donnĂ©es de santĂ© et leur exploitation dâun point de vue
réglementaire (accÚs aux données), au regard du périmÚtre accessible (enrichissement du SNDS par des
donnĂ©es cliniques) et des moyens offerts (plateforme dâhĂ©bergement, avec infrastructure, outils
dâexploitation, compĂ©tences).
Les ambitions affichées sont : consolider et renforcer notre patrimoine de données, faire du partage la
rĂšgle, de la fermeture lâexception, mettre en synergie les moyens techniques et humains et soutenir les
initiatives prometteuses et permettre la structuration dâune filiĂšre Intelligence Artificielle (IA) et SantĂ©.
VI.2. Bilan de la mission de préfiguration
Des auditions, sont ressortis plus dâune centaine de cas dâusage dans les domaines de la recherche
mĂ©dicale, du suivi et de lâinformation des patients, de lâappui aux professionnels de santĂ©, et du pilotage
du systÚme de santé. Les attentes des acteurs sont les suivantes :
â Mieux connaĂźtre et pouvoir plus facilement accĂ©der au patrimoine des donnĂ©es de santĂ©, dĂ©cloisonner les donnĂ©es et faciliter leurs rapprochements, dans le respect du droit du citoyen ;
â Avoir accĂšs Ă des moyens adaptĂ©s et suffisants (technologiques, humains et financiers) pour consolider et valoriser le patrimoine des donnĂ©es ;
â FĂ©dĂ©rer lâĂ©cosystĂšme autour dâun modĂšle Ă©conomique dâensemble, favorisant le partage.
VI.3. Un nouvel accÚs aux données de santé
La Plateforme des données de santé doit bénéficier :
- Ă la recherche mĂ©dicale ; - Aux professionnels de santĂ© (aide au diagnostic, automatisation des tĂąches administrativesâŠ) ; - Ă lâĂ©laboration des politiques publiques (prise de dĂ©cision intelligente, meilleure organisation des
Ă©tablissements de santĂ© et de lâallocation des ressources) ; - Aux patients (meilleures statistiques, collecte de donnĂ©es de vie rĂ©elle, conseils personnalisĂ©s et
médecine préventive).
Dans ce cadre, une des ambitions principales est la crĂ©ation dâun patrimoine interactif de donnĂ©es de
santé.
â UN PROJET AMBITIEUX Le dispositif illustre deux grandes tendances actuelles : le partage de la donnĂ©e comme atout
Ă©conomique (valorisation) et pour lâintĂ©rĂȘt gĂ©nĂ©ral (open data) et lâessor de lâintelligence artificielle en
mĂ©decine pour dĂ©velopper la mĂ©decine prĂ©ventive, et plus gĂ©nĂ©ralement lâensemble des dispositifs
médicaux de prévention ou de traitement.
39/69 Le traitement des données de santé © CLUSIF 2019
Compte tenu de lâimportance stratĂ©gique du Hub, de sa contribution Ă la transformation du systĂšme de
santĂ© et des externalitĂ©s multiples quâil va gĂ©nĂ©rer, la mission de prĂ©figuration a considĂ©rĂ© que la
Plateforme doit bĂ©nĂ©ficier, au-delĂ de cette pĂ©riode de dĂ©marrage, dâun soutien public pĂ©renne. Le
potentiel de valorisation de ses activités se concentre principalement autour des industriels de santé,
laboratoires pharmaceutiques et MedTech et les start-ups innovantes du domaine de la santé.
La Plateforme des données de santé doit veiller à respecter :
âȘ Les obligations relatives Ă lâhĂ©bergement de donnĂ©es de santĂ© ; âȘ Le rĂ©fĂ©rentiel de sĂ©curitĂ© du SNDS ; âȘ Le rĂšglement europĂ©en sur la protection des donnĂ©es.
Les avantages compĂ©titifs dont disposeraient les producteurs pour lâutilisation des bases quâils
produisent Ă des fins de recherche devraient ĂȘtre proportionnĂ©s, dĂ©finis et transparents. La charte
« utilisateurs » poserait Ă©galement des rĂšgles Ă©thiques et de sĂ©curitĂ© propres Ă lâutilisation des donnĂ©es
de santé et des principes de notification des producteurs lors des publications et de crédits relatifs à la
donnĂ©e, en cohĂ©rence avec le Plan national pour la science ouverte qui promeut la crĂ©ation dâindicateurs
de citations autour de la réutilisation des données, non restreints aux seules publications.
Les missions de la Plateforme sont hybrides, cette derniĂšre cumulant en effet des missions de service
public administratif et des missions industrielles et commerciales.
â PLATEFORME DES DONNEES DE SANTE : TIERS DE CONFIANCE Cette plateforme doit servir de tiers de confiance entre les producteurs et les utilisateurs publics
comme privés de ces données (acteurs institutionnels, offreurs de soins, organismes et opérateurs de
recherche, autoritĂ©s sanitaires, laboratoires, etc.). Lâoffre de service inclut lâaccompagnement des
procĂ©dures dâhabilitation, la rĂ©alisation des opĂ©rations dâappariements entre jeux de donnĂ©es, le
soutien à la collecte et la consolidation des données, et la mise à disposition de moyens humains et
techniques pour exploiter les données.
La plateforme a ainsi pour objectif de faciliter dâune part le dĂ©pĂŽt et la mise Ă jour des donnĂ©es de santĂ©,
et dâautre part leur exploitation en proposant notamment une offre de service variĂ©e, le tout encadrĂ©
par une gouvernance qui se veut innovante et transparente de la donnée, dans le respect des droits des
patients.
â MODALITES ENVISAGEES POUR LâUTILISATION DE LA PLATEFORME âȘ Chaque utilisateur disposera dâun espace de travail avec ses donnĂ©es et les donnĂ©es du Hub (espace
privĂ© avec possibilitĂ© de recueillir et dĂ©poser des donnĂ©es). Pour lâappariement des donnĂ©es, un process dâindustrialisation sera proposĂ© et rĂ©alisĂ© par le Hub (sur le modĂšle de ce qui existe Ă la CNAM mais le Hub sera le seul interlocuteur) ;
âȘ Le niveau de sĂ©curitĂ© exigĂ© au sein de la Plateforme est celui du rĂ©fĂ©rentiel SNDS Ă©vitant ainsi de dĂ©velopper dans les organismes concernĂ©s le niveau de sĂ©curitĂ© requis ;
âȘ Existence de Hub locaux et dâun Hub national ; âȘ Mutualisation et partage des donnĂ©es : un catalogue des donnĂ©es est accessible et disponible.
Les modalitĂ©s de gouvernance de la donnĂ©e actuellement dĂ©finie pour lâaccĂšs aux donnĂ©es du SNDS
doivent ĂȘtre revues et Ă©largies pour donner un rĂŽle supplĂ©mentaire aux nouveaux producteurs des
donnĂ©es (y compris par lâintĂ©gration dans le comitĂ© des nouveaux producteurs des donnĂ©es).
40/69 Le traitement des données de santé © CLUSIF 2019
La mĂȘme philosophie dâaccĂšs aux donnĂ©es demeure : accĂšs aux donnĂ©es via une autorisation de la CNIL,
finalitĂ©s interdites, intĂ©rĂȘt publicâŠ
Mise Ă disposition au
plus grand nombre
des données de santé
financées par la
solidarité nationale
Dans le respect de lâĂ©thique et des droits fondamentaux :
1. Partage de la donnĂ©e selon une gouvernance unifiĂ©e ; 2. Allocation de moyens pour consolider le patrimoine de donnĂ©es ; 3. CrĂ©ation dâun tiers de confiance national pour accompagner lâaccĂšs et offrir des moyens
mutualisés pour valoriser les données dans un environnement sécurisé ; 4. Identification des projets pilotes prometteurs en termes de santé publique et de
promotion de la filiĂšre industrielle.
RĂŽle de la
Plateforme
1. Tiers de confiance ; 2. Vitrine nationale et internationale (patrimoine des données et offre de services lisible pour
les acteurs publics et privĂ©s de la santĂ©) ; 3. Guichet unique (pour la collecte des donnĂ©es et lâaccĂšs des utilisateurs) ; 4. Garant de la qualitĂ© (diffusion de standards de qualitĂ© internationaux pour les donnĂ©es
partagĂ©es) ; 5. Mutualisation de technologies et dâexpertises (plateforme technologique sĂ©curisĂ©e,
expertises en propre et animation de la communautĂ©) ; 6. Promotion de lâinnovation (dĂ©veloppement dâun environnement pour faire prospĂ©rer les
innovations).
Plusieurs intervenants : gouvernance (processus lisible, standardisé et non discrétionnaire), producteurs de la donnée
(mise à disposition des données selon charte producteur), utilisateurs de la donnée (utilisation des services du Hub selon
principes définis dans une charte utilisateur) et citoyens.
Gouvernance
1. Guichet unique ; 2. Catalogue de donnĂ©es en constante Ă©volution ; 3. Un comitĂ© dâĂ©thique et scientifique qui instruit les demandes ; 4. Des rĂšgles dâaccĂšs transparentes et non discrĂ©tionnaires (dĂ©lais fixĂ©s et refus explicitĂ©s
avec des représentants des producteurs qui interviennent, de la faisabilité des projets si nécessaire).
PRODUCTEUR DE LA
DONNEE GOUVERNANCE HUB UTILISATEUR
Documente la donnée, fournit un échantillon et propose les conditions de valorisation des jeux de données.
Est représenté dans le comité du Hub
Fournit une expertise.
Instruit la démarche en application des rÚgles fournies
Propose des ajustements en lien avec la CNIL.
IntÚgre les jeux de données, Instruit la demande, Fournit un support aux
utilisateurs et un appui aux producteurs sur la valorisation Ă©conomique,
Réalise les appariements éventuels et donne accÚs aux jeux de données,
Apporte un support aux opérations de valorisations (outils, compétences).
Demande lâaccĂšs aux jeux de donnĂ©es (appariĂ©s ou non) et fournit les informations requises,
RĂ©alise les traitements.
41/69 Le traitement des données de santé © CLUSIF 2019
Offre du Hub
(en 4 axes)
1. Donner accĂšs aux donnĂ©es de santĂ© : â Mettre Ă disposition un catalogue des donnĂ©es disponibles ; â Accompagner les procĂ©dures dâhabilitation et les demandes dâappariement ; â Mettre Ă disposition des jeux de donnĂ©es appariĂ©s et documentĂ©s ;
2. Soutenir la collecte et la consolidation des donnĂ©es : â Appuyer la dĂ©finition et lâimplantation de terminologies ; â Mettre Ă disposition des formats et standards communs ; â Soutenir le financement des dĂ©marches de collecte et de consolidation du
patrimoine ; â Garantir la juste de rĂ©tribution des efforts des producteurs ;
3. Accompagner la valorisation des données (capacités technologiques à la demande, briques documentaires et techniques) ;
4. Soutenir lâĂ©cosystĂšme pour favoriser le partage (culture de la donnĂ©e au sein de la communautĂ©, initiatives, transparence vers la sociĂ©tĂ© civile).
Organisation du Hub
en réseaux Organisation du Hub central avec des Hubs locaux.
Résumé du bilan de la mission de préfiguration du Health Data Hub
VI.4. Projet de loi â CrĂ©ation dâun guichet unique dâaccĂšs aux donnĂ©es
Lâambition de la Plateforme des donnĂ©es de santĂ© est de faire de la France un leader dans lâutilisation
des données de santé, au service du bien commun, dans le respect du droit des patients et en totale
transparence avec la sociĂ©tĂ© civile. Elle vise Ă crĂ©er un Ă©cosystĂšme dynamique dâexploitation innovante
des données de santé. Les travaux entrepris grùce à cette plateforme devraient permettre de faire des
progrĂšs significatifs dans les domaines de la recherche, de lâappui au personnel de santĂ©, du pilotage du
systĂšme de santĂ©, du suivi et de lâinformation des patients.
Elle doit prendre la forme dâun guichet unique, sĂ©curisĂ©, permettant lâaccĂšs aux donnĂ©es de santĂ© pour
des projets prĂ©sentant un intĂ©rĂȘt public. Ă terme, ce guichet doit mettre Ă disposition les donnĂ©es
financées par la solidarité nationale, dans le respect du droit des patients et en assurant la transparence
avec la société civile.
â LA PLATEFORME DES DONNEES DE SANTE REMPLACE LâINSTITUT NATIONAL DES DONNEES DE SANTE Cette offre de service doit ĂȘtre dĂ©livrĂ©e par une structure centrale (guichet unique centralisant les
données provenant de multiples sources : SNDS, dossiers patients des centres hospitaliers ou de la
mĂ©decine de ville et patients eux-mĂȘmesâŠ) appuyĂ©e par des pĂŽles, opĂ©rant dans une logique de
proximité géographique. Le modÚle juridique et économique, doit permettre de garantir la soutenabilité
du modĂšle Ă©conomique dâensemble, de compenser pour partie les coĂ»ts supportĂ©s pour la collecte des
données, la garantie de leur qualité, le fonctionnement du Hub et de traiter de maniÚre transparente la
question de la propriété intellectuelle.
Le projet de loi relatif Ă lâorganisation et Ă la transformation du systĂšme de santĂ©, prĂ©voit ainsi la transformation de lâInstitut national des donnĂ©es de santĂ© (INDS) en « Plateforme des donnĂ©es de santĂ© » dont les missions seraient Ă©largies, traduisant la mise en place du Health Data Hub.
