LES DOSSIERS TECHNIQUES

LE TRAITEMENT DES

DONNEES DE SANTE

Avril 2019

CLUB DE LA SECURITE DE L’INFORMATION FRANÇAIS

11 rue de Mogador - 75009 Paris

Tél. : +33 1 53 25 08 80 – clusif@clusif.fr – https://clusif.fr

2/69 Le traitement des données de santé © CLUSIF 2019

L’article L. 122-5 de la propriété intellectuelle n’autorisant pas les représentations ou reproduction intégrale, ou partielle,

faite sans le consentement de l’auteur ou de l’ayant droit ou ayant cause, sauf exception stricte (« copies ou reproductions

réalisées à partir d’une source licite et strictement réservées à l’usage privé du copiste et non destinées à une utilisation

collective », analyses et les courtes citations dans un but d’exemple et d’illustration, etc.), toute représentation ou

reproduction, par quelque procédé que ce soit du présent document sans autorisation préalable du CLUSIF constituerait une

contrefaçon sanctionnée par les articles L. 335-2 et suivants du Code de la propriété intellectuelle.

3/69 Le traitement des données de santé © CLUSIF 2019

Table des matières

I. Introduction ........................................................................................................................... 6

I.1. Description du sujet ....................................................................................................... 6

I.2. Objectifs du document .................................................................................................. 7

I.3. A qui s’adresse ce document ? ...................................................................................... 7

II. Le traitement des données de santé ..................................................................................... 8

II.1. Un usage encadré .......................................................................................................... 9

II.2. Les utilisations interdites ............................................................................................. 13

II.3. La communication des données de santé ................................................................... 14

III. Données de santé : comment informer ? ........................................................................ 17

III.1. Qui doit informer ? ...................................................................................................... 17

III.2. Quelle est la nature de l’information ? ........................................................................ 17

III.3. Quelle information doit être délivrée ? ....................................................................... 17

III.4. Le responsable de traitement peut-il être dispensé de son obligation d’information ?

19

III.5. Quelle est la forme de l’information ? ......................................................................... 20

III.6. Comment informer si la personne est mineure ? ........................................................ 21

IV. Les recherches dans le domaine de la santé ................................................................... 22

IV.1. Des modalités adaptées aux enjeux de la recherche scientifique ............................... 23

IV.2. Etudes internes (avec les données des seuls patients dont les professionnels assurent

la prise en charge) ................................................................................................................... 25

IV.3. Recherches multicentriques ou appariement entre plusieurs bases de données ...... 25

IV.4. Modification des recherches ....................................................................................... 27

V. Le système national des données de santé (SNDS) ............................................................ 29

V.1. Définitions .................................................................................................................... 30

V.2. Quels accès aux données du SNDS .............................................................................. 31

V.3. Qui peut utiliser les données du SNDS et comment peut-on en demander l’accès ? . 32

V.4. Quelles sont les mesures de sécurité à mettre en place ? .......................................... 35

VI. Health Data Hub – La Plateforme de données de santé ................................................. 37

VI.1. Rappel du contexte ...................................................................................................... 37

VI.2. Bilan de la mission de préfiguration ............................................................................ 38

VI.3. Un nouvel accès aux données de santé ....................................................................... 38

4/69 Le traitement des données de santé © CLUSIF 2019

VI.4. Projet de loi – Création d’un guichet unique d’accès aux données ............................ 41

VI.5. Projet de loi – Enrichissement des bases de données du SNDS .................................. 43

VII. L’hébergement des données de santé ............................................................................ 46

VII.1. Définition .................................................................................................................. 46

VII.2. Evolution du cadre législatif ..................................................................................... 46

VII.3. Champs d’application de l’hébergement ................................................................. 48

VII.4. Contenu du contrat d’hébergement ........................................................................ 48

VII.5. Procédure de certification ........................................................................................ 49

VII.6. Les principaux objectifs de sécurité ......................................................................... 50

VII.7. Information des personnes ...................................................................................... 51

VIII. Le NIR dans les traitements de données de santé .......................................................... 52

VIII.1. Utilisation du NIR (numéro d’inscription au répertoire national d’identification des

personnes physiques) ............................................................................................................. 52

VIII.2. L’obligation d’utiliser le NIR comme identifiant national de santé ......................... 54

VIII.3. L’utilisation du NIR dans le cadre de projets de recherche ..................................... 57

IX. Echanges informatisés de données de santé .................................................................. 58

IX.1. Messagerie sécurisée de santé .................................................................................... 58

IX.2. Le dossier médical partagé (DMP) ............................................................................... 59

IX.3. Le dossier pharmaceutique (DP) .................................................................................. 61

X. Les données génétiques ...................................................................................................... 62

X.1. Définition ..................................................................................................................... 62

X.2. Des données particulièrement protégées par la loi .................................................... 62

X.3. Le statut particulier des données génétiques ............................................................. 63

X.4. L’encadrement du traitement des données génétiques ............................................. 63

X.5. Données génétiques et anonymisation ....................................................................... 64

X.6. Information et consentement ..................................................................................... 64

Annexe I - Glossaire .................................................................................................................... 66

Annexe II – Tableau de concordance LIL .................................................................................... 68

5/69 Le traitement des données de santé © CLUSIF 2019

Remerciements

Le CLUSIF tient à mettre ici à l'honneur les personnes qui ont rendu possible la réalisation de ce

document, tout particulièrement :

Le responsable du groupe de travail :

Thomas VAN DEN HEUVEL Agence de la biomédecine

Les contributeurs :

Patrick BLUM ESSEC Business School

Afaf FAFI CONIX

Fabrice IDIER Conseil départemental de la Seine Saint-Denis

Thierry MATUSIAK IBM France

Le CLUSIF remercie également les adhérents ayant participé à la relecture.

6/69 Le traitement des données de santé © CLUSIF 2019

I. Introduction

I.1. Description du sujet

Les dispositions européennes sur la protection des données, qui visent à rendre aux citoyens le contrôle

de leurs données personnelles et à créer un niveau élevé et uniforme de protection à travers l'Union

européenne, sont intégrées dans le règlement européen du 27 avril 20161. Elles sont applicables depuis

le 25 mai 2018 dans tous les pays membres. Le règlement remplace les diverses législations nationales

actuelles par un ensemble de règles uniques qui ont pour objectif de faciliter la circulation des données

au sein de l’Union européenne tout en renforçant les droits des citoyens et en leur donnant plus de

contrôle sur leurs données personnelles.

Les États membres conservent toutefois la possibilité de prévoir des dispositions spécifiques pour

compléter le règlement (RGPD, cons. 82). La France a ainsi choisi de faire évoluer la loi Informatique et

Libertés afin de préciser certains des 57 renvois possibles prévus dans le règlement.

C’est particulièrement vrai pour le traitement des données de santé.

Les données relatives à la santé sont considérées par le règlement européen (RGPD, Art. 9) et la loi

Informatique et Libertés (LIL, Art. 63) comme une catégorie de données sensibles (ou catégorie particulière

de données, selon la définition du règlement) dont la collecte et le traitement sont par principe interdits4,

de nombreuses exceptions étant par ailleurs prévues (LIL, Art. 44).

Une fois la qualification de données de santé retenue, un régime juridique particulier justifié par la

sensibilité des données s’applique. Le traitement de ces données, qu’il soit mis en œuvre par une entité

publique ou privée, est ainsi étroitement encadré et soumis au respect de règles contraignantes. Les

données de santé ne peuvent être utilisées et communiquées que dans des conditions déterminées par

la loi et notamment dans l’intérêt des patients (assurer le suivi médical, faciliter leur prise en charge par

l’assurance maladie…) ou pour des besoins de santé publique.

Outre le règlement européen et la loi Informatique et Libertés précités, de nombreux textes ont

également introduit des dispositions juridiques (code de la santé publique, code de la sécurité sociale,

référentiel de sécurité, politique générale de sécurité des systèmes d’information…) sur le recueil et

l’utilisation des données de santé, rendant complexes la compréhension du régime juridique applicable

et donc le traitement de ces données.

1 Règlement (UE) 2016/679 du Parlement et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), JOUE L119/1 du 4 mai 2016. Voir aussi https://www.cnil.fr/fr/reglement-europeen-protection-donnees 2 Lorsque le présent règlement dispose que le droit d'un État membre peut apporter des précisions ou des limitations aux règles qu'il prévoit, les États membres peuvent intégrer des éléments du présent règlement dans leur droit dans la mesure nécessaire pour garantir la cohérence et pour rendre les dispositions nationales compréhensibles pour les personnes auxquelles elles s'appliquent. 3 Les références aux articles issues de la loi Informatique et Libertés sont celles mentionnées dans l’ordonnance 2018-1125 du 12 décembre 2018, prise en application de la loi 2018-493 du 20 juin 2018 (LIL modifiée). Voir en annexe le tableau de concordance entre l’ancienne et la nouvelle numérotation. 4 La notion de donnée sensible n’est explicite que dans les considérants du règlement (RGPD, C10 et 51 notamment). Le règlement les

mentionne sous les termes de catégories particulières de données à caractère personnel et de données relatives aux condamnations pénales et

infractions (RGPD, Art.9 et 10). Le G29 (remplacé par le CEPD4) évoque la notion de données à caractère hautement personnel. Il y a parfois

confusion entre les données qui sont sensibles pour une organisation et le régime juridique des données sensibles, au sens de la loi française.

7/69 Le traitement des données de santé © CLUSIF 2019

I.2. Objectifs du document

Pour ces raisons, le présent document a pour objectif de permettre à toute personne amenée à traiter

des données de santé d’appréhender, de manière pragmatique et accessible, la multiplicité et les

spécificités des exigences légales et réglementaires applicables dans ce domaine.

Ce document est une déclinaison sectorielle de la série de fiches thématiques (FAQ) mise à disposition du

CLUSIF visant à expliciter les grandes notions du règlement européen et à apporter des réponses

concrètes dans le traitement des données à caractère personnel.

Sous forme de fiches pratiques, il contient les premiers éléments de réponse sur une thématique définie

afin de permettre d’identifier les principales questions juridiques liées au traitement des données de santé

et acquérir ainsi les bons réflexes en matière de gestion des exigences légales et réglementaires.

Il a pour ambition de fournir les clefs de lecture du cadre juridique applicable dans ce domaine en matière

de sécurité de l’information et de délivrer les points de vigilance afférents. Mais ce document ne prétend

pas à l’exhaustivité et ne dispense pas de recourir à un conseil juridique spécialisé, qu’il soit interne ou

externe à l’organisme.

I.3. A qui s’adresse ce document ?

Le document s’adresse à tout organisme, privé ou public, amené à recueillir et exploiter des données de

santé dans le cadre de leur activité, à des fins médicales ou de recherche scientifique.

8/69 Le traitement des données de santé © CLUSIF 2019

II. Le traitement des données de santé

Les données relatives à la santé sont considérées par le règlement européen (RGPD, Art. 9) et la loi

Informatique et Libertés (LIL, Art. 65) comme une catégorie de données sensibles (ou catégorie particulière

de données, selon la définition du règlement) dont la collecte et le traitement sont par principe interdits6.

Des exceptions existent cependant (LIL, Art. 44).

Le traitement de ces données, qu’il soit mis en œuvre par une entité publique ou privée, est étroitement

encadré et soumis au respect de règles contraignantes. Le règlement, dans son considérant 35, définit les

données de santé comme les données à caractère personnel relatives à la santé physique ou mentale

d’une personne physique, y compris la prestation de soins de santé, qui révèlent des informations sur

l’état de santé d’une personne (RGPD, Art. 4 (15) et considérant 35)7.

Cette définition comprend :

• Les informations relatives à une personne physique collectées lors de son inscription en vue de bénéficier d’une prise en charge ;

• Les informations obtenues lors d’un test ou un examen, y compris à partir des données génétiques et d’échantillons biologiques ;

• Les informations concernant une maladie, un handicap, un risque de maladie, les antécédents médicaux, un traitement clinique ou l’état physiologique ou biomédical de la personne concernée (indépendamment de sa source, qu’elle provienne par exemple d’un médecin ou d’un autre professionnel de santé, d’un hôpital, d’un dispositif médical ou d’un test de diagnostic in vitro).

Elle permet ainsi d’englober certaines données de mesures à partir desquelles il est possible de déduire

une information sur l’état de santé de la personne. Ces informations ne concernent plus seulement les

données qui permettent d’indiquer la pathologie dont peut être atteint un individu (données de santé

‘par nature’), elles sont étendues à :

• Toute donnée sur l’état de santé physique et mental passé, présent ou futur de la personne, toute information sur l’identification du patient dans le système de soins, toutes les prestations de services de santé, toute information concernant, notamment, une pathologie, un handicap, un risque de maladie, les antécédents médicaux, un traitement clinique ou l’état physiologique ou biomédical de la personne concernée, indépendamment de sa source (données de santé ‘par destination’)8 ;

• Toute donnée, qui du fait de son croisement avec d’autres données, deviennent des données de santé en ce qu’elles permettent de tirer une conclusion sur l’état de santé ou le risque pour la santé d’une personne : croisement d’une mesure de poids avec d’autres données (nombre de pas, mesure des apports caloriques…), croisement de la tension avec la mesure de l’effort, etc... (données de santé ‘par croisement’).

5 Les références aux articles issues de la loi Informatique et Libertés sont celles mentionnées dans l’ordonnance 2018-1125 du 12 décembre 2018, prise en application de la loi 2018-493 du 20 juin 2018 (LIL modifiée). Voir en annexe le tableau de concordance entre l’ancienne et la nouvelle numérotation. 6 La notion de donnée sensible n’est explicite que dans les considérants du règlement (RGPD, C10 et 51 notamment). Le règlement les

mentionne sous les termes de catégories particulières de données à caractère personnel et de données relatives aux condamnations pénales et

infractions (RGPD, Art.9 et 10). Le G29 (remplacé par le CEPD6) évoque la notion de données à caractère hautement personnel. Il y a parfois

confusion entre les données qui sont sensibles pour une organisation et le régime juridique des données sensibles, au sens de la loi française.

7 Cette définition reprend une jurisprudence de la Cour de justice de l’Union européenne (CJUE) de 2003. 8 https://www.cnil.fr/fr/quest-ce-ce-quune-donnee-de-sante

9/69 Le traitement des données de santé © CLUSIF 2019

N’entrent pas dans la notion de données de santé celles à partir desquelles aucune conséquence ne peut

être tirée au regard de l’état de santé de la personne concernée (une application collectant un nombre

de pas au cours d’une promenade sans croisement de ces données avec d’autres par exemple).

A noter, la loi ne s’applique pas aux traitements qui comporteraient des données de santé à l’usage exclusif de la personne.

La loi ne s’applique par exemple pas aux applications mobiles en santé qui proposent dans leurs fonctionnalités, la collecte, l’enregistrement ou la conservation de données à condition que ces opérations s’effectuent localement sur un ordinateur, un smartphone ou une tablette, sans connexion extérieure et à des fins exclusivement personnelles.

II.1. Un usage encadré

Une fois la qualification de données de santé retenue, un régime juridique particulier justifié par la

sensibilité des données s’applique. Les données de santé ne peuvent être utilisées et communiquées que

dans des conditions déterminées par la loi et notamment dans l’intérêt des patients (assurer le suivi

médical, faciliter leur prise en charge par l’assurance maladie…) ou pour des besoins de santé publique.

L’accès à ces données est notamment régi par les dispositions du règlement européen et de la loi

Informatique et Libertés, la France ayant fait le choix, conformément à l’article 9-4 du règlement, de

maintenir un encadrement spécifique pour les traitements de données de santé.

❖ INTERDICTION DE PRINCIPE ET EXCEPTIONS Le règlement et la loi Informatique et Libertés encadrent particulièrement les données de santé. Ces

textes posent un principe d’interdiction des traitements de donnés de santé, et des données génétiques.

Mais certains traitements s’avérant indispensables ou utiles aux personnes, de nombreuses exceptions

ont été prévues (RGPD, Art. 9 et LIL, Art. 44) spécifiquement dans le domaine de la santé :

▪ Les traitements pour lesquels la personne a donné son consentement exprès (sauf disposition contraire prévue par la loi) (RGPD, Art. 9 2°(a)) ;

▪ Les traitements nécessaires à la sauvegarde de la vie humaine : la personne n’est pas en mesure d’exprimer son consentement par suite d’une incapacité physique ou d’une impossibilité matérielle (RGPD, Art. 9 2° (c)) ;

▪ Les données ‘associations’ : les traitements effectués par une association, à condition que ceux-ci correspondent à l’objet de ladite association, se rapportent exclusivement aux membres et ne soient pas transmis à des tiers (fichiers réalisés par les structures médicales pour garantir la prise en charge de patients dans le respect de leurs croyances, association sportive, société wellness par exemples) (RGPD, Art. 9 2°(d)) ;

▪ Les données rendues publiques par la personne concernée (RGPD, Art. 9 2°(e)) ; ▪ Les traitements nécessaires aux fins de médecine préventive, des diagnostics médicaux, de

l’administration de soins ou de traitements ou de la gestion de services de santé et mis en œuvre par un membre d’une profession de santé (RGPD, Art. 9 2° (h) et LIL, Art. 44 1°) ;

▪ Les traitements permettant d’effectuer des études à partir des données recueillies dans les traitements nécessaires aux fins de médecine préventive, de diagnostics médicaux, de l’administration des soins ou de traitements, ou de la gestion de services de santé, lorsque ces études sont réalisées par les personnels assurant ce suivi et destinés à leur usage exclusif (LIL, Art. 65 2°) ;

10/69 Le traitement des données de santé © CLUSIF 2019

▪ Les traitements de données de santé à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé (LIL, Art. 44 3° et 64 et suivants) ;

▪ Les traitements mis en place dans le cadre de la recherche publique mis en œuvre après avis de la CNIL (LIL, Art. 6°) ;

▪ Les traitements justifiés par l’intérêt public (RGPD, Art. 9 2°(g) et LIL, Art. 44 3°, 64 et suivants) ; ▪ Les traitements mis en œuvre afin d’assurer le service des prestations ou le contrôle par les

organismes chargés de la gestion d’un régime de base de l’assurance maladie (ainsi que la prise en charge des prestations par les organismes complémentaires (LIL, Art. 65 3°) ;

▪ Les traitements effectués au sein des établissements de santé par les médecins responsables de l’information médicale pour l’analyse de leur activité (LIL, Art. 65 4°) ;

▪ Les traitements réalisés par les agences régionales de santé, par l’État et par la personne publique qu’il désigne et relatifs à leurs moyens de fonctionnement, leur activité, leurs données sanitaires, démographiques ou sociales nécessaires à l’élaboration et à la révision du projet régional de santé, à la détermination de leurs ressources, à l’évaluation de la qualité des soins, à la veille, à la vigilance sanitaire et au contrôle des activités et de leur facturation (LIL, Art. 65 5°).

À noter que d’autres textes organisent également l’accès aux données de santé :

▪ Le code de la santé publique (échanges d’informations sur un patient entre professionnels de santé afin d’assurer la continuité des soins, hébergement des données de santé, système national des données de santé, dispositions sur le secret, dispositions relatives aux référentiels de sécurité et d’interopérabilité des données de santé, interdiction de procéder à une cession ou à une exploitation commerciale des données de santé…) ;

▪ Les dispositions encadrant la télémédecine ; ▪ Le code de sécurité sociale (transmission par les professionnels de santé du code des actes,

prestations, et pathologies diagnostiquées aux organismes d’assurance maladie obligatoire) ; ▪ Les textes relatifs aux déclarations obligatoires de certaines maladies aux autorités sanitaires

(pour certaines maladies infectieuses nécessitant une intervention urgente).

D’une manière générale, le traitement des données de santé doit respecter les principes fondamentaux

de la protection des données personnelles (RGPD, Art. 5, LIL, Art. 4), parmi lesquels les principes de

minimisation des données et de conservation limitée, ainsi que les mesures permettant l’exercice des

droits des personnes pour lesquelles des informations sont recueillies (RGPD, Art. 12 et suivants).

Cf. fiche FAQ Principes et infra, Exercice des droits des personnes et Données de santé : comment

informer ?

❖ MESURES NECESSAIRES POUR SECURISER ET PROTEGER LES DONNEES DE SANTE La protection des données implique la mise en œuvre de mesures techniques et organisationnelles

appropriées afin de garantir un niveau de sécurité adapté au risque (RGPD, Art. 32), s’assurer et être en

mesure de démontrer que le traitement est effectué conformément au règlement.

Ce principe de responsabilité repose sur deux principes introduit par le règlement :

▪ Privacy by design ou principe de protection de la donnée dès la conception du traitement (RGPD, Art. 25.1) : le responsable de traitement doit mettre en œuvre, dès la conception du traitement, des mesures pour protéger les données et les droits des personnes ;

▪ Privacy by default ou principe de protection des données par défaut (RGPD, Art. 25.2) : le responsable de traitement doit mettre en œuvre des mesures garantissant que, par défaut, seules sont traitées les données personnelles nécessaires à chaque finalité déterminée.

Cf. fiche FAQ « Quelles sont les obligations du Responsable de traitement ? »

11/69 Le traitement des données de santé © CLUSIF 2019

Pour sécuriser et protéger les données personnelles traitées, le responsable de traitement doit tenir

compte de l’état des connaissances, des coûts de mise en œuvre, de la nature, la portée, du contexte et

des finalités du traitement, ainsi que des risques pour les droits et libertés des personnes concernées par

le traitement.

Les risques sur les données à prendre en compte sont notamment les suivants : destruction, perte,

altération, divulgation non autorisée, accès non autorisé, de manière illicite ou accidentelle.

S’agissant des impacts techniques, les systèmes informatiques doivent assurer la sécurité et protéger la

donnée tout au long de son cycle de vie (RGPD, Art. 32) :

▪ Pseudonymisation et chiffrement des données ; ▪ Mise en place de moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la

résilience ; ▪ Mise en place de moyens permettant de rétablir la disponibilité des données personnelles et l’accès

à celles-ci dans des délais appropriés en cas d’incidents ; ▪ Mise en place de procédure visant à tester, analyser et évaluer régulièrement l’efficacité des

mesures techniques et organisationnelles pour assurer la sécurité du traitement.

