I.-Le livre IV de la première partie du code de la santé publique est complété par un titre VI ainsi rédigé :
« Titre VI
« MISE À DISPOSITION DES DONNÉES DE SANTÉ
« Chapitre PRÉLIMINAIRE
« Principes relatifs à la mise à disposition des données de santé
« Art. L. 1460-1.-Les données de santé à caractère personnel recueillies à titre obligatoire et destinées aux services ou aux établissements publics de l'Etat ou des collectivités territoriales ou aux organismes de sécurité sociale peuvent faire l'objet de traitements à des fins de recherche, d'étude ou d'évaluation présentant un caractère d'intérêt public, dans le respect de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. Les traitements réalisés à cette fin ne peuvent avoir ni pour objet ni pour effet de porter atteinte à la vie privée des personnes concernées. Sauf disposition législative contraire, ils ne doivent en aucun cas avoir pour fin l'identification directe ou indirecte de ces personnes.
« Les citoyens, les usagers du système de santé, les professionnels de santé, les établissements de santé et leurs organisations représentatives ainsi que les organismes participant au financement de la couverture contre le risque maladie ou réalisant des recherches, des études ou des évaluations à des fins de santé publique, les services de l'Etat, les institutions publiques compétentes en matière de santé et les organismes de presse ont accès aux données mentionnées au premier alinéa dans les conditions définies par la loi n° 78-17 du 6 janvier 1978 précitée et, le cas échéant, par les dispositions propres à ces traitements.
« Chapitre Ier
« Système national des données de santé
« Art. L. 1461-1.-I.-Le système national des données de santé rassemble et met à disposition :
« 1° Les données issues des systèmes d'information mentionnés à l'article L. 6113-7 du présent code ;
« 2° Les données du système national d'information interrégimes de l'assurance maladie mentionné à l'article L. 161-28-1 du code de la sécurité sociale ;
« 3° Les données sur les causes de décès mentionnées à l'article L. 2223-42 du code général des collectivités territoriales ;
« 4° Les données médico-sociales du système d'information mentionné à l'article L. 247-2 du code de l'action sociale et des familles ;
« 5° Un échantillon représentatif des données de remboursement par bénéficiaire transmises par des organismes d'assurance maladie complémentaire et défini en concertation avec leurs représentants.
« II.-Dans le cadre d'orientations générales définies par l'Etat, en concertation avec les organismes responsables des systèmes d'information et des données mentionnés au I, la Caisse nationale de l'assurance maladie des travailleurs salariés réunit et organise l'ensemble des données qui constituent le système national des données de santé mentionné au même I. Elle est responsable du traitement.
« La méthode d'appariement des données mentionnées au 5° dudit I avec les données correspondantes du système national des données de santé est élaborée en concertation avec les représentants des organismes qui transmettent les données concernées.
« III.-Le système national des données de santé a pour finalité la mise à disposition des données, dans les conditions définies aux articles L. 1461-2 et L. 1461-3, pour contribuer :
« 1° A l'information sur la santé ainsi que sur l'offre de soins, la prise en charge médico-sociale et leur qualité ;
« 2° A la définition, à la mise en œuvre et à l'évaluation des politiques de santé et de protection sociale ;
« 3° A la connaissance des dépenses de santé, des dépenses d'assurance maladie et des dépenses médico-sociales ;
« 4° A l'information des professionnels, des structures et des établissements de santé ou médico-sociaux sur leur activité ;
« 5° A la surveillance, à la veille et à la sécurité sanitaires ;
« 6° A la recherche, aux études, à l'évaluation et à l'innovation dans les domaines de la santé et de la prise en charge médico-sociale.