42/69 Le traitement des données de santé © CLUSIF 2019
Lâarticle 11 rĂ©Ă©crit une nouvelle fois, aprĂšs la loi du 26 janvier 2016 sur la modernisation du systĂšme de santĂ© et la loi du 28 juin 2018 sur la protection des donnĂ©es personnelles, les dispositions encadrant la gouvernance et lâaccĂšs aux donnĂ©es de santĂ©. Il vise Ă traduire dans la loi, la mise en place du Health Data Hub42 annoncĂ©e par la PrĂ©sidence de la RĂ©publique aprĂšs la remise du Rapport Villani sur la stratĂ©gie française en matiĂšre dâintelligence artificielle. La future Plateforme sera non plus chargĂ©e de « veiller Ă la qualitĂ© des donnĂ©es de santĂ© et aux conditions gĂ©nĂ©rales de leur mise Ă disposition, garantissant leur sĂ©curitĂ© et facilitant leur utilisation dans le respect de la loi [informatique et libertĂ©s] » mais de « rĂ©unir, organiser et mettre Ă disposition les donnĂ©es du systĂšme national des donnĂ©es de santĂ© ». Elle devra Ă©galement « promouvoir lâinnovation dans lâutilisation des donnĂ©es de santĂ© ». Elle reste chargĂ©e dâassurer le secrĂ©tariat unique des recherches, Ă©tudes et Ă©valuations dans le domaine de la santĂ© et devra Ă©galement dĂ©sormais assurer le secrĂ©tariat du « comitĂ© Ă©thique et scientifique pour les recherches, les Ă©tudes et les Ă©valuations dans le domaine de la santĂ© » qui se substitue Ă lâancien CEREES, jusquâici chargĂ© de donner un avis sur les projets de recherche en amont de leur autorisation par la CNIL. Le groupement dâintĂ©rĂȘt public ainsi constituĂ© devra contribuer Ă lâĂ©laboration par la CNIL de rĂ©fĂ©rentiels et de mĂ©thodologies de rĂ©fĂ©rence encadrant les traitements de donnĂ©es de santĂ© et contribuer à « diffuser les normes de standardisation pour lâĂ©change et lâexploitation des donnĂ©es de santĂ© en tenant compte des standards europĂ©ens et internationaux » et faciliter « la mise Ă disposition de jeux de donnĂ©es de santĂ© prĂ©sentant un faible risque dâimpact sur la vie privĂ©e ». Il assumera un rĂŽle dâinformation des patients, de promotion et de facilitation de leurs droits. Il devra Ă©galement procĂ©der pour le compte dâun tiers Ă des opĂ©rations « nĂ©cessaires Ă la rĂ©alisation dâun traitement de donnĂ©es issues du SNDS pour lequel ce tiers a obtenu une autorisation ».
â DISPARITION DU CEREES AU PROFIT DâUN SEUL COMITE ETHIQUE ET SCIENTIFIQUE Il est Ă©galement prĂ©vu la mise en place dâun seul comitĂ© Ă©thique et scientifique pour les recherches, les
études et les évaluations dans le domaine de la santé (CES), à géométrie variable, adoptant des rÚgles
proches de celles retenues pour le SNDS.
Composé de maniÚre à garantir son indépendance et la diversité des compétences dans le domaine des
traitements concernant la santĂ© et Ă lâĂ©gard des questions scientifiques, Ă©thiques, sociales ou juridiques,
il mobiliserait un ou plusieurs experts selon la nature du projet (représentant des patients, éthiciens,
experts des différentes sources mobilisées, experts en intelligence artificielle, etc.) et des représentants
des producteurs des donnĂ©es visĂ©es pour juger de la faisabilitĂ© dâun projet si nĂ©cessaire.
Le comitĂ© comporte Ă©galement en son sein des reprĂ©sentants dâassociations de malades ou dâusagers
du systÚme de santé agréées.
42 MĂȘme si le terme ne figure pas expressĂ©ment dans le texte.
43/69 Le traitement des données de santé © CLUSIF 2019
VI.5. Projet de loi â Enrichissement des bases de donnĂ©es du SNDS
â EXTENSION DU SNDS ET MODIFICATION DE LA GOUVERNANCE Afin de dĂ©multiplier lâutilisation des donnĂ©es du SNDS aussi bien en recherche clinique quâen termes de nouveaux usages, notamment ceux liĂ©s au dĂ©veloppement des mĂ©thodes dâintelligence artificielle, le SNDS est enrichi de lâensemble des donnĂ©es collectĂ©es lors des actes pris en charge par lâassurance maladie. Le projet de texte Ă©largit ainsi le contenu du SystĂšme national des donnĂ©es de santĂ© (SNDS) pour y ajouter : - « Les donnĂ©es destinĂ©es aux professionnels de soins et organismes de santĂ© recueillies Ă lâoccasion
des activitĂ©s [de prĂ©vention, de diagnostic, de soins ou de suivi social et mĂ©dico-social] donnant lieu Ă la prise en charge des frais de santĂ© en matiĂšre de maladie ou de maternitĂ© [âŠ] et en matiĂšre dâaccident du travail et de maladie professionnelle » ;
- Les donnĂ©es des enquĂȘtes dans le domaine de la santĂ© lorsquâelles sont appariĂ©es avec les donnĂ©es du SNDS ;
- Les données de prévention recueillies par la protection maternelle et infantile (PMI), la médecine scolaire et la médecine du travail.
Cet Ă©largissement doit permettre un accĂšs aux donnĂ©es facilitĂ© par une procĂ©dure unique pour lâensemble des donnĂ©es (donnĂ©es historiques du SNDS et donnĂ©es cliniques recueillies lors des soins pris en charge par lâassurance maladie). Compte tenu de lâĂ©largissement du pĂ©rimĂštre du SNDS, la caisse nationale de lâassurance maladie (qui a la charge de la maĂźtrise dâouvrage de lâapplicatif SNDS) ne peut demeurer lâunique responsable du traitement et centralisateur. Plusieurs responsables de traitements doivent donc ĂȘtre en charge du rassemblement et de la mise Ă disposition des donnĂ©es. Ces responsables ou les catĂ©gories de responsables des traitements du SNDS et leurs rĂŽles respectifs doivent ĂȘtre prĂ©cisĂ©s aprĂšs dĂ©cret en Conseil dâĂtat, pris aprĂšs avis de la CNIL. Les responsables de traitement doivent quant Ă eux ĂȘtre dĂ©signĂ©s nommĂ©ment par arrĂȘtĂ© du ministre chargĂ© de la santĂ©. Dans lâesprit de la loi, la CNAM restera responsable de la base unifiĂ©e mais toutes les donnĂ©es du SNDS nây figureront pas pour autant (expliquant de fait la multiplication des responsables de traitement).
â LA FINALITE DE RECHERCHE DISPARAIT AU SEUL PROFIT DE LâINTERET PUBLIC Afin de permettre la constitution dâentrepĂŽts de donnĂ©es ou lâimplĂ©mentation automatique des donnĂ©es du SNDS dans les registres de suivi de certains dispositifs mĂ©dicaux, la possibilitĂ© de recourir aux donnĂ©es du SNDS et au numĂ©ro dâinscription au rĂ©pertoire des personnes physiques (NIR) comme identifiant national de santĂ© (INS, cf. infra, Lâutilisation du NIR dans les traitements de donnĂ©es de santĂ©) est Ă©largie Ă lâensemble des traitements de donnĂ©es Ă caractĂšre personnel dans le domaine de la santĂ© et pas uniquement ceux relevant des finalitĂ©s de recherche, Ă©tude ou Ă©valuation. Lâarticle L. 1461-1 du code de la santĂ© publique, qui dĂ©finit les principes relatifs Ă la mise Ă disposition des donnĂ©es de santĂ©, est modifiĂ©. Il est dĂ©sormais prĂ©vu que les donnĂ©es de santĂ© « destinĂ©es aux services ou aux Ă©tablissements publics de lâEtat ou des collectivitĂ©s territoriales ou aux organismes de sĂ©curitĂ© sociale » et prochainement aux « professionnels de santĂ© » peuvent faire lâobjet de « traitements prĂ©sentant un caractĂšre dâintĂ©rĂȘt public ». La condition pour ces traitements de rĂ©pondre Ă des fins de recherche, dâĂ©tude ou dâĂ©valuation est supprimĂ©e. De mĂȘme cette notion de finalitĂ© est supprimĂ©e pour la condition dâaccĂšs aux donnĂ©es en ne laissant que le motif dâintĂ©rĂȘt public.
44/69 Le traitement des données de santé © CLUSIF 2019
Les finalitĂ©s interdites introduites par la loi du 26 janvier 2016 pour restreindre lâaccĂšs aux donnĂ©es du SNDS sont quant Ă elles maintenues et les utilisateurs doivent dĂ©montrer que les projets quâils portent poursuivent un intĂ©rĂȘt public. A noter quâil nâexiste pas dâincompatibilitĂ© entre intĂ©rĂȘt commercial et intĂ©rĂȘt public et une doctrine doit expliciter prochainement ces deux notions.
â IMPOSSIBILITE DE TOUTE REIDENTIFICATION Afin dâaffirmer clairement la protection dont sont assorties les donnĂ©es entrant dans le champ du SNDS, lâimpossibilitĂ© de toute possibilitĂ© de rĂ©identification doit ĂȘtre clairement affirmĂ©e. Il est ainsi choisi de supprimer toute exception Ă lâimpossibilitĂ© de rĂ©identification des personnes, cette impossibilitĂ© devant ĂȘtre rappelĂ©e comme un principe fondamental du SNDS. Le dispositif de correspondance prĂ©vu dans la loi de 2016 est supprimĂ©, le projet de loi rendant irrĂ©versible la pseudonymisation des donnĂ©es. La Plateforme ne comportera aucune donnĂ©e nominative. La pseudonymisation se fera au niveau des bases sources (il est, dans cette hypothĂšse, prĂ©vu que la Plateforme pourra mettre Ă disposition des ressources pour aider les producteurs Ă pseudonymiser leurs donnĂ©es). Le reste des dispositions Ă©voquĂ©es dans la fiche sur le SNDS nâest pas modifiĂ©.
Extension du périmÚtre du
SNDS
Avec les données cliniques recueillies par les praticiens (en secteur hospitalier et en
mĂ©decine de ville) lors de la rĂ©alisation dâactes pris en charge par lâassurance maladie
au titre de la maladie, la maternité, les accidents du travail et les maladies
professionnelles43.
Par exemples :
 EntrepÎts hospitaliers (AP-HP, Hubs locaux réunissant plusieurs établissements hospitaliers) ;
 SociĂ©tĂ©s savantes avec des bases de donnĂ©es cliniques, y compris Ă partir dâobjets connectĂ©s ;
 Cohortes de recherche⊠Avec les donnĂ©es des « enquĂȘtes dans le domaine de la santĂ© » lorsquâelles sont
appariées avec les données du SNDS (thÚmes trÚs divers tels que la consommation
dâalcool, de tabac, la santĂ© mentale, le renoncement aux soins, le contexte social ou
lâĂ©tat de santĂ© ressentiâŠ) ;
Avec les donnĂ©es de prĂ©vention, recueillies par la PMI â Protection maternelle
infantile, la médecine scolaire et la médecine du travail.
Responsables de traitement
ou catĂ©gories de RT du SNDS RĂŽles respectifs Ă dĂ©finir par DCE et par arrĂȘtĂ©.
Création de la plateforme
dâaccompagnement des
utilisateurs et dâexploitation
des données de santé
Nouvelles missions pour lâINDS (rĂ©union, organisation et mise Ă disposition des
donnĂ©es du SNDS et promotion de lâinnovation dans lâutilisation des donnĂ©es de
santé).
Le GIP devra Ă©galement :
- Contribuer Ă diffuser des normes de standardisation pour lâĂ©change et lâexploitation des donnĂ©es de santĂ© ;
43 « DonnĂ©es destinĂ©es aux professionnels et organismes de santĂ© recueillies Ă lâoccasion des activitĂ©s de [prĂ©vention, de diagnostic et de soins] donnant lieu Ă la prise en charge des frais de santĂ© en matiĂšre de maladie ou de maternitĂ© [âŠ] [et] en matiĂšre dâaccident du travail et de maladie professionnelle ».
45/69 Le traitement des données de santé © CLUSIF 2019
- Faciliter la mise Ă disposition de jeux de donnĂ©es de santĂ© prĂ©sentant un faible risque dâimpact sur la vie privĂ©e ;
- ProcĂ©der pour le compte de tiers Ă des opĂ©rations nĂ©cessaires Ă la rĂ©alisation dâun traitement de donnĂ©es issues du SNDS pour lequel ce tiers a obtenu une autorisation.
Changement du CEREES
Il devient le comité éthique et scientifique pour les recherches, les études et les
évaluations dans le domaine de la santé. Il conserve les missions du CEREES et est
compĂ©tent pour juger du caractĂšre dâintĂ©rĂȘt public que prĂ©sentent les traitements.
Le secrétariat est assuré par la plateforme des données de santé.
AccÚs aux données du SNDS
Les possibilitĂ©s dâaccĂšs aux donnĂ©es du SNDS sont Ă©largies Ă lâensemble des
traitements dâintĂ©rĂȘts publics de donnĂ©es concernant la santĂ© afin, notamment, de
permettre la constitution dâentrepĂŽts de donnĂ©es.
Suppression de la
réidentification aprÚs
pseudonymisation
Abrogation du dispositif de lâarticle L. 1461-4 du code de la santĂ© publique instituant
un tiers de confiance chargĂ© dâhĂ©berger les donnĂ©es personnelles en raison du risque
dâidentification directe des personnes concernĂ©es et seul habilitĂ© Ă rĂ©identifier ces
personnes pour les avertir en cas dâexposition Ă un risque sanitaire grave ou pour les
besoins dâune recherche nĂ©cessaire sans solution alternative.
Le SNDS est construit sur le principe de non-identification directe des personnes.
Projet de loi de santĂ© â RĂ©sumĂ© des dispositions de lâarticle 11 sur la Plateforme des donnĂ©es de santĂ©
Pour en savoir plus, vous pouvez consulter : Le site internet du ministÚre chargé de la santé :
Communiqué de presse du 2 février 2019 : https://drees.solidarites-sante.gouv.fr/etudes-et-statistiques/acces-aux-donnees-de-
sante/article/health-data-hub
Lancement du premier appel Ă projet du HDH : https://drees.solidarites-sante.gouv.fr/etudes-et-statistiques/publications/communiques-
de-presse/article/exploitation-des-donnees-de-sante-le-health-data-hub-lance-son-
premier-appel-a
Le site internet de lâInstitut national des donnĂ©es de santĂ© (INDS) :
https://www.indsante.fr/fr/actualite/08022019-lancement-de-lappel-projets-du-health-data-hub
Le site internet de lâAssemblĂ©e nationale :
http://www.assemblee-nationale.fr/dyn/15/dossiers/organisation_transformation_systeme_sante
46/69 Le traitement des données de santé © CLUSIF 2019
VII. LâhĂ©bergement des donnĂ©es de santĂ©
VII.1. DĂ©finition
En tant que responsables de traitement de données de santé, les établissements et les professionnels
de santĂ© peuvent choisir de conserver eux-mĂȘmes les donnĂ©es de santĂ© de leurs patients ou de les
confier en vertu dâun contrat Ă un prestataire extĂ©rieur appelĂ© hĂ©bergeur.