Parmi les mesures à mettre en œuvre, on peut citer notamment :

▪ L’authentification des utilisateurs : ✓ Utiliser un mot de passe conforme aux recommandations de la CNIL et renouvelé

régulièrement9 ; ✓ Privilégier lorsque cela est possible l’authentification forte, notamment via une carte de

professionnel de santé (CPS) ou tout moyen alternatif.

La CPS doit rester strictement personnelle et les codes secrets ne peuvent être communiqués au personnel (notamment les secrétaires médicales).

▪ La gestion des habilitations pour limiter les accès aux seules données dont un utilisateur a besoin ; ▪ La traçabilité des accès et la gestion des incidents en prévoyant un système de journalisation afin

de pouvoir réagir en cas de violation de données (atteinte à la confidentialité, l’intégrité ou la disponibilité) ;

▪ La sécurisation des postes de travail afin de prévenir les accès frauduleux, l’exécution de virus ou la prise de contrôle à distance, notamment via internet :

✓ Verrouillage de la session informatique automatique en cas de non-utilisation du poste pendant un temps donné ;

✓ Utilisation d’un Antivirus à jour, installation d’un pare-feu activé ; ✓ Application systématique des correctifs de sécurité des composants matériels et des

logiciels du SI ; ✓ Sauvegarde régulière des données ; ✓ Limitation de la connexion de supports mobiles ou d’appareils non professionnels sur le

réseau (Dans le cas contraire, prévoir des mesures de protection supplémentaires de type cloisonnement…) ;

▪ La sécurisation des échanges avec d’autres organismes (chiffrer, garantir l’intégrité ou signer afin d’assurer l’intégrité, la confidentialité et l’authenticité des données transmises).

9 https://www.cnil.fr/fr/authentification-par-mot-de-passe-les-mesures-de-securite-elementaires

12/69 Le traitement des données de santé © CLUSIF 2019

S’agissant des impacts organisationnels :

▪ Nomination d’un délégué à la protection des données (DPO) ; ▪ Sensibilisation des utilisateurs ; ▪ Concernant la gouvernance et la conformité :

✓ Données : mapping, analyse des flux ; ✓ Tenue d’un registre des activités de traitements ; ✓ Réalisation d’une analyse d’impact sur la vie privée des personnes10 Cf. fiche FAQ sur

« Analyse d’impact » ; ✓ Mise en place de procédures de documentation et de conservation ; ✓ Recommandations de bonnes pratiques ou application d’un code de conduite à l’intention

des utilisateurs ;

S’agissant des impacts juridiques :

▪ Réalisation d’un audit juridique et technique des traitements et de politiques internes afin de définir un plan d’actions pour la mise en conformité des traitements de données personnelles ;

▪ Revue des contrats conclus avec les sous-traitants et définition d’une politique en matière de sous-traitance (avec renforcement des clauses relatives à la protection des données personnelles) ;

▪ Définition d’une politique de gouvernance en matière de protection des données personnelles A noter que la CNIL et le Conseil national de l’Ordre des médecins ont rédigé un guide pratique sur la

protection des données qui reprend les éléments mentionnés ci-dessus et fixent les grands principes qui

doivent être respectés11.

❖ QUELLES FORMALITES ACCOMPLIR ?

Traitement de dossiers patients

Il n’existe pas de formalités préalables à réaliser auprès de la CNIL pour ce type de traitement avant sa mise en œuvre (absence de déclaration préalable). Depuis l’entrée en vigueur du règlement, il n’est même plus nécessaire de réaliser auprès de la CNIL un engagement de conformité à la norme simplifiée12 50 (NS-50) pour la gestion des cabinets médicaux. En effet, alors que les obligations des organismes au regard de la loi Informatique et Libertés reposaient en grande partie sur les formalités préalables (déclaration, autorisation), le règlement repose sur une logique de responsabilisation et de transparence. Cette notion de responsabilité (accountability) se traduit notamment par : ▪ La prise en compte de la protection des données personnelles dès la conception d’un service ou d’un

produit et par défaut (privacy by design et by default, cf. supra) ; ▪ La mise en place d’une organisation, de mesures, de documentation et d’outils internes garantissant

une protection optimale des données personnelles traitées (cf. supra, mesures nécessaires pour protéger les données de santé).

En revanche, un registre des activités de traitement doit être tenu. Il doit recenser tous les traitements

de données à caractère personnel mis en œuvre dans le cadre de l’activité des professionnels de santé

(au sein d’un établissement de santé, d’un laboratoire de biologie médicale ou d’un cabinet libéral). Il doit

notamment comporter les traitements relatifs :

10 Cette analyse d’impact peut avoir déjà été réalisée dans des traitements similaires, quand le traitement répond à une obligation légale ou lorsqu’il est nécessaire à l’exercice d’une mission de service public (RGPD, art 6.1(c), 6.1(e)). 11 Edition juin 2018 12 A noter que même si elles n’ont plus de valeur juridique depuis l’entrée en vigueur du règlement, ces normes restent intéressantes et sont toujours disponibles sur le site de la CNIL.

13/69 Le traitement des données de santé © CLUSIF 2019

▪ A la gestion des dossiers patients ; ▪ A l’utilisation d’une messagerie sécurisée ; ▪ Ou au dispositif de télémédecine.

Les professionnels de santé exerçant à titre individuel ne sont pas soumis à l’obligation de désignation

d’un délégué à la protection des données (DPO). En revanche, il est obligatoire de désigner un DPO dans

les établissements de santé ou si, en raison de l’activité réalisée, le professionnel de santé estime que le

traitement des données de santé est à grande échelle (exercice au sein d’un réseau de professionnels,

maisons de santé, centre de santé, dossiers partagés). La désignation peut être faite en interne mais il est

possible de solliciter les services d’un DPO externe ou de mutualiser la désignation d’un DPO entre

plusieurs organismes, à certaines conditions.

Cf. fiche FAQ « Le délégué à la protection des données ».

Autres traitements de données de santé

Les traitements de données de santé à caractère personnel ne peuvent être mis en œuvre qu’en

considération de la finalité d’intérêt public (notamment la « garantie de normes élevées de qualité et de

sécurité des soins de santé, des médicaments ou des dispositifs médicaux ») (LIL, Art. 66 I).

Des référentiels et des règlements types peuvent être établis par la CNIL. Ils permettent, pour les

traitements conformes à ces référentiels, d’être mis en œuvre sans autorisation spécifique de l’autorité

de contrôle. Le responsable de traitement doit simplement adresser à la CNIL une déclaration

d’engagement de conformité à ces traitements (LIL, Art. 66 II). La tenue d’un registre des activités de

traitement et la réalisation préalable d’une analyse de risques sur la vie privée restent cependant

applicables.

Les traitements qui ne sont pas conformes à ces référentiels ne peuvent quant à eux être mis en œuvre

qu’après autorisation. La CNIL se prononce dans un délai de 2 mois à compter de la réception de la

demande (délai renouvelable une fois). En l’absence de réponse dans ce délai, la demande d’autorisation

est réputée acceptée, sauf dans les cas où l’autorisation est subordonnée à un avis préalable et que ce

dernier n’est pas « expressément favorable » (LIL, Art. 66 III).

À noter que la CNIL, comme dans les autres domaines, peut prendre une décision unique permettant de

délivrer à un même demandeur une autorisation pour des traitements répondant à une même finalité,

portant sur des catégories de données et des catégories de destinataires identiques (LIL, Art. 66 IV). Avant

la modification de la loi du 6 janvier 1978 intervenue en décembre 2018, la CNIL avait ainsi adopté des

autorisations uniques notamment en matière de pharmacovigilance ou de messageries sécurisées de

santé…

II.2. Les utilisations interdites

Les données de santé ne peuvent faire l’objet d’une cession ou d’une exploitation commerciale.

En outre, en application de l’article L. 4113-7 du code de la santé publique, la constitution ou l’utilisation

à des fins de prospection ou de promotion commerciale de fichiers composés à partir de données issues

directement ou indirectement des prescriptions médicales ou des données de santé est interdite (même

14/69 Le traitement des données de santé © CLUSIF 2019

pour des données rendues anonymes), dès lors que ces fichiers permettent d’identifier directement ou

indirectement le professionnel prescripteur.

II.3. La communication des données de santé

Les données de santé peuvent être communiquées et utilisées dans des conditions déterminées par la loi,

dans l’intérêt direct du patient (assurer son suivi médical, faciliter sa prise en charge par l’assurance

maladie…) ou pour des besoins de santé publique.

❖ LA COMMUNICATION A DES TIERS AUTORISES Les tiers autorisés au sens de la loi sont les personnes habilitées par des textes législatifs ou

réglementaires à obtenir un accès ponctuel et limité aux données.

Il s’agit des autorités judiciaires (procureurs de la République, juges, officiers de police judiciaire ou de la

gendarmerie nationale lorsqu’ils agissent sur réquisition judiciaire dans le cadre d’une enquête de

flagrance, d’une enquête préliminaire ou d’une instruction sur commission rogatoire), des experts

(désignés par une juridiction dans le cadre d’un contentieux, sous réserve du consentement du patient

concerné) ou des agents de l’administration fiscale.

Les médecins des compagnies d’assurance ou les employeurs ne sont pas considérés comme des tiers autorisés à obtenir le dossier médical des patients.

Le consentement du patient ne suffit pas à exonérer le professionnel de son obligation de secret

professionnel.

❖ LES AUTRES HYPOTHESES DE COMMUNICATION DES DONNEES DE SANTE La communication à des tiers non autorisés est réprimée par l’article 226-13 du code pénal. Toutefois, des

exceptions sont prévues au regard de leurs missions, et certains tiers peuvent accéder aux données de

santé des patients. En pratique, il importe de veiller au respect des règles relatives à l’échange et au

partage des données entre professionnels13.

Seules certaines personnes sont autorisées, au regard de leurs missions et en vertu de dispositions

législatives les habilitant, à accéder aux données de santé des patients (équipe de soins d’un

établissement de santé intervenant dans la prise en charge sanitaire d’un patient…). On parle alors de

secret partagé.

Tout professionnel de santé intervenant dans la prise en charge d’un patient peut avoir un accès

spécifique aux seules informations nécessaires à cette prise en charge ou, si cela n’est pas possible, le

médecin peut envoyer les informations nécessaires directement aux professionnels concernés. Quant au

personnel administratif, il ne peut avoir un accès global aux dossiers des patients. Seules certaines

13 Cf. fiche du Conseil national de l’Ordre des médecins (CNOM), Echange et partage d’informations, décembre 2016, disponible sur le site du conseil national de l’Ordre des médecins.

15/69 Le traitement des données de santé © CLUSIF 2019

informations (nom, prénom, code de l’acte, NIR14, date de consultation) sont adressées aux organismes

d’assurance maladie via la télétransmission ou les feuilles de soins.

L’article L. 161-29 du code de la sécurité sociale prévoit que les professionnels de santé communiquent,

sous forme nominative, aux organismes d’assurance maladie obligatoire, le code détaillé des actes,

prestations et pathologies diagnostiquées. En application de l’article L. 3113-1 du code de la santé

publique, les professionnels de santé sont également tenus de déclarer aux autorités sanitaires certaines

maladies infectieuses qui nécessitent une intervention urgente ou dont la surveillance est nécessaire à la

conduite et à l’évaluation de la politique de santé publique.

En cas de recours à un prestataire de services pour assurer la maintenance du logiciel gérant les dossiers

de patients, ce dernier n’est pas censé accéder aux données de santé. Les données doivent donc en

principe être chiffrées afin de permettre au technicien d’assurer ses missions sans pouvoir lire les

données.

Si les données de santé sont confiées à un prestataire chargé d’en assurer la conservation, dans des

serveurs à distance, celui-ci doit être agréé ou certifié pour l’hébergement, le stockage et la conservation

de données de santé conformément aux dispositions de l’article L. 1111-8 du code de la santé publique.

Toute personne qui héberge des données de santé à caractère personnel recueillies à l'occasion

d'activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de

personnes physiques ou morales à l'origine de la production ou du recueil de ces données ou pour le

compte du patient lui-même, réalise cet hébergement dans les conditions prévues au présent article.

Cf. infra, L’hébergement des données de santé.

En toute hypothèse (société de maintenance, hébergeur…), le prestataire agit pour le compte du

professionnel de santé. Cette relation doit être formalisée en passant un contrat de sous-traitance.

Cf. fiche FAQ Responsabilité du sous-traitant.

Check-list des éléments à prendre en compte :

Limiter les informations collectées ou nécessaires et utiliser les dossiers patients conformément aux finalités définies (= suivi des patients) ;

Tenir un registre des activités de traitement ; Supprimer les dossiers patients ou toute information ayant dépassé la durée de

conservation mentionnée ; S’assurer que l’établissement de santé met en place des mesures appropriées de sécurité

des dossiers (via des analyses d’impact sur la vie privée des personnes notamment) ; Utiliser une messagerie sécurisée de santé pour les échanges entre professionnels de

santé (à défaut, s’assurer que les messages sont bien sécurisés et chiffrer les pièces jointes) ;

Informer les patients et s’assurer du respect de leurs droits.

14 Numéro de sécurité sociale : « numéro d'inscription au répertoire des personnes physiques » (abrégé en NIRPP ou plus simplement NIR). Cf. L’utilisation du NIR dans les traitements de données de santé, infra.

16/69 Le traitement des données de santé © CLUSIF 2019

Pour aller plus loin15

▪ Les données recueillies, en dehors d’un contexte médical (nombre de pas, poids, activité quotidienne…), par des outils de mesure de soi (montres, bracelets connectés, applications mobiles, etc.) sont-elles des données de santé ? Tout dépend de la nature des données (un poids excessif peut révéler une obésité), et du croisement ou non de ces données à d’autres données révélant ainsi des informations sur l’état de santé de la personne.

▪ L’information sur le handicap, contenue dans un traitement, est-elle une donnée de santé ? Oui. Constitue un handicap toute limitation d'activité ou restriction de participation à la vie en société subie dans son environnement par une personne en raison d'une altération substantielle, durable ou définitive d'une ou plusieurs fonctions physiques, sensorielles, mentales, cognitives ou psychiques, d'un polyhandicap ou d'un trouble de santé invalidant (article L. 114 du code de l’action sociale et des familles).

▪ L’information sur un taux d’invalidité, contenue dans un traitement, est-elle une donnée de santé ? Oui, si le taux d’invalidité révèle que la personne est atteinte d’un handicap (cf. ci-dessus).

▪ L’information sur la prise en charge dans une structure de soins, contenue dans un traitement, est-elle une donnée de santé ? Oui, dès lors qu’elle donne une indication sur l’état de santé (ex : admission dans un établissement ou service hospitalier spécialisé).

▪ Le codage CCAM (Classification Commune des Actes Médicaux) est-elle une donnée de santé ? Oui, si l’information découlant de ce codage conduit à délivrer une information sur l’état de santé ou sur une prise en charge en lien avec une pathologie particulière.

▪ Le numéro d’inscription au répertoire national d’identification des personnes physiques (NIR) est-il une donnée de santé ? Non, le NIR n’est pas une donnée de santé, même s’il est utilisé comme identifiant national de santé.

▪ L’aptitude à l’exercice d’une activité sportive est-elle une donnée de santé ? Non, l’aptitude à l’exercice d’une activité sportive n’est pas en soi une donnée de santé. Néanmoins, si elle est associée à d’autres informations comme les circonstances de délivrance du certificat, elle est considérée comme étant une donnée de santé. L’inaptitude à l’exercice d’une activité sportive est une donnée de santé.

15 https://www.cnil.fr

17/69 Le traitement des données de santé © CLUSIF 2019

III. Données de santé : comment informer ?

En application des dispositions du règlement européen sur la protection des données, les personnes dont

les données de santé sont collectées doivent être informées du recueil et du traitement de leurs données

à caractère personnel. Il peut s’agir notamment de patients ou de personnes participant à une recherche.

L’information permet à ces personnes de conserver la maîtrise des données les concernant.

III.1. Qui doit informer ?

C’est le responsable de traitement des données recueillies qui doit prendre les mesures appropriées pour

informer les personnes concernées. Dans le secteur de la santé, on rencontre un certain nombre de

responsables de traitement : professionnels de santé, structures de soins, fournisseurs de solutions

techniques... En pratique, ce sont les acteurs opérationnels (professionnels de santé notamment) agissant

au nom et pour le compte du responsable de traitement (établissement de santé, service de soins, etc.)

qui sont chargés de délivrer l’information aux patients dont ils assurent la prise en charge. Exerçant à titre

libéral, le médecin traitant sera à la fois le responsable de traitement et la personne chargée de délivrer

l’information.

III.2. Quelle est la nature de l’information ?

L’information doit être délivrée de façon concise, transparente, compréhensible et aisément accessible.

L’ensemble des mentions obligatoires doit figurer dans le document d’information. La CNIL recommande

par ailleurs de rédiger un support rendant l’information la plus intelligible possible (utilisation de

pictogrammes visuels, surlignage des informations essentielles dans des documents écrits [ex : livret

d’accueil, documents écrits d’information remis aux patients] ou recours à la vidéo [ex : diffusion de

vidéos dans les salles d’attente] …).

L’information doit également être adaptée, en fonction de la pathologie de la personne, de son âge,

des circonstances du recueil des données. Une information spécifique aux mineurs ou aux personnes

vulnérables doit ainsi être prévue.

III.3. Quelle information doit être délivrée ?

Deux situations peuvent être envisagées : les données de santé ont été collectées directement (collecte

directe) ou non auprès de la personne concernée (collecte indirecte).

18/69 Le traitement des données de santé © CLUSIF 2019

COLLECTE DIRECTE AUPRES DE LA PERSONNE CONCERNEE COLLECTE INDIRECTE

INFORMATIONS

COMMUNES

L’identité et les coordonnées du responsable de traitement et, le cas échéant, de son représentant.

Le cas échéant, les coordonnées du délégué à la protection des données (DPO).

Les finalités du traitement et la base juridique du traitement (Préciser pourquoi le traitement est

constitué et sa base légale : consentement, respect d’une obligation légale, sauvegarde des intérêts

vitaux de la personne...). Cette information est importante car la base légale conditionne l’exercice de

certains droits.

Cf. fiche FAQ Les principes du règlement.

Le cas échéant, les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers (si

le traitement est nécessaire à la poursuite des intérêts légitimes du responsable du traitement ou du

tiers).

Le cas échéant, les destinataires (dont les sous-traitants) ou les catégories de destinataires des

données16.

Le cas échéant, le transfert de données à caractère personnel en dehors de l’UE vers un pays tiers

ou à une organisation internationale, et l'existence ou l'absence d'une décision d'adéquation rendue

par la Commission européenne ou, pour certains transferts particuliers, la référence aux garanties

appropriées ou adaptées et les moyens d'en obtenir une copie ou l'endroit où elles ont été mises à

disposition.

Cf. fiche FAQ Transfert de données personnelles.

La durée de conservation des données ou les critères utilisés pour déterminer cette durée.

Les droits des personnes :

▪ Droit de demander l'accès aux données ; ▪ Droit à la rectification ou l'effacement de ces données ou à la limitation du traitement relatif

à la personne concernée ; ▪ Droit de s'opposer au traitement (sauf si le responsable de traitement apporte la preuve qu’il

existe des motifs légitimes et impérieux qui prévalent sur les intérêts, les droits et les libertés des personnes) ;

▪ Droit à la portabilité des données ; ▪ Droit de retirer son consentement à tout moment pour les traitements fondés sur le recueil de

celui-ci ; ▪ Droit d’introduire une réclamation auprès d’une autorité de contrôle (en France, la CNIL) ; ▪ Le cas échéant, l’existence d'une prise de décision automatisée, y compris un profilage, et les

informations utiles pour appréhender la logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement pour la personne concernée.

Cf. fiche FAQ Exercice des droits des personnes.

16 Le destinataire d'un traitement de données à caractère personnel est toute personne habilitée à recevoir communication de ces données autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, en raison de leurs fonctions, sont chargées de traiter les données.

19/69 Le traitement des données de santé © CLUSIF 2019

INFORMATIONS

SPECIFIQUES

Conditions de licéité du traitement des

données de santé (obligation réglementaire,

contrat, etc.) et impacts de la non-transmission

des données.

Indiquer :

▪ Si l'exigence de recueil des données de santé a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d'un contrat,

▪ Et si la personne concernée est tenue de fournir les données,

▪ Ainsi que les conséquences éventuelles de la non-fourniture de ces données.

Les catégories de données à caractère personnel

concernées

La source d'où proviennent les données (Il s’agit

notamment de définir auprès de qui les données

ont été recueillies : famille, proches, professionnels

de santé...).

Si le responsable de traitement souhaite effectuer un traitement ultérieur des données à caractère

personnel pour une finalité autre que celle pour laquelle les données à caractère personnel ont été

collectées, une information préalable de la personne concernée quant à cette autre finalité et toute

autre information pertinente permettant de garantir un traitement équitable et transparent est

nécessaire.

Par exemple, si un professionnel de santé souhaite utiliser ultérieurement à des fins de recherche des

données de santé qu’il aurait collectées à l’occasion de la prise en charge médicale du patient. Cette

information devra être individuelle, préalable à la mise en œuvre de la recherche et spécifique à

chaque projet.

Lorsque les données ne sont pas collectées directement auprès de la personne concernée, l’information est assurée par le responsable de traitement, en principe dans un délai raisonnable, eu égard aux circonstances particulières dans lesquelles les données à caractère personnel sont traitées. Si les données à caractère personnel doivent être utilisées à des fins de communication avec la personne concernée, l’information doit intervenir au plus tard au moment de la première communication à la personne ou, s'il est envisagé de communiquer les informations à un autre destinataire, au plus tard lorsque les données à caractère personnel sont communiquées pour la première fois.

Si la personne concernée a déjà été informée, elle doit de nouveau être informée en cas de modification

substantielle du traitement, transmission des données de santé du responsable de traitement à une

nouvelle catégorie de destinataire, utilisation des données de santé par le responsable de traitement pour

une autre finalité…

III.4. Le responsable de traitement peut-il être dispensé de son obligation

d’information ?