« IV.-Pour le système national des données de santé et pour les traitements utilisant des données à caractère personnel issues de ce système :
« 1° Aucune décision ne peut être prise à l'encontre d'une personne physique identifiée sur le fondement des données la concernant et figurant dans l'un de ces traitements ;
« 2° Les personnes responsables de ces traitements, ainsi que celles les mettant en œuvre ou autorisées à accéder aux données à caractère personnel qui en sont issues, sont soumises au secret professionnel dans les conditions et sous les peines prévues à l'article 226-13 du code pénal ;
« 3° L'accès aux données s'effectue dans des conditions assurant la confidentialité et l'intégrité des données et la traçabilité des accès et des autres traitements, conformément à un référentiel défini par arrêté des ministres chargés de la santé, de la sécurité sociale et du numérique, pris après avis de la Commission nationale de l'informatique et des libertés ;
« 4° Les données individuelles du système national des données de santé sont conservées pour une durée maximale de vingt ans, sans préjudice de l'application du deuxième alinéa de l'article 36 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
« V.-Les données du système national des données de santé ne peuvent être traitées pour l'une des finalités suivantes :
« 1° La promotion des produits mentionnés au II de l'article L. 5311-1 en direction des professionnels de santé ou d'établissements de santé ;
« 2° L'exclusion de garanties des contrats d'assurance et la modification de cotisations ou de primes d'assurance d'un individu ou d'un groupe d'individus présentant un même risque.
« Art. L. 1461-2.-Les données du système national des données de santé qui font l'objet d'une mise à la disposition du public sont traitées pour prendre la forme de statistiques agrégées ou de données individuelles constituées de telle sorte que l'identification, directe ou indirecte, des personnes concernées y est impossible. Ces données sont mises à disposition gratuitement. La réutilisation de ces données ne peut avoir ni pour objet ni pour effet d'identifier les personnes concernées.
« Par dérogation au premier alinéa du présent article, les données relatives à l'activité des professionnels de santé publiées par les organismes gestionnaires des régimes obligatoires de base d'assurance maladie, en application de l'article L. 162-1-11 du code de la sécurité sociale, sont réutilisées dans les conditions mentionnées à l'article 12 et au second alinéa de l'article 13 de la loi n° 78-753 du 17 juillet 1978 portant diverses mesures d'amélioration des relations entre l'administration et le public et diverses dispositions d'ordre administratif, social et fiscal.
« Art. L. 1461-3.-I.-Un accès aux données à caractère personnel du système national des données de santé ne peut être autorisé que pour permettre des traitements :
« 1° Soit à des fins de recherche, d'étude ou d'évaluation contribuant à une finalité mentionnée au III de l'article L. 1461-1 et répondant à un motif d'intérêt public ;
« 2° Soit nécessaires à l'accomplissement des missions des services de l'Etat, des établissements publics ou des organismes chargés d'une mission de service public compétents, dans les conditions définies au III du présent article.
« Le responsable de tels traitements n'est autorisé à accéder aux données du système national des données de santé et à procéder à des appariements avec ces données que dans la mesure où ces actions sont rendues strictement nécessaires par les finalités de la recherche, de l'étude ou de l'évaluation ou par les missions de l'organisme concerné.
« Seules les personnes nommément désignées et habilitées à cet effet par le responsable du traitement, dans les conditions précisées par le décret en Conseil d'Etat mentionné à l'article L. 1461-7, sont autorisées à accéder aux données du système national des données de santé.
« II.-Les traitements à des fins de recherche, d'étude ou d'évaluation mentionnés au 1° du I du présent article sont autorisés selon la procédure définie au chapitre IX de la loi n° 78-17 du 6 janvier 1978 précitée.
« Les personnes produisant ou commercialisant des produits mentionnés au II de l'article L. 5311-1 du présent code ou les organismes mentionnés au 1° du A et aux 1°, 2°, 3°, 5° et 6° du B du I de l'article L. 612-2 du code monétaire et financier ainsi que les intermédiaires d'assurance mentionnés à l'article L. 511-1 du code des assurances sont tenus :
« 1° Soit de démontrer que les modalités de mise en œuvre du traitement rendent impossible toute utilisation des données pour l'une des finalités mentionnées au V de l'article L. 1461-1 ;
« 2° Soit de recourir à un laboratoire de recherche ou à un bureau d'études, publics ou privés, pour réaliser le traitement.
« Les responsables des laboratoires de recherche et des bureaux d'études présentent à la Commission nationale de l'informatique et des libertés un engagement de conformité à un référentiel incluant les critères de confidentialité, d'expertise et d'indépendance, arrêté par le ministre chargé de la santé, pris après avis de la même commission.
« L'accès aux données est subordonné :
« a) Avant le début de la recherche, à la communication, par le demandeur, au groupement d'intérêt public mentionné à l'article L. 1462-1 de l'étude ou de l'évaluation de l'autorisation de la Commission nationale de l'informatique et des libertés, d'une déclaration des intérêts du demandeur en rapport avec l'objet du traitement et du protocole d'analyse, précisant notamment les moyens d'en évaluer la validité et les résultats ;
« b) A l'engagement du demandeur de communiquer au groupement d'intérêt public mentionné au même article L. 1462-1, dans un délai raisonnable après la fin de la recherche, de l'étude ou de l'évaluation, la méthode, les résultats de l'analyse et les moyens d'en évaluer la validité.