LâhĂ©bergement de donnĂ©es de santĂ© vise toute externalisation des donnĂ©es actives auprĂšs dâun tiers
prestataire. LâactivitĂ© dâhĂ©bergement recouvre ainsi plusieurs rĂ©alitĂ©s : elle peut consister en une
application associant traitement et archivage des donnĂ©es. Il peut sâagir dâun simple archivage ou de la
fourniture dâun site de sauvegarde. Participe Ă lâhĂ©bergement tout opĂ©rateur intervenant dans cette
chaĂźne de valeurs. Seul celui qui contractualise avec le producteur de soins est soumis Ă lâagrĂ©ment,
charge Ă lui de prĂ©ciser les modalitĂ©s dâintervention des autres acteurs.
LâhĂ©bergeur est chargĂ© dâassurer la confidentialitĂ©, la sĂ©curitĂ©, lâintĂ©gritĂ©, la traçabilitĂ© et la disponibilitĂ© des donnĂ©es de santĂ© qui lui sont confiĂ©es par un professionnel de santĂ©, un Ă©tablissement de santĂ© ou directement par la personne concernĂ©e par les donnĂ©es.
VII.2. Evolution du cadre législatif
Les donnĂ©es de santĂ© bĂ©nĂ©ficient dâune protection particuliĂšre et renforcĂ©e en application des
dispositions du rĂšglement europĂ©en et de la loi Informatique et LibertĂ©s. LâhĂ©bergement de ces donnĂ©es
doit en consĂ©quence ĂȘtre rĂ©alisĂ© dans des conditions de sĂ©curitĂ© adaptĂ©es Ă leur criticitĂ©.
â LA LOI DU 4 MARS 2002 â AGREMENT DES CENTRES HEBERGEURS PAR DECISION DU MINISTRE DE LA SANTE ET
CONSENTEMENT EXPRES DES PERSONNES DONT LES DONNEES SONT CONSERVEES La loi du 4 mars 2002 relative aux droits des malades et à la qualité du systÚme de soins a profondément
bouleversĂ© la relation entre les patients et les professionnels de santĂ©. En posant le principe du droit Ă
lâinformation du patient et en rĂ©affirmant le droit Ă la confidentialitĂ© des donnĂ©es de santĂ©, la loi a
imprimĂ© une Ă©volution marquante dans lâorganisation du systĂšme de santĂ©. Elle vise Ă assurer la
sécurité, la confidentialité et la disponibilité des données de santé, lorsque leur hébergement est
externalisé.
La loi (article L. 1111-8 du code de la santĂ© publique) prĂ©voyait que les professionnels de santĂ©, les Ă©tablissements de santĂ© ou la personne concernĂ©e pouvaient dĂ©poser des donnĂ©es de santĂ©, recueillies ou produites Ă lâoccasion des activitĂ©s de prĂ©vention, de diagnostic ou de soins, auprĂšs de personnes physiques ou morales agrĂ©Ă©es. Cet hĂ©bergement de donnĂ©es, quel qu'en soit le support, papier ou informatique, ne pouvait avoir lieu qu'avec le consentement exprĂšs de la personne concernĂ©e. LâagrĂ©ment Ă©tait dĂ©livrĂ© par le ministre chargĂ© de la SantĂ©, aprĂšs avis de la CNIL et dâun comitĂ© dâagrĂ©ment ad hoc, dont lâASIP SantĂ© assurait le secrĂ©tariat. La procĂ©dure dâagrĂ©ment permettait ainsi de vĂ©rifier les capacitĂ©s du candidat Ă assurer la sĂ©curitĂ©, la protection, la conservation et la restitution des donnĂ©es de santĂ©. La CNIL se prononçait sur les garanties offertes par le candidat en matiĂšre de protection des personnes. Le comitĂ© dâagrĂ©ment Ă©tait chargĂ© dâĂ©valuer le dossier de candidature sous ses aspects Ă©thique, dĂ©ontologique, technique, financier et Ă©conomique.
47/69 Le traitement des données de santé © CLUSIF 2019
LâagrĂ©ment Ă©tait dĂ©livrĂ© pour trois ans renouvelable, aprĂšs prĂ©sentation dâune nouvelle demande. Les obligations pesant sur les hĂ©bergeurs de donnĂ©es de santĂ© dĂ©coulent du droit du patient Ă la confidentialitĂ© de ses donnĂ©es de santĂ©. En ce sens, câest bien la sensibilitĂ© des donnĂ©es qui leur sont confiĂ©es qui justifiait alors la nĂ©cessitĂ© dâobtention dâun agrĂ©ment prĂ©alable.
â LA LOI DU 26 JANVIER 2016 â AGREMENT ET INFORMATION DES PERSONNES La loi du 26 janvier 2016 a modifiĂ© lâarticle L.1111-8 du code de la santĂ© publique et a dĂ©fini de nouvelles modalitĂ©s et conditions pour lâhĂ©bergement des donnĂ©es de santĂ© : « Toute personne physique ou morale qui hĂ©berge des donnĂ©es de santĂ© Ă caractĂšre personnel recueillies Ă lâoccasion dâactivitĂ©s de prĂ©vention, de diagnostic, de soins ou de suivi mĂ©dico-social pour le compte de personnes physiques ou morales Ă l'origine de la production ou du recueil de ces donnĂ©es ou pour le compte du patient lui-mĂȘme, doit ĂȘtre agrĂ©Ă©e ou certifiĂ©e Ă cet effet. Cet hĂ©bergement, quel qu'en soit le support, papier ou Ă©lectronique, est rĂ©alisĂ© aprĂšs que la personne prise en charge en a Ă©tĂ© dĂ»ment informĂ©e et sauf opposition pour un motif lĂ©gitime ».
Extension du pĂ©rimĂštre de lâobligation en cas dâexternalisation de lâhĂ©bergement de recourir Ă un hĂ©bergeur agrĂ©Ă©, dans le secteur de la santĂ© ou du secteur social ;
Toute personne physique ou morale qui hĂ©berge des donnĂ©es de santĂ© recueillies Ă lâoccasion dâactivitĂ©s de prĂ©vention, de diagnostic, de soins ou de suivi social ou mĂ©dico-social pour le compte dâun tiers, doit ĂȘtre agrĂ©Ă© Ă cet effet ;
Le consentement de la personne concernĂ©e par les donnĂ©es â dĂ»ment informĂ©e â est dĂ©sormais prĂ©sumĂ©. LâhĂ©bergement exige cependant une information claire et prĂ©alable de la personne et la possibilitĂ© pour celle-ci de sây opposer pour motif lĂ©gitime ;
La loi habilite enfin le gouvernement, par voie dâordonnance, dans un dĂ©lai dâun an Ă compter de la promulgation de la loi, Ă remplacer l'agrĂ©ment par une "Ă©valuation de conformitĂ© technique".
â LâORDONNANCE DU 12 JANVIER 2017 â INTRODUCTION DU MECANISME DE CERTIFICATION
Lâordonnance du 12 janvier 2017 relative Ă lâhĂ©bergement de donnĂ©es de santĂ© a de nouveau modifiĂ© lâarticle L. 1111-8 du code de la santĂ© publique en distinguant explicitement trois grandes catĂ©gories de services dâhĂ©bergement de donnĂ©es de santĂ© : âȘ LâhĂ©bergement sur support papier, qui doit ĂȘtre rĂ©alisĂ© par un hĂ©bergeur agrĂ©Ă© ; âȘ LâhĂ©bergement sur support numĂ©rique dans le cadre dâun service dâarchivage Ă©lectronique (SAE44),
qui doit ĂȘtre rĂ©alisĂ© par un hĂ©bergeur agrĂ©Ă© aprĂšs avis de la CNIL et des conseils des ordres des professions de santĂ© (hĂ©bergement sur le territoire national, conformĂ©ment aux dispositions du code du patrimoine) ;
âȘ LâhĂ©bergement sur support numĂ©rique hors cas dâun service dâarchivage Ă©lectronique qui doit ĂȘtre rĂ©alisĂ© par un hĂ©bergeur certifiĂ© aprĂšs avis de la CNIL et des conseils des ordres des professions de santĂ©.
La loi du 26 janvier 2016 et lâordonnance du 12 janvier 2017 ne modifient pas lâarticle L. 1111-8 du code de la santĂ© publique sur les points suivants :
âȘ La prestation d'hĂ©bergement de donnĂ©es de santĂ© fait l'objet d'un contrat ; âȘ Les hĂ©bergeurs ne peuvent utiliser les donnĂ©es qui leur sont confiĂ©es Ă d'autres fins que
l'exĂ©cution de la prestation d'hĂ©bergement ; âȘ Lorsqu'il est mis fin Ă l'hĂ©bergement, l'hĂ©bergeur restitue les donnĂ©es aux personnes qui les
lui ont confiées, sans en garder de copie ;
44 Le systĂšme dâarchivage Ă©lectronique (SAE) est un outil de gestion de contenu permettant le recueil, le classement et la conservation Ă moyen et long terme des documents pour une exploitation ultĂ©rieure. Son but est dâassurer la confidentialitĂ©, lâintĂ©gritĂ©, la pĂ©rennitĂ©, lâauthenticitĂ©, la sĂ©curitĂ© et la traçabilitĂ© des documents archivĂ©s. Une fois intĂ©grĂ© dans un SAE, un document n'est plus modifiable et conserve donc sa valeur probante.
48/69 Le traitement des données de santé © CLUSIF 2019
âȘ Les hĂ©bergeurs et les personnes placĂ©es sous leur autoritĂ© qui ont accĂšs aux donnĂ©es dĂ©posĂ©es sont astreints au secret professionnel dans les conditions et sous les peines prĂ©vues Ă l'article 226-13 du code pĂ©nal ;
âȘ Tout acte de cession Ă titre onĂ©reux de donnĂ©es de santĂ© identifiantes directement ou indirectement, y compris avec l'accord de la personne concernĂ©e, est interdit sous peine de sanctions pĂ©nales.
Cette certification HDS remplace lâagrĂ©ment dĂ©livrĂ© par le ministĂšre de la SantĂ©. La diffĂ©rence
entre lâagrĂ©ment et la certification est essentiellement dâordre organique. LâagrĂ©ment est en principe accordĂ© par une entitĂ© publique ou parapublique, tandis que la certification est dĂ©livrĂ©e par un organisme certificateur accrĂ©ditĂ© par le COFRAC (audit initial + revues annuelles) aprĂšs un audit documentaire et physique sur site. ;
Lâordonnance prĂ©voit que la nature des prestations d'hĂ©bergement, les rĂŽles et responsabilitĂ©s de l'hĂ©bergeur et des personnes physiques ou morales pour le compte desquelles les donnĂ©es de santĂ© devront ĂȘtre conservĂ©es, ainsi que les stipulations devant figurer dans le contrat.
VII.3. Champs dâapplication de lâhĂ©bergement
Le dĂ©cret du 26 fĂ©vrier 2018, pris en application de la loi du 26 janvier 2016 et de lâordonnance du 12 janvier 2017, a fixĂ© lâentrĂ©e en vigueur de ladite ordonnance au 1er avril 2018. Il dĂ©finit la procĂ©dure de certification et organise la transition entre lâagrĂ©ment, dĂ©livrĂ© par le ministre chargĂ© de la culture, et la certification. Le dĂ©cret prĂ©cise le champ des activitĂ©s d'hĂ©bergement de donnĂ©es de santĂ© Ă caractĂšre personnel qui sont soumises Ă une certification (article R. 1111-9 du code de la santĂ© publique). Sont ainsi considĂ©rĂ©es comme activitĂ©s dâhĂ©bergement la sauvegarde des donnĂ©es de santĂ©, l'administration et l'exploitation du systĂšme d'information (SI) contenant les donnĂ©es, et la mise Ă disposition et le maintien en condition opĂ©rationnelle :
âȘ Des sites physiques permettant d'hĂ©berger l'infrastructure du SI traitant les donnĂ©es, âȘ De l'infrastructure matĂ©rielle du SI, âȘ De l'infrastructure virtuelle du SI, âȘ De la plateforme d'hĂ©bergement d'applications du SI.
à noter toutefois qu'un hébergement temporaire de données n'ayant pas pour finalité d'organiser leur accÚs ou leur transmission au profit du responsable de traitement, du patient ou de tout professionnel participant à la prise en charge de la personne concernée ne constitue pas une activité d'hébergement (article R. 1111-8-8 CSP).
VII.4. Contenu du contrat dâhĂ©bergement
Le dĂ©cret de 2018 dĂ©taille les clauses minimales que doit comporter le contrat d'hĂ©bergement (article R 1111-11 CSP). Le contrat doit ainsi notamment prĂ©ciser : âȘ Le pĂ©rimĂštre du certificat obtenu par lâhĂ©bergeur, âȘ Les prestations rĂ©alisĂ©es, âȘ Le lieu de lâhĂ©bergement, âȘ Les mesures mises en Ćuvre pour garantir le respect des droits des personnes concernĂ©es, âȘ La mention des indicateurs de qualitĂ© et de performance permettant de vĂ©rifier le niveau de
service annoncĂ© ainsi que les procĂ©dures mises en place pour couvrir toute dĂ©faillance ; âȘ Le recours Ă dâĂ©ventuels sous-traitants secondaires ; âȘ Les modalitĂ©s dâaccĂšs aux donnĂ©es de santĂ© Ă caractĂšre personnel ;
49/69 Le traitement des données de santé © CLUSIF 2019
âȘ Les obligations lĂ©gales de lâhĂ©bergeur de ne pas utiliser les donnĂ©es Ă dâautres fins45 que celles prĂ©vues contractuellement, et de dĂ©truire ou restituer les donnĂ©es au responsable du traitement, Ă lâissue du contrat, sans en garder de copie.