Il existe des hypothèses dans lesquelles le responsable de traitement peut être dispensé d’informer la

personne concernée. Les cas de dispense dépendent selon que les données de santé ont été collectées

directement ou indirectement auprès de la personne concernée.

20/69 Le traitement des données de santé © CLUSIF 2019

COLLECTE DIRECTE COLLECTE INDIRECTE

CAS COMMUN DE DISPENSE

D’INFORMATION La personne concernée dispose déjà de l’intégralité des informations qui lui sont dues

CAS SPECIFIQUES DE DISPENSE

D’INFORMATION -

La fourniture de telles informations se révèle impossible ou

exigerait des efforts disproportionnés, notamment et, à

certaines conditions, pour le traitement à des fins de recherche

scientifique.

Dans ce cas, le responsable du traitement prend des mesures

appropriées pour protéger les droits et libertés ainsi que les

intérêts légitimes de la personne concernée, y compris en

rendant les informations publiquement disponibles (par

exemple, information générale publiée sur un site internet).

L'obtention ou la communication des informations sont expressément prévues par un texte.

Les données à caractère personnel doivent rester confidentielles en vertu d'une obligation de secret professionnel réglementée.

Les traitements mis en œuvre pour le compte de l’Etat et intéressant la sûreté de l’Etat, la défense ou la sécurité publique, dans la mesure où une telle limitation est nécessaire au respect des fins poursuivies par le traitement.

III.5. Quelle est la forme de l’information ?

Le support d’information est libre : par oral, par écrit ou par tout autre moyen (affichage dans les lieux

de soins, dans les secrétariats, remise de documents écrits d’information...). En toute hypothèse, les

personnes ne doivent pas avoir à chercher l’information et sa fourniture doit s’adapter aux situations et

aux supports.

L’information délivrée à la personne concernée sous la forme d’un affichage est-elle suffisante ?

À l’exception des situations pour lesquelles il existe une obligation légale d’informer la personne

concernée individuellement (exemple de la recherche médicale), l’information de la personne

peut être réalisée par voie d’affichage.

Dans le cas des établissements de santé, l’information peut également se faire dans le livret

d’accueil remis au patient à l’occasion de son hospitalisation. L’affichage doit être bien visible et

comporter toutes les mentions obligatoires précisées ci-dessus. Une information individuelle est

tout de même à privilégier.

21/69 Le traitement des données de santé © CLUSIF 2019

III.6. Comment informer si la personne est mineure ?

Les titulaires de l’autorité parentale sont informés des traitements de données de santé portant sur

l’enfant mineur (LIL, Art. 7017). L’enfant mineur reçoit également une information spécifique et adaptée.

Lorsque les données sont collectées auprès d’un mineur de moins de 15 ans, le responsable de

traitement doit transmettre les mêmes informations qu’à toute personne concernée dans un langage

clair et accessible adapté à son âge.

Si le traitement de données de santé est mis en œuvre dans le cadre de recherches impliquant la

personne humaine ou en cas d’études, recherches et évaluations dans le domaine de la santé ayant une

finalité d’intérêt public et incluant des personnes mineures, la loi informatique et libertés prévoit que

l’information peut n’être délivrée qu’à un seul des titulaires de l’autorité parentale « s’il est impossible

d’informer l’autre titulaire ou s’il ne peut être consulté dans des délais compatibles avec les exigences

méthodologiques propres à la réalisation de la recherche, de l’étude ou de l’évaluation au regard de ses

finalités » (LIL, Art. 70 alinéa 2).

Pour ces traitements, le mineur âgé de 15 ans ou plus peut s’opposer à ce que les titulaires de l’autorité

parentale aient accès aux données le concernant. Il reçoit alors l’information et peut seul exercer ses

droits.

Ce dernier peut également s’opposer à ce que les titulaires de l’autorité parentale soient informés du

traitement des données si le fait d’y participer « conduit à révéler une information sur une action de

prévention, un dépistage, un diagnostic, un traitement ou une intervention pour laquelle le mineur s’est

expressément opposé à la consultation des titulaires de l’autorité parentale » (LIL, Art. 70 alinéa 3). Cette

disposition renvoie aux dispositions du code de la santé publique (par exemple les articles L. 1111-5 et

L. 1111-5-1 du code de la santé publique sur la prise en charge des mineurs dans la confidentialité).

17 Les références aux articles issues de la loi Informatique et Libertés sont celles mentionnées dans l’ordonnance 2018-1125 du 12 décembre 2018, prise en application de la loi 2018-493 du 20 juin 2018 (LIL modifiée). Voir en annexe le tableau de concordance entre l’ancienne et la nouvelle numérotation.

22/69 Le traitement des données de santé © CLUSIF 2019

IV. Les recherches dans le domaine de la santé

Plusieurs dispositions du règlement européen sur la protection des données à caractère personnel

tiennent compte des enjeux de la recherche à des fins scientifiques et en favorisent la réalisation. Le

considérant 159 donne une définition très large de ce que recouvre la notion de recherche scientifique.

La recherche scientifique devrait ainsi couvrir notamment la recherche fondamentale, la recherche

appliquée et la recherche financée par le secteur privé ou les études menées dans l’intérêt public dans le

domaine de la santé publique.

Le règlement laisse d’importantes marges de manœuvre aux États membres pour maintenir ou adopter

des spécificités nationales pour certains types de traitements parmi lesquels les traitements qui portent

sur les données de santé, les données génétiques, le numéro d’identification national (NIR) et les

traitements à des fins de recherche scientifique (RGPD, Art. 9.4 et considérant 156). La loi Informatique

et Libertés a ainsi été modifiée afin de tenir compte de cette marge de manœuvre offerte aux États

membres. La bonne compréhension du cadre juridique applicable aux recherches dans le domaine de la

santé impose donc d’articuler les dispositions du RGPD avec celles de la loi Informatique et Libertés, ainsi

qu’avec d’autres dispositions applicables à la recherche18.

Lorsque sont menées des études ou des recherches à partir de données de santé des patients dont les

professionnels assurent la prise en charge (études internes) ou lorsque des professionnels de santé

participent à des recherches médicales en partenariat avec des instituts de recherche, d’autres centres

hospitaliers, la loi Informatique et Libertés a mis en place un cadre spécifique.

Ce cadre juridique définit les conditions d’accès, d’utilisation et de partage des données de santé à des

fins de recherche scientifique et en assure la protection.

À noter que le règlement n’est pas applicable aux données anonymes, qu’elles le soient initialement ou

qu’il s’agisse de données à caractère personnel qui ont donné lieu à une anonymisation.

Les procédures administratives d’accès aux données nécessaires aux traitements relatifs à la recherche

dans le domaine de la santé demeurent complexes. Un régime d’autorisation est maintenu pour les

recherches, études et évaluations dans le domaine de la santé à moins que les traitements soient

réalisés par des personnels soumis au secret professionnel assurant le suivi médical afin d’effectuer des

études destinées à leur usage exclusif (LIL, Art. 6519).

18 Notamment le règlement européen 2014/536 du 16 avril 2014 relatif aux essais cliniques de médicaments, les dispositions du code de la santé publique issues de la loi 2016-41 du 26 janvier 2016 de modernisation de notre système de santé qui créé le Système national des données de santé (SNDS) et la réglementation applicable aux recherches impliquant la personne humaine (RIPH) issue de la loi 2012-300 du 5 mars 2012 et de l’ordonnance 2016-800 du 16 juin 2016. 19 Les références aux articles issues de la loi Informatique et Libertés sont celles mentionnées dans l’ordonnance 2018-1125 du 12 décembre 2018, prise en application de la loi 2018-493 du 20 juin 2018 (LIL modifiée). Voir en annexe le tableau de concordance entre l’ancienne et la nouvelle numérotation.

23/69 Le traitement des données de santé © CLUSIF 2019

IV.1. Des modalités adaptées aux enjeux de la recherche scientifique

❖ FINALITES DES TRAITEMENTS L’article 5 du règlement prévoit que les données personnelles ne peuvent être collectées que pour des «

finalités déterminées, explicites et légitimes » qui doivent en principe être définies en amont du traitement

et être portées à la connaissance des personnes concernées (RGPD, art. 13 et 14). Le considérant 33 admet

cependant qu’il n’est pas toujours possible de déterminer à l’avance la finalité exacte d’un traitement

effectué à des fins de recherche scientifique.

Les chercheurs disposent ainsi d’une marge de manœuvre pour formuler les finalités des traitements de

données collectées d’une manière moins précise que ce qui est exigé en principe. Cette finalité pourra

s’élargir ou se préciser au fil du projet de recherche et en fonction de ses nécessités.

Le règlement exige par ailleurs que la finalité d’un traitement soit « déterminée », mais il admet qu’un

responsable de traitement puisse en changer du moment que les nouvelles finalités restent « compatibles

» avec la finalité initiale de la collecte de données. S’agissant de la recherche scientifique, le texte instaure

une forme de présomption aux termes de laquelle le changement de finalité sera systématiquement

réputé compatible avec la finalité initiale du moment que le traitement ultérieur est effectué à des fins

de recherche scientifique (RGPD, cons. 50).

Cette dérogation au principe de limitation des finalités est reprise à l’article 5 du règlement qui considère

que « […] le traitement ultérieur à des fins archivistiques dans l’intérêt public, à des fins de recherche

scientifique ou historique ou à des fins statistiques n’est pas considéré, conformément à l’article 89,

paragraphe 1, comme incompatible avec les finalités initiales [limitation des finalités] ».

La loi Informatique et Libertés contient une disposition similaire à son article 4. 2°, mais elle ajoute que le

traitement ultérieur devra être exercé dans le respect des dispositions du règlement et de la loi. Cette

dérogation emporte des conséquences importantes, car elle permet à des chercheurs de se rapprocher

de responsables de traitement ayant collecté de manière licite des données personnelles afin que celles-

ci leur soient remises pour conduire des recherches.

Les chercheurs ne sont donc pas obligés de collecter par eux-mêmes les données sur la base du

consentement des personnes. Ils peuvent aussi passer par des tiers afin de se faire confier des données

par le responsable du traitement initial, puisque le changement de finalité à des fins de recherche est

admis. Ce type de partenariats de recherche peut notamment passer par la signature de conventions aux

termes desquelles le fournisseur de données et l’équipe de recherche se reconnaissent comme co-

responsables du traitement.

❖ DUREE DE CONSERVATION Le règlement prévoit une dérogation au principe de limitation de la durée de conservation lorsque les

traitements sont réalisés à des fins de recherche scientifique : les données peuvent être conservées pour

des durées plus longues « dans la mesure où elles seront traitées exclusivement à des fins archivistiques

dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques

conformément à l’article 89, paragraphe 1, pour autant que soient mises en œuvre les mesures techniques

et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés

de la personne concernée. » (RGPD, Art. 5 e).

❖ EXERCICE DES DROITS DES PERSONNES

24/69 Le traitement des données de santé © CLUSIF 2019

Les droits des personnes sur les données qui les concernent sont réaffirmés et renforcés par le RGPD et

participent des principes de transparence et de loyauté à leur égard (RGPD, Art. 12).

Le règlement et la loi Informatique et Libertés posent cependant un principe de présomption de

compatibilité des traitements ultérieurs à des fins de recherches scientifiques moyennant certaines

garanties (RGPD, Art. 5 b et LIL, Art. 4.2).

Le consentement des personnes n’est ainsi pas systématiquement requis pour les traitements des

données à des fins de recherche scientifique, le traitement pouvant reposer sur une ou plusieurs

conditions qui fondent le fondement juridique du traitement (RGPD, Art. 6).

Cf. fiche FAQ « Quels sont les principes du règlement ? ».

Les méthodologies de référence mises en place par la CNIL, notamment la MR-00120, introduisent par

ailleurs des spécificités en matière de recueil de consentement des personnes concernées.

Le rôle des patients ou des personnes à l’origine des données est majeur et leurs droits à être informés et

à donner leur accord à la réutilisation des données et échantillons doivent être respectés. Pourtant,

l’exigence d’une information individuelle et spécifique pour chaque projet issu de ces données ou

échantillons est difficilement compatible avec les projets reposant sur une réutilisation secondaire

renouvelée et réitérée de données ou d’échantillons biologiques faiblement identifiants collectés à cette

fin (cas des bio-banques ou des cohortes qui ont vocation à mettre leurs données à disposition de la

communauté des chercheurs). Une telle information, dans le cadre de ce type d’infrastructure, ne permet

pas à la personne constamment sollicitée de disposer d’une vue d’ensemble de l’utilisation des données

qui la concernent.

La doctrine de la CNIL a ainsi évolué sur cette problématique. La méthodologie de référence MR-00421

admet que des données ou des échantillons biologiques puissent faire l’objet d’une réutilisation et que

l’information puisse être considérée comme valablement délivrée dès lors que les personnes avaient été

informées de la réutilisation possible de leurs données ou échantillons biologiques lors de la collecte

initiale et que l’information initiale renvoie à un dispositif spécifique d’information (site internet par

exemple).

Il est aussi possible de déroger à l’obligation d’information individuelle en cas de réutilisation secondaire

des données lorsque la fourniture des informations « se révèle impossible ou exigerait des efforts

disproportionnés » ou dans la mesure où l’obligation d’information « est susceptible de rendre impossible

ou de compromettre gravement la réutilisation des objectifs dudit traitement » sous réserve que soient

mises en place des garanties appropriées, notamment la pseudonymisation (RGPD, Art. 14.5.b)22.

Cf. supra Données de santé : comment informer ?

De la même manière, le droit à l’effacement des données est susceptible d’entrer en contradiction avec

les exigences méthodologiques d’une recherche, la sécurité des participants à un essai clinique ou des

obligations légales qui incombent au responsable de la recherche. Le droit à l’effacement n’est donc pas

20 Délibération 2018-153 du 3 mai 2018 portant homologation d’une méthodologie de référence relative aux traitements de données à caractère personnel mis en œuvre dans le cadre des recherches dans le domaine de la santé avec recueil du consentement de la personne. 21 Délibération 2018-155 du 3 mai 2018 portant homologation de la méthodologie de référence relative aux traitements de données à caractère personnel mis en œuvre dans le cadre des recherches n’impliquant pas la personne humaine, des études et évaluations dans le domaine de la santé. 22 Le considérant 62 du règlement précise que devraient alors être pris en considération le nombre de personnes concernées, l’ancienneté des données, les garanties éventuelles adoptées.

25/69 Le traitement des données de santé © CLUSIF 2019

applicable, et la conservation ultérieure des données personnelles déjà collectées est licite dès lors que le

traitement est nécessaire à des fins de recherche scientifique et que « l’exercice de ce droit risque de

rendre impossible ou de compromettre gravement la réalisation des objectifs du traitement » (RGPD, Art.

17.3 (d), considérant 65).

Cf. fiche FAQ « Exercice des droits des personnes ».

IV.2. Etudes internes (avec les données des seuls patients dont les professionnels

assurent la prise en charge)

Ces études peuvent être conduites sans autorisation de la CNIL dans la mesure où ces études sont

réalisées par les professionnels qui assurent la prise en charge des patients et pour leur usage exclusif (LIL,

Art. 53 3°). Seul un avis favorable d’un comité de protection des personnes est alors nécessaire si ladite

recherche implique une intervention sur une personne.

En revanche, les dispositions relatives à l’exercice des droits des personnes, aux mesures de sécurité à

mettre en place (identiques à celles concernant les dossiers patients) sont applicables. Le responsable de

traitement devra ainsi au préalable :

▪ Réaliser une analyse d’impacts sur la vie privée des personnes pour chaque recherche ou ensemble de recherches similaires ;

▪ Renseigner ces études dans le registre des activités de traitement de l’organisme concerné ; ▪ S’assurer du respect des règles relatives à l’information et à l’exercice des droits des personnes.

Les règles de sécurité sont identiques à celles prévues pour la gestion des dossiers patients.

Cf. fiche FAQ Traitement des données de santé

IV.3. Recherches multicentriques ou appariement entre plusieurs bases de

données

Dans l’hypothèse de recherches en partenariat avec un tiers ou nécessitant un recueil de données

supplémentaires (institut de recherche ou établissement de santé, que les données soient collectées dans

le cadre de soins ou spécifiquement pour la recherche), un certain nombre de formalités préalables est

nécessaire :

▪ Déclaration de conformité à une méthodologie de référence (cf. site de la CNIL) s’il en existe une applicable (LIL, Art. 73) ;

▪ À défaut, une autorisation de la CNIL est nécessaire, avec avis favorable d’un comité de protection des personnes (si la recherche implique une intervention sur la personne) ou du Comité d’Expertise pour les Recherches, les Études et les Évaluations dans le domaine de la Santé (CEREES, si aucune intervention humaine) ;

✓ Dans cette seconde hypothèse, le dossier doit être adressé à l’Institut national des données de santé (INDS) qui assure le guichet unique et le secrétariat de ces demandes. À noter que dans ce cas, le silence de la CNIL après deux mois, renouvelable une fois,

26/69 Le traitement des données de santé © CLUSIF 2019

vaut acceptation, à la condition que l’avis ou les avis rendu(s) soient « expressément favorables »23 (LIL, Art. 66 et 76) ;

▪ Réalisation d’une étude d’impact sur la vie privée des personnes pour les données exploitées dans le cadre de cette recherche ;

▪ Rédaction d’une note d’information et modalités d’exercice des droits des personnes. Cf. infra, Les données du système national des données de santé.

Méthodologies de référence :

▪ La MR-001 encadre les traitements de données de santé et présentant un caractère d’intérêt public, réalisés dans le cadre de recherches nécessitant le recueil du consentement de la personne concernée : recherches interventionnelles, y compris les recherches à risques et contraintes minimes, essais cliniques de médicaments et recherches nécessitant la réalisation d’un examen des caractéristiques génétiques. L’information individuelle des patients est obligatoire ;

▪ La MR-002 concerne les études non interventionnelles de performances menées sur les dispositifs médicaux in vitro (DM DIV) en vue de leur mise sur le marché ;

▪ La MR-003 encadre les traitements de données de santé et présentant un caractère d’intérêt public, réalisés dans le cadre de recherches impliquant la personne humaine pour lesquelles la personne concernée ne s’oppose pas à participer après avoir été informée. : recherches non interventionnelles et essais cliniques de médicaments par grappe. L’information individuelle des patients est obligatoire ;

▪ La MR-004 encadre les traitements de données personnelles à des fins d’étude, évaluation ou recherche n’impliquant pas la personne humaine : études ne répondant pas à la définition d’une recherche impliquant la personne humaine, en particulier les études portant sur la réutilisation de données ;

▪ La MR-005 encadre l’accès par des établissements de santé et des fédérations hospitalières aux données du Programme de médicalisation des systèmes d'information (PMSI) et aux RPU (Résumé de passage aux urgences). Aucun appariement avec d’autres données à caractère personnel n’est autorisé.

▪ La MR-006 encadre l’accès par des industriels de santé aux données du PMSI. Les études menées doivent présenter un caractère d’intérêt public et aucun appariement avec d’autres données à caractère personnel n’est possible. Les industriels doivent recourir à un bureau d’études ou un laboratoire de recherches.

S’agissant des recherches réalisées à partir de données génétiques, la loi Informatique et Libertés et le

code de la santé publique (article L. 1131-1-1) ont été mis en cohérence sur les modalités de

consentement de la personne à l’utilisation secondaire d’échantillons génétiques pour examen des

caractéristiques génétiques à des fins de recherche scientifique (LIL, Art. 75).

Les chercheurs, dans des conditions très encadrées, sont dispensés de requérir le consentement exprès

de la personne pour examiner ses caractéristiques génétiques à partir d’un échantillon biologique prélevé

à d’autres fins que la recherche (pour des projets susceptibles de présenter un intérêt sur le plan

scientifique).

23 Il est nécessaire de souligner ici qu’un avis favorable avec recommandations reste un avis expressément favorable.

27/69 Le traitement des données de santé © CLUSIF 2019

IV.4. Modification des recherches

Les recherches, études ou évaluations dans le domaine de la santé sont souvent des projets menés à long

terme, pendant plusieurs années. Elles sont naturellement susceptibles d’évoluer. Si les modifications ont

un impact sur le traitement des données à caractère personnel ou les droits des personnes concernées,

elles peuvent nécessiter une nouvelle autorisation de la CNIL.

Seules les modifications substantielles sont concernées.

Il s’agit des modifications portant sur les caractéristiques principales du traitement de données à

caractère personnel (par exemple : ajout de nouvelles finalités, ajout de la collecte de données sensibles,

interconnexions, allongement de la durée de l’étude, modification des mesures techniques et

organisationnelles susceptible d’affaiblir la sécurité des données, etc.)24.

Les comités compétents (comités de protection des personnes (CPP) pour les recherches biomédicales ou

recherches de soins courants ou les recherches impliquant la personne humaine, CEREES25 pour les

recherches n’impliquant pas la personne humaine) et la CNIL ne se prononceront pas sur les modifications

non substantielles du traitement de données. Ces modifications n’ont pas à leur être transmises et font

uniquement l’objet d’une documentation en interne.

A noter que La modification d’un traitement de données en cours devra s’accompagner d’une information

aux participants si les mentions obligatoires d’information prévues par le règlement doivent être

modifiées.

En cas de modification substantielle :

❖ RECHERCHES REALISEES DANS LE CADRE D’UN ENGAGEMENT DE CONFORMITE A UNE METHODOLOGIE DE

REFERENCE Si la modification envisagée est conforme à la MR, les modalités suivantes s’appliquent :

- Si la recherche n’a pas fait l’objet d’un avis préalable d’un CPP (par exemple : recherche non interventionnelle, recherche sur les données), aucune démarche n’est à réaliser. La modification devra être documentée en interne ainsi que sa conformité avec une MR.

- Si la recherche a été soumise initialement à un CPP (recherche impliquant la personne humaine, recherche de soins courants ou recherche biomédicale), la modification devra lui être soumise mais il n’est pas nécessaire d’informer la CNIL.