« Le groupement d'intérêt public mentionné audit article L. 1462-1 publie sans délai l'autorisation de la Commission nationale de l'informatique et des libertés, la déclaration des intérêts, puis les résultats et la méthode.
« III.-Le décret en Conseil d'Etat mentionné à l'article L. 1461-7 fixe la liste des services de l'Etat, des établissements publics ou des organismes chargés d'une mission de service public autorisés à traiter des données à caractère personnel du système national des données de santé pour les besoins de leurs missions. Ce décret précise, pour chacun de ces services, établissements ou organismes, l'étendue de cette autorisation, les conditions d'accès aux données et celles de la gestion des accès.
« Art. L. 1461-4.-I.-Le système national des données de santé ne contient ni les noms et prénoms des personnes, ni leur numéro d'inscription au répertoire national d'identification des personnes physiques, ni leur adresse. Les numéros d'identification des professionnels de santé sont conservés et gérés séparément des autres données.
« II.-Un décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés, détermine les données à caractère personnel qui, en raison du risque d'identification directe des personnes concernées, sont confiées à un organisme distinct du responsable du système national des données de santé et des responsables des traitements.
« Cet organisme est seul habilité à détenir le dispositif de correspondance permettant de réidentifier les personnes à partir des données du système national des données de santé. Il assure la sécurité de ce dispositif.
« III.-La Commission nationale de l'informatique et des libertés peut autoriser l'accès aux données détenues par l'organisme mentionné au II du présent article, dans les conditions prévues par la loi n° 78-17 du 6 janvier 1978 précitée, quand il est nécessaire :
« 1° Pour avertir une personne d'un risque sanitaire grave auquel elle est exposée ou pour lui proposer de participer à une recherche ;
« 2° Pour la réalisation d'un traitement à des fins de recherche, d'étude ou d'évaluation si le recours à ces données est nécessaire, sans solution alternative, à la finalité du traitement et proportionné aux résultats attendus.
« Art. L. 1461-5.-L'accès aux données de santé autres que celles mentionnées à l'article L. 1461-2 est gratuit pour :
« 1° Les recherches, les études ou les évaluations demandées par l'autorité publique ;
« 2° Les recherches réalisées exclusivement pour les besoins de services publics administratifs.
« Art. L. 1461-6.-Pour les finalités de recherche, d'étude ou d'évaluation, la mise à disposition des données des composantes du système national des données de santé mentionnées aux 1° à 5° du I de l'article L. 1461-1 est régie par le présent chapitre.
« Art. L. 1461-7.-Un décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés :
« 1° Désigne les organismes chargés de gérer la mise à disposition effective des données du système national des données de santé et détermine leurs responsabilités respectives ;
« 2° Dresse la liste des catégories de données réunies au sein du système national des données de santé et des modalités d'alimentation du système national des données de santé, y compris par les organismes d'assurance maladie complémentaire ;
« 3° Fixe, dans les limites prévues au III de l'article L. 1461-3, la liste des services, des établissements ou des organismes bénéficiant de l'autorisation mentionnée au même III ;
« 4° Fixe les conditions de désignation et d'habilitation des personnes autorisées à accéder au système national des données de santé ;
« 5° Fixe les conditions de gestion et de conservation séparées des données permettant une identification directe des personnes en application de l'article L. 1461-4 et détermine l'organisme à qui sont confiées ces données ;
« 6° Détermine les modalités selon lesquelles les organismes mentionnés au 1° du présent article garantissent à toute personne qui leur en fait la demande, en application de l'article 56 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, que ses données de santé à caractère personnel ne seront pas mises à disposition dans le cadre du 1° du I de l'article L. 1461-3 du présent code.
« Chapitre II
« Institut national des données de santé
« Art. L. 1462-1.-Un groupement d'intérêt public, dénommé : “ Institut national des données de santé ”, est constitué entre l'Etat, des organismes assurant une représentation des malades et des usagers du système de santé, des producteurs de données de santé et des utilisateurs publics et privés de données de santé, y compris des organismes de recherche en santé.