VII.5. Procédure de certification
La procĂ©dure de certification repose sur une Ă©valuation de conformitĂ© au rĂ©fĂ©rentiel de certification (article R. 1111-10 CSP). Le rĂ©fĂ©rentiel de certification sâappuie sur des normes internationales :
âȘ La norme ISO 27001 « systĂšme de gestion de la sĂ©curitĂ© des systĂšmes dâinformation » ; âȘ Des exigences de la norme ISO 20000 « systĂšme de gestion de la qualitĂ© des services » ; âȘ Des exigences de la norme ISO 27018 « protection des donnĂ©es Ă caractĂšre personnel » ; âȘ Et des exigences spĂ©cifiques Ă lâhĂ©bergement de donnĂ©es de santĂ©.
LâhĂ©bergeur choisit un organisme certificateur qui devra ĂȘtre accrĂ©ditĂ© par le COFRAC (ou Ă©quivalent au niveau europĂ©en). Lâorganisme procĂšde Ă un audit en deux Ă©tapes pour Ă©valuer la conformitĂ© de lâhĂ©bergeur aux exigences du rĂ©fĂ©rentiel de certification :
Ătape 1 : audit documentaire. Lâorganisme certificateur rĂ©alise une revue documentaire du systĂšme dâinformation du candidat afin de dĂ©terminer la conformitĂ© documentaire du systĂšme par rapport aux exigences du rĂ©fĂ©rentiel de certification.
Ătape 2 : audit sur site. Les preuves dâaudit sont recueillies dans les conditions dĂ©finies dans le rĂ©fĂ©rentiel dâaccrĂ©ditation.
LâhĂ©bergeur dispose de trois mois aprĂšs la fin de lâaudit sur site pour corriger les Ă©ventuelles non-conformitĂ©s et faire auditer ses corrections. A lâissue du dĂ©lai de 3 mois pour corriger les non-conformitĂ©s majeures, selon la nature et lâimportance des mesures correctives, un audit de suivi sur site peut ĂȘtre nĂ©cessaire. PassĂ© ce dĂ©lai et sans action de lâhĂ©bergeur, toute la procĂ©dure dâaudit sur site sera de nouveau rĂ©alisĂ©e. Le certificat est dĂ©livrĂ© pour une durĂ©e de trois ans, par lâorganisme certificateur et chaque annĂ©e, un audit de surveillance est effectuĂ©. Deux pĂ©rimĂštres de certificats peuvent ĂȘtre dĂ©livrĂ©s aux hĂ©bergeurs pour deux mĂ©tiers dâhĂ©bergement distincts :
a. Un certificat « hĂ©bergeur dâinfrastructure physique » pour les activitĂ©s de mise Ă disposition de locaux dâhĂ©bergement physique et dâinfrastructure matĂ©rielle ;
b. Un certificat « hĂ©bergeur infogĂ©reur » pour les activitĂ©s de mise Ă disposition dâinfrastructure virtuelle, de mise Ă disposition de plateforme logicielle, dâinfogĂ©rance et de sauvegarde externalisĂ©e.
Le responsable de traitement doit sâassurer que lâensemble des activitĂ©s de son systĂšme traitant des donnĂ©es de santĂ© sont couvertes par une certification. Par exemple, faire hĂ©berger une application avec des donnĂ©es de santĂ© chez un hĂ©bergeur disposant du certificat InfogĂ©reur mais ne disposant pas de lâactivitĂ© dâexploitation du SI dans son pĂ©rimĂštre de certification nĂ©cessite de faire couvrir cette activitĂ© par un autre organisme certifiĂ© sur cette activitĂ© et Ă mĂȘme de proposer le service.
45 En particulier, toute exploitation des données à des fins commerciales est pénalement sanctionnée.
50/69 Le traitement des données de santé © CLUSIF 2019
Phase transitoire : Les agrĂ©ments dĂ©livrĂ©s avant lâentrĂ©e en vigueur de la procĂ©dure de certification produisent leur effet jusquâĂ leur terme. Lorsque l'agrĂ©ment arrive Ă Ă©chĂ©ance avant le 31 mars 2019, la durĂ©e de l'agrĂ©ment est prolongĂ©e pour une durĂ©e de six mois afin de permettre Ă l'hĂ©bergeur d'effectuer les dĂ©marches de certification nĂ©cessaires Ă la poursuite de son activitĂ© d'hĂ©bergement de donnĂ©es de santĂ©. Les demandes dâagrĂ©ment et de renouvellement dâagrĂ©ment dĂ©posĂ©es avant le 31 mars 2018 sont instruites selon la procĂ©dure dâagrĂ©ment pour lâhĂ©bergement de donnĂ©es de santĂ© sur support Ă©lectronique (dĂ©cret n°2006-6 du 4 janvier 2006).
1. Choix dâun organisme certificateur Lâorganisme doit ĂȘtre accrĂ©ditĂ© par le COFRAC
2. RĂ©alisation dâune analyse de risques En parallĂšle de lâaudit
3. Audit de lâorganisme Audit documentaire Audit sur site
4. Corrections des éventuelles non-conformités
Dans un dĂ©lai de 3 mois Puis audit des corrections Sinon, nouvelle procĂ©dure dâaudit Ă rĂ©aliser
5. Délivrance du certificat Valable 3 ans. 2 périmÚtres possibles : - Hébergeur infrastructure physique - Hébergeur infogéreur
6. Audit de surveillance annuel
SynthÚse de la procédure de certification
VII.6. Les principaux objectifs de sécurité
Il importe Ă©galement pour lâorganisme : - De rĂ©aliser (et maintenir) une analyse de risques visant Ă Ă©tudier lâimpact du traitement de
donnĂ©es portant tant sur les risques organisationnels et techniques que sur les risques juridiques pour les personnes, avant de mettre en Ćuvre certains traitements, notamment ceux portant sur des donnĂ©es de santĂ© Ă grande Ă©chelle ;
- De porter une attention particuliĂšre Ă lâencadrement contractuel des prestations des tiers fournisseurs de service :
âȘ DĂšs que lâĂ©tablissement de santĂ© a recours Ă un prestataire de service dont la prestation implique le traitement des donnĂ©es de santĂ©, il doit signer avec le prestataire un contrat (ou, le cas Ă©chĂ©ant, passer un marchĂ© public) dĂ©crivant prĂ©cisĂ©ment le contenu des prestations (obligations de sĂ©curitĂ© et respect des clauses obligatoires prĂ©vues par lâarticle 28 du rĂšglement) ;
âȘ Dans le cas oĂč lâĂ©tablissement de santĂ© nâest pas maĂźtre des outils de travail mis Ă sa disposition (solutions de type progiciel ou Saas, fournies par le prestataire sans dĂ©veloppements spĂ©cifiques), il doit inclure dans le contrat avec son prestataire des clauses garantissant que celui-ci respecte les principes du rĂšglement.
- De mettre en place des procĂ©dures permettant et des mesures de sĂ©curitĂ© opĂ©rationnelles non disproportionnĂ©es aux enjeux stratĂ©giques de lâorganisme (cf. analyse de risque). Cela doit permettre de garantir la sĂ©curitĂ© et la confidentialitĂ© des donnĂ©es, dans le respect de la politique gĂ©nĂ©rale de sĂ©curitĂ© des systĂšmes dâinformation (PGSSI-S), et de respecter les obligations liĂ©es Ă la conservation des donnĂ©es (fixer une durĂ©e ou des critĂšres de conservation, organiser les modalitĂ©s dâarchivage, assurer la capacitĂ© de restitution des donnĂ©es de santĂ©) ;
- De signaler auprĂšs de la CNIL des incidents de sĂ©curitĂ© impliquant des donnĂ©es personnelles (obligation qui sâajoute Ă lâobligation actuelle de signalement des incidents de sĂ©curitĂ© des systĂšmes dâinformation de santĂ© prĂ©vue Ă lâarticle L. 1111-8-2 du code de la santĂ© publique).
51/69 Le traitement des données de santé © CLUSIF 2019
A noter que ces Ă©lĂ©ments doivent Ă©galement ĂȘtre pris en compte par le responsable de traitement (client de lâorganisme certifiĂ©).
Check-list des bonnes pratiques Ă respecter :
RĂ©aliser une analyse dâimpactâ; Faire signer une convention de sous-traitance avec le prestataire afin dâintĂ©grer les
dispositions du rĂšglement et les mesures de sĂ©curitĂ© appropriĂ©esâ; Mettre en place les procĂ©dures applicables en matiĂšre de conservation des donnĂ©es ; Mettre en place un registre des incidents de sĂ©curitĂ© et penser Ă notifier le cas Ă©chĂ©ant
à la CNIL toute violation de données personnelles selon la procédure disponible sur son site internet : https://www.cnil.fr/fr/notifier-une-violation-de-donnees-personnelles ;
Informer les patients et sâassurer du respect de leurs droits (cf. paragraphe suivant).
VII.7. Information des personnes
LâhĂ©bergement des donnĂ©es de santĂ© recueillies, Ă lâoccasion dâactivitĂ©s de prĂ©vention, de diagnostic, de soins ou de suivi social et mĂ©dico-social, sur support papier ou Ă©lectronique, pour le compte de personnes physiques ou morales Ă lâorigine de la production ou du recueil de ces donnĂ©es pour le compte du patient lui-mĂȘme, par un tiers agrĂ©Ă©, ne peut avoir lieu quâaprĂšs que la personne concernĂ©e par les donnĂ©es hĂ©bergĂ©es en a Ă©tĂ© informĂ©e. Depuis la loi du 26 janvier 2016, le consentement exprĂšs de la personne nâest plus exigĂ©. Son droit dâopposition pour motif lĂ©gitime est cependant maintenu. Ce dispositif ne remplace pas le principe selon lequel les personnes doivent Ă©galement ĂȘtre informĂ©es individuellement des mentions prescrites par le rĂšglement europĂ©en par la remise dâun document ou toute autre moyen appropriĂ© leur permettant de prendre connaissance de ces mentions dĂšs lors que leurs donnĂ©es personnelles sont transmises en vue dâun traitement de donnĂ©es de santĂ©.
Pour en savoir plus, vous pouvez consulter le site de lâAgence française de la santĂ© numĂ©rique (ASIP, portail e-santĂ©) :
Hébergement des données de santé : https://esante.gouv.fr/sites/default/files/media_entity/documents/180528_HDS.pdf
La certification pour lâhĂ©bergement des donnĂ©es de santĂ© Ă caractĂšre personnel : https://esante.gouv.fr/labels-certifications/hebergement-des-donnees-de-sante
52/69 Le traitement des données de santé © CLUSIF 2019
VIII. Le NIR dans les traitements de données de santé
VIII.1. Utilisation du NIR (numĂ©ro dâinscription au rĂ©pertoire national
dâidentification des personnes physiques)
â DEFINITIONS ET CARACTERISTIQUES DU NIR
Le NIR (numĂ©ro dâinscription au rĂ©pertoire national dâidentification des personnes physiques) ou numĂ©ro de sĂ©curitĂ© sociale est attribuĂ© Ă chaque personne Ă sa naissance sur la base dâĂ©lĂ©ments dâĂ©tat civil transmis par les mairies Ă lâINSEE46. Il est composĂ© de 13 chiffres : le sexe (1 chiffre), lâannĂ©e de naissance (2 chiffres), le mois de naissance (2 chiffres) et le lieu de naissance (5 chiffres ou caractĂšres) de la personne concernĂ©e. Les 3 derniers chiffres correspondent Ă un numĂ©ro dâordre qui permet de distinguer les personnes nĂ©es au mĂȘme lieu et Ă la mĂȘme pĂ©riode. Le NIR est attribuĂ© par lâINSEE pour les personnes nĂ©es en France mĂ©tropolitaine et dans les dĂ©partements et rĂ©gions dâoutre-mer (DROM) ou pour les personnes nĂ©es de parents français Ă lâĂ©tranger et dans les collectivitĂ©s dâoutre-mer (COM). Le NIR est pĂ©renne et reste dĂ©finitivement attribuĂ© Ă la personne et Ă elle seule. Il permet donc dâidentifier une personne avec certitude. Le NIR ne peut donc ĂȘtre utilisĂ© que dans des cas bien prĂ©cis, le plus souvent en lien avec la protection sociale.
â REGIME JURIDIQUE Le rĂšglement prĂ©voit la possibilitĂ© pour les Ătats membres qui font le choix de mettre en place un numĂ©ro dâidentifiant national de prĂ©ciser dans leur rĂ©glementation les conditions spĂ©cifiques du traitement de ce numĂ©ro (RGPD, Art. 87). Ce numĂ©ro ne peut en toute hypothĂšse ĂȘtre utilisĂ© que sous rĂ©serve des garanties appropriĂ©es pour les droits et libertĂ©s de la personne concernĂ©e. La loi informatique et libertĂ©s a ainsi introduit des dispositions particuliĂšres relatives au numĂ©ro dâinscription des personnes au rĂ©pertoire national dâidentification des personnes physiques (LIL, Art. 30). Pour enregistrer et utiliser le NIR, les organismes doivent ĂȘtre autorisĂ©s par un texte juridique spĂ©cifique et accomplir des formalitĂ©s auprĂšs de la CNIL. Dâune maniĂšre gĂ©nĂ©rale, le NIR ne peut ĂȘtre utilisĂ© quâaprĂšs autorisation par dĂ©cret en Conseil dâĂtat. Ce texte dĂ©termine ainsi les catĂ©gories de responsables de traitement et les finalitĂ©s de ces traitements au vu desquelles ces derniers peuvent ĂȘtre mis en Ćuvre lorsquâils portent sur des donnĂ©es comportant le NIR. Mais la loi prĂ©voit Ă©galement des dĂ©rogations lorsque les traitements de donnĂ©es personnelles ont pour finalitĂ©s :
âȘ Les statistiques publiques mises en Ćuvre par lâINSEE (dĂšs lors que le traitement ne contient aucune des catĂ©gories de donnĂ©es dites âsensiblesâ mentionnĂ©es Ă lâarticle 6 de la loi47) ;
âȘ La recherche scientifique ou historique ; Dans ces deux premiĂšres hypothĂšses, la dĂ©rogation nâest possible que si le NIR fait prĂ©alablement lâobjet dâune opĂ©ration cryptographique en lui substituant un code spĂ©cifique non signifiant48.