❖ RECHERCHES REALISEES HORS DU CADRE D’UN ENGAGEMENT DE CONFORMITE A UNE METHODOLOGIE DE

REFERENCE

- Recherche implique la personne humaine, une recherche biomédicale ou une recherche en soins courants : Les modifications substantielles doivent être soumises au CPP puis à la CNIL ;

Lorsque la modification consiste uniquement à accéder aux données du Système National des Données de Santé (SNDS) et que cette modification n’entraîne pas de modification substantielle par rapport aux éléments du dossier qui ont été initialement soumis au CPP, il est recommandé de déposer un dossier en tant que recherche n’impliquant pas la personne humaine auprès de

24 https://www.cnil.fr/fr/modification-dun-traitement-de-donnees-ayant-pour-finalite-une-recherche-une-etude-ou-une-evaluation 25 Comité d’expertise pour les recherches, les études et les évaluations dans le domaine de la santé.

28/69 Le traitement des données de santé © CLUSIF 2019

l’INDS. Le promoteur devra informer le CPP compétent lui transmettre le protocole modifié, pour information, lorsque la décision de la CNIL est obtenue.

- Recherche est non-interventionnelle et a été mise en œuvre sans avis d’un comité de protection des personnes (avis CCTIRS26 et autorisation CNIL) : Il est nécessaire de transmettre les modifications substantielles à l’INDS qui transmettra le dossier à la CNIL. Celle-ci pourra, en raison de la complexité de la modification, transmettre le dossier pour avis au CEREES…

- Recherche, étude ou évaluation n’impliquant pas la personne humaine (autorisation CNIL après avis CEREES) : la demande de modification substantielle doit suivre la même procédure que la demande initiale : INDS27 / CEREES / CNIL, mais avec un dossier allégé.

Check-list des bonnes pratiques à respecter :

Réaliser une analyse d’impact avant la réalisation d’études internes sur les données des patients pris en charge par le professionnel de santé afin de s’assurer que le traitement de données n’est pas susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques ;

Tenir un registre des activités de traitement ; S’assurer que l’établissement de santé met en place des mesures appropriées de sécurité

des dossiers (via une analyse d’impact notamment) ; Le cas échéant, informer les patients et s’assurer du respect de leurs droits.

26 Comité consultatif sur le traitement de l'information en matière de recherche. 27 Institut national des données de santé.

29/69 Le traitement des données de santé © CLUSIF 2019

V. Le système national des données de santé (SNDS)

En l’absence de règles nationales de gouvernance pour l’utilisation des bases nationales de données,

chaque responsable de traitement instruisant les demandes selon ses propres critères et procédures, le

Haut Conseil de la santé publique (HCSP) a été chargé en décembre 2011 de rédiger un rapport sur les

besoins identifiés par les acteurs de la recherche et de la surveillance en santé concernant le croisement

des données contenues dans les principales bases nationales de données économiques et médico-sociales.

Ces bases sont centralisées, constituées et gérées par des organismes publics, couvrant ainsi de manière

exhaustive et permanente l’ensemble de la population dans des domaines stratégiques. Sont ainsi

notamment cités par le Haut conseil de santé publique :

- Pour la mortalité, le Répertoire national d’identification des personnes physiques (RNIPP) et la base de données du Centre d’épidémiologie de l’INSERM (CépiDc) ;

- Pour l’hospitalisation, le Programme de médicalisation du système d’information (PMSI) ; - Pour les données de l’assurance maladie, la base Extraction recherche analyses pour un suivi médico-

économique (Erasme et Hippocrate), et le Système national d’information inter-régimes de l’assurance maladie (SNIIRAM) ;

- Les registres des maladies (cancer, maladies rares…) ; - Le Réseau épidémiologie et information en néphrologie (REIN) ; - Le registre national des fécondations in vitro (GAIA).

Le HCSP insistait dans son rapport, remis en 2012, sur le fait que ces bases pourraient favoriser les études

de pharmaco-épidémiologie, de phénomènes territoriaux, d’épidémiologie sociale et le suivi de cohortes

épidémiologiques longitudinales. Il notait cependant que ces études étaient peu nombreuses du fait des

obstacles réglementaires concernant la protection des données à caractère personnel dans le domaine de

la santé (CNIL, CCTIRS28, IDS29…) et de l’impossibilité de recueillir le consentement exprès de la personne

concernée avant chaque étude ou appariement des bases.

Le HCSP proposait ainsi un certain nombre de recommandations afin de faciliter leur accès :

- Une évaluation scientifique préalable du projet par des organismes légitimes (CCTIRS, comités scientifiques, organismes subventionnaires…) ;

- Une utilisation des données par les seuls organismes publics ou parapublics, dans une finalité d’intérêt général ;

- Un contrôle préalable par les organismes gestionnaires des bases de données sur les demandes qui leur sont adressées.

La loi n°2016-41 du 26 janvier 2016 de modernisation de notre système de santé, tenant compte de ces

propositions, a introduit de nouvelles dispositions au sein du code de la santé publique (article 193). Les

articles L. 1460-1 et suivants du code de la santé publique précisent les conditions d’accès aux informations

contenues dans le Système national des données de santé (SNDS). Celles-ci peuvent désormais faire l’objet

de traitement à des fins de recherches, d’études ou d’évaluation présentant un caractère d’intérêt public

dans le respect des dispositions du règlement et de la loi informatique et libertés. Ces traitements ne

peuvent porter atteinte à la vie privée des personnes et ne peuvent permettre l’identification directe ou

indirecte des personnes.

28 Comité consultatif sur le traitement de l'information en matière de recherche auquel a succédé le CEREES. 29 Institut des données de santé, remplacé par l’Institut national des données de santé.

30/69 Le traitement des données de santé © CLUSIF 2019

V.1. Définitions

Les données concernées couvrent l’ensemble de la population française et sont les suivantes30 :

a. Les données issues du Programme de médicalisation du Système d’Information (PMSI) (données des établissements de santé) ;

b. Les données de l’assurance maladie (SNIIRAM) ; c. Les données sur les causes médicales de décès (base de données du Centre d’épidémiologie de

l’INSERM (CépiDc)) ; d. Les données des maisons départementales des personnes handicapées (bases médico-sociales du

système d’information de la Caisse nationale de la solidarité pour l’autonomie (CNSA – handicap et personnes âgées) ;

e. Un échantillon représentatif des données de remboursement par bénéficiaire (EGB) transmises par des organismes d’assurance maladie complémentaire et défini en concertation avec leurs représentants.

Les données contenues dans le SNDS ont un caractère médico-administratif.

Le Système national des données de santé a pour finalité la mise à disposition des données pour

contribuer :

À l’information sur la santé, l’offre de soins, la prise en charge médico-sociale et leur qualité ; À la définition, la mise en œuvre et l’évaluation des politiques de santé ; À la connaissance des dépenses de santé ; À l’information des professionnels de santé sur leur activité ; À la surveillance, la veille et la sécurité sanitaires ; À la recherche, aux études et évaluations dans les domaines de la santé et de la prise en charge

médico-sociale.

30 https://www.snds.gouv.fr/SNDS/Accueil

OBJECTIF

Ouvrir l’accès aux données en santé afin d’utiliser au mieux leurs

potentialités dans l’intérêt de la collectivité et dans le respect de

la confidentialité des données personnelles et des principes à

valeur constitutionnelle.

3 AXES

PRINCIPAUX

1. Mise à disposition des données de santé : Institution du Système national des données de santé (SNDS) ;

2. Améliorer la gouvernance des données de santé : Institution de l’INDS (Institut national des données de santé) ;

3. Simplification des procédures pour les chercheurs : Modification de la LIL pour favoriser la mise en œuvre de traitements de données à caractère personnel à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé.

31/69 Le traitement des données de santé © CLUSIF 2019

V.2. Quels accès aux données du SNDS

L’accès à ces données est notamment régi par les dispositions du règlement européen et de la loi

Informatique et Libertés, la France ayant fait le choix, conformément à l’article 9-4 du règlement, de

maintenir un encadrement spécifique pour les traitements de données de santé.

Les dispositions du code de la santé publique (résultant de l’article 193 de la loi du 26 janvier 2016)

limitent l’utilisation des données du SNDS aux traitements à des fins de recherche, d’étude ou

d’évaluation, ce qui rend impossible la réalisation d’appariements pérennes avec ces données.

L’accès à ces données ne peut s’effectuer que dans des conditions assurant la confidentialité et l’intégrité

des données et la traçabilité des accès et des autres traitements, conformément à un référentiel pris par

arrêté des ministres chargés de la santé, de la sécurité sociale et du numérique pris après avis de la CNIL31.

Le SNDS ne contient ni les noms et prénoms des personnes, ni leur numéro d’inscription au Registre

national d’inscription des personnes physiques (RNIPP ou NIR), ni leur adresse.

Les données sont conservées pendant une durée maximale de 20 ans.

L’accès ne peut être autorisé que sous conditions :

- L’intérêt public ; - Deux finalités sont interdites : la promotion en direction des professionnels et établissements de

santé d’une part, et l’exclusion de garanties des contrats d’assurance et la modification des primes d’autre part.

Deux types d’accès sont envisagés :

- OPEN DATA : Données agrégées et non identifiantes. Mise à disposition gratuite du public de statistiques agrégées32 ou données individuelles constituées de telle sorte que l’identification directe ou indirecte des personnes concernées est impossible (article L. 1461-2 du code de la santé publique) ;

- ACCÈS LIMITÉ : Les données à caractère personnel du SNDS font l’objet d’une mise à disposition limitée (article L. 1461-3 du code de la santé publique) pour :

▪ Les accès sur projet : Il s’agit de permettre des traitements à des fins de recherche, étude ou évaluation pour une finalité du SNDS, un motif d’intérêt public (sur engagement de conformité à un référentiel ou autorisation CNIL) ;

▪ Les accès permanents : pour l’accomplissement de missions de service public. Le décret du 26 décembre 2016 fixe la liste des établissements concernés autorisés à traiter les données du SNDS pour les besoins de leurs missions, l’étendue des données et les conditions d’accès (article L. 1461-7 du code de la santé publique)33.

31 Arrêté du 22 mars 2017 relatif au référentiel de sécurité applicable au Système national des données de santé (JO 24/03). 32 Données anonymisées. 33 Ce type d’accès suppose la réalisation d’un certain nombre d’actions préalables de l’organisme autorisé : désignation d’un DPO, recensement des utilisateurs (registre à jour des personnes et des projets de recherche), procédure d’habilitation et revue régulière (au moins annuelle), accès sur un poste utilisateur conforme à la politique générale des systèmes d’informations des ministères chargés des affaires sociales, analyses de risques pour chaque projet. Des sanctions sont prévues en cas de non-respect des dispositions, dont la fermeture du compte pour l’organisme.

32/69 Le traitement des données de santé © CLUSIF 2019

V.3. Qui peut utiliser les données du SNDS et comment peut-on en demander

l’accès ?

Toute personne ou structure, publique ou privée, à but lucratif ou non lucratif, peut accéder aux données

du SNDS en vue de réaliser une étude, une recherche ou une évaluation présentant un intérêt public.

À noter que l’accès à ces données par les entreprises productrices de produits de santé et des assureurs

en santé est soumis à des dispositions spécifiques. Ils doivent soit passer par un bureau d’études ou un

organisme de recherche indépendant, soit démontrer que les modalités techniques d’accès ne

permettent en aucun cas d’utiliser le SNDS pour des finalités interdites identifiées dans la loi (cf. supra,

Quel accès aux données du SNDS ?).

Un accès permanent est par ailleurs accordé au bénéfice de certains services publics ou organismes

publics (Direction générale de la santé, Agences régionales de santé, agences sanitaires…) pour

l’accomplissement de leurs missions et dans les limites fixées par décret en Conseil d’État.

Les mêmes règles et procédures sont valables quelles que soient les données auxquelles l’organisme

souhaite avoir accès.

Les données sont traitées et mises à disposition dans des conditions de sécurité conformes à un

référentiel de sécurité applicable à tout système destiné à traiter des données du SNDS (SNDS, systèmes

‘sources’ et systèmes ‘fils’) et assurant la confidentialité, l’intégrité des données et la traçabilité des accès

et des autres traitements34. Un comité d’audit du SNDS est également mis en place pour renforcer la

bonne application des règles de sécurité et de protection des données pour le SNDS en complément des

contrôles opérés par la CNIL (LIL, Art. 7735).

❖ ORGANISMES DISPOSANT D’UN ACCES PERMANENT La logique d’accès repose sur la responsabilisation des acteurs qui doivent mettre en place des procédures

et des mécanismes de contrôle spécifiques. Chaque organisme se voit préciser par décret le responsable

habilité à délivrer des accès nominatifs aux données : l’Autorité d'Enregistrement (AE).

Celle-ci (ou l’autorité d’enregistrement déléguée – AED) est chargée de demander auprès de la CNAM36

l’ouverture d’un compte pour chaque utilisateur concerné, les éventuelles modifications de droits

associés aux comptes et la clôture des comptes (en cas de changement de mission ou de départ de

l'organisme).

La création d’un compte ne peut être envisagée que dans le respect des conditions suivantes :

▪ Conditions relatives à l’utilisateur : - Obligation de suivre une formation en architecture des données du CNAM ; - Obligation de suivre une formation individuelle spécifique pour l'accès aux données

individuelles ; - Obligation de signer les conditions générales d'utilisation ; - Obligation de remettre un rapport annuel d'évaluation des données du SNDS.

34 Arrêté du 22 mars 2017 relatif au référentiel de sécurité applicable au SNDS. 35 Les références aux articles issues de la loi Informatique et Libertés sont celles mentionnées dans l’ordonnance 2018-1125 du 12 décembre 2018, prise en application de la loi 2018-493 du 20 juin 2018 (LIL modifiée). Voir en annexe le tableau de concordance entre l’ancienne et la nouvelle numérotation. 36 Caisse nationale d’assurance maladie. L’accès aux données et la gestion des comptes se fait via une application internet AUCAS.

33/69 Le traitement des données de santé © CLUSIF 2019

▪ Conditions relatives au projet37 : - Attribution limitée pour une durée définie et en fonction du projet dédié ; - Le compte est strictement personnel et ne peut être utilisé par un tiers.

L'accès aux données du SNDS pour ces organismes suppose au préalable :

▪ La désignation obligatoire d’un délégué à la protection des données ; ▪ Le recensement des utilisateurs : l’AE a l’obligation de tenir un registre des utilisateurs à jour, et

des projets nécessitant l'accès permanent aux données. Une procédure d'habilitation des personnes avec formulaires à renseigner doit à ce titre être mise en place ;

▪ La revue régulière au moins 1 fois/an au sein de l'organisme des comptes utilisateurs et des projets ;

▪ Un accès sur un poste utilisateur conforme à la PGSSIS-MCAS38 (en tenant compte du référentiel de sécurité) ;

▪ La réalisation d’une analyse de risques préalable obligatoire pour chaque projet d’étude.

L'AE est responsable des actions réalisées par les utilisateurs sur les données. En cas de non-respect des

conditions ou des prescriptions par un utilisateur de l’organisme, des sanctions peuvent être appliquées

pouvant aller jusqu’à supprimer l’accès aux données de l’organisme. L’AE peut donc supprimer les accès

si les conditions d'utilisation ne sont pas conformes et il doit procéder régulièrement à des revues

d'habilitations.

Les organismes disposant d’un accès permanent aux données du SNDS doivent par ailleurs constituer des

demandes d’autorisation pour :

- Accéder à des données qui ne sont pas dans le périmètre du décret les autorisant à accéder à ces données (par exemple les données nationales si le décret limite aux données régionales) ;

- Réaliser des appariements des données du SNDS avec d’autres bases de données (notamment avec leurs propres registres).

Cf. schémas page suivante.

❖ PROCEDURE D’ACCES CLASSIQUE AUX DONNEES DU SNDS L’accès aux données du SNDS ou l’appariement avec d’autres bases de données déjà disponibles passe

par une procédure d’autorisation qui implique plusieurs organismes : l’Institut national des données de

santé (INDS), le Comité d’expertise pour les recherches, les études et les évaluations dans le domaine de

la santé (CEREES) et la CNIL.

Cf. schémas page suivante.

37 L’accès aux données du SNDS ne peut être envisagé que pour un protocole d’étude défini avec une durée limitée dans le temps pour chacun des utilisateurs de l’organisme ayant besoin d’accéder aux données du SNDS pour les besoins de cette étude. 38 Politique générale de sécurité des systèmes d’information des ministères chargés des affaires sociales.

34/69 Le traitement des données de santé © CLUSIF 2019

Circuit des demandes d’accès au SNDS – Représentation schématique (source DREES)

Trois procédures simplifiées correspondant à des usages des données (source DREES)

CEREES

Déclaration simple auprès de l’INDS qui enregistre l’engagement

CEREES Dans certains

cas

CEREES Dans certains

cas

35/69 Le traitement des données de santé © CLUSIF 2019

V.4. Quelles sont les mesures de sécurité à mettre en place ?

Les données mises à disposition du SNDS sont sensibles. Bien qu’entreposées sur la base de pseudonymes

afin de préserver la vie privée des personnes, la combinaison de plusieurs variables peut déboucher sur

l’identification des personnes concernées, constituant un risque d’atteinte à la vie privée des personnes.

❖ GARANTIR LA SECURITE ET L’INTEGRITE DES DONNEES MISES A DISPOSITION DES UTILISATEURS L’accès aux données s’effectue dans des conditions assurant la confidentialité, l’intégrité des données et

la traçabilité des accès et des autres traitements. Cet accès doit être réalisé conformément à un référentiel

défini par arrêté des ministres chargés de la santé, de la sécurité sociale et du numérique pris après avis

de la CNIL39.

Ce référentiel du SNDS a été élaboré sur la base d’une analyse de risques de façon à mettre en place les

mesures de sécurité adéquates : pseudonymisation des données, mise en place d’un système

d’authentification forte, traçabilité des actions, contrôle, sensibilisation et formation :

L’hébergement des données du SNDS doit être réalisé sur le territoire européen ou dans des pays qui, s’ils n’appartiennent pas à la communauté européenne, sont reconnus par la Commission européenne comme « offrant un niveau de protection des données suffisant » ou qui ont obtenu l’accord spécifique de la CNIL40 ;

Dans le cas d’une externalisation de tout ou partie d’un ‘système fils’, il est nécessaire de réaliser une analyse de risques préalable, de prévoir l’encadrement contractuel de l’externalisation avec le tiers hébergeur, et de définir les modalités d’audits et de contrôle de sécurité pour s’assurer du respect d’engagements du tiers ;

L’ensemble des gestionnaires des systèmes SNDS doit régulièrement mettre en place des actions de sensibilisation et de formation à destination des utilisateurs et des administrateurs (utilisation des données, conséquences en cas de mauvaise utilisation, bonnes pratiques, responsabilité, traçabilité…) afin de limiter les incidents de sécurité et les fuites de données, souvent dues à une action humaine (erreur ou acte intentionnel) ;

Le gestionnaire du SNDS doit s’assurer que les données sont archivées et sauvegardées dans des conditions de nature à garantir le respect du règlement sur la durée de conservation des données. Les données non anonymes doivent être conservées dans un environnement maîtrisé. Seules les données anonymes peuvent être sorties du système ;

L’accès aux données doit se faire à partir d’un poste respectant les exigences de la politique de sécurité des systèmes d’information des ministres chargés des affaires sociales (PGSSI-MCAS). Afin de garantir l’intégrité des données, les utilisateurs ne sont pas autorisés à modifier les données du SNDS central ;

La traçabilité doit être mise en place afin de garantir le contrôle de l’utilisation de données (journaux de traces, horodatages des journaux, traitement des incidents…).

Tant que l’organisme n’a pas la certitude que les données sont anonymes, le référentiel de sécurité est

applicable.

39 Arrêté du 22 mars 2017 relatif au référentiel de sécurité applicable au Système national des données de santé. 40 Pays dits « adéquats ».

36/69 Le traitement des données de santé © CLUSIF 2019

❖ CONSTITUTION DE SYSTEMES FILS L’exportation de jeux de données non anonymes d’un système du SNDS vers un autre système doit se

faire uniquement si le destinataire respecte, avant la mise à disposition, le référentiel de sécurité du SNDS.

Dès lors que des données du SNDS sont extraites de la plateforme pour être conservées par l’organisme,

le responsable de traitement devient en effet gestionnaire d’un système du SNDS élargi (ou ‘système fils’).

Il doit alors apporter la preuve du respect du référentiel de sécurité, du règlement européen, de la loi

informatique et libertés et des référentiels applicables en la matière (politiques générales de sécurité des

systèmes d’information, référentiel général de sécurité…).

L’exportation de données doit se faire dans le cadre d’une convention afin de permettre au gestionnaire

du système cédant les données de conserver des moyens de contrôle sur la bonne application du

référentiel de sécurité sur le système fils.

La demande d’autorisation d’exportation est faite auprès de l’Institut national des données de santé. Le

CEREES évaluera la demande et si le résultat est favorable, la demande est transmise à la CNIL.

Chaque système fils doit être homologué41. À ce titre, le gestionnaire du système doit adopter la

démarche de mise en conformité suivante :

- Réalisation d’une analyse de risques ; - Réalisation d’une étude d’impact sur la vie privée des personnes (PIA) ; - Réalisation du plan d’action découlant des analyses (mesures de couverture des risques associées) ; - Réalisation d’une homologation de sécurité sur le périmètre considéré ; - Suivi opérationnel de la sécurité du système d’information.

41 https://www.ssi.gouv.fr/guide/lhomologation-de-securite-en-neuf-etapes-simples/

37/69 Le traitement des données de santé © CLUSIF 2019

VI. Health Data Hub – La Plateforme de données de santé

À la suite de la remise du rapport Villani, le président de la République a annoncé la création d’un « Health Data Hub » comme un des points forts de la stratégie Intelligence Artificielle française (IA). L’objectif de ce projet est la création d’un guichet unique, assurant un accès simplifié, effectif et accéléré aux données de santé. Le principe fondateur est que les données de santé financées par la solidarité nationale constituent un patrimoine commun. La ministre des Solidarités et de la Santé a lancé le 12 juin 2018 une mission de préfiguration de cette plateforme d’exploitation des données de santé.