« Il est notamment chargé :
« 1° De veiller à la qualité des données de santé et aux conditions générales de leur mise à disposition, garantissant leur sécurité et facilitant leur utilisation dans le respect de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
« 2° D'assurer le secrétariat unique mentionné à l'article 54 de la même loi ;
« 3° D'émettre un avis sur le caractère d'intérêt public que présente une recherche, une étude ou une évaluation, dans les conditions prévues au même article 54 ;
« 4° De faciliter la mise à disposition d'échantillons ou de jeux de données agrégées mentionnées au V dudit article 54, dans des conditions préalablement homologuées par la Commission nationale de l'informatique et des libertés ;
« 5° De contribuer à l'expression des besoins en matière de données anonymes et de résultats statistiques, en vue de leur mise à la disposition du public.
« Il publie chaque année un rapport transmis au Parlement. »
II.-Au premier alinéa du I de l'article L. 1451-1 du même code, après la référence : « L. 1431-1, », est insérée la référence : « L. 1462-1, ».
III.-L'article L. 161-28-1 du code de la sécurité sociale est ainsi modifié :
1° Après le 3°, il est inséré un 4° ainsi rédigé :
« 4° A la constitution du système national des données de santé, mentionné à l'article L. 1461-1 du code de la santé publique. » ;
2° Au dernier alinéa, les mots : « l'anonymat » sont remplacés par les mots : « la vie privée ».
IV.-L'article L. 161-29 du code de la sécurité sociale est ainsi modifié :
1° L'avant-dernier alinéa est ainsi rédigé :
« Le personnel des organismes d'assurance maladie est soumis au secret professionnel dans les conditions et sous les peines prévues à l'article 226-13 du code pénal. » ;
2° Au dernier alinéa, les mots : « après consultation du comité national paritaire de l'information médicale visé à l'article L. 161-30 et » sont supprimés.
V.-L'article L. 2223-42 du code général des collectivités territoriales est ainsi modifié :
1° Le deuxième alinéa est ainsi modifié :
a) La première phrase est complétée par les mots : « et qui ont accès aux données relatives aux causes médicales de décès pour l'accomplissement de leurs missions » ;
b) A la seconde phrase, après le mot : « fixe », sont insérés les mots : « le périmètre des accès ainsi que » ;
2° Après le 2°, sont insérés des 3° à 5° ainsi rédigés :
« 3° Pour les recherches, les études ou les évaluations dans le domaine de la santé, dans les conditions fixées à l'article L. 1461-3 du code de la santé publique ;
« 4° Pour alimenter le système national des données de santé défini à l'article L. 1461-1 du même code ;
« 5° Pour l'établissement de statistiques dans le cadre de l'article 7 bis de la loi n° 51-711 du 7 juin 1951 sur l'obligation, la coordination et le secret en matière de statistiques, par l'Institut national de la statistique et des études économiques ou par les services statistiques du ministre chargé de la santé. Ces données doivent être conservées séparément des données du répertoire national d'identification des personnes physiques détenues par l'Institut national de la statistique et des études économiques. »
VI.-L'article L. 1435-6 du code de la santé publique est ainsi rédigé :
« Art. L. 1435-6.-L'agence régionale de santé a accès aux données nécessaires à l'exercice de ses missions contenues dans les systèmes d'information des établissements de santé et des établissements et services médico-sociaux ainsi que, dans les conditions prévues à l'article L. 1461-2, aux données des organismes d'assurance maladie et de la Caisse nationale de solidarité pour l'autonomie. Elle a également accès, dans les conditions définies au III de l'article L. 1461-3, aux données du système national des données de santé.
« L'agence régionale de santé est tenue informée par les organismes situés dans son ressort de tout projet concernant l'organisation et le fonctionnement de leurs systèmes d'information. Le directeur général de l'agence détermine, en fonction de la situation sanitaire, pour chaque établissement, service et organisme, les données utiles que celui-ci doit transmettre de façon régulière, notamment les disponibilités en lits et places. Le directeur général de l'agence décide également de la fréquence de mise à jour et de transmission des données issues des établissements de soins et des établissements et services médico-sociaux.