âȘ La mise en place par les administrations de certains tĂ©lĂ©services pour faciliter leurs relations avec les usagers49 ;
âȘ Lâutilisation du NIR en tant quâidentifiant national de santĂ© (cf. infra 2. Lâobligation dâutiliser le NIR comme identifiant national de santĂ©).
46 Institut national de la statistique et des Ă©tudes Ă©conomiques. 47 Les rĂ©fĂ©rences aux articles issues de la loi Informatique et LibertĂ©s sont celles mentionnĂ©es dans lâordonnance 2018-1125 du 12 dĂ©cembre 2018, prise en application de la loi 2018-493 du 20 juin 2018 (LIL modifiĂ©e). Voir en annexe le tableau de concordance entre lâancienne et la nouvelle numĂ©rotation. 48 Cette opĂ©ration est prĂ©cisĂ©e par dĂ©cret en Conseil dâEtat (modalitĂ©s de lâopĂ©ration, frĂ©quence de renouvellementâŠ). 49 Ces tĂ©lĂ©services sont prĂ©cisĂ©s par lâOrdonnance 2005-1516 du 8 dĂ©cembre 2005 (art 1) et visent Ă simplifier les dĂ©marches administratives pour les usagers.
53/69 Le traitement des données de santé © CLUSIF 2019
Exemples d'utilisations autorisées du NIR (cf. site de la CNIL) :
âȘ Par les organismes de sĂ©curitĂ© sociale ; âȘ Par les professionnels de santĂ© dans le cadre des Ă©changes avec les organismes d'assurance
maladie obligatoire ou complĂ©mentaire ; âȘ Par les employeurs, publics ou privĂ©s, pour la gestion de la paie et le calcul des cotisations
versĂ©es aux organismes de protection sociale ; âȘ Par PĂŽle emploi pour le paiement des cotisations sociales des demandeurs d'emploi ; âȘ Par certains organismes autorisĂ©s de maniĂšre ponctuelle par la CNIL.
Aux termes des articles R. 115-1 et R. 115-2 du code de la sĂ©curitĂ© sociale, les professionnels de santĂ© qui dispensent des actes ou prestations pris totalement ou partiellement en charge par lâassurance maladie sont Ă©galement autorisĂ©s Ă utiliser les numĂ©ros de sĂ©curitĂ© sociale de leurs patients dans le cadre des Ă©changes avec les organismes dâassurance maladie obligatoire ou complĂ©mentaire. Les professionnels de santĂ© peuvent donc enregistrer dans leurs applications informatiques le numĂ©ro de sĂ©curitĂ© sociale de leurs patients tel quâil figure sur la carte Vitale pour correspondre avec les organismes de sĂ©curitĂ© sociale mais ne pouvaient jusquâĂ rĂ©cemment pas lâutiliser comme identifiant du dossier mĂ©dical. Le SĂ©nat, dans son Ă©tude sur le projet de loi relatif Ă la protection des donnĂ©es personnelles50 a rappelĂ© le rĂ©gime foisonnant applicable pour le NIR. Un rĂ©sumĂ© est donnĂ© dans le tableau suivant :
Fichiers mis en Ćuvre par ou pour le compte de :
TYPES DâUTILISATION DU NIR DANS LE DOMAINE DE LA SANTE
INCLUSION
DU NIR
PARMI
DONNEES
TRAITEES
FICHIER
PREVOYANT LA
CONSULTATION
DU RNIPP
OFFRE DE
TELESERVICES
AUX USAGERS
RECHERCHE
SCIENTIFIQUE /
HISTORIQUE
VEILLE
SANITAIRE
OU GESTION
DES SERVICES
SANITAIRES
ET MEDICO-SOCIAUX
RECHERCHE EN
STATISTIQUE
PUBLIQUE PAR
LâINSEE
RECHERCHE
MEDICALE
UNE PERSONNE PRIVEE Référentiel Ou Autorisation CNIL
-
Référentiel ou autorisation CNIL aprÚs avis CEREES
-
Référentiel ou Autorisation CNIL aprÚs avis comité de protection des personnes
ETAT PERSONNE MORALE DE
DROIT PUBLIC PERSONNE MORALE DE
DROIT PRIVE METTANT EN
ĆUVRE UN SERVICE
PUBLIC
LIL, Art. 30 DĂ©cret en CE aprĂšs avis CNIL
LIL, Art. 30 Pour les traitements sans donnĂ©es âsensiblesâ (art 6 et 46). OpĂ©ration cryptographique substituant au NIR un code statistique non signifiant par un tiers de confiance Sinon, dĂ©cret en CE aprĂšs avis CNIL.
LIL, Art. 66 - Liste des organismes par arrĂȘtĂ© - Pour les traitements sans donnĂ©es âsensiblesâ (art 6 et 46). - OpĂ©ration cryptographique substituant au NIR un code statistique non signifiant par un tiers
-
Référentiel ou Autorisation CNIL aprÚs avis comité de protection des personnes
50 http://www.senat.fr/rap/l17-350/l17-35014.html
54/69 Le traitement des données de santé © CLUSIF 2019
de confiance Sinon, décret en CE aprÚs avis CNIL. Art. L. 1111-8-1 du code de la santé publique (INS)
INSEE - - -
LIL, Art. 30 Pour les traitements sans donnĂ©es âsensiblesâ (art 6 et 46). OpĂ©ration cryptographique substituant au NIR un code statistique non signifiant par un tiers de confiance Sinon, dĂ©cret en CE aprĂšs avis CNIL.
-
Types dâutilisation du NIR â Document du SĂ©nat, mis Ă jour avec les dispositions de lâOrdonnance 2018-1125 du 12 dĂ©cembre 2018 (modification de la loi Informatique et LibertĂ©s)
VIII.2. Lâobligation dâutiliser le NIR comme identifiant national de santĂ©
Lâarticle L. 1111-8-1 du code de la santĂ© publique et le dĂ©cret dâapplication n°2017-412 du 27 mars 2017 (articles R. 1111-8-1 Ă 7 du code de la santĂ© publique) prĂ©voient dĂ©sormais que le numĂ©ro dâinscription au rĂ©pertoire (NIR) constitue lâidentifiant national dans les champs de la santĂ© et du mĂ©dico-social. Lâutilisation de cet identifiant se justifie par la qualitĂ© de lâidentification des acteurs (usagers, professionnels du systĂšme de santĂ©âŠ). Elle permet dâĂ©viter les erreurs dâidentification des personnes prises en charge, de faciliter le suivi dâun patient dans un parcours de soins complexe, de favoriser la traçabilitĂ©. Ce cadre rentre dans la marge dâapprĂ©ciation laissĂ©e aux Ătats membres par le rĂšglement europĂ©en (RGPD, Art. 87).
â USAGES Il existe plusieurs usages du NIR (par exemple en tant quâidentifiant par la plupart des organismes de protection sociale, dans le cadre de la relation employeur-employĂ© ou par lâadministration fiscaleâŠ). La loi n°2016-41 du 26 janvier 2016 portant modernisation de notre systĂšme de santĂ© consacre le numĂ©ro dâinscription au rĂ©pertoire (NIR) â Ă dĂ©faut le numĂ©ro dâimmatriculation dâattente (NIA)51 pour les personnes en cours dâimmatriculation â comme identifiant national de santĂ© (INS).
51 Une circulaire dĂ©crit la procĂ©dure dâattribution de ce numĂ©ro dâattente (circ. DSS/SD4C 2012-213 du 1er juin 2012). Cela concerne essentiellement les nouveaux demandeurs ou bĂ©nĂ©ficiaires de prestations sociales. Il sâagit, par exemple, de salariĂ©s Ă©trangers ayant une premiĂšre activitĂ© professionnelle sur le territoire français. Lâattribution dâun numĂ©ro unique (le NIA) permet dâĂ©viter que chaque organisme de sĂ©curitĂ© sociale ne crĂ©e ses propres identifiants spĂ©cifiques pour des personnes qui ne disposent pas de NIR.
55/69 Le traitement des données de santé © CLUSIF 2019
En tant quâidentifiant national de santĂ©52, lâutilisation du NIR est prĂ©vu uniquement pour la prise en charge sanitaire, le suivi social et mĂ©dico-social (le NIR est alors celui de lâusager, la personne prise en charge pour bĂ©nĂ©ficier des soins). Cet INS est donc utilisĂ© pour rĂ©fĂ©rencer les donnĂ©es de santĂ© et les donnĂ©es administratives de toute personne bĂ©nĂ©ficiant ou appelĂ©e Ă bĂ©nĂ©ficier dâun acte diagnostique, thĂ©rapeutique, de prĂ©vention, de soulagement de la douleur, de compensation dâun handicap ou de prĂ©vention de la perte dâautonomie ou dâinterventions nĂ©cessaires Ă la coordination de plusieurs de ces actes. De nombreux cas dâusage liĂ©s Ă la prise en charge de la personne nĂ©cessitent en effet dâassocier des donnĂ©es de santĂ© et des donnĂ©es administratives dâune mĂȘme personne afin de formaliser et tracer les diffĂ©rentes Ă©tapes de sa prise en charge. Il en rĂ©sulte lâutilisation dâoutils permettant dâassocier ces diffĂ©rentes catĂ©gories de donnĂ©es et, dans ces situations, cette association doit dĂ©sormais ĂȘtre rĂ©alisĂ©e Ă lâaide de lâINS. Le lĂ©gislateur a cependant prĂ©vu des dĂ©rogations Ă lâobligation dâutiliser lâINS en raison dâun obstacle lĂ©gitime de procĂ©der au rĂ©fĂ©rencement : prise en charge en urgence, texte sâopposant Ă lâidentification. Tout autre identifiant ne peut ĂȘtre utilisĂ© quâen cas « dâimpossibilitĂ© de pouvoir accĂ©der Ă lâidentifiant national de santĂ©, afin de ne pas empĂȘcher la prise en charge sanitaire et mĂ©dico-sociale des personnes » (article R. 1111-8-1 du code de la santĂ© publique). Cela peut concerner notamment : - Des personnes qui nâont pas vocation Ă disposer dâun NIR (touristes ou Ă©trangers non bĂ©nĂ©ficiaires
de lâaide mĂ©dicale de lâĂtat) ; - Ou des personnes disposant ou ayant vocation Ă disposer dâun NIR mais inconnu au moment de la
prise en charge (personne inconsciente sans documents dâidentitĂ©, personne prise en charge en situation dâurgence, nouveau-nĂ©s pendant le dĂ©lai nĂ©cessaire Ă la dĂ©claration de naissance Ă lâĂ©tat civilâŠ).
En dehors des cas rĂ©glementĂ©s, lâusage du NIR en tant quâINS est exclu dans les cas suivants : - Utilisation dans le processus de remboursement des frais relatifs Ă la prise en charge du patient par
lâAssurance Maladie (le numĂ©ro qui doit ĂȘtre utilisĂ© est alors le NIR. Câest celui de lâouvrant droit, qui peut ĂȘtre diffĂ©rent de celui du patient, pour des mineurs notamment) ;
- Utilisation dans le cadre de projets de recherche (article L. 1111-8-1 II du code de la santé publique).
â CHAMP DâAPPLICATION DE LâOBLIGATION DâUTILISATION DU NIR EN TANT QUâINS Les dispositions lĂ©gislatives et rĂ©glementaires qui encadrent lâutilisation de lâINS ont limitĂ© son usage Ă un cercle de confiance dâacteurs participant Ă la prise en charge des personnes dans le respect des conditions suivantes : 1. Lâacteur est responsable du traitement, dans lequel lâopĂ©ration de rĂ©fĂ©rencement des donnĂ©es de
santĂ© va ĂȘtre mise en Ćuvre, qui a pour finalitĂ© la prise en charge des personnes Ă des fins sanitaires et mĂ©dico-sociales ;
2. Le responsable de traitement relĂšve dâun champ dâapplication organique des acteurs soumis Ă lâobligation dâutiliser le NIR comme INS ; Ce rĂ©fĂ©rencement ne peut ĂȘtre rĂ©alisĂ© que par des professionnels de santĂ©, des Ă©tablissements de santĂ©, laboratoires, services et organismes mentionnĂ©s par le code de la santĂ© publique. Ces personnes sont en tout Ă©tat de cause les destinataires lĂ©gitimes de cette donnĂ©e (article L. 1110-4 du code de la santĂ© publique). Toute utilisation de lâINS en dehors de ce cercle dâacteurs est interdite sauf dans le cas oĂč elle est rĂ©alisĂ©e en qualitĂ© de sous-traitant dâun des acteurs soumis Ă lâobligation dâutiliser lâINS53.
52 https://esante.gouv.fr/securite/identifiant-national-de-sante 53 Cf. Référentiel Identifiant National de Santé, ASIP Santé,
56/69 Le traitement des données de santé © CLUSIF 2019
3. Il est nĂ©cessaire de rĂ©fĂ©rencer les donnĂ©es Ă lâaide de lâINS et aucun texte ou obstacle lĂ©gitime ne
sâoppose Ă lâidentification du patient (par exemple texte imposant lâanonymat ou prise en charge en urgence).
â FORMALITES PREALABLES
LâINS nâest pas en soi considĂ©rĂ©e comme une donnĂ©e de santĂ© au mĂȘme titre quâune donnĂ©e brute (taux de glycĂ©mie, typage HLAâŠ). Mais associĂ©e Ă une donnĂ©e de santĂ©, le rĂ©gime juridique de la donnĂ©e de santĂ© lui est applicable. Il est donc compris dans la dĂ©finition de la donnĂ©e de santĂ© introduite par le rĂšglement europĂ©en (RGPD, cons. 35). Le rĂšglement prĂ©voit la possibilitĂ© pour les Ătats membres qui font le choix de mettre en place un numĂ©ro dâidentifiant national de prĂ©ciser dans leur rĂ©glementation les conditions spĂ©cifiques du traitement de ce numĂ©ro (RGPD, Art. 87). Ce numĂ©ro ne peut dans cette hypothĂšse ĂȘtre utilisĂ©e que sous rĂ©serve des garanties appropriĂ©es pour les droits et libertĂ©s de la personne concernĂ©e. Ce rĂ©fĂ©rencement est dispensĂ© de toute formalitĂ© prĂ©alable auprĂšs de la CNIL (LIL, Art. 30 dernier alinĂ©a). Cette opĂ©ration se distingue de lâopĂ©ration de crĂ©ation et de mise Ă jour dâun traitement comportant des donnĂ©es de santĂ© tel que le dossier du patient informatisĂ© (DPI). Le rĂ©gime juridique applicable Ă ce traitement dans lequel il est procĂ©dĂ© au rĂ©fĂ©rencement des donnĂ©es de santĂ© nâest en rien modifiĂ© et celui-ci reste soumis aux dispositions du rĂšglement europĂ©en et de la loi informatique et libertĂ©s. Ă noter que le droit dâopposition nâest pas applicable aux traitements ayant pour seul objet le rĂ©fĂ©rencement de donnĂ©es ainsi prĂ©vu Ă lâaide de lâidentifiant national de santĂ©. La personne concernĂ©e ne peut sâopposer Ă lâajout de cette donnĂ©e dans son dossier mais elle conserve son droit dâopposition pour motif lĂ©gitime Ă lâĂ©gard de la constitution de son dossier.