La mission, pilotée par trois experts dont Dominique Polton (présidente de l’INDS), réunit également des

représentants de la recherche, de l’écosystème des start-ups, de l’industrie, des professionnels et

établissements de santé, de l’administration et de l’Assurance Maladie. Un très grand nombre d’acteurs

de l’écosystème ont été entendus ou ont activement contribué à ces réflexions. Le rapport, remis le 12

octobre 2018, propose une feuille de route pour la mise en œuvre opérationnelle du « Health Data

Hub », ainsi que des recommandations, notamment sur les aspects organisationnels et réglementaires

pour que cette feuille de route puisse se dérouler dans un contexte favorable.

Un projet de loi, adopté en conseil des ministres le 13 février 2019, a été déposé à l’Assemblée nationale

le même jour. Le texte a été voté en première lecture par l’Assemblée nationale le 26 mars 2019 et est

renvoyé pour discussions au Sénat. Il vise à mettre au service du plus grand nombre les données de

santé financées par la solidarité nationale dans le respect de l’éthique et des droits fondamentaux des

personnes.

VI.1. Rappel du contexte

La loi 2016-41 du 26 janvier 2016 de modernisation de notre système de santé a créé le SNDS qui regroupe actuellement les données issues du SNIIRAM, du PMSI et la base des causes médicales de décès ;

Tous les organismes publics et privés peuvent d’ores-et-déjà accéder à cette base pour mener des études, recherches et évaluations présentant un intérêt public, dans un cadre sécurisé juridiquement et techniquement et dans le respect de la vie privée des personnes (sans possibilité d’identification directe) ;

En parallèle, les établissements de santé organisent l’exploitation de leurs informations par la mise en œuvre d’entrepôts de données de santé (EDS) et il existe par ailleurs un certain nombre de registres, cohortes ou bases de données créées pour des finalités particulières.

Si la loi a facilité l’accès aux données de santé (notamment via le circuit mis en place autour de l’INDS),

et en fixant des délais réduits d’instruction des demandes, l’accès aux données reste contraint par :

▪ Des investissements matériels et méthodologiques importants ; ▪ Un circuit de gouvernance qui peut différer d’une base de données à l’autre ; ▪ Le rapprochement de données de sources diverses (données du SNDS et registres ou cohortes) est

juridiquement et techniquement complexe. Cf. supra, Le Système national des données de santé.

38/69 Le traitement des données de santé © CLUSIF 2019

On remarque une forte accélération du développement de l’intelligence artificielle dans le domaine de

la santé. De nombreux programmes sont déployés, notamment en médecine préventive, dans le

domaine des prothèses, en radiologie (nouveaux outils d’aide au diagnostic) ou en télé-suivi

personnalisé et contrôle d’observance.

C’est dans ce cadre qu’intervient le Health Data Hub (HDH) ou Plateforme des données de santé.

L’objectif est de faciliter le rapprochement des données de santé et leur exploitation d’un point de vue

réglementaire (accès aux données), au regard du périmètre accessible (enrichissement du SNDS par des

données cliniques) et des moyens offerts (plateforme d’hébergement, avec infrastructure, outils

d’exploitation, compétences).

Les ambitions affichées sont : consolider et renforcer notre patrimoine de données, faire du partage la

règle, de la fermeture l’exception, mettre en synergie les moyens techniques et humains et soutenir les

initiatives prometteuses et permettre la structuration d’une filière Intelligence Artificielle (IA) et Santé.

VI.2. Bilan de la mission de préfiguration

Des auditions, sont ressortis plus d’une centaine de cas d’usage dans les domaines de la recherche

médicale, du suivi et de l’information des patients, de l’appui aux professionnels de santé, et du pilotage

du système de santé. Les attentes des acteurs sont les suivantes :

➔ Mieux connaître et pouvoir plus facilement accéder au patrimoine des données de santé, décloisonner les données et faciliter leurs rapprochements, dans le respect du droit du citoyen ;

➔ Avoir accès à des moyens adaptés et suffisants (technologiques, humains et financiers) pour consolider et valoriser le patrimoine des données ;

➔ Fédérer l’écosystème autour d’un modèle économique d’ensemble, favorisant le partage.

VI.3. Un nouvel accès aux données de santé

La Plateforme des données de santé doit bénéficier :

- À la recherche médicale ; - Aux professionnels de santé (aide au diagnostic, automatisation des tâches administratives…) ; - À l’élaboration des politiques publiques (prise de décision intelligente, meilleure organisation des

établissements de santé et de l’allocation des ressources) ; - Aux patients (meilleures statistiques, collecte de données de vie réelle, conseils personnalisés et

médecine préventive).

Dans ce cadre, une des ambitions principales est la création d’un patrimoine interactif de données de

santé.

❖ UN PROJET AMBITIEUX Le dispositif illustre deux grandes tendances actuelles : le partage de la donnée comme atout

économique (valorisation) et pour l’intérêt général (open data) et l’essor de l’intelligence artificielle en

médecine pour développer la médecine préventive, et plus généralement l’ensemble des dispositifs

médicaux de prévention ou de traitement.

39/69 Le traitement des données de santé © CLUSIF 2019

Compte tenu de l’importance stratégique du Hub, de sa contribution à la transformation du système de

santé et des externalités multiples qu’il va générer, la mission de préfiguration a considéré que la

Plateforme doit bénéficier, au-delà de cette période de démarrage, d’un soutien public pérenne. Le

potentiel de valorisation de ses activités se concentre principalement autour des industriels de santé,

laboratoires pharmaceutiques et MedTech et les start-ups innovantes du domaine de la santé.

La Plateforme des données de santé doit veiller à respecter :

▪ Les obligations relatives à l’hébergement de données de santé ; ▪ Le référentiel de sécurité du SNDS ; ▪ Le règlement européen sur la protection des données.

Les avantages compétitifs dont disposeraient les producteurs pour l’utilisation des bases qu’ils

produisent à des fins de recherche devraient être proportionnés, définis et transparents. La charte

« utilisateurs » poserait également des règles éthiques et de sécurité propres à l’utilisation des données

de santé et des principes de notification des producteurs lors des publications et de crédits relatifs à la

donnée, en cohérence avec le Plan national pour la science ouverte qui promeut la création d’indicateurs

de citations autour de la réutilisation des données, non restreints aux seules publications.

Les missions de la Plateforme sont hybrides, cette dernière cumulant en effet des missions de service

public administratif et des missions industrielles et commerciales.

❖ PLATEFORME DES DONNEES DE SANTE : TIERS DE CONFIANCE Cette plateforme doit servir de tiers de confiance entre les producteurs et les utilisateurs publics

comme privés de ces données (acteurs institutionnels, offreurs de soins, organismes et opérateurs de

recherche, autorités sanitaires, laboratoires, etc.). L’offre de service inclut l’accompagnement des

procédures d’habilitation, la réalisation des opérations d’appariements entre jeux de données, le

soutien à la collecte et la consolidation des données, et la mise à disposition de moyens humains et

techniques pour exploiter les données.

La plateforme a ainsi pour objectif de faciliter d’une part le dépôt et la mise à jour des données de santé,

et d’autre part leur exploitation en proposant notamment une offre de service variée, le tout encadré

par une gouvernance qui se veut innovante et transparente de la donnée, dans le respect des droits des

patients.

❖ MODALITES ENVISAGEES POUR L’UTILISATION DE LA PLATEFORME ▪ Chaque utilisateur disposera d’un espace de travail avec ses données et les données du Hub (espace

privé avec possibilité de recueillir et déposer des données). Pour l’appariement des données, un process d’industrialisation sera proposé et réalisé par le Hub (sur le modèle de ce qui existe à la CNAM mais le Hub sera le seul interlocuteur) ;

▪ Le niveau de sécurité exigé au sein de la Plateforme est celui du référentiel SNDS évitant ainsi de développer dans les organismes concernés le niveau de sécurité requis ;

▪ Existence de Hub locaux et d’un Hub national ; ▪ Mutualisation et partage des données : un catalogue des données est accessible et disponible.

Les modalités de gouvernance de la donnée actuellement définie pour l’accès aux données du SNDS

doivent être revues et élargies pour donner un rôle supplémentaire aux nouveaux producteurs des

données (y compris par l’intégration dans le comité des nouveaux producteurs des données).

40/69 Le traitement des données de santé © CLUSIF 2019

La même philosophie d’accès aux données demeure : accès aux données via une autorisation de la CNIL,

finalités interdites, intérêt public…

Mise à disposition au

plus grand nombre

des données de santé

financées par la

solidarité nationale

Dans le respect de l’éthique et des droits fondamentaux :

1. Partage de la donnée selon une gouvernance unifiée ; 2. Allocation de moyens pour consolider le patrimoine de données ; 3. Création d’un tiers de confiance national pour accompagner l’accès et offrir des moyens

mutualisés pour valoriser les données dans un environnement sécurisé ; 4. Identification des projets pilotes prometteurs en termes de santé publique et de

promotion de la filière industrielle.

Rôle de la

Plateforme

1. Tiers de confiance ; 2. Vitrine nationale et internationale (patrimoine des données et offre de services lisible pour

les acteurs publics et privés de la santé) ; 3. Guichet unique (pour la collecte des données et l’accès des utilisateurs) ; 4. Garant de la qualité (diffusion de standards de qualité internationaux pour les données

partagées) ; 5. Mutualisation de technologies et d’expertises (plateforme technologique sécurisée,

expertises en propre et animation de la communauté) ; 6. Promotion de l’innovation (développement d’un environnement pour faire prospérer les

innovations).

Plusieurs intervenants : gouvernance (processus lisible, standardisé et non discrétionnaire), producteurs de la donnée

(mise à disposition des données selon charte producteur), utilisateurs de la donnée (utilisation des services du Hub selon

principes définis dans une charte utilisateur) et citoyens.

Gouvernance

1. Guichet unique ; 2. Catalogue de données en constante évolution ; 3. Un comité d’éthique et scientifique qui instruit les demandes ; 4. Des règles d’accès transparentes et non discrétionnaires (délais fixés et refus explicités

avec des représentants des producteurs qui interviennent, de la faisabilité des projets si nécessaire).

PRODUCTEUR DE LA

DONNEE GOUVERNANCE HUB UTILISATEUR

Documente la donnée, fournit un échantillon et propose les conditions de valorisation des jeux de données.

Est représenté dans le comité du Hub

Fournit une expertise.

Instruit la démarche en application des règles fournies

Propose des ajustements en lien avec la CNIL.

Intègre les jeux de données, Instruit la demande, Fournit un support aux

utilisateurs et un appui aux producteurs sur la valorisation économique,

Réalise les appariements éventuels et donne accès aux jeux de données,

Apporte un support aux opérations de valorisations (outils, compétences).

Demande l’accès aux jeux de données (appariés ou non) et fournit les informations requises,

Réalise les traitements.

41/69 Le traitement des données de santé © CLUSIF 2019

Offre du Hub

(en 4 axes)

1. Donner accès aux données de santé : ➔ Mettre à disposition un catalogue des données disponibles ; ➔ Accompagner les procédures d’habilitation et les demandes d’appariement ; ➔ Mettre à disposition des jeux de données appariés et documentés ;

2. Soutenir la collecte et la consolidation des données : ➔ Appuyer la définition et l’implantation de terminologies ; ➔ Mettre à disposition des formats et standards communs ; ➔ Soutenir le financement des démarches de collecte et de consolidation du

patrimoine ; ➔ Garantir la juste de rétribution des efforts des producteurs ;

3. Accompagner la valorisation des données (capacités technologiques à la demande, briques documentaires et techniques) ;

4. Soutenir l’écosystème pour favoriser le partage (culture de la donnée au sein de la communauté, initiatives, transparence vers la société civile).

Organisation du Hub

en réseaux Organisation du Hub central avec des Hubs locaux.

Résumé du bilan de la mission de préfiguration du Health Data Hub

VI.4. Projet de loi – Création d’un guichet unique d’accès aux données

L’ambition de la Plateforme des données de santé est de faire de la France un leader dans l’utilisation

des données de santé, au service du bien commun, dans le respect du droit des patients et en totale

transparence avec la société civile. Elle vise à créer un écosystème dynamique d’exploitation innovante

des données de santé. Les travaux entrepris grâce à cette plateforme devraient permettre de faire des

progrès significatifs dans les domaines de la recherche, de l’appui au personnel de santé, du pilotage du

système de santé, du suivi et de l’information des patients.

Elle doit prendre la forme d’un guichet unique, sécurisé, permettant l’accès aux données de santé pour

des projets présentant un intérêt public. À terme, ce guichet doit mettre à disposition les données

financées par la solidarité nationale, dans le respect du droit des patients et en assurant la transparence

avec la société civile.

❖ LA PLATEFORME DES DONNEES DE SANTE REMPLACE L’INSTITUT NATIONAL DES DONNEES DE SANTE Cette offre de service doit être délivrée par une structure centrale (guichet unique centralisant les

données provenant de multiples sources : SNDS, dossiers patients des centres hospitaliers ou de la

médecine de ville et patients eux-mêmes…) appuyée par des pôles, opérant dans une logique de

proximité géographique. Le modèle juridique et économique, doit permettre de garantir la soutenabilité

du modèle économique d’ensemble, de compenser pour partie les coûts supportés pour la collecte des

données, la garantie de leur qualité, le fonctionnement du Hub et de traiter de manière transparente la

question de la propriété intellectuelle.

Le projet de loi relatif à l’organisation et à la transformation du système de santé, prévoit ainsi la transformation de l’Institut national des données de santé (INDS) en « Plateforme des données de santé » dont les missions seraient élargies, traduisant la mise en place du Health Data Hub.

42/69 Le traitement des données de santé © CLUSIF 2019

L’article 11 réécrit une nouvelle fois, après la loi du 26 janvier 2016 sur la modernisation du système de santé et la loi du 28 juin 2018 sur la protection des données personnelles, les dispositions encadrant la gouvernance et l’accès aux données de santé. Il vise à traduire dans la loi, la mise en place du Health Data Hub42 annoncée par la Présidence de la République après la remise du Rapport Villani sur la stratégie française en matière d’intelligence artificielle. La future Plateforme sera non plus chargée de « veiller à la qualité des données de santé et aux conditions générales de leur mise à disposition, garantissant leur sécurité et facilitant leur utilisation dans le respect de la loi [informatique et libertés] » mais de « réunir, organiser et mettre à disposition les données du système national des données de santé ». Elle devra également « promouvoir l’innovation dans l’utilisation des données de santé ». Elle reste chargée d’assurer le secrétariat unique des recherches, études et évaluations dans le domaine de la santé et devra également désormais assurer le secrétariat du « comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé » qui se substitue à l’ancien CEREES, jusqu’ici chargé de donner un avis sur les projets de recherche en amont de leur autorisation par la CNIL. Le groupement d’intérêt public ainsi constitué devra contribuer à l’élaboration par la CNIL de référentiels et de méthodologies de référence encadrant les traitements de données de santé et contribuer à « diffuser les normes de standardisation pour l’échange et l’exploitation des données de santé en tenant compte des standards européens et internationaux » et faciliter « la mise à disposition de jeux de données de santé présentant un faible risque d’impact sur la vie privée ». Il assumera un rôle d’information des patients, de promotion et de facilitation de leurs droits. Il devra également procéder pour le compte d’un tiers à des opérations « nécessaires à la réalisation d’un traitement de données issues du SNDS pour lequel ce tiers a obtenu une autorisation ».

❖ DISPARITION DU CEREES AU PROFIT D’UN SEUL COMITE ETHIQUE ET SCIENTIFIQUE Il est également prévu la mise en place d’un seul comité éthique et scientifique pour les recherches, les

études et les évaluations dans le domaine de la santé (CES), à géométrie variable, adoptant des règles

proches de celles retenues pour le SNDS.

Composé de manière à garantir son indépendance et la diversité des compétences dans le domaine des

traitements concernant la santé et à l’égard des questions scientifiques, éthiques, sociales ou juridiques,

il mobiliserait un ou plusieurs experts selon la nature du projet (représentant des patients, éthiciens,

experts des différentes sources mobilisées, experts en intelligence artificielle, etc.) et des représentants

des producteurs des données visées pour juger de la faisabilité d’un projet si nécessaire.

Le comité comporte également en son sein des représentants d’associations de malades ou d’usagers

du système de santé agréées.

42 Même si le terme ne figure pas expressément dans le texte.

43/69 Le traitement des données de santé © CLUSIF 2019

VI.5. Projet de loi – Enrichissement des bases de données du SNDS

❖ EXTENSION DU SNDS ET MODIFICATION DE LA GOUVERNANCE Afin de démultiplier l’utilisation des données du SNDS aussi bien en recherche clinique qu’en termes de nouveaux usages, notamment ceux liés au développement des méthodes d’intelligence artificielle, le SNDS est enrichi de l’ensemble des données collectées lors des actes pris en charge par l’assurance maladie. Le projet de texte élargit ainsi le contenu du Système national des données de santé (SNDS) pour y ajouter : - « Les données destinées aux professionnels de soins et organismes de santé recueillies à l’occasion

des activités [de prévention, de diagnostic, de soins ou de suivi social et médico-social] donnant lieu à la prise en charge des frais de santé en matière de maladie ou de maternité […] et en matière d’accident du travail et de maladie professionnelle » ;

- Les données des enquêtes dans le domaine de la santé lorsqu’elles sont appariées avec les données du SNDS ;

- Les données de prévention recueillies par la protection maternelle et infantile (PMI), la médecine scolaire et la médecine du travail.

Cet élargissement doit permettre un accès aux données facilité par une procédure unique pour l’ensemble des données (données historiques du SNDS et données cliniques recueillies lors des soins pris en charge par l’assurance maladie). Compte tenu de l’élargissement du périmètre du SNDS, la caisse nationale de l’assurance maladie (qui a la charge de la maîtrise d’ouvrage de l’applicatif SNDS) ne peut demeurer l’unique responsable du traitement et centralisateur. Plusieurs responsables de traitements doivent donc être en charge du rassemblement et de la mise à disposition des données. Ces responsables ou les catégories de responsables des traitements du SNDS et leurs rôles respectifs doivent être précisés après décret en Conseil d’État, pris après avis de la CNIL. Les responsables de traitement doivent quant à eux être désignés nommément par arrêté du ministre chargé de la santé. Dans l’esprit de la loi, la CNAM restera responsable de la base unifiée mais toutes les données du SNDS n’y figureront pas pour autant (expliquant de fait la multiplication des responsables de traitement).

❖ LA FINALITE DE RECHERCHE DISPARAIT AU SEUL PROFIT DE L’INTERET PUBLIC Afin de permettre la constitution d’entrepôts de données ou l’implémentation automatique des données du SNDS dans les registres de suivi de certains dispositifs médicaux, la possibilité de recourir aux données du SNDS et au numéro d’inscription au répertoire des personnes physiques (NIR) comme identifiant national de santé (INS, cf. infra, L’utilisation du NIR dans les traitements de données de santé) est élargie à l’ensemble des traitements de données à caractère personnel dans le domaine de la santé et pas uniquement ceux relevant des finalités de recherche, étude ou évaluation. L’article L. 1461-1 du code de la santé publique, qui définit les principes relatifs à la mise à disposition des données de santé, est modifié. Il est désormais prévu que les données de santé « destinées aux services ou aux établissements publics de l’Etat ou des collectivités territoriales ou aux organismes de sécurité sociale » et prochainement aux « professionnels de santé » peuvent faire l’objet de « traitements présentant un caractère d’intérêt public ». La condition pour ces traitements de répondre à des fins de recherche, d’étude ou d’évaluation est supprimée. De même cette notion de finalité est supprimée pour la condition d’accès aux données en ne laissant que le motif d’intérêt public.

44/69 Le traitement des données de santé © CLUSIF 2019

Les finalités interdites introduites par la loi du 26 janvier 2016 pour restreindre l’accès aux données du SNDS sont quant à elles maintenues et les utilisateurs doivent démontrer que les projets qu’ils portent poursuivent un intérêt public. A noter qu’il n’existe pas d’incompatibilité entre intérêt commercial et intérêt public et une doctrine doit expliciter prochainement ces deux notions.

❖ IMPOSSIBILITE DE TOUTE REIDENTIFICATION Afin d’affirmer clairement la protection dont sont assorties les données entrant dans le champ du SNDS, l’impossibilité de toute possibilité de réidentification doit être clairement affirmée. Il est ainsi choisi de supprimer toute exception à l’impossibilité de réidentification des personnes, cette impossibilité devant être rappelée comme un principe fondamental du SNDS. Le dispositif de correspondance prévu dans la loi de 2016 est supprimé, le projet de loi rendant irréversible la pseudonymisation des données. La Plateforme ne comportera aucune donnée nominative. La pseudonymisation se fera au niveau des bases sources (il est, dans cette hypothèse, prévu que la Plateforme pourra mettre à disposition des ressources pour aider les producteurs à pseudonymiser leurs données). Le reste des dispositions évoquées dans la fiche sur le SNDS n’est pas modifié.

Extension du périmètre du

SNDS

Avec les données cliniques recueillies par les praticiens (en secteur hospitalier et en

médecine de ville) lors de la réalisation d’actes pris en charge par l’assurance maladie

au titre de la maladie, la maternité, les accidents du travail et les maladies

professionnelles43.

Par exemples :

­ Entrepôts hospitaliers (AP-HP, Hubs locaux réunissant plusieurs établissements hospitaliers) ;

­ Sociétés savantes avec des bases de données cliniques, y compris à partir d’objets connectés ;

­ Cohortes de recherche… Avec les données des « enquêtes dans le domaine de la santé » lorsqu’elles sont

appariées avec les données du SNDS (thèmes très divers tels que la consommation

d’alcool, de tabac, la santé mentale, le renoncement aux soins, le contexte social ou

l’état de santé ressenti…) ;

Avec les données de prévention, recueillies par la PMI – Protection maternelle

infantile, la médecine scolaire et la médecine du travail.

Responsables de traitement

ou catégories de RT du SNDS Rôles respectifs à définir par DCE et par arrêté.