« Les agents de l'agence régionale de santé n'ont accès aux données de santé à caractère personnel que si elles sont strictement nécessaires à l'accomplissement de leurs missions. Ils sont tenus au secret professionnel. Lorsque ces données sont utilisées à des fins d'étude, elles ne comportent ni le nom, ni le numéro d'inscription au répertoire national d'identification des personnes physiques et des précautions sont prises pour assurer la traçabilité des accès, dans le respect de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. »
VII.-L'article L. 1111-8-1 du code de la santé publique est ainsi rédigé :
« Art. L. 1111-8-1.-I.-Le numéro d'inscription au répertoire national d'identification des personnes physiques est utilisé comme identifiant de santé des personnes pour leur prise en charge à des fins sanitaires et médico-sociales, dans les conditions prévues à l'article L. 1110-4.
« Un décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés, précise les modalités d'utilisation de cet identifiant, notamment afin d'en empêcher l'utilisation à des fins autres que sanitaires et médico-sociales.
« Les dispositions de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés prescrivant une procédure particulière d'autorisation à raison de l'utilisation du numéro d'inscription au répertoire national d'identification des personnes physiques dans un traitement de données à caractère personnel ne sont pas applicables aux traitements qui utilisent ce numéro exclusivement dans les conditions prévues au présent I.
« II.-Par dérogation au I, le traitement de l'identifiant de santé peut être autorisé à des fins de recherche dans le domaine de la santé, dans les conditions prévues au chapitre IX de la loi n° 78-17 du 6 janvier 1978 précitée. La Commission nationale de l'informatique et des libertés peut imposer que le numéro d'inscription au répertoire national d'identification des personnes physiques soit alors confié à un organisme tiers, distinct du responsable de traitement, habilité à détenir cet identifiant et chargé de procéder aux appariements nécessaires. Un arrêté du ministre chargé de la santé, pris après avis de la Commission nationale de l'informatique et des libertés, précise les modalités d'application du présent article. »
VIII.-La loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés est ainsi modifiée :
1° A la seconde phrase du 2° de l'article 6, les références : « aux chapitres IX et X » sont remplacées par la référence : « au chapitre IX » ;
2° L'article 8 est ainsi modifié :
a) Au 8° du II, après le mot : « recherche », sont insérés les mots : «, aux études et évaluations » ;
b) A la seconde phrase du III, les références : « des chapitres IX et X » sont remplacées par la référence : « du chapitre IX » ;
c) Au IV, la référence : « au I de l'article 25 » est remplacée par les références : « aux I et V de l'article 22 » ;
3° Le dixième alinéa de l'article 15 est supprimé ;
4° L'article 22 est complété par un V ainsi rédigé :
« V.-Les traitements de données de santé à caractère personnel mis en œuvre par les organismes ou les services chargés d'une mission de service public figurant sur une liste fixée par arrêté des ministres chargés de la santé et de la sécurité sociale, pris après avis de la Commission nationale de l'informatique et des libertés, afin de répondre, en cas de situation d'urgence, à une alerte sanitaire, au sens de l'article L. 1413-2 du code de la santé publique, sont soumis au régime de la déclaration préalable prévu au présent article. Le responsable de traitement rend compte chaque année à la Commission nationale de l'informatique et des libertés des traitements ainsi mis en œuvre.
« Les conditions dans lesquelles ces traitements peuvent utiliser le numéro d'inscription au répertoire national d'identification des personnes physiques sont définies par décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés. » ;
5° L'article 27 est complété par un IV ainsi rédigé :
« IV.-Le 1° des I et II du présent article n'est pas applicable :
« 1° Aux traitements à des fins de recherche, d'étude ou d'évaluation dans le domaine de la santé, qui sont soumis au chapitre IX de la présente loi ;
« 2° Aux traitements mis en œuvre afin de répondre à une alerte sanitaire en cas de situation d'urgence, qui sont soumis au V de l'article 22. » ;
6° Le chapitre IX est ainsi modifié :
a) Après le mot : « personnel », la fin de l'intitulé est ainsi rédigée : « à des fins de recherche, d'étude ou d'évaluation dans le domaine de la santé » ;
b) Les articles 53 et 54 sont ainsi rédigés :
« Art. 53.-Les traitements automatisés de données à caractère personnel ayant pour finalité la recherche ou les études dans le domaine de la santé ainsi que l'évaluation ou l'analyse des pratiques ou des activités de soins ou de prévention sont soumis à la présente loi, à l'exception des articles 23 et 24, du I de l'article 25 et des articles 26,32 et 38.