â MESURES DE SECURITE Dans le cadre de lâutilisation du NIR en tant quâidentifiant national de santĂ© (INS), les garanties appropriĂ©es pour les droits et libertĂ©s des personnes concernĂ©es imposĂ©es par le rĂšglement (RGPD, Art. 87) sont liĂ©es aux garanties apportĂ©es pour protĂ©ger les donnĂ©es de santĂ© qui ont vocation Ă ĂȘtre rĂ©fĂ©rencĂ©es avec lâINS. Ces donnĂ©es sont particuliĂšrement protĂ©gĂ©es et font lâobjet de mesures juridiques et de sĂ©curitĂ© particuliĂšres que chaque responsable de traitement doit mettre en Ćuvre pour ĂȘtre en conformitĂ© avec le rĂšglement europĂ©en, la loi informatique et libertĂ©s, la Politique gĂ©nĂ©rale de sĂ©curitĂ© des systĂšmes dâinformation en santĂ© (PGSSI-S), la Politique de sĂ©curitĂ© des systĂšmes dâinformation pour les ministĂšres chargĂ©s des affaires sociales (PSSI-MCAS), le rĂ©fĂ©rentiel gĂ©nĂ©ral de sĂ©curitĂ© (RGS)⊠Une homologation de sĂ©curitĂ© sur le pĂ©rimĂštre considĂ©rĂ© est nĂ©cessaire (analyse de risque sur le SI de lâorganisme intĂ©grant une analyse dâimpact sur la vie privĂ©e des personnes suivi dâun audit de sĂ©curitĂ© vĂ©rifiant que les mesures organisationnelles et techniques mises en place sont suffisantes).
Pour en savoir plus, vous pouvez consulter le site internet de lâAgence française de la sĂ©curitĂ©
numérique :
https://esante.gouv.fr/securite/identifiant-national-de-sante
https://esante.gouv.fr/sites/default/files/media_entity/documents/ASIP_R%C3%A9f%C3%A9rentiel_Identifiant_National_de_Sant%C3%A9_v040.pdf .
57/69 Le traitement des données de santé © CLUSIF 2019
VIII.3. Lâutilisation du NIR dans le cadre de projets de recherche
Par dĂ©rogation aux dispositions introduites sur lâidentifiant national de santĂ© qui restreignent lâutilisation de cet identifiant, lâarticle L. 1111-8-1 du code de la santĂ© publique autorise le traitement de lâINS Ă des fins de recherche dans le domaine de la santĂ©, dans les conditions de la loi informatique et libertĂ©s (LIL, Art. 30). Ainsi, si un traitement de donnĂ©es incluant le NIR doit en principe ĂȘtre prĂ©vu par dĂ©cret en Conseil dâĂtat, lâarticle 30 de la loi informatique et libertĂ©s prĂ©voit une dĂ©rogation pour les traitements ayant pour finalitĂ©s exclusives la recherche scientifique ou historique. Cette dĂ©rogation nâest applicable que sous rĂ©serve de respecter les conditions suivantes : - Le NIR doit avoir fait lâobjet dâune opĂ©ration cryptographique prĂ©alable lui substituant un code
statistique non signifiant (selon des modalitĂ©s prĂ©vues par dĂ©cret en Conseil dâĂtat) ; - Cette opĂ©ration de cryptographie, et le cas Ă©chĂ©ant, lâinterconnexion de deux fichiers par lâutilisation
de ce code statistique non signifiant est rĂ©alisĂ©e par un tiers de confiance (qui ne peut ĂȘtre ni la mĂȘme personne ni le responsable de traitement).
Les protocoles doivent en outre respecter les conditions prĂ©vues par la loi informatique et libertĂ©s en matiĂšre de recherches, Ă©tudes ou Ă©valuation dans le domaine de la santĂ© (existence dâun rĂ©fĂ©rentiel ou Ă dĂ©faut autorisation de la CNIL)54. Cf. supra, Les recherches dans le domaine de la santĂ©.
54 Section 3 du chapitre III du titre II, articles 64 et suivants de la loi Informatique et Libertés.
58/69 Le traitement des données de santé © CLUSIF 2019
IX. Echanges informatisés de données de santé
Afin de garantir la confidentialité des informations médicales recueillies notamment au cours de la prise
en charge de patients, leur conservation sur support informatique et leur transmission par voie
électronique entre professionnels sont soumises à des rÚgles strictement définies.
IX.1. Messagerie sécurisée de santé
La messagerie Ă©lectronique et le fax, mĂȘme sâils apportent un gain de temps, ne constituent pas a priori un moyen de communication sĂ»r pour transmettre des donnĂ©es de santĂ©. Une simple erreur de manipulation (adresse de messagerie erronĂ©e, erreur de numĂ©rotation du fax destinataireâŠ) peut conduire Ă divulguer Ă des destinataires non habilitĂ©s des informations couvertes par le secret mĂ©dical et Ă porter ainsi gravement atteinte Ă lâintimitĂ© de la vie privĂ©e des personnes. Compte tenu de lâabsence gĂ©nĂ©rale de confidentialitĂ© du rĂ©seau Internet, la transmission par courrier Ă©lectronique de donnĂ©es nominatives sur lâĂ©tat de santĂ© dâune personne comporte des risques importants de divulgation de ces donnĂ©es. Lâutilisation dâune messagerie classique ne permet pas de respecter les dispositions du rĂšglement. En cas dâutilisation dâune messagerie Ă©lectronique, il est impĂ©ratif de recourir Ă une messagerie sĂ©curisĂ©e intĂ©grant un module de chiffrement des donnĂ©es (les messages transitent sur des serveurs intermĂ©diaires et restent stockĂ©s sur le serveur de messagerie tant quâils nâont pas Ă©tĂ© tĂ©lĂ©chargĂ©s). Ces produits sont aujourdâhui disponibles sur le marchĂ© et il importe de se renseigner auprĂšs de son fournisseur dâaccĂšs. Les services dâhĂ©bergement des donnĂ©es de santĂ© offerts aux professionnels de santĂ© ont Ă©tĂ© complĂ©tĂ©s en 2013 par celui du service national de « messagerie sĂ©curisĂ©e de santĂ© ». Il sâagit dâun service de messagerie, mis en Ćuvre par lâASIP SantĂ©55 et hĂ©bergĂ© chez un tiers agrĂ©Ă©. Il permet aux professionnels de santĂ© participant Ă la prise en charge dâun patient de pouvoir Ă©changer entre eux au moyen dâun outil sĂ©curisĂ© garantissant la confidentialitĂ© des donnĂ©es. Cette messagerie ne fonctionne quâentre professionnels de santĂ© qui doivent prĂ©alablement sâauthentifier pour pouvoir lâutiliser. Lâautorisation dĂ©livrĂ©e par la CNIL (AU-037) a particuliĂšrement insistĂ© sur lâinformation des patients, le recueil de leur consentement Ă lâhĂ©bergement des donnĂ©es sur une telle messagerie et la possibilitĂ© dâexercer leurs droits de rectification et dâopposition. Avec lâentrĂ©e en vigueur du rĂšglement europĂ©en, lâautorisation unique (AU-037) mise en place par la CNIL nâa plus de valeur juridique et les professionnels de santĂ© et Ă©tablissements de santĂ© concernĂ©s ainsi que les professionnels du secteur mĂ©dico-social ne doivent donc plus procĂ©der Ă un engagement de conformitĂ© Ă lâAU-037 prĂ©alablement Ă lâutilisation dâun service de messagerie sĂ©curisĂ©e. Dans lâattente de la parution dâun nouveau rĂ©fĂ©rentiel dĂ©diĂ© Ă©laborĂ© en collaboration avec lâASIP, la CNIL a nĂ©anmoins dĂ©cidĂ© de maintenir accessible lâAU-037 afin de les orienter dans leurs premiĂšres actions de mise en conformitĂ©. La CNIL et lâASIP SantĂ© travaillent Ă lâĂ©laboration dâun nouveau rĂ©fĂ©rentiel. Les dispositions de ce rĂ©fĂ©rentiel permettront notamment de documenter la conformitĂ© des traitements de donnĂ©es rĂ©alisĂ©s Ă lâaide de la messagerie sĂ©curisĂ©e dans le registre des activitĂ©s de traitement, et
55 L'ASIP Santé est l'opérateur public chargé du déploiement de la e-santé en France.
59/69 Le traitement des données de santé © CLUSIF 2019
notamment de mettre en Ćuvre les actions nĂ©cessaires pour garantir les droits des patients (information, droit dâaccĂšs, etc.).
â UTILISATION DU FAX En cas dâutilisation du fax, la CNIL avait Ă©mis, avant lâentrĂ©e en vigueur du rĂšglement europĂ©en, des recommandations visant Ă mettre en place les mesures suivantes :
âȘ Le fax doit ĂȘtre situĂ© dans un local mĂ©dical, physiquement contrĂŽlĂ© et accessible uniquement au personnel mĂ©dical et paramĂ©dical ;
âȘ Lâimpression des messages doit ĂȘtre subordonnĂ©e Ă lâintroduction dâun code dâaccĂšs personnel ; âȘ Lors de lâĂ©mission des messages, le fax doit afficher lâidentitĂ© du fax destinataire afin dâĂȘtre
assurĂ© de lâidentitĂ© du destinataire ; âȘ Doubler lâenvoi par fax dâun envoi des documents originaux au destinataire ; âȘ PrĂ©enregistrer dans le carnet dâadresses des fax (si cette fonctionnalitĂ© existe) les destinataires
potentiels.
Pour en savoir plus, vous pouvez consulter les sites internet suivants :
https://esante.gouv.fr/securite/messageries-de-sante-mssante https://www.cnil.fr/fr/declaration/au-037-traitements-des-donnees-de-sante-par-
messagerie-securisee
IX.2. Le dossier médical partagé (DMP)
CrĂ©Ă© en 200456, le dossier mĂ©dical personnel (DMP), devenu depuis 201657 le dossier mĂ©dical partagĂ© est un ensemble de services permettant au patient et aux professionnels de santĂ©, autorisĂ©s par celui-ci58, de partager sous forme Ă©lectronique des informations jugĂ©es utiles et pertinentes pour amĂ©liorer la prĂ©vention, la continuitĂ©, la coordination et la qualitĂ© des soins. Il ne se substitue pas au dossier que tient chaque Ă©tablissement de santĂ© ou chaque professionnel de santĂ©, quel que soit son mode dâexercice, dans le cadre de la prise en charge de son patient (article R. 1111-28 du code de la santĂ© publique). Le DMP peut ĂȘtre crĂ©Ă©, auprĂšs dâun hĂ©bergeur de donnĂ©es de santĂ© agrĂ©Ă©, pour tout bĂ©nĂ©ficiaire de lâassurance maladie aprĂšs recueil de son consentement exprĂšs ou de celui de son reprĂ©sentant lĂ©gal (article R. 1111-26 du code de la santĂ© publique), par :
âȘ Le bĂ©nĂ©ficiaire de lâassurance maladie ; âȘ Tout professionnel de santĂ© et les personnes exerçant sous sa responsabilitĂ© ; âȘ Les personnes assurant les fonctions dâaccueil des patients au sein des Ă©tablissements de santĂ©,
des laboratoires de biologie médicale, de certains services de santé ou des établissements et services sociaux et médico-sociaux ;
âȘ Les agents des organismes de lâassurance maladie obligatoire. Le responsable de traitement est la CNAM59. Lâidentifiant du DMP est lâidentifiant national de santĂ© (INS, câest-Ă -dire le NIR, cf. fiche lâUtilisation du NIR dans les traitements de santĂ©).
56 Loi du 13 aoĂ»t 2004. 57 Loi du 26 janvier 2016 portant modernisation de notre systĂšme de santĂ©. 58 Lâarticle L. 1111-18 du code de la santĂ© publique sanctionne pĂ©nalement lâaccĂšs au DMP en dĂ©pit des prohibitions Ă©dictĂ©es (1 an et 15.000 ⏠dâamende). 59 Caisse nationale dâassurance maladie des travailleurs salariĂ©s (Art. R. 1111-27 du code de la santĂ© publique, dĂ©cret du 16 novembre 2016).
60/69 Le traitement des données de santé © CLUSIF 2019
â CONTENU DU DOSSIER MEDICAL PARTAGE Le contenu du dossier mĂ©dical partagĂ© est strictement dĂ©fini par lâarticle R. 1111-30 du code de la santĂ© publique. Chaque professionnel de santĂ© doit reporter dans le DMP, Ă lâoccasion de chaque acte ou consultation, les Ă©lĂ©ments diagnostiques et thĂ©rapeutiques nĂ©cessaires Ă la coordination des soins de la personne prise en charge. Lors dâun sĂ©jour hospitalier, les professionnels de santĂ© des Ă©tablissements de santĂ© habilitĂ©s doivent reporter dans le DMP un rĂ©sumĂ© des principaux Ă©lĂ©ments relatifs Ă ce sĂ©jour60. Les informations du dossier pharmaceutique61 utiles Ă la coordination des soins doivent Ă©galement ĂȘtre reportĂ©es dans le DMP. Ă noter que la responsabilitĂ© du professionnel de santĂ© ne peut ĂȘtre engagĂ©e en cas de litige portant sur lâignorance dâune information qui lui est masquĂ©e dans le DMP et dont il ne peut avoir lĂ©gitimement connaissance.