Création de la plateforme

d’accompagnement des

utilisateurs et d’exploitation

des données de santé

Nouvelles missions pour l’INDS (réunion, organisation et mise à disposition des

données du SNDS et promotion de l’innovation dans l’utilisation des données de

santé).

Le GIP devra également :

- Contribuer à diffuser des normes de standardisation pour l’échange et l’exploitation des données de santé ;

43 « Données destinées aux professionnels et organismes de santé recueillies à l’occasion des activités de [prévention, de diagnostic et de soins] donnant lieu à la prise en charge des frais de santé en matière de maladie ou de maternité […] [et] en matière d’accident du travail et de maladie professionnelle ».

45/69 Le traitement des données de santé © CLUSIF 2019

- Faciliter la mise à disposition de jeux de données de santé présentant un faible risque d’impact sur la vie privée ;

- Procéder pour le compte de tiers à des opérations nécessaires à la réalisation d’un traitement de données issues du SNDS pour lequel ce tiers a obtenu une autorisation.

Changement du CEREES

Il devient le comité éthique et scientifique pour les recherches, les études et les

évaluations dans le domaine de la santé. Il conserve les missions du CEREES et est

compétent pour juger du caractère d’intérêt public que présentent les traitements.

Le secrétariat est assuré par la plateforme des données de santé.

Accès aux données du SNDS

Les possibilités d’accès aux données du SNDS sont élargies à l’ensemble des

traitements d’intérêts publics de données concernant la santé afin, notamment, de

permettre la constitution d’entrepôts de données.

Suppression de la

réidentification après

pseudonymisation

Abrogation du dispositif de l’article L. 1461-4 du code de la santé publique instituant

un tiers de confiance chargé d’héberger les données personnelles en raison du risque

d’identification directe des personnes concernées et seul habilité à réidentifier ces

personnes pour les avertir en cas d’exposition à un risque sanitaire grave ou pour les

besoins d’une recherche nécessaire sans solution alternative.

Le SNDS est construit sur le principe de non-identification directe des personnes.

Projet de loi de santé – Résumé des dispositions de l’article 11 sur la Plateforme des données de santé

Pour en savoir plus, vous pouvez consulter : Le site internet du ministère chargé de la santé :

Communiqué de presse du 2 février 2019 : https://drees.solidarites-sante.gouv.fr/etudes-et-statistiques/acces-aux-donnees-de-

sante/article/health-data-hub

Lancement du premier appel à projet du HDH : https://drees.solidarites-sante.gouv.fr/etudes-et-statistiques/publications/communiques-

de-presse/article/exploitation-des-donnees-de-sante-le-health-data-hub-lance-son-

premier-appel-a

Le site internet de l’Institut national des données de santé (INDS) :

https://www.indsante.fr/fr/actualite/08022019-lancement-de-lappel-projets-du-health-data-hub

Le site internet de l’Assemblée nationale :

http://www.assemblee-nationale.fr/dyn/15/dossiers/organisation_transformation_systeme_sante

46/69 Le traitement des données de santé © CLUSIF 2019

VII. L’hébergement des données de santé

VII.1. Définition

En tant que responsables de traitement de données de santé, les établissements et les professionnels

de santé peuvent choisir de conserver eux-mêmes les données de santé de leurs patients ou de les

confier en vertu d’un contrat à un prestataire extérieur appelé hébergeur.

L’hébergement de données de santé vise toute externalisation des données actives auprès d’un tiers

prestataire. L’activité d’hébergement recouvre ainsi plusieurs réalités : elle peut consister en une

application associant traitement et archivage des données. Il peut s’agir d’un simple archivage ou de la

fourniture d’un site de sauvegarde. Participe à l’hébergement tout opérateur intervenant dans cette

chaîne de valeurs. Seul celui qui contractualise avec le producteur de soins est soumis à l’agrément,

charge à lui de préciser les modalités d’intervention des autres acteurs.

L’hébergeur est chargé d’assurer la confidentialité, la sécurité, l’intégrité, la traçabilité et la disponibilité des données de santé qui lui sont confiées par un professionnel de santé, un établissement de santé ou directement par la personne concernée par les données.

VII.2. Evolution du cadre législatif

Les données de santé bénéficient d’une protection particulière et renforcée en application des

dispositions du règlement européen et de la loi Informatique et Libertés. L’hébergement de ces données

doit en conséquence être réalisé dans des conditions de sécurité adaptées à leur criticité.

❖ LA LOI DU 4 MARS 2002 – AGREMENT DES CENTRES HEBERGEURS PAR DECISION DU MINISTRE DE LA SANTE ET

CONSENTEMENT EXPRES DES PERSONNES DONT LES DONNEES SONT CONSERVEES La loi du 4 mars 2002 relative aux droits des malades et à la qualité du système de soins a profondément

bouleversé la relation entre les patients et les professionnels de santé. En posant le principe du droit à

l’information du patient et en réaffirmant le droit à la confidentialité des données de santé, la loi a

imprimé une évolution marquante dans l’organisation du système de santé. Elle vise à assurer la

sécurité, la confidentialité et la disponibilité des données de santé, lorsque leur hébergement est

externalisé.

La loi (article L. 1111-8 du code de la santé publique) prévoyait que les professionnels de santé, les établissements de santé ou la personne concernée pouvaient déposer des données de santé, recueillies ou produites à l’occasion des activités de prévention, de diagnostic ou de soins, auprès de personnes physiques ou morales agréées. Cet hébergement de données, quel qu'en soit le support, papier ou informatique, ne pouvait avoir lieu qu'avec le consentement exprès de la personne concernée. L’agrément était délivré par le ministre chargé de la Santé, après avis de la CNIL et d’un comité d’agrément ad hoc, dont l’ASIP Santé assurait le secrétariat. La procédure d’agrément permettait ainsi de vérifier les capacités du candidat à assurer la sécurité, la protection, la conservation et la restitution des données de santé. La CNIL se prononçait sur les garanties offertes par le candidat en matière de protection des personnes. Le comité d’agrément était chargé d’évaluer le dossier de candidature sous ses aspects éthique, déontologique, technique, financier et économique.

47/69 Le traitement des données de santé © CLUSIF 2019

L’agrément était délivré pour trois ans renouvelable, après présentation d’une nouvelle demande. Les obligations pesant sur les hébergeurs de données de santé découlent du droit du patient à la confidentialité de ses données de santé. En ce sens, c’est bien la sensibilité des données qui leur sont confiées qui justifiait alors la nécessité d’obtention d’un agrément préalable.

❖ LA LOI DU 26 JANVIER 2016 – AGREMENT ET INFORMATION DES PERSONNES La loi du 26 janvier 2016 a modifié l’article L.1111-8 du code de la santé publique et a défini de nouvelles modalités et conditions pour l’hébergement des données de santé : « Toute personne physique ou morale qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi médico-social pour le compte de personnes physiques ou morales à l'origine de la production ou du recueil de ces données ou pour le compte du patient lui-même, doit être agréée ou certifiée à cet effet. Cet hébergement, quel qu'en soit le support, papier ou électronique, est réalisé après que la personne prise en charge en a été dûment informée et sauf opposition pour un motif légitime ».

Extension du périmètre de l’obligation en cas d’externalisation de l’hébergement de recourir à un hébergeur agréé, dans le secteur de la santé ou du secteur social ;

Toute personne physique ou morale qui héberge des données de santé recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social ou médico-social pour le compte d’un tiers, doit être agréé à cet effet ;

Le consentement de la personne concernée par les données – dûment informée – est désormais présumé. L’hébergement exige cependant une information claire et préalable de la personne et la possibilité pour celle-ci de s’y opposer pour motif légitime ;

La loi habilite enfin le gouvernement, par voie d’ordonnance, dans un délai d’un an à compter de la promulgation de la loi, à remplacer l'agrément par une "évaluation de conformité technique".

❖ L’ORDONNANCE DU 12 JANVIER 2017 – INTRODUCTION DU MECANISME DE CERTIFICATION

L’ordonnance du 12 janvier 2017 relative à l’hébergement de données de santé a de nouveau modifié l’article L. 1111-8 du code de la santé publique en distinguant explicitement trois grandes catégories de services d’hébergement de données de santé : ▪ L’hébergement sur support papier, qui doit être réalisé par un hébergeur agréé ; ▪ L’hébergement sur support numérique dans le cadre d’un service d’archivage électronique (SAE44),

qui doit être réalisé par un hébergeur agréé après avis de la CNIL et des conseils des ordres des professions de santé (hébergement sur le territoire national, conformément aux dispositions du code du patrimoine) ;

▪ L’hébergement sur support numérique hors cas d’un service d’archivage électronique qui doit être réalisé par un hébergeur certifié après avis de la CNIL et des conseils des ordres des professions de santé.

La loi du 26 janvier 2016 et l’ordonnance du 12 janvier 2017 ne modifient pas l’article L. 1111-8 du code de la santé publique sur les points suivants :

▪ La prestation d'hébergement de données de santé fait l'objet d'un contrat ; ▪ Les hébergeurs ne peuvent utiliser les données qui leur sont confiées à d'autres fins que

l'exécution de la prestation d'hébergement ; ▪ Lorsqu'il est mis fin à l'hébergement, l'hébergeur restitue les données aux personnes qui les

lui ont confiées, sans en garder de copie ;

44 Le système d’archivage électronique (SAE) est un outil de gestion de contenu permettant le recueil, le classement et la conservation à moyen et long terme des documents pour une exploitation ultérieure. Son but est d’assurer la confidentialité, l’intégrité, la pérennité, l’authenticité, la sécurité et la traçabilité des documents archivés. Une fois intégré dans un SAE, un document n'est plus modifiable et conserve donc sa valeur probante.

48/69 Le traitement des données de santé © CLUSIF 2019

▪ Les hébergeurs et les personnes placées sous leur autorité qui ont accès aux données déposées sont astreints au secret professionnel dans les conditions et sous les peines prévues à l'article 226-13 du code pénal ;

▪ Tout acte de cession à titre onéreux de données de santé identifiantes directement ou indirectement, y compris avec l'accord de la personne concernée, est interdit sous peine de sanctions pénales.

Cette certification HDS remplace l’agrément délivré par le ministère de la Santé. La différence

entre l’agrément et la certification est essentiellement d’ordre organique. L’agrément est en principe accordé par une entité publique ou parapublique, tandis que la certification est délivrée par un organisme certificateur accrédité par le COFRAC (audit initial + revues annuelles) après un audit documentaire et physique sur site. ;

L’ordonnance prévoit que la nature des prestations d'hébergement, les rôles et responsabilités de l'hébergeur et des personnes physiques ou morales pour le compte desquelles les données de santé devront être conservées, ainsi que les stipulations devant figurer dans le contrat.

VII.3. Champs d’application de l’hébergement

Le décret du 26 février 2018, pris en application de la loi du 26 janvier 2016 et de l’ordonnance du 12 janvier 2017, a fixé l’entrée en vigueur de ladite ordonnance au 1er avril 2018. Il définit la procédure de certification et organise la transition entre l’agrément, délivré par le ministre chargé de la culture, et la certification. Le décret précise le champ des activités d'hébergement de données de santé à caractère personnel qui sont soumises à une certification (article R. 1111-9 du code de la santé publique). Sont ainsi considérées comme activités d’hébergement la sauvegarde des données de santé, l'administration et l'exploitation du système d'information (SI) contenant les données, et la mise à disposition et le maintien en condition opérationnelle :

▪ Des sites physiques permettant d'héberger l'infrastructure du SI traitant les données, ▪ De l'infrastructure matérielle du SI, ▪ De l'infrastructure virtuelle du SI, ▪ De la plateforme d'hébergement d'applications du SI.

À noter toutefois qu'un hébergement temporaire de données n'ayant pas pour finalité d'organiser leur accès ou leur transmission au profit du responsable de traitement, du patient ou de tout professionnel participant à la prise en charge de la personne concernée ne constitue pas une activité d'hébergement (article R. 1111-8-8 CSP).

VII.4. Contenu du contrat d’hébergement

Le décret de 2018 détaille les clauses minimales que doit comporter le contrat d'hébergement (article R 1111-11 CSP). Le contrat doit ainsi notamment préciser : ▪ Le périmètre du certificat obtenu par l’hébergeur, ▪ Les prestations réalisées, ▪ Le lieu de l’hébergement, ▪ Les mesures mises en œuvre pour garantir le respect des droits des personnes concernées, ▪ La mention des indicateurs de qualité et de performance permettant de vérifier le niveau de

service annoncé ainsi que les procédures mises en place pour couvrir toute défaillance ; ▪ Le recours à d’éventuels sous-traitants secondaires ; ▪ Les modalités d’accès aux données de santé à caractère personnel ;

49/69 Le traitement des données de santé © CLUSIF 2019

▪ Les obligations légales de l’hébergeur de ne pas utiliser les données à d’autres fins45 que celles prévues contractuellement, et de détruire ou restituer les données au responsable du traitement, à l’issue du contrat, sans en garder de copie.

VII.5. Procédure de certification

La procédure de certification repose sur une évaluation de conformité au référentiel de certification (article R. 1111-10 CSP). Le référentiel de certification s’appuie sur des normes internationales :

▪ La norme ISO 27001 « système de gestion de la sécurité des systèmes d’information » ; ▪ Des exigences de la norme ISO 20000 « système de gestion de la qualité des services » ; ▪ Des exigences de la norme ISO 27018 « protection des données à caractère personnel » ; ▪ Et des exigences spécifiques à l’hébergement de données de santé.

L’hébergeur choisit un organisme certificateur qui devra être accrédité par le COFRAC (ou équivalent au niveau européen). L’organisme procède à un audit en deux étapes pour évaluer la conformité de l’hébergeur aux exigences du référentiel de certification :

Étape 1 : audit documentaire. L’organisme certificateur réalise une revue documentaire du système d’information du candidat afin de déterminer la conformité documentaire du système par rapport aux exigences du référentiel de certification.

Étape 2 : audit sur site. Les preuves d’audit sont recueillies dans les conditions définies dans le référentiel d’accréditation.

L’hébergeur dispose de trois mois après la fin de l’audit sur site pour corriger les éventuelles non-conformités et faire auditer ses corrections. A l’issue du délai de 3 mois pour corriger les non-conformités majeures, selon la nature et l’importance des mesures correctives, un audit de suivi sur site peut être nécessaire. Passé ce délai et sans action de l’hébergeur, toute la procédure d’audit sur site sera de nouveau réalisée. Le certificat est délivré pour une durée de trois ans, par l’organisme certificateur et chaque année, un audit de surveillance est effectué. Deux périmètres de certificats peuvent être délivrés aux hébergeurs pour deux métiers d’hébergement distincts :

a. Un certificat « hébergeur d’infrastructure physique » pour les activités de mise à disposition de locaux d’hébergement physique et d’infrastructure matérielle ;

b. Un certificat « hébergeur infogéreur » pour les activités de mise à disposition d’infrastructure virtuelle, de mise à disposition de plateforme logicielle, d’infogérance et de sauvegarde externalisée.

Le responsable de traitement doit s’assurer que l’ensemble des activités de son système traitant des données de santé sont couvertes par une certification. Par exemple, faire héberger une application avec des données de santé chez un hébergeur disposant du certificat Infogéreur mais ne disposant pas de l’activité d’exploitation du SI dans son périmètre de certification nécessite de faire couvrir cette activité par un autre organisme certifié sur cette activité et à même de proposer le service.

45 En particulier, toute exploitation des données à des fins commerciales est pénalement sanctionnée.

50/69 Le traitement des données de santé © CLUSIF 2019

Phase transitoire : Les agréments délivrés avant l’entrée en vigueur de la procédure de certification produisent leur effet jusqu’à leur terme. Lorsque l'agrément arrive à échéance avant le 31 mars 2019, la durée de l'agrément est prolongée pour une durée de six mois afin de permettre à l'hébergeur d'effectuer les démarches de certification nécessaires à la poursuite de son activité d'hébergement de données de santé. Les demandes d’agrément et de renouvellement d’agrément déposées avant le 31 mars 2018 sont instruites selon la procédure d’agrément pour l’hébergement de données de santé sur support électronique (décret n°2006-6 du 4 janvier 2006).

1. Choix d’un organisme certificateur L’organisme doit être accrédité par le COFRAC

2. Réalisation d’une analyse de risques En parallèle de l’audit

3. Audit de l’organisme Audit documentaire Audit sur site

4. Corrections des éventuelles non-conformités

Dans un délai de 3 mois Puis audit des corrections Sinon, nouvelle procédure d’audit à réaliser

5. Délivrance du certificat Valable 3 ans. 2 périmètres possibles : - Hébergeur infrastructure physique - Hébergeur infogéreur

6. Audit de surveillance annuel

Synthèse de la procédure de certification

VII.6. Les principaux objectifs de sécurité

Il importe également pour l’organisme : - De réaliser (et maintenir) une analyse de risques visant à étudier l’impact du traitement de

données portant tant sur les risques organisationnels et techniques que sur les risques juridiques pour les personnes, avant de mettre en œuvre certains traitements, notamment ceux portant sur des données de santé à grande échelle ;

- De porter une attention particulière à l’encadrement contractuel des prestations des tiers fournisseurs de service :

▪ Dès que l’établissement de santé a recours à un prestataire de service dont la prestation implique le traitement des données de santé, il doit signer avec le prestataire un contrat (ou, le cas échéant, passer un marché public) décrivant précisément le contenu des prestations (obligations de sécurité et respect des clauses obligatoires prévues par l’article 28 du règlement) ;

▪ Dans le cas où l’établissement de santé n’est pas maître des outils de travail mis à sa disposition (solutions de type progiciel ou Saas, fournies par le prestataire sans développements spécifiques), il doit inclure dans le contrat avec son prestataire des clauses garantissant que celui-ci respecte les principes du règlement.

- De mettre en place des procédures permettant et des mesures de sécurité opérationnelles non disproportionnées aux enjeux stratégiques de l’organisme (cf. analyse de risque). Cela doit permettre de garantir la sécurité et la confidentialité des données, dans le respect de la politique générale de sécurité des systèmes d’information (PGSSI-S), et de respecter les obligations liées à la conservation des données (fixer une durée ou des critères de conservation, organiser les modalités d’archivage, assurer la capacité de restitution des données de santé) ;

- De signaler auprès de la CNIL des incidents de sécurité impliquant des données personnelles (obligation qui s’ajoute à l’obligation actuelle de signalement des incidents de sécurité des systèmes d’information de santé prévue à l’article L. 1111-8-2 du code de la santé publique).

51/69 Le traitement des données de santé © CLUSIF 2019

A noter que ces éléments doivent également être pris en compte par le responsable de traitement (client de l’organisme certifié).

Check-list des bonnes pratiques à respecter :

Réaliser une analyse d’impact ; Faire signer une convention de sous-traitance avec le prestataire afin d’intégrer les

dispositions du règlement et les mesures de sécurité appropriées ; Mettre en place les procédures applicables en matière de conservation des données ; Mettre en place un registre des incidents de sécurité et penser à notifier le cas échéant

à la CNIL toute violation de données personnelles selon la procédure disponible sur son site internet : https://www.cnil.fr/fr/notifier-une-violation-de-donnees-personnelles ;

Informer les patients et s’assurer du respect de leurs droits (cf. paragraphe suivant).

VII.7. Information des personnes

L’hébergement des données de santé recueillies, à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, sur support papier ou électronique, pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil de ces données pour le compte du patient lui-même, par un tiers agréé, ne peut avoir lieu qu’après que la personne concernée par les données hébergées en a été informée. Depuis la loi du 26 janvier 2016, le consentement exprès de la personne n’est plus exigé. Son droit d’opposition pour motif légitime est cependant maintenu. Ce dispositif ne remplace pas le principe selon lequel les personnes doivent également être informées individuellement des mentions prescrites par le règlement européen par la remise d’un document ou toute autre moyen approprié leur permettant de prendre connaissance de ces mentions dès lors que leurs données personnelles sont transmises en vue d’un traitement de données de santé.

Pour en savoir plus, vous pouvez consulter le site de l’Agence française de la santé numérique (ASIP, portail e-santé) :

Hébergement des données de santé : https://esante.gouv.fr/sites/default/files/media_entity/documents/180528_HDS.pdf

La certification pour l’hébergement des données de santé à caractère personnel : https://esante.gouv.fr/labels-certifications/hebergement-des-donnees-de-sante

52/69 Le traitement des données de santé © CLUSIF 2019

VIII. Le NIR dans les traitements de données de santé

VIII.1. Utilisation du NIR (numéro d’inscription au répertoire national

d’identification des personnes physiques)

❖ DEFINITIONS ET CARACTERISTIQUES DU NIR

Le NIR (numéro d’inscription au répertoire national d’identification des personnes physiques) ou numéro de sécurité sociale est attribué à chaque personne à sa naissance sur la base d’éléments d’état civil transmis par les mairies à l’INSEE46. Il est composé de 13 chiffres : le sexe (1 chiffre), l’année de naissance (2 chiffres), le mois de naissance (2 chiffres) et le lieu de naissance (5 chiffres ou caractères) de la personne concernée. Les 3 derniers chiffres correspondent à un numéro d’ordre qui permet de distinguer les personnes nées au même lieu et à la même période. Le NIR est attribué par l’INSEE pour les personnes nées en France métropolitaine et dans les départements et régions d’outre-mer (DROM) ou pour les personnes nées de parents français à l’étranger et dans les collectivités d’outre-mer (COM). Le NIR est pérenne et reste définitivement attribué à la personne et à elle seule. Il permet donc d’identifier une personne avec certitude. Le NIR ne peut donc être utilisé que dans des cas bien précis, le plus souvent en lien avec la protection sociale.