« Toutefois, le présent chapitre n'est pas applicable :
« 1° Aux traitements de données à caractère personnel ayant pour fin le suivi thérapeutique ou médical individuel des patients ;
« 2° Aux traitements permettant d'effectuer des études à partir des données recueillies en application du 1° lorsque ces études sont réalisées par les personnels assurant ce suivi et destinées à leur usage exclusif ;
« 3° Aux traitements effectués à des fins de remboursement ou de contrôle par les organismes chargés de la gestion d'un régime de base d'assurance maladie ;
« 4° Aux traitements effectués au sein des établissements de santé par les médecins responsables de l'information médicale, dans les conditions prévues au deuxième alinéa de l'article L. 6113-7 du code de la santé publique ;
« 5° Aux traitements effectués par les agences régionales de santé, par l'Etat et par la personne publique désignée par lui en application du premier alinéa de l'article L. 6113-8 du même code, dans le cadre défini au même article ;
« 6° Aux traitements mis en œuvre par les organismes ou les services chargés d'une mission de service public figurant sur une liste fixée par arrêté des ministres chargés de la santé et de la sécurité sociale, pris après avis de la Commission nationale de l'informatique et des libertés, afin de répondre à une alerte sanitaire, dans les conditions prévues au V de l'article 22.
« Art. 54.-I.-Les traitements de données à caractère personnel ayant une finalité d'intérêt public de recherche, d'étude ou d'évaluation dans le domaine de la santé sont autorisés par la Commission nationale de l'informatique et des libertés, dans le respect des principes définis par la présente loi et en fonction de l'intérêt public que la recherche, l'étude ou l'évaluation présente.
« II.-La Commission nationale de l'informatique et des libertés prend sa décision après avis :
« 1° Du comité compétent de protection des personnes mentionné à l'article L. 1123-6 du code de la santé publique, pour les demandes d'autorisation relatives aux recherches impliquant la personne humaine mentionnées à l'article L. 1121-1 du même code ;
« 2° Du comité d'expertise pour les recherches, les études et les évaluations dans le domaine de la santé, pour les demandes d'autorisation relatives à des études ou à des évaluations ainsi qu'à des recherches n'impliquant pas la personne humaine, au sens du 1° du présent II.
« Le comité d'expertise est composé de personnes choisies en raison de leur compétence, dans une pluralité de disciplines. Un décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés, précise la composition du comité et définit ses règles de fonctionnement. Il peut prévoir l'existence de plusieurs sections au sein du comité, compétentes en fonction de la nature ou de la finalité du traitement. Le comité d'expertise est soumis à l'article L. 1451-1 du code de la santé publique.
« Le comité d'expertise émet, dans un délai d'un mois à compter de sa saisine, un avis sur la méthodologie retenue, sur la nécessité du recours à des données à caractère personnel, sur la pertinence de celles-ci par rapport à la finalité du traitement et, s'il y a lieu, sur la qualité scientifique du projet. Le cas échéant, le comité recommande aux demandeurs des modifications de leur projet afin de le mettre en conformité avec les obligations prévues par la présente loi. A défaut d'avis du comité dans le délai d'un mois, l'avis est réputé favorable. En cas d'urgence, ce délai peut être ramené à quinze jours.
« Dans des conditions définies par décret en Conseil d'Etat, l'Institut national des données de santé, prévu à l'article L. 1462-1 du code de la santé publique, peut être saisi par la Commission nationale de l'informatique et des libertés ou le ministre chargé de la santé sur le caractère d'intérêt public que présente la recherche, l'étude ou l'évaluation justifiant la demande de traitement ; il peut également évoquer le cas de sa propre initiative. Dans tous les cas, il rend un avis dans un délai d'un mois à compter de sa saisine.
« Les dossiers présentés dans le cadre du présent chapitre, à l'exclusion des recherches mentionnées aux 1° et 2° de l'article L. 1121-1 du code de la santé publique et de celles mentionnées au 3° du même article L. 1121-1 portant sur des produits mentionnés à l'article L. 5311-1 du même code, sont déposés auprès d'un secrétariat unique, qui assure leur orientation vers les instances compétentes.