â DROIT ET PROTECTION DES PERSONNES Le DMP ne peut ĂȘtre crĂ©Ă© que sous rĂ©serve du consentement exprĂšs et Ă©clairĂ© de la personne concernĂ©e ou de son reprĂ©sentant lĂ©gal. Ce consentement peut ĂȘtre recueilli par tout moyen, y compris de façon dĂ©matĂ©rialisĂ©e (articles L. 1111-15 et R. 1111-32 du code de la santĂ© publique). Si la personne est mineure, le consentement est recueilli auprĂšs du reprĂ©sentant lĂ©gal. AprĂšs avoir consenti Ă la crĂ©ation du DMP, il ne peut, sauf motif lĂ©gitime, sâopposer Ă ce que les professionnels de santĂ© qui le prennent en charge versent dans son dossier les informations utiles Ă la prĂ©vention, la continuitĂ© et Ă la coordination des soins qui lui sont dĂ©livrĂ©s (article R. 1111-36 du code de la santĂ© publique). La restriction de lâaccĂšs Ă certaines informations de son dossier mĂ©dical partagĂ© faite par le patient Ă lâĂ©gard de certains professionnels de santĂ© ne vaut jamais pour son mĂ©decin traitant (article R. 1111-43 du Code de la santĂ© publique). Le patient conserve cependant le droit de rendre inaccessibles certaines des informations quâil contient et mĂȘme indiquer lâidentitĂ© des professionnels de santĂ© auxquels il entend en interdire lâaccĂšs (article R. 1111-41 du code de la santĂ© publique). Il se voit Ă©galement reconnaĂźtre le droit dâaccĂ©der :
âȘ Directement (par voie Ă©lectronique), indirectement (par lâintermĂ©diaire dâun professionnel de santĂ© autorisĂ© Ă y accĂ©der) ou par lâintermĂ©diaire de la CNAM-TS au contenu de son dossier ;
âȘ Ă la liste des professionnels qui y ont accĂšs, avec possibilitĂ© de la modifier ; âȘ Et aux Ă©lĂ©ments de traçabilitĂ© liĂ©s Ă lâaccĂšs Ă son dossier.
Le patient peut en outre exercer son droit de rectification auprĂšs du professionnel de santĂ© autorisĂ© Ă accĂ©der au DMP et identifiĂ© comme Ă©tant lâauteur de lâinformation Ă rectifier ou auprĂšs de la CNAM-TS. Il peut Ă©galement rectifier lui-mĂȘme les informations quâil a consignĂ©es dans son dossier directement par voie Ă©lectronique mais il ne peut pas supprimer les donnĂ©es renseignĂ©es par un professionnel de santĂ© (article R. 1111-37 du code de la santĂ© publique).
â CLOTURE DU DOSSIER MEDICAL PARTAGE ET DUREE DE CONSERVATION Le titulaire du dossier peut dĂ©cider Ă tout moment de le clĂŽturer soit directement soit en faisant la demande auprĂšs dâune personne habilitĂ©e. Il est clĂŽturĂ© dâoffice par la CNAM-TS en cas de dĂ©cĂšs. Il reste nĂ©anmoins accessible en cas de recours gracieux ou contentieux. Le dossier mĂ©dical est conservĂ© 10 ans Ă compter de sa clĂŽture. En lâabsence dâaccĂšs postĂ©rieur Ă sa clĂŽture, le DMP est dĂ©truit 10 ans aprĂšs son archivage ou 10 ans suivant le dernier accĂšs.
60 Le lĂ©gislateur contraint les professionnels de santĂ© Ă alimenter et mettre Ă jour le DMP en y subordonnant le maintien de leur adhĂ©sion aux conventions nationales rĂ©gissant leurs rapports avec les organismes dâassurance maladie. 61 Cf. infra.
61/69 Le traitement des données de santé © CLUSIF 2019
IX.3. Le dossier pharmaceutique (DP)
Le dossier pharmaceutique (DP) est crĂ©Ă© au profit de chaque bĂ©nĂ©ficiaire de lâassurance maladie, avec son consentement, afin de favoriser la coordination, la qualitĂ©, la continuitĂ© des soins et la sĂ©curitĂ© de la dispensation des mĂ©dicaments et produits pharmaceutiques (article L. 1111-23 du code de la santĂ© publique). Le responsable de traitement est le Conseil national de lâordre des pharmaciens62. Les dossiers sont hĂ©bergĂ©s chez un hĂ©bergeur unique.
â CREATION ET CLOTURE Il est crĂ©Ă© par un pharmacien au moyen de la carte Vitale. Son bĂ©nĂ©ficiaire est identifiĂ© par son numĂ©ro dâinscription au rĂ©pertoire national des personnes physiques (NIR). Il est automatiquement clos sâil nâa fait lâobjet dâaucun accĂšs pendant une durĂ©e de 3 ans. Son contenu est alors dĂ©truit (mais les donnĂ©es, traces de clĂŽture ou refus de crĂ©ation dâun dossier pharmaceutique sont conservĂ©es 36 mois qui suivent la clĂŽture dudit dossier ou son refus de crĂ©ation chez lâhĂ©bergeur).
â ALIMENTATION DU DOSSIER PHARMACEUTIQUE Sauf opposition du patient, tout pharmacien doit alimenter le dossier pharmaceutique Ă lâoccasion de la dispensation des mĂ©dicaments. Le dossier comporte les informations relatives : - Au bĂ©nĂ©ficiaire de lâassurance maladie (donnĂ©es dâidentification : nom, prĂ©nom, date de naissance,
sexe) ; - à la dispensation des médicaments, avec ou sans prescription médicale (article R. 1111-20-2 du code
de la santé publique).
â ACCES AU DOSSIER PHARMACEUTIQUE Le mĂ©decin qui prend en charge un patient dans un Ă©tablissement de santĂ© et le pharmacien peuvent accĂ©der aux donnĂ©es du dossier pharmaceutique relatives aux dispensations effectuĂ©es dans les 4 mois qui suivent. Ces donnĂ©es seront conservĂ©es pendant 32 mois chez lâhĂ©bergeur. Elles sont ensuite dĂ©truites sauf pour les donnĂ©es relatives : - Aux vaccins (accessibles aux mĂ©decins et pharmaciens pendant 21 ans puis conservĂ©es 32 mois
supplĂ©mentaires chez lâhĂ©bergeur) afin dâinformer les patients, et en cas dâalerte sanitaire sur ce vaccin ;
- Ă la dispensation de mĂ©dicaments biologiques (accessibles aux mĂ©decins et pharmaciens pendant 3 ans puis conservĂ©es 32 mois supplĂ©mentaires chez lâhĂ©bergeur) pour la continuitĂ© des soins et en cas dâalerte sanitaire.
Le bĂ©nĂ©ficiaire de lâassurance maladie peut avoir accĂšs aux informations contenues dans le dossier pharmaceutique. Il peut exercer son droit de rectification auprĂšs de tout pharmacien. Il peut Ă©galement sâopposer Ă la crĂ©ation dâun dossier pharmaceutique (auprĂšs du conseil national de lâordre des pharmaciens), Ă ce que le pharmacien consulte son dossier ou Ă ce que certaines informations y soient dispensĂ©es.
Les données de santé circulent et les professionnels de santé sont amenés à échanger réguliÚrement des données dans le cadre de leur activité ou de leurs obligations. Il importe avant tout de mettre en place des processus organisationnels respectant les grands principes fixés par le rÚglement européen et en particulier, la minimisation des données, la sensibilisation des acteurs, les mesures techniques et organisationnelles de nature à assurer au maximum la sécurité des données recueillies auprÚs des patients.
62 http://www.ordre.pharmacien.fr/Le-Dossier-Pharmaceutique/Vos-droits-respect-de-la-vie-privee-et-confidentialite-de-vos-donnees
62/69 Le traitement des données de santé © CLUSIF 2019
X. Les données génétiques
X.1. DĂ©finition
Le rĂšglement europĂ©en sur la protection des donnĂ©es Ă caractĂšre personnel apporte Ă lâarticle 4 une
définition des données génétiques qui tient compte des derniers progrÚs de la génétique et fait droit à la
diversitĂ© de leur origine biologique, de leur signification et de leur mode dâobtention : il sâagit des
« donnĂ©es Ă caractĂšre personnel relatives aux caractĂ©ristiques gĂ©nĂ©tiques hĂ©rĂ©ditaires ou acquises dâune
personne physique qui donnent des informations uniques sur la physiologie ou lâĂ©tat de santĂ© de cette
personne physique et qui rĂ©sultent, notamment dâune analyse dâun Ă©chantillon biologique de la personne
physique en question ». Le considérant 34 du rÚglement précise par ailleurs que ces informations peuvent
notamment provenir de lâanalyse des chromosomes, de lâADN63, de lâARN ou dâun autre Ă©lĂ©ment
permettant dâobtenir des informations Ă©quivalentes.
La catĂ©gorie des donnĂ©es gĂ©nĂ©tiques recouvre en fait une famille de donnĂ©es de mĂȘme nature, en ce
quâelles sont des reprĂ©sentations, totales ou partielles, de lâĂ©chantillon biologique auquel elles se
rapportent. Le contenu des donnĂ©es gĂ©nĂ©tiques varie donc en fonction de lâobjectif poursuivi, la nature
des rĂ©sultats conservĂ©s ou le niveau de prĂ©cision recherchĂ© et les techniques utilisĂ©es pour lâanalyse ADN.
Il est également nécessaire de tenir compte de la pertinence des séquences ADN sélectionnées pour
former une empreinte gĂ©nĂ©tique de la personne. Une sĂ©quence dâADN qui ne se retrouve que chez une
personne sur mille sera trÚs pertinente mais lorsque la séquence apparaßt chez une personne sur 10,
lâanalyse sera moins identifiante.
Ces donnĂ©es particuliĂšrement sensibles contiennent lâintĂ©gralitĂ© du patrimoine gĂ©nĂ©tique dâune
personne et ont donc un caractĂšre Ă©minemment personnel pour celle-ci, mais Ă©galement pour les
membres de sa famille.
Lâinformation gĂ©nĂ©tique ne permet cependant pas Ă elle seule dâidentifier la personne concernĂ©e, elle
doit ĂȘtre associĂ©e Ă dâautres catĂ©gories de donnĂ©es, en particulier des donnĂ©es dâidentification pour
ĂȘtre en mesure dâidentifier la personne auquel elle se rattache. De fait, les donnĂ©es gĂ©nĂ©tiques sont
toujours associĂ©es Ă dâautres donnĂ©es, directement ou indirectement identifiantes (Ă©tat civil, donnĂ©es
relatives Ă la date et au lieu du recueil, antĂ©cĂ©dents mĂ©dicaux, filiationâŠ).
X.2. Des données particuliÚrement protégées par la loi
Les donnĂ©es gĂ©nĂ©tiques sont encadrĂ©es par un rĂ©gime spĂ©cifique. Les lois de bioĂ©thique nâautorisent que
certains usages depuis 1994 :
âȘ Etudier les caractĂ©ristiques des personnes telles quâelles ressortent de lâanalyse de leur patrimoine biologique ou gĂ©nĂ©tique : cette Ă©tude des caractĂ©ristiques gĂ©nĂ©tiques ne peut ĂȘtre entreprise quâĂ des fins mĂ©dicales ou de recherche scientifique (avec consentement exprĂšs, par
63 Acide DésoxyriboNucléique et Acide RiboNucléique.
63/69 Le traitement des données de santé © CLUSIF 2019
Ă©crit et rĂ©vocable Ă tout moment, de la personne prĂ©alablement Ă la rĂ©alisation de lâĂ©tude aprĂšs dĂ©livrance dâune information sur la nature et la finalitĂ© de lâexamen) ;
âȘ Identifier les personnes Ă partir de leur empreinte gĂ©nĂ©tique et apporter ainsi la preuve de leur prĂ©sence Ă un endroit donnĂ© : cette empreinte gĂ©nĂ©tique ne peut ĂȘtre utilisĂ©e que dans le cadre dâune enquĂȘte judiciaire pour identifier une personne (en matiĂšre pĂ©nale, Ă partir de segments non-codants64, et en matiĂšre civile avec le consentement de la personne).
La loi de 2002 sur les droits des malades et la qualité du systÚme de santé a renforcé le cadre législatif en
interdisant les discriminations fondées sur des renseignements génétiques.
X.3. Le statut particulier des données génétiques
La refonte de la loi Informatique et Libertés en 2004 créé un régime juridique ad hoc pour les données
génétiques, y compris pour le traitement de ces données en dehors du secteur de la recherche médicale.
Les traitements dont elles font lâobjet sont, en principe, soumis Ă autorisation de la CNIL prĂ©alablement Ă
leur mise en Ćuvre, Ă lâexception des traitements effectuĂ©s par des mĂ©decins ou biologistes nĂ©cessaires
au titre de la mĂ©decine prĂ©ventive, des diagnostics mĂ©dicaux ou de lâadministration de soins ou de
traitement (LIL, Art. 25-I 2° de la loi 78-17 du 6 janvier 2018).
Au-delà de ces dispositions spécifiques, les données génétiques sont appréhendées à partir de la catégorie
générale des données dites sensibles.
Elles font en effet partie des donnĂ©es sensibles lorsquâelles peuvent rĂ©vĂ©ler des renseignements sur lâĂ©tat
de santĂ© de la personne concernĂ©e en premier lieu, le porteur de lâADN, ou sur les membres de la famille
biologique du porteur, que celui-ci soit ou non décédé.
Les restrictions apportĂ©es au traitement des donnĂ©es de santĂ© dans le rĂšglement (nâĂȘtre traitĂ©es quâĂ des
fins liĂ©es Ă la santĂ© dans lâintĂ©rĂȘt des personnes physiques et de la sociĂ©tĂ© dans son ensemble, RGPD,
cons. 53) ne sâappliquent donc aux donnĂ©es gĂ©nĂ©tiques que pour autant que celles-ci soient comprises
comme donnant des indications sur lâĂ©tat de santĂ© des personnes, ce qui ne semble pas ĂȘtre le cas de tous
les marqueurs génétiques.