❖ REGIME JURIDIQUE Le règlement prévoit la possibilité pour les États membres qui font le choix de mettre en place un numéro d’identifiant national de préciser dans leur réglementation les conditions spécifiques du traitement de ce numéro (RGPD, Art. 87). Ce numéro ne peut en toute hypothèse être utilisé que sous réserve des garanties appropriées pour les droits et libertés de la personne concernée. La loi informatique et libertés a ainsi introduit des dispositions particulières relatives au numéro d’inscription des personnes au répertoire national d’identification des personnes physiques (LIL, Art. 30). Pour enregistrer et utiliser le NIR, les organismes doivent être autorisés par un texte juridique spécifique et accomplir des formalités auprès de la CNIL. D’une manière générale, le NIR ne peut être utilisé qu’après autorisation par décret en Conseil d’État. Ce texte détermine ainsi les catégories de responsables de traitement et les finalités de ces traitements au vu desquelles ces derniers peuvent être mis en œuvre lorsqu’ils portent sur des données comportant le NIR. Mais la loi prévoit également des dérogations lorsque les traitements de données personnelles ont pour finalités :

▪ Les statistiques publiques mises en œuvre par l’INSEE (dès lors que le traitement ne contient aucune des catégories de données dites ‘sensibles’ mentionnées à l’article 6 de la loi47) ;

▪ La recherche scientifique ou historique ; Dans ces deux premières hypothèses, la dérogation n’est possible que si le NIR fait préalablement l’objet d’une opération cryptographique en lui substituant un code spécifique non signifiant48.

▪ La mise en place par les administrations de certains téléservices pour faciliter leurs relations avec les usagers49 ;

▪ L’utilisation du NIR en tant qu’identifiant national de santé (cf. infra 2. L’obligation d’utiliser le NIR comme identifiant national de santé).

46 Institut national de la statistique et des études économiques. 47 Les références aux articles issues de la loi Informatique et Libertés sont celles mentionnées dans l’ordonnance 2018-1125 du 12 décembre 2018, prise en application de la loi 2018-493 du 20 juin 2018 (LIL modifiée). Voir en annexe le tableau de concordance entre l’ancienne et la nouvelle numérotation. 48 Cette opération est précisée par décret en Conseil d’Etat (modalités de l’opération, fréquence de renouvellement…). 49 Ces téléservices sont précisés par l’Ordonnance 2005-1516 du 8 décembre 2005 (art 1) et visent à simplifier les démarches administratives pour les usagers.

53/69 Le traitement des données de santé © CLUSIF 2019

Exemples d'utilisations autorisées du NIR (cf. site de la CNIL) :

▪ Par les organismes de sécurité sociale ; ▪ Par les professionnels de santé dans le cadre des échanges avec les organismes d'assurance

maladie obligatoire ou complémentaire ; ▪ Par les employeurs, publics ou privés, pour la gestion de la paie et le calcul des cotisations

versées aux organismes de protection sociale ; ▪ Par Pôle emploi pour le paiement des cotisations sociales des demandeurs d'emploi ; ▪ Par certains organismes autorisés de manière ponctuelle par la CNIL.

Aux termes des articles R. 115-1 et R. 115-2 du code de la sécurité sociale, les professionnels de santé qui dispensent des actes ou prestations pris totalement ou partiellement en charge par l’assurance maladie sont également autorisés à utiliser les numéros de sécurité sociale de leurs patients dans le cadre des échanges avec les organismes d’assurance maladie obligatoire ou complémentaire. Les professionnels de santé peuvent donc enregistrer dans leurs applications informatiques le numéro de sécurité sociale de leurs patients tel qu’il figure sur la carte Vitale pour correspondre avec les organismes de sécurité sociale mais ne pouvaient jusqu’à récemment pas l’utiliser comme identifiant du dossier médical. Le Sénat, dans son étude sur le projet de loi relatif à la protection des données personnelles50 a rappelé le régime foisonnant applicable pour le NIR. Un résumé est donné dans le tableau suivant :

Fichiers mis en œuvre par ou pour le compte de :

TYPES D’UTILISATION DU NIR DANS LE DOMAINE DE LA SANTE

INCLUSION

DU NIR

PARMI

DONNEES

TRAITEES

FICHIER

PREVOYANT LA

CONSULTATION

DU RNIPP

OFFRE DE

TELESERVICES

AUX USAGERS

RECHERCHE

SCIENTIFIQUE /

HISTORIQUE

VEILLE

SANITAIRE

OU GESTION

DES SERVICES

SANITAIRES

ET MEDICO-SOCIAUX

RECHERCHE EN

STATISTIQUE

PUBLIQUE PAR

L’INSEE

RECHERCHE

MEDICALE

UNE PERSONNE PRIVEE Référentiel Ou Autorisation CNIL

-

Référentiel ou autorisation CNIL après avis CEREES

-

Référentiel ou Autorisation CNIL après avis comité de protection des personnes

ETAT PERSONNE MORALE DE

DROIT PUBLIC PERSONNE MORALE DE

DROIT PRIVE METTANT EN

ŒUVRE UN SERVICE

PUBLIC

LIL, Art. 30 Décret en CE après avis CNIL

LIL, Art. 30 Pour les traitements sans données ‘sensibles’ (art 6 et 46). Opération cryptographique substituant au NIR un code statistique non signifiant par un tiers de confiance Sinon, décret en CE après avis CNIL.

LIL, Art. 66 - Liste des organismes par arrêté - Pour les traitements sans données ‘sensibles’ (art 6 et 46). - Opération cryptographique substituant au NIR un code statistique non signifiant par un tiers

-

Référentiel ou Autorisation CNIL après avis comité de protection des personnes

50 http://www.senat.fr/rap/l17-350/l17-35014.html

54/69 Le traitement des données de santé © CLUSIF 2019

de confiance Sinon, décret en CE après avis CNIL. Art. L. 1111-8-1 du code de la santé publique (INS)

INSEE - - -

LIL, Art. 30 Pour les traitements sans données ‘sensibles’ (art 6 et 46). Opération cryptographique substituant au NIR un code statistique non signifiant par un tiers de confiance Sinon, décret en CE après avis CNIL.

-

Types d’utilisation du NIR – Document du Sénat, mis à jour avec les dispositions de l’Ordonnance 2018-1125 du 12 décembre 2018 (modification de la loi Informatique et Libertés)

VIII.2. L’obligation d’utiliser le NIR comme identifiant national de santé

L’article L. 1111-8-1 du code de la santé publique et le décret d’application n°2017-412 du 27 mars 2017 (articles R. 1111-8-1 à 7 du code de la santé publique) prévoient désormais que le numéro d’inscription au répertoire (NIR) constitue l’identifiant national dans les champs de la santé et du médico-social. L’utilisation de cet identifiant se justifie par la qualité de l’identification des acteurs (usagers, professionnels du système de santé…). Elle permet d’éviter les erreurs d’identification des personnes prises en charge, de faciliter le suivi d’un patient dans un parcours de soins complexe, de favoriser la traçabilité. Ce cadre rentre dans la marge d’appréciation laissée aux États membres par le règlement européen (RGPD, Art. 87).

❖ USAGES Il existe plusieurs usages du NIR (par exemple en tant qu’identifiant par la plupart des organismes de protection sociale, dans le cadre de la relation employeur-employé ou par l’administration fiscale…). La loi n°2016-41 du 26 janvier 2016 portant modernisation de notre système de santé consacre le numéro d’inscription au répertoire (NIR) – à défaut le numéro d’immatriculation d’attente (NIA)51 pour les personnes en cours d’immatriculation – comme identifiant national de santé (INS).

51 Une circulaire décrit la procédure d’attribution de ce numéro d’attente (circ. DSS/SD4C 2012-213 du 1er juin 2012). Cela concerne essentiellement les nouveaux demandeurs ou bénéficiaires de prestations sociales. Il s’agit, par exemple, de salariés étrangers ayant une première activité professionnelle sur le territoire français. L’attribution d’un numéro unique (le NIA) permet d’éviter que chaque organisme de sécurité sociale ne crée ses propres identifiants spécifiques pour des personnes qui ne disposent pas de NIR.

55/69 Le traitement des données de santé © CLUSIF 2019

En tant qu’identifiant national de santé52, l’utilisation du NIR est prévu uniquement pour la prise en charge sanitaire, le suivi social et médico-social (le NIR est alors celui de l’usager, la personne prise en charge pour bénéficier des soins). Cet INS est donc utilisé pour référencer les données de santé et les données administratives de toute personne bénéficiant ou appelée à bénéficier d’un acte diagnostique, thérapeutique, de prévention, de soulagement de la douleur, de compensation d’un handicap ou de prévention de la perte d’autonomie ou d’interventions nécessaires à la coordination de plusieurs de ces actes. De nombreux cas d’usage liés à la prise en charge de la personne nécessitent en effet d’associer des données de santé et des données administratives d’une même personne afin de formaliser et tracer les différentes étapes de sa prise en charge. Il en résulte l’utilisation d’outils permettant d’associer ces différentes catégories de données et, dans ces situations, cette association doit désormais être réalisée à l’aide de l’INS. Le législateur a cependant prévu des dérogations à l’obligation d’utiliser l’INS en raison d’un obstacle légitime de procéder au référencement : prise en charge en urgence, texte s’opposant à l’identification. Tout autre identifiant ne peut être utilisé qu’en cas « d’impossibilité de pouvoir accéder à l’identifiant national de santé, afin de ne pas empêcher la prise en charge sanitaire et médico-sociale des personnes » (article R. 1111-8-1 du code de la santé publique). Cela peut concerner notamment : - Des personnes qui n’ont pas vocation à disposer d’un NIR (touristes ou étrangers non bénéficiaires

de l’aide médicale de l’État) ; - Ou des personnes disposant ou ayant vocation à disposer d’un NIR mais inconnu au moment de la

prise en charge (personne inconsciente sans documents d’identité, personne prise en charge en situation d’urgence, nouveau-nés pendant le délai nécessaire à la déclaration de naissance à l’état civil…).

En dehors des cas réglementés, l’usage du NIR en tant qu’INS est exclu dans les cas suivants : - Utilisation dans le processus de remboursement des frais relatifs à la prise en charge du patient par

l’Assurance Maladie (le numéro qui doit être utilisé est alors le NIR. C’est celui de l’ouvrant droit, qui peut être différent de celui du patient, pour des mineurs notamment) ;

- Utilisation dans le cadre de projets de recherche (article L. 1111-8-1 II du code de la santé publique).

❖ CHAMP D’APPLICATION DE L’OBLIGATION D’UTILISATION DU NIR EN TANT QU’INS Les dispositions législatives et réglementaires qui encadrent l’utilisation de l’INS ont limité son usage à un cercle de confiance d’acteurs participant à la prise en charge des personnes dans le respect des conditions suivantes : 1. L’acteur est responsable du traitement, dans lequel l’opération de référencement des données de

santé va être mise en œuvre, qui a pour finalité la prise en charge des personnes à des fins sanitaires et médico-sociales ;

2. Le responsable de traitement relève d’un champ d’application organique des acteurs soumis à l’obligation d’utiliser le NIR comme INS ; Ce référencement ne peut être réalisé que par des professionnels de santé, des établissements de santé, laboratoires, services et organismes mentionnés par le code de la santé publique. Ces personnes sont en tout état de cause les destinataires légitimes de cette donnée (article L. 1110-4 du code de la santé publique). Toute utilisation de l’INS en dehors de ce cercle d’acteurs est interdite sauf dans le cas où elle est réalisée en qualité de sous-traitant d’un des acteurs soumis à l’obligation d’utiliser l’INS53.

52 https://esante.gouv.fr/securite/identifiant-national-de-sante 53 Cf. Référentiel Identifiant National de Santé, ASIP Santé,

56/69 Le traitement des données de santé © CLUSIF 2019

3. Il est nécessaire de référencer les données à l’aide de l’INS et aucun texte ou obstacle légitime ne

s’oppose à l’identification du patient (par exemple texte imposant l’anonymat ou prise en charge en urgence).

❖ FORMALITES PREALABLES

L’INS n’est pas en soi considérée comme une donnée de santé au même titre qu’une donnée brute (taux de glycémie, typage HLA…). Mais associée à une donnée de santé, le régime juridique de la donnée de santé lui est applicable. Il est donc compris dans la définition de la donnée de santé introduite par le règlement européen (RGPD, cons. 35). Le règlement prévoit la possibilité pour les États membres qui font le choix de mettre en place un numéro d’identifiant national de préciser dans leur réglementation les conditions spécifiques du traitement de ce numéro (RGPD, Art. 87). Ce numéro ne peut dans cette hypothèse être utilisée que sous réserve des garanties appropriées pour les droits et libertés de la personne concernée. Ce référencement est dispensé de toute formalité préalable auprès de la CNIL (LIL, Art. 30 dernier alinéa). Cette opération se distingue de l’opération de création et de mise à jour d’un traitement comportant des données de santé tel que le dossier du patient informatisé (DPI). Le régime juridique applicable à ce traitement dans lequel il est procédé au référencement des données de santé n’est en rien modifié et celui-ci reste soumis aux dispositions du règlement européen et de la loi informatique et libertés. À noter que le droit d’opposition n’est pas applicable aux traitements ayant pour seul objet le référencement de données ainsi prévu à l’aide de l’identifiant national de santé. La personne concernée ne peut s’opposer à l’ajout de cette donnée dans son dossier mais elle conserve son droit d’opposition pour motif légitime à l’égard de la constitution de son dossier.

❖ MESURES DE SECURITE Dans le cadre de l’utilisation du NIR en tant qu’identifiant national de santé (INS), les garanties appropriées pour les droits et libertés des personnes concernées imposées par le règlement (RGPD, Art. 87) sont liées aux garanties apportées pour protéger les données de santé qui ont vocation à être référencées avec l’INS. Ces données sont particulièrement protégées et font l’objet de mesures juridiques et de sécurité particulières que chaque responsable de traitement doit mettre en œuvre pour être en conformité avec le règlement européen, la loi informatique et libertés, la Politique générale de sécurité des systèmes d’information en santé (PGSSI-S), la Politique de sécurité des systèmes d’information pour les ministères chargés des affaires sociales (PSSI-MCAS), le référentiel général de sécurité (RGS)… Une homologation de sécurité sur le périmètre considéré est nécessaire (analyse de risque sur le SI de l’organisme intégrant une analyse d’impact sur la vie privée des personnes suivi d’un audit de sécurité vérifiant que les mesures organisationnelles et techniques mises en place sont suffisantes).

Pour en savoir plus, vous pouvez consulter le site internet de l’Agence française de la sécurité

numérique :

https://esante.gouv.fr/securite/identifiant-national-de-sante

https://esante.gouv.fr/sites/default/files/media_entity/documents/ASIP_R%C3%A9f%C3%A9rentiel_Identifiant_National_de_Sant%C3%A9_v040.pdf .

57/69 Le traitement des données de santé © CLUSIF 2019

VIII.3. L’utilisation du NIR dans le cadre de projets de recherche

Par dérogation aux dispositions introduites sur l’identifiant national de santé qui restreignent l’utilisation de cet identifiant, l’article L. 1111-8-1 du code de la santé publique autorise le traitement de l’INS à des fins de recherche dans le domaine de la santé, dans les conditions de la loi informatique et libertés (LIL, Art. 30). Ainsi, si un traitement de données incluant le NIR doit en principe être prévu par décret en Conseil d’État, l’article 30 de la loi informatique et libertés prévoit une dérogation pour les traitements ayant pour finalités exclusives la recherche scientifique ou historique. Cette dérogation n’est applicable que sous réserve de respecter les conditions suivantes : - Le NIR doit avoir fait l’objet d’une opération cryptographique préalable lui substituant un code

statistique non signifiant (selon des modalités prévues par décret en Conseil d’État) ; - Cette opération de cryptographie, et le cas échéant, l’interconnexion de deux fichiers par l’utilisation

de ce code statistique non signifiant est réalisée par un tiers de confiance (qui ne peut être ni la même personne ni le responsable de traitement).

Les protocoles doivent en outre respecter les conditions prévues par la loi informatique et libertés en matière de recherches, études ou évaluation dans le domaine de la santé (existence d’un référentiel ou à défaut autorisation de la CNIL)54. Cf. supra, Les recherches dans le domaine de la santé.

54 Section 3 du chapitre III du titre II, articles 64 et suivants de la loi Informatique et Libertés.

58/69 Le traitement des données de santé © CLUSIF 2019

IX. Echanges informatisés de données de santé

Afin de garantir la confidentialité des informations médicales recueillies notamment au cours de la prise

en charge de patients, leur conservation sur support informatique et leur transmission par voie

électronique entre professionnels sont soumises à des règles strictement définies.

IX.1. Messagerie sécurisée de santé

La messagerie électronique et le fax, même s’ils apportent un gain de temps, ne constituent pas a priori un moyen de communication sûr pour transmettre des données de santé. Une simple erreur de manipulation (adresse de messagerie erronée, erreur de numérotation du fax destinataire…) peut conduire à divulguer à des destinataires non habilités des informations couvertes par le secret médical et à porter ainsi gravement atteinte à l’intimité de la vie privée des personnes. Compte tenu de l’absence générale de confidentialité du réseau Internet, la transmission par courrier électronique de données nominatives sur l’état de santé d’une personne comporte des risques importants de divulgation de ces données. L’utilisation d’une messagerie classique ne permet pas de respecter les dispositions du règlement. En cas d’utilisation d’une messagerie électronique, il est impératif de recourir à une messagerie sécurisée intégrant un module de chiffrement des données (les messages transitent sur des serveurs intermédiaires et restent stockés sur le serveur de messagerie tant qu’ils n’ont pas été téléchargés). Ces produits sont aujourd’hui disponibles sur le marché et il importe de se renseigner auprès de son fournisseur d’accès. Les services d’hébergement des données de santé offerts aux professionnels de santé ont été complétés en 2013 par celui du service national de « messagerie sécurisée de santé ». Il s’agit d’un service de messagerie, mis en œuvre par l’ASIP Santé55 et hébergé chez un tiers agréé. Il permet aux professionnels de santé participant à la prise en charge d’un patient de pouvoir échanger entre eux au moyen d’un outil sécurisé garantissant la confidentialité des données. Cette messagerie ne fonctionne qu’entre professionnels de santé qui doivent préalablement s’authentifier pour pouvoir l’utiliser. L’autorisation délivrée par la CNIL (AU-037) a particulièrement insisté sur l’information des patients, le recueil de leur consentement à l’hébergement des données sur une telle messagerie et la possibilité d’exercer leurs droits de rectification et d’opposition. Avec l’entrée en vigueur du règlement européen, l’autorisation unique (AU-037) mise en place par la CNIL n’a plus de valeur juridique et les professionnels de santé et établissements de santé concernés ainsi que les professionnels du secteur médico-social ne doivent donc plus procéder à un engagement de conformité à l’AU-037 préalablement à l’utilisation d’un service de messagerie sécurisée. Dans l’attente de la parution d’un nouveau référentiel dédié élaboré en collaboration avec l’ASIP, la CNIL a néanmoins décidé de maintenir accessible l’AU-037 afin de les orienter dans leurs premières actions de mise en conformité. La CNIL et l’ASIP Santé travaillent à l’élaboration d’un nouveau référentiel. Les dispositions de ce référentiel permettront notamment de documenter la conformité des traitements de données réalisés à l’aide de la messagerie sécurisée dans le registre des activités de traitement, et

55 L'ASIP Santé est l'opérateur public chargé du déploiement de la e-santé en France.

59/69 Le traitement des données de santé © CLUSIF 2019

notamment de mettre en œuvre les actions nécessaires pour garantir les droits des patients (information, droit d’accès, etc.).

❖ UTILISATION DU FAX En cas d’utilisation du fax, la CNIL avait émis, avant l’entrée en vigueur du règlement européen, des recommandations visant à mettre en place les mesures suivantes :

▪ Le fax doit être situé dans un local médical, physiquement contrôlé et accessible uniquement au personnel médical et paramédical ;

▪ L’impression des messages doit être subordonnée à l’introduction d’un code d’accès personnel ; ▪ Lors de l’émission des messages, le fax doit afficher l’identité du fax destinataire afin d’être

assuré de l’identité du destinataire ; ▪ Doubler l’envoi par fax d’un envoi des documents originaux au destinataire ; ▪ Préenregistrer dans le carnet d’adresses des fax (si cette fonctionnalité existe) les destinataires

potentiels.

Pour en savoir plus, vous pouvez consulter les sites internet suivants :

https://esante.gouv.fr/securite/messageries-de-sante-mssante https://www.cnil.fr/fr/declaration/au-037-traitements-des-donnees-de-sante-par-

messagerie-securisee

IX.2. Le dossier médical partagé (DMP)

Créé en 200456, le dossier médical personnel (DMP), devenu depuis 201657 le dossier médical partagé est un ensemble de services permettant au patient et aux professionnels de santé, autorisés par celui-ci58, de partager sous forme électronique des informations jugées utiles et pertinentes pour améliorer la prévention, la continuité, la coordination et la qualité des soins. Il ne se substitue pas au dossier que tient chaque établissement de santé ou chaque professionnel de santé, quel que soit son mode d’exercice, dans le cadre de la prise en charge de son patient (article R. 1111-28 du code de la santé publique). Le DMP peut être créé, auprès d’un hébergeur de données de santé agréé, pour tout bénéficiaire de l’assurance maladie après recueil de son consentement exprès ou de celui de son représentant légal (article R. 1111-26 du code de la santé publique), par :

▪ Le bénéficiaire de l’assurance maladie ; ▪ Tout professionnel de santé et les personnes exerçant sous sa responsabilité ; ▪ Les personnes assurant les fonctions d’accueil des patients au sein des établissements de santé,

des laboratoires de biologie médicale, de certains services de santé ou des établissements et services sociaux et médico-sociaux ;

▪ Les agents des organismes de l’assurance maladie obligatoire. Le responsable de traitement est la CNAM59. L’identifiant du DMP est l’identifiant national de santé (INS, c’est-à-dire le NIR, cf. fiche l’Utilisation du NIR dans les traitements de santé).

56 Loi du 13 août 2004. 57 Loi du 26 janvier 2016 portant modernisation de notre système de santé. 58 L’article L. 1111-18 du code de la santé publique sanctionne pénalement l’accès au DMP en dépit des prohibitions édictées (1 an et 15.000 € d’amende). 59 Caisse nationale d’assurance maladie des travailleurs salariés (Art. R. 1111-27 du code de la santé publique, décret du 16 novembre 2016).