« III.-Pour chaque demande, la Commission nationale de l'informatique et des libertés vérifie les garanties présentées par le demandeur pour l'application des présentes dispositions et la conformité de sa demande à ses missions ou à son objet social. Si le demandeur n'apporte pas d'éléments suffisants pour attester la nécessité de disposer de certaines informations parmi l'ensemble des données à caractère personnel dont le traitement est envisagé, la commission peut interdire la communication de ces informations par l'organisme qui les détient et n'autoriser le traitement que pour ces données réduites.
« La commission statue sur la durée de conservation des données nécessaires au traitement et apprécie les dispositions prises pour assurer leur sécurité et la garantie des secrets protégés par la loi.
« IV.-Pour les catégories les plus usuelles de traitements automatisés de données de santé à caractère personnel à des fins de recherche, d'étude ou d'évaluation dans le domaine de la santé, la Commission nationale de l'informatique et des libertés peut homologuer et publier des méthodologies de référence destinées à simplifier la procédure d'examen. Celles-ci sont établies en concertation avec le comité d'expertise et des organismes publics et privés représentatifs des acteurs concernés.
« V.-Des jeux de données agrégées ou des échantillons, issus des traitements des données de santé à caractère personnel pour des finalités et dans des conditions reconnues conformes à la présente loi par la Commission nationale de l'informatique et des libertés, peuvent faire l'objet d'une mise à disposition, dans des conditions préalablement homologuées par la commission, sans que l'autorisation prévue au I du présent article soit requise.
« VI.-La commission peut, par décision unique, délivrer à un même demandeur une autorisation pour des traitements répondant à une même finalité, portant sur des catégories de données identiques et ayant des catégories de destinataires identiques. » ;
c) L'article 55 est ainsi modifié :
-le deuxième alinéa est ainsi rédigé :
« Lorsque ces données permettent l'identification des personnes, leur transmission doit être effectuée dans des conditions de nature à garantir leur confidentialité. La Commission nationale de l'informatique et des libertés peut adopter des recommandations ou des référentiels sur les procédés techniques à mettre en œuvre. » ;
-à la première phrase de l'avant-dernier alinéa, les mots : « de la recherche » sont supprimés ;
d) L'article 57 est ainsi modifié :
-au début du premier alinéa, est ajoutée la mention : « I.-» ;
-le dernier alinéa est supprimé ;
-sont ajoutés des II et III ainsi rédigés :
« II.-Lorsque les données à caractère personnel ont été initialement recueillies pour un autre objet que la recherche, l'étude ou l'évaluation, il peut être dérogé, sous réserve du III, à l'obligation d'information définie au I :
« 1° Pour les traitements nécessaires à la conservation de ces données à des fins historiques, statistiques ou scientifiques, dans les conditions prévues au livre II du code du patrimoine ;
« 2° Lorsque l'information individuelle se heurte à la difficulté de retrouver les personnes concernées.
« Les demandes de dérogation à l'obligation d'informer les personnes de l'utilisation de données les concernant à des fins de recherche, d'étude ou d'évaluation sont justifiées dans le dossier de demande d'autorisation transmis à la Commission nationale de l'informatique et des libertés, qui statue sur ce point.
« III.-Par dérogation au I, quand les recherches, les études ou les évaluations recourent à des données de santé à caractère personnel non directement identifiantes recueillies à titre obligatoire et destinées aux services ou aux établissements de l'Etat ou des collectivités territoriales ou aux organismes de sécurité sociale, l'information des personnes concernées quant à la réutilisation possible de ces données, à des fins de recherche, d'étude ou d'évaluation, et aux modalités d'exercice de leurs droits est assurée selon des modalités définies par décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés. » ;
e) A l'article 61, les mots : « la Communauté » sont remplacés par les mots : « l'Union » et les mots : « ayant pour fin la recherche » sont remplacés par les mots : « à des fins de recherche, d'étude ou d'évaluation » ;
7° Le chapitre X est abrogé ;
8° Au second alinéa de l'article 72, les mots : « deuxième alinéa de l'article 54, le comité consultatif » sont remplacés par les mots : « cinquième alinéa du II de l'article 54, le comité d'expertise ».
IX.-L'article L. 225-1 du code de la recherche est ainsi modifié :
1° A la fin du premier alinéa, les mots : «, notamment par son article 54 ci-après reproduit : » sont supprimés ;
2° Les deuxième à dernier alinéas sont supprimés.
X.-Le groupement d'intérêt public « Institut des données de santé », mentionné