Avec lâarticle 9 du rĂšglement, les donnĂ©es gĂ©nĂ©tiques forment lâune des catĂ©gories de donnĂ©es sensibles.
Cette nouvelle catĂ©gorie permet de ne pas limiter le rĂ©gime de protection renforcĂ©e aux cas oĂč les
sĂ©quences dâADN ont une signification mĂ©dicale avĂ©rĂ©e ou sont rĂ©pertoriĂ©es dans une base nationale.
X.4. Lâencadrement du traitement des donnĂ©es gĂ©nĂ©tiques
Le régime de droit commun applicable aux traitements des données génétiques prévoit une autorisation
préalable de la CNIL :
âȘ Etudes gĂ©nĂ©tiques des populations ; âȘ Fichiers de rĂ©sultats de tests gĂ©nĂ©tiques dans le cadre de recherches de paternitĂ© mis en Ćuvre
dans des laboratoires dâanalyses autorisĂ©s ; âȘ Traitements de donnĂ©es gĂ©nĂ©tiques des centres de ressources biologiques (CRB) qui ne
correspondent pas Ă des traitements de recherche mais Ă des supports de recherche (collections dâĂ©chantillons de substances corporelles humaines (sang, cellules, ADN, tissus tumorauxâŠ) susceptibles dâĂȘtre utilisĂ©s dans le cadre de recherches dans le domaine de la santĂ©.
64 Seule mĂ©thode susceptible dâexclure la rĂ©vĂ©lation dâinformation sur le patrimoine gĂ©nĂ©tique dâune personne.
64/69 Le traitement des données de santé © CLUSIF 2019
La CNIL a par la suite simplifiĂ© les procĂ©dures dâexamen prĂ©alable applicable Ă certaines catĂ©gories de
recherches médicales parmi les plus usuelles en publiant des méthodologies de référence. Elles
interdisent le traitement de données directement identifiantes mais incluent la possibilité de traiter des
données génétiques :
a. La MR-001 sâapplique aux Ă©tudes interventionnelles sur la personne qui nĂ©cessitent le recueil du consentement de la personne ;
b. La MR-002 porte sur les études non-interventionnelles sur des dispositifs médicaux de diagnostic in vitro en vue de leur mise sur le marché ;
c. La MR-003 concerne les recherches non-interventionnelles qui portent sur des soins courants ou des essais cliniques de mĂ©dicaments par grappe, sur la base dâune simple information de la personne.
Cf. supra, Les recherches dans le domaine de la santé
X.5. Données génétiques et anonymisation
Lâanonymisation suppose la suppression dans un ensemble de donnĂ©es de tout lien susceptible de
permettre lâidentification de la personne concernĂ©e. Le G29 dans son avis de 201465, considĂšre quâil ne
suffit pas de supprimer les éléments directement identifiants (nom, identifiant personnel) pour rendre
impossible toute identification de la personne. LâopĂ©ration doit ĂȘtre irrĂ©versible.
Compte tenu de la difficultĂ© Ă garantir lâanonymisation effective des donnĂ©es, le rĂšglement a introduit la
notion de pseudonymisation, définie comme un traitement effectué « de telle façon que les données ne
puissent plus ĂȘtre attribuĂ©es Ă une personne concernĂ©e prĂ©cise sans avoir recours Ă des informations
supplémentaires conservées séparément ». Ces données conservent la qualification de données
personnelles.
Les donnĂ©es gĂ©nĂ©tiques, en raison de leur spĂ©cificitĂ©, peuvent ĂȘtre considĂ©rĂ©es comme identifiantes par
elles-mĂȘmes. La combinaison de ces donnĂ©es avec des donnĂ©es rendues publiques (registres
gĂ©nĂ©alogiques, notices nĂ©crologiques) ou dâautres donnĂ©es (date du prĂ©lĂšvement biologique, Ăąge, lieu de
rĂ©sidenceâŠ) peut rĂ©vĂ©ler lâidentitĂ© de certaines personnes.
Il est dans ces conditions admis que les donnĂ©es gĂ©nĂ©tiques ne peuvent ĂȘtre rendues anonymes.
X.6. Information et consentement
Lorsque la recherche, lâĂ©tude ou lâĂ©valuation nĂ©cessite le recueil de prĂ©lĂšvements biologiques identifiants
permettant dâen extraire des donnĂ©es gĂ©nĂ©tiques, la loi Informatique et LibertĂ©s impose le recueil par
écrit du consentement de la personne concernée préalablement à tout traitement (LIL, Art. 75)66.
Ce consentement exprĂšs par Ă©crit nâest cependant pas requis :
65 G29, avis 05/2014 du 10 avril 2014 sur les techniques dâanonymisation. 66 Les rĂ©fĂ©rences aux articles issues de la loi Informatique et LibertĂ©s sont celles mentionnĂ©es dans lâordonnance 2018-1125 du 12 dĂ©cembre 2018, prise en application de la loi 2018-493 du 20 juin 2018 (LIL modifiĂ©e). Voir en annexe le tableau de concordance entre lâancienne et la nouvelle numĂ©rotation.
65/69 Le traitement des données de santé © CLUSIF 2019
âȘ Lorsque les recherches portent sur des Ă©chantillons biologiques dĂ©jĂ prĂ©levĂ©s la recherche pouvant intervenir des annĂ©es aprĂšs le prĂ©lĂšvement (rĂ©utilisation des Ă©chantillons pour lesquels la personne a dĂ©jĂ consenti pour le recueil et lâanalyse, article L. 1131-1-1 du code de la santĂ© publique) ;
Lorsque la recherche nâimplique quâune rĂ©utilisation du rĂ©sultat dâanalyses gĂ©nĂ©tiques auquel le patient
a déjà consenti.
66/69 Le traitement des données de santé © CLUSIF 2019
Annexe I - Glossaire
âȘ AE â AutoritĂ© dâenregistrement (organisme disposant dâun accĂšs permanent aux donnĂ©es du SNDS) ;
âȘ AED â AutoritĂ© dâenregistrement dĂ©lĂ©guĂ©e (organisme disposant dâun accĂšs permanent aux donnĂ©es du SNDS. LâAED est chargĂ©e de demander Ă la CNAM lâouverture dâun compte pour chaque utilisateur concernĂ©) ;
âȘ ASIP SantĂ© â Agence française de la santĂ© numĂ©rique (opĂ©rateur public chargĂ© du dĂ©veloppement de la e-santĂ© en France) ;
âȘ CCTIRS â ComitĂ© consultatif sur le traitement de l'information en matiĂšre de recherche (ancien comitĂ© chargĂ© de rendre un avis sur les demandes dâautorisation dâĂ©tudes, de recherche ou dâĂ©valuation dans le domaine de la santĂ©. A Ă©tĂ© remplacĂ© par le CEREES puis le CES) ;
âȘ CĂ©piDC â Base de donnĂ©es du Centre dâĂ©pidĂ©miologie sur les causes mĂ©dicales de dĂ©cĂšs de lâINSERM (Institut national de la santĂ© et de la recherche mĂ©dicale) ;
âȘ CEREES â ComitĂ© dâexpertise pour les recherches, les Ă©tudes et les Ă©valuations dans le domaine de la santĂ© (remplace le CCTIRS. Est chargĂ© de rendre un avis sur les demandes dâautorisation dâĂ©tudes, de recherche ou dâĂ©valuation dans le domaine de la santĂ© avant dĂ©cision de la CNIL) ;
âȘ CES â ComitĂ© Ă©thique et scientifique (chargĂ© de rendre un avis sur les demandes dâaccĂšs Ă la plateforme des donnĂ©es de santĂ©, ex-CEREES)
âȘ CNAM â Caisse nationale de lâassurance maladie ; âȘ CNIL â Commission nationale informatique et libertĂ©s (autoritĂ© de contrĂŽle française) ; âȘ CNOM â Conseil national de lâOrdre des mĂ©decins ; âȘ CNSA â Caisse nationale de solidaritĂ© pour l'autonomie ; âȘ COFRAC â ComitĂ© français dâaccrĂ©ditation ; âȘ DCE â DĂ©cret en Conseil dâEtat ; âȘ EDS â EntrepĂŽt des donnĂ©es de santĂ© ; âȘ EGB â Echantillon reprĂ©sentatif des donnĂ©es de remboursement par bĂ©nĂ©ficiaire (base de
donnĂ©es de lâassurance maladie) ; âȘ ERASME et HIPPOCRATE â Extraction recherche analyses pour un suivi mĂ©dico-Ă©conomique
(bases de donnĂ©es de lâassurance maladie) ; âȘ GAIA - Registre national des fĂ©condations in vitro (base de donnĂ©es gĂ©rĂ©e par lâAgence de la
biomĂ©decine) ; âȘ HCSP â Haut conseil de la santĂ© publique ; âȘ HDH â Health Data Hub ou plateforme des donnĂ©es de santĂ© ; âȘ HDS â HĂ©bergeur de donnĂ©es de santĂ© ; âȘ IA â Intelligence artificielle ; âȘ IDS â Institut des donnĂ©es de santĂ© (auquel a succĂ©dĂ© lâINDS) ; âȘ INDS â Institut national des donnĂ©es de santĂ© ; âȘ INS â Identifiant national de santĂ© (identifiant national utilisĂ© dans les champs de la santĂ© et du
mĂ©dico-social) ; âȘ INSEE â Institut national de la statistique et des Ă©tudes Ă©conomiques ; âȘ LIL â Loi Informatique et LibertĂ©s : loi n°78-17 du 6 janvier 1978 relative Ă lâinformatique, aux
fichiers et aux libertĂ©s dans sa version modifiĂ©e par lâordonnance 2018-1125 du 12 dĂ©cembre 2018 prise en application de lâarticle 32 de la loi 2018-493 du 20 juin 2018 relative Ă la protection des donnĂ©es personnelles ;
âȘ MR â MĂ©thodologie de rĂ©fĂ©rence de la CNIL (Ces mĂ©thodologies, destinĂ©es Ă simplifier la procĂ©dure d'autorisation, portent sur les catĂ©gories les plus usuelles de traitements automatisĂ©s ayant pour finalitĂ© les recherches, Ă©tudes ou Ă©valuations dans le domaine de la santĂ©) ;
âȘ NIR â NumĂ©ro dâinscription au rĂ©pertoire national dâidentification des personnes physiques (numĂ©ro de sĂ©curitĂ© sociale) ;
67/69 Le traitement des données de santé © CLUSIF 2019
âȘ PGSSI-MCAS â Politique gĂ©nĂ©rale de sĂ©curitĂ© des systĂšmes dâinformation des ministĂšres chargĂ©s des affaires sociales ;
âȘ PIA â Privacy Impact Assessment ou Etude dâimpact sur la vie privĂ©e des personnes ; âȘ PMI â Protection maternelle et infantile âȘ PMSI â Programme de mĂ©dicalisation du systĂšme dâinformation (base de donnĂ©es de lâATIH,
agence technique de lâinformation sur lâhospitalisation) ; âȘ REIN â RĂ©seau Ă©pidĂ©miologie et information en nĂ©phrologie (base de donnĂ©es gĂ©rĂ©e par lâAgence
de la biomĂ©decine) ; âȘ RGPD â RĂšglement (UE) 2016/679 du Parlement europĂ©en et du Conseil du 27 avril 2016 relatif Ă
la protection des données à caractÚre personnel et à la libre circulation de ces données et abrogeant la directive 95/46/CE (rÚglement général sur la protection des données) ;
âȘ RNIPP â RĂ©pertoire national dâidentification des personnes physiques (rĂ©pertoire attribuant le NIR Ă chaque personne Ă sa naissance sur la base dâĂ©lĂ©ments dâĂ©tat civil transmis par les mairies Ă lâINSEE) ;
âȘ RT â Responsable de traitement ; âȘ SNDS â SystĂšme national des donnĂ©es de santĂ© (permettant la mise Ă disposition des donnĂ©es
ayant un caractĂšre mĂ©dico-administratif afin dâutiliser au mieux ces donnĂ©es dans lâintĂ©rĂȘt de la collectivitĂ© et dans le respect de la confidentialitĂ© des donnĂ©es personnelles) ;
âȘ SNIIRAM â SystĂšme national dâinformation inter-rĂ©gimes de lâassurance maladie ; âȘ SAE â SystĂšme dâarchivage Ă©lectronique (outil de gestion de contenu permettant le recueil, le
classement et la conservation à moyen et long terme des documents pour une exploitation ultérieure) ;
âȘ ST â Sous-traitant.
68/69 Le traitement des données de santé © CLUSIF 2019
Annexe II â Tableau de concordance LIL
THEME LIL Ancienne numérotation
LIL Nouvelle numérotation (Ord 12/12/18)
Principes généraux de licéité du traitement Article 6 Article 4
Traitements de données sensibles Licéité du traitement de données sensibles
Article 8 Article 6 Article 44
RĂšgles applicables au traitement du RNIPP Article 22 Article 30
Droit dâaccĂšs et donnĂ©es de santĂ© Article 43 Article 64
Traitement particulier des données de santé Article 53 Article 65
Licéité du traitement des données de santé Article 54 Article 66
Traitement de données de santé et service public Article 55 Article 67
Données de santé et secret professionnel Article 56 Article 68
LevĂ©e du secret professionnel et droit dâopposition DonnĂ©es de santĂ© et personnes dĂ©cĂ©dĂ©es
Article 57 Article 74 Article 86
Droit Ă lâinformation et donnĂ©es de santĂ© Article 58 Article 69
Données de santé du mineur / autorité parentale Article 59 Article 70
Information par les établissements de santé sur la collecte de données
Article 60 Article 71
Données de santé traitées à des fins de recherche Article 61 Article 72
Données de santé et méthodologies de référence Article 62 Article 73
Consentement et données génétiques Article 63 Article 75
Finalités de recherche et autorisation de traitement Article 64 Article 76
Audit et traitements de données de santé Article 65 Article 77
L â E S P R I T D E L â Ă C H A N G E
CLUB DE LA SĂCURITĂ DE L'INFORMATION FRANĂAIS
11 rue de Mogador 75009 Paris
France +33 1 53 25 08 80
Téléchargez toutes les productions du CLUSIF sur
www.clusif.fr