60/69 Le traitement des données de santé © CLUSIF 2019

❖ CONTENU DU DOSSIER MEDICAL PARTAGE Le contenu du dossier médical partagé est strictement défini par l’article R. 1111-30 du code de la santé publique. Chaque professionnel de santé doit reporter dans le DMP, à l’occasion de chaque acte ou consultation, les éléments diagnostiques et thérapeutiques nécessaires à la coordination des soins de la personne prise en charge. Lors d’un séjour hospitalier, les professionnels de santé des établissements de santé habilités doivent reporter dans le DMP un résumé des principaux éléments relatifs à ce séjour60. Les informations du dossier pharmaceutique61 utiles à la coordination des soins doivent également être reportées dans le DMP. À noter que la responsabilité du professionnel de santé ne peut être engagée en cas de litige portant sur l’ignorance d’une information qui lui est masquée dans le DMP et dont il ne peut avoir légitimement connaissance.

❖ DROIT ET PROTECTION DES PERSONNES Le DMP ne peut être créé que sous réserve du consentement exprès et éclairé de la personne concernée ou de son représentant légal. Ce consentement peut être recueilli par tout moyen, y compris de façon dématérialisée (articles L. 1111-15 et R. 1111-32 du code de la santé publique). Si la personne est mineure, le consentement est recueilli auprès du représentant légal. Après avoir consenti à la création du DMP, il ne peut, sauf motif légitime, s’opposer à ce que les professionnels de santé qui le prennent en charge versent dans son dossier les informations utiles à la prévention, la continuité et à la coordination des soins qui lui sont délivrés (article R. 1111-36 du code de la santé publique). La restriction de l’accès à certaines informations de son dossier médical partagé faite par le patient à l’égard de certains professionnels de santé ne vaut jamais pour son médecin traitant (article R. 1111-43 du Code de la santé publique). Le patient conserve cependant le droit de rendre inaccessibles certaines des informations qu’il contient et même indiquer l’identité des professionnels de santé auxquels il entend en interdire l’accès (article R. 1111-41 du code de la santé publique). Il se voit également reconnaître le droit d’accéder :

▪ Directement (par voie électronique), indirectement (par l’intermédiaire d’un professionnel de santé autorisé à y accéder) ou par l’intermédiaire de la CNAM-TS au contenu de son dossier ;

▪ À la liste des professionnels qui y ont accès, avec possibilité de la modifier ; ▪ Et aux éléments de traçabilité liés à l’accès à son dossier.

Le patient peut en outre exercer son droit de rectification auprès du professionnel de santé autorisé à accéder au DMP et identifié comme étant l’auteur de l’information à rectifier ou auprès de la CNAM-TS. Il peut également rectifier lui-même les informations qu’il a consignées dans son dossier directement par voie électronique mais il ne peut pas supprimer les données renseignées par un professionnel de santé (article R. 1111-37 du code de la santé publique).

❖ CLOTURE DU DOSSIER MEDICAL PARTAGE ET DUREE DE CONSERVATION Le titulaire du dossier peut décider à tout moment de le clôturer soit directement soit en faisant la demande auprès d’une personne habilitée. Il est clôturé d’office par la CNAM-TS en cas de décès. Il reste néanmoins accessible en cas de recours gracieux ou contentieux. Le dossier médical est conservé 10 ans à compter de sa clôture. En l’absence d’accès postérieur à sa clôture, le DMP est détruit 10 ans après son archivage ou 10 ans suivant le dernier accès.

60 Le législateur contraint les professionnels de santé à alimenter et mettre à jour le DMP en y subordonnant le maintien de leur adhésion aux conventions nationales régissant leurs rapports avec les organismes d’assurance maladie. 61 Cf. infra.

61/69 Le traitement des données de santé © CLUSIF 2019

IX.3. Le dossier pharmaceutique (DP)

Le dossier pharmaceutique (DP) est créé au profit de chaque bénéficiaire de l’assurance maladie, avec son consentement, afin de favoriser la coordination, la qualité, la continuité des soins et la sécurité de la dispensation des médicaments et produits pharmaceutiques (article L. 1111-23 du code de la santé publique). Le responsable de traitement est le Conseil national de l’ordre des pharmaciens62. Les dossiers sont hébergés chez un hébergeur unique.

❖ CREATION ET CLOTURE Il est créé par un pharmacien au moyen de la carte Vitale. Son bénéficiaire est identifié par son numéro d’inscription au répertoire national des personnes physiques (NIR). Il est automatiquement clos s’il n’a fait l’objet d’aucun accès pendant une durée de 3 ans. Son contenu est alors détruit (mais les données, traces de clôture ou refus de création d’un dossier pharmaceutique sont conservées 36 mois qui suivent la clôture dudit dossier ou son refus de création chez l’hébergeur).

❖ ALIMENTATION DU DOSSIER PHARMACEUTIQUE Sauf opposition du patient, tout pharmacien doit alimenter le dossier pharmaceutique à l’occasion de la dispensation des médicaments. Le dossier comporte les informations relatives : - Au bénéficiaire de l’assurance maladie (données d’identification : nom, prénom, date de naissance,

sexe) ; - À la dispensation des médicaments, avec ou sans prescription médicale (article R. 1111-20-2 du code

de la santé publique).

❖ ACCES AU DOSSIER PHARMACEUTIQUE Le médecin qui prend en charge un patient dans un établissement de santé et le pharmacien peuvent accéder aux données du dossier pharmaceutique relatives aux dispensations effectuées dans les 4 mois qui suivent. Ces données seront conservées pendant 32 mois chez l’hébergeur. Elles sont ensuite détruites sauf pour les données relatives : - Aux vaccins (accessibles aux médecins et pharmaciens pendant 21 ans puis conservées 32 mois

supplémentaires chez l’hébergeur) afin d’informer les patients, et en cas d’alerte sanitaire sur ce vaccin ;

- À la dispensation de médicaments biologiques (accessibles aux médecins et pharmaciens pendant 3 ans puis conservées 32 mois supplémentaires chez l’hébergeur) pour la continuité des soins et en cas d’alerte sanitaire.

Le bénéficiaire de l’assurance maladie peut avoir accès aux informations contenues dans le dossier pharmaceutique. Il peut exercer son droit de rectification auprès de tout pharmacien. Il peut également s’opposer à la création d’un dossier pharmaceutique (auprès du conseil national de l’ordre des pharmaciens), à ce que le pharmacien consulte son dossier ou à ce que certaines informations y soient dispensées.

Les données de santé circulent et les professionnels de santé sont amenés à échanger régulièrement des données dans le cadre de leur activité ou de leurs obligations. Il importe avant tout de mettre en place des processus organisationnels respectant les grands principes fixés par le règlement européen et en particulier, la minimisation des données, la sensibilisation des acteurs, les mesures techniques et organisationnelles de nature à assurer au maximum la sécurité des données recueillies auprès des patients.

62 http://www.ordre.pharmacien.fr/Le-Dossier-Pharmaceutique/Vos-droits-respect-de-la-vie-privee-et-confidentialite-de-vos-donnees

62/69 Le traitement des données de santé © CLUSIF 2019

X. Les données génétiques

X.1. Définition

Le règlement européen sur la protection des données à caractère personnel apporte à l’article 4 une

définition des données génétiques qui tient compte des derniers progrès de la génétique et fait droit à la

diversité de leur origine biologique, de leur signification et de leur mode d’obtention : il s’agit des

« données à caractère personnel relatives aux caractéristiques génétiques héréditaires ou acquises d’une

personne physique qui donnent des informations uniques sur la physiologie ou l’état de santé de cette

personne physique et qui résultent, notamment d’une analyse d’un échantillon biologique de la personne

physique en question ». Le considérant 34 du règlement précise par ailleurs que ces informations peuvent

notamment provenir de l’analyse des chromosomes, de l’ADN63, de l’ARN ou d’un autre élément

permettant d’obtenir des informations équivalentes.

La catégorie des données génétiques recouvre en fait une famille de données de même nature, en ce

qu’elles sont des représentations, totales ou partielles, de l’échantillon biologique auquel elles se

rapportent. Le contenu des données génétiques varie donc en fonction de l’objectif poursuivi, la nature

des résultats conservés ou le niveau de précision recherché et les techniques utilisées pour l’analyse ADN.

Il est également nécessaire de tenir compte de la pertinence des séquences ADN sélectionnées pour

former une empreinte génétique de la personne. Une séquence d’ADN qui ne se retrouve que chez une

personne sur mille sera très pertinente mais lorsque la séquence apparaît chez une personne sur 10,

l’analyse sera moins identifiante.

Ces données particulièrement sensibles contiennent l’intégralité du patrimoine génétique d’une

personne et ont donc un caractère éminemment personnel pour celle-ci, mais également pour les

membres de sa famille.

L’information génétique ne permet cependant pas à elle seule d’identifier la personne concernée, elle

doit être associée à d’autres catégories de données, en particulier des données d’identification pour

être en mesure d’identifier la personne auquel elle se rattache. De fait, les données génétiques sont

toujours associées à d’autres données, directement ou indirectement identifiantes (état civil, données

relatives à la date et au lieu du recueil, antécédents médicaux, filiation…).

X.2. Des données particulièrement protégées par la loi

Les données génétiques sont encadrées par un régime spécifique. Les lois de bioéthique n’autorisent que

certains usages depuis 1994 :

▪ Etudier les caractéristiques des personnes telles qu’elles ressortent de l’analyse de leur patrimoine biologique ou génétique : cette étude des caractéristiques génétiques ne peut être entreprise qu’à des fins médicales ou de recherche scientifique (avec consentement exprès, par

63 Acide DésoxyriboNucléique et Acide RiboNucléique.

63/69 Le traitement des données de santé © CLUSIF 2019

écrit et révocable à tout moment, de la personne préalablement à la réalisation de l’étude après délivrance d’une information sur la nature et la finalité de l’examen) ;

▪ Identifier les personnes à partir de leur empreinte génétique et apporter ainsi la preuve de leur présence à un endroit donné : cette empreinte génétique ne peut être utilisée que dans le cadre d’une enquête judiciaire pour identifier une personne (en matière pénale, à partir de segments non-codants64, et en matière civile avec le consentement de la personne).

La loi de 2002 sur les droits des malades et la qualité du système de santé a renforcé le cadre législatif en

interdisant les discriminations fondées sur des renseignements génétiques.

X.3. Le statut particulier des données génétiques

La refonte de la loi Informatique et Libertés en 2004 créé un régime juridique ad hoc pour les données

génétiques, y compris pour le traitement de ces données en dehors du secteur de la recherche médicale.

Les traitements dont elles font l’objet sont, en principe, soumis à autorisation de la CNIL préalablement à

leur mise en œuvre, à l’exception des traitements effectués par des médecins ou biologistes nécessaires

au titre de la médecine préventive, des diagnostics médicaux ou de l’administration de soins ou de

traitement (LIL, Art. 25-I 2° de la loi 78-17 du 6 janvier 2018).

Au-delà de ces dispositions spécifiques, les données génétiques sont appréhendées à partir de la catégorie

générale des données dites sensibles.

Elles font en effet partie des données sensibles lorsqu’elles peuvent révéler des renseignements sur l’état

de santé de la personne concernée en premier lieu, le porteur de l’ADN, ou sur les membres de la famille

biologique du porteur, que celui-ci soit ou non décédé.

Les restrictions apportées au traitement des données de santé dans le règlement (n’être traitées qu’à des

fins liées à la santé dans l’intérêt des personnes physiques et de la société dans son ensemble, RGPD,

cons. 53) ne s’appliquent donc aux données génétiques que pour autant que celles-ci soient comprises

comme donnant des indications sur l’état de santé des personnes, ce qui ne semble pas être le cas de tous

les marqueurs génétiques.

Avec l’article 9 du règlement, les données génétiques forment l’une des catégories de données sensibles.

Cette nouvelle catégorie permet de ne pas limiter le régime de protection renforcée aux cas où les

séquences d’ADN ont une signification médicale avérée ou sont répertoriées dans une base nationale.

X.4. L’encadrement du traitement des données génétiques

Le régime de droit commun applicable aux traitements des données génétiques prévoit une autorisation

préalable de la CNIL :

▪ Etudes génétiques des populations ; ▪ Fichiers de résultats de tests génétiques dans le cadre de recherches de paternité mis en œuvre

dans des laboratoires d’analyses autorisés ; ▪ Traitements de données génétiques des centres de ressources biologiques (CRB) qui ne

correspondent pas à des traitements de recherche mais à des supports de recherche (collections d’échantillons de substances corporelles humaines (sang, cellules, ADN, tissus tumoraux…) susceptibles d’être utilisés dans le cadre de recherches dans le domaine de la santé.

64 Seule méthode susceptible d’exclure la révélation d’information sur le patrimoine génétique d’une personne.

64/69 Le traitement des données de santé © CLUSIF 2019

La CNIL a par la suite simplifié les procédures d’examen préalable applicable à certaines catégories de

recherches médicales parmi les plus usuelles en publiant des méthodologies de référence. Elles

interdisent le traitement de données directement identifiantes mais incluent la possibilité de traiter des

données génétiques :

a. La MR-001 s’applique aux études interventionnelles sur la personne qui nécessitent le recueil du consentement de la personne ;

b. La MR-002 porte sur les études non-interventionnelles sur des dispositifs médicaux de diagnostic in vitro en vue de leur mise sur le marché ;

c. La MR-003 concerne les recherches non-interventionnelles qui portent sur des soins courants ou des essais cliniques de médicaments par grappe, sur la base d’une simple information de la personne.

Cf. supra, Les recherches dans le domaine de la santé

X.5. Données génétiques et anonymisation

L’anonymisation suppose la suppression dans un ensemble de données de tout lien susceptible de

permettre l’identification de la personne concernée. Le G29 dans son avis de 201465, considère qu’il ne

suffit pas de supprimer les éléments directement identifiants (nom, identifiant personnel) pour rendre

impossible toute identification de la personne. L’opération doit être irréversible.

Compte tenu de la difficulté à garantir l’anonymisation effective des données, le règlement a introduit la

notion de pseudonymisation, définie comme un traitement effectué « de telle façon que les données ne

puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations

supplémentaires conservées séparément ». Ces données conservent la qualification de données

personnelles.

Les données génétiques, en raison de leur spécificité, peuvent être considérées comme identifiantes par

elles-mêmes. La combinaison de ces données avec des données rendues publiques (registres

généalogiques, notices nécrologiques) ou d’autres données (date du prélèvement biologique, âge, lieu de

résidence…) peut révéler l’identité de certaines personnes.

Il est dans ces conditions admis que les données génétiques ne peuvent être rendues anonymes.

X.6. Information et consentement

Lorsque la recherche, l’étude ou l’évaluation nécessite le recueil de prélèvements biologiques identifiants

permettant d’en extraire des données génétiques, la loi Informatique et Libertés impose le recueil par

écrit du consentement de la personne concernée préalablement à tout traitement (LIL, Art. 75)66.

Ce consentement exprès par écrit n’est cependant pas requis :

65 G29, avis 05/2014 du 10 avril 2014 sur les techniques d’anonymisation. 66 Les références aux articles issues de la loi Informatique et Libertés sont celles mentionnées dans l’ordonnance 2018-1125 du 12 décembre 2018, prise en application de la loi 2018-493 du 20 juin 2018 (LIL modifiée). Voir en annexe le tableau de concordance entre l’ancienne et la nouvelle numérotation.

65/69 Le traitement des données de santé © CLUSIF 2019

▪ Lorsque les recherches portent sur des échantillons biologiques déjà prélevés la recherche pouvant intervenir des années après le prélèvement (réutilisation des échantillons pour lesquels la personne a déjà consenti pour le recueil et l’analyse, article L. 1131-1-1 du code de la santé publique) ;

Lorsque la recherche n’implique qu’une réutilisation du résultat d’analyses génétiques auquel le patient

a déjà consenti.

66/69 Le traitement des données de santé © CLUSIF 2019

Annexe I - Glossaire

▪ AE – Autorité d’enregistrement (organisme disposant d’un accès permanent aux données du SNDS) ;

▪ AED – Autorité d’enregistrement déléguée (organisme disposant d’un accès permanent aux données du SNDS. L’AED est chargée de demander à la CNAM l’ouverture d’un compte pour chaque utilisateur concerné) ;

▪ ASIP Santé – Agence française de la santé numérique (opérateur public chargé du développement de la e-santé en France) ;

▪ CCTIRS – Comité consultatif sur le traitement de l'information en matière de recherche (ancien comité chargé de rendre un avis sur les demandes d’autorisation d’études, de recherche ou d’évaluation dans le domaine de la santé. A été remplacé par le CEREES puis le CES) ;

▪ CépiDC – Base de données du Centre d’épidémiologie sur les causes médicales de décès de l’INSERM (Institut national de la santé et de la recherche médicale) ;

▪ CEREES – Comité d’expertise pour les recherches, les études et les évaluations dans le domaine de la santé (remplace le CCTIRS. Est chargé de rendre un avis sur les demandes d’autorisation d’études, de recherche ou d’évaluation dans le domaine de la santé avant décision de la CNIL) ;

▪ CES – Comité éthique et scientifique (chargé de rendre un avis sur les demandes d’accès à la plateforme des données de santé, ex-CEREES)

▪ CNAM – Caisse nationale de l’assurance maladie ; ▪ CNIL – Commission nationale informatique et libertés (autorité de contrôle française) ; ▪ CNOM – Conseil national de l’Ordre des médecins ; ▪ CNSA – Caisse nationale de solidarité pour l'autonomie ; ▪ COFRAC – Comité français d’accréditation ; ▪ DCE – Décret en Conseil d’Etat ; ▪ EDS – Entrepôt des données de santé ; ▪ EGB – Echantillon représentatif des données de remboursement par bénéficiaire (base de

données de l’assurance maladie) ; ▪ ERASME et HIPPOCRATE – Extraction recherche analyses pour un suivi médico-économique

(bases de données de l’assurance maladie) ; ▪ GAIA - Registre national des fécondations in vitro (base de données gérée par l’Agence de la

biomédecine) ; ▪ HCSP – Haut conseil de la santé publique ; ▪ HDH – Health Data Hub ou plateforme des données de santé ; ▪ HDS – Hébergeur de données de santé ; ▪ IA – Intelligence artificielle ; ▪ IDS – Institut des données de santé (auquel a succédé l’INDS) ; ▪ INDS – Institut national des données de santé ; ▪ INS – Identifiant national de santé (identifiant national utilisé dans les champs de la santé et du

médico-social) ; ▪ INSEE – Institut national de la statistique et des études économiques ; ▪ LIL – Loi Informatique et Libertés : loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux

fichiers et aux libertés dans sa version modifiée par l’ordonnance 2018-1125 du 12 décembre 2018 prise en application de l’article 32 de la loi 2018-493 du 20 juin 2018 relative à la protection des données personnelles ;

▪ MR – Méthodologie de référence de la CNIL (Ces méthodologies, destinées à simplifier la procédure d'autorisation, portent sur les catégories les plus usuelles de traitements automatisés ayant pour finalité les recherches, études ou évaluations dans le domaine de la santé) ;

▪ NIR – Numéro d’inscription au répertoire national d’identification des personnes physiques (numéro de sécurité sociale) ;

67/69 Le traitement des données de santé © CLUSIF 2019

▪ PGSSI-MCAS – Politique générale de sécurité des systèmes d’information des ministères chargés des affaires sociales ;

▪ PIA – Privacy Impact Assessment ou Etude d’impact sur la vie privée des personnes ; ▪ PMI – Protection maternelle et infantile ▪ PMSI – Programme de médicalisation du système d’information (base de données de l’ATIH,

agence technique de l’information sur l’hospitalisation) ; ▪ REIN – Réseau épidémiologie et information en néphrologie (base de données gérée par l’Agence

de la biomédecine) ; ▪ RGPD – Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à

la protection des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ;

▪ RNIPP – Répertoire national d’identification des personnes physiques (répertoire attribuant le NIR à chaque personne à sa naissance sur la base d’éléments d’état civil transmis par les mairies à l’INSEE) ;

▪ RT – Responsable de traitement ; ▪ SNDS – Système national des données de santé (permettant la mise à disposition des données

ayant un caractère médico-administratif afin d’utiliser au mieux ces données dans l’intérêt de la collectivité et dans le respect de la confidentialité des données personnelles) ;

▪ SNIIRAM – Système national d’information inter-régimes de l’assurance maladie ; ▪ SAE – Système d’archivage électronique (outil de gestion de contenu permettant le recueil, le

classement et la conservation à moyen et long terme des documents pour une exploitation ultérieure) ;

▪ ST – Sous-traitant.

68/69 Le traitement des données de santé © CLUSIF 2019

Annexe II – Tableau de concordance LIL

THEME LIL Ancienne numérotation

LIL Nouvelle numérotation (Ord 12/12/18)

Principes généraux de licéité du traitement Article 6 Article 4

Traitements de données sensibles Licéité du traitement de données sensibles

Article 8 Article 6 Article 44

Règles applicables au traitement du RNIPP Article 22 Article 30

Droit d’accès et données de santé Article 43 Article 64

Traitement particulier des données de santé Article 53 Article 65

Licéité du traitement des données de santé Article 54 Article 66

Traitement de données de santé et service public Article 55 Article 67

Données de santé et secret professionnel Article 56 Article 68

Levée du secret professionnel et droit d’opposition Données de santé et personnes décédées

Article 57 Article 74 Article 86

Droit à l’information et données de santé Article 58 Article 69

Données de santé du mineur / autorité parentale Article 59 Article 70

Information par les établissements de santé sur la collecte de données

Article 60 Article 71

Données de santé traitées à des fins de recherche Article 61 Article 72

Données de santé et méthodologies de référence Article 62 Article 73

Consentement et données génétiques Article 63 Article 75

Finalités de recherche et autorisation de traitement Article 64 Article 76

Audit et traitements de données de santé Article 65 Article 77

L ’ E S P R I T D E L ’ É C H A N G E

CLUB DE LA SÉCURITÉ DE L'INFORMATION FRANÇAIS

11 rue de Mogador 75009 Paris

France +33 1 53 25 08 80

clusif@clusif.fr

Téléchargez toutes les productions du CLUSIF sur

www.clusif.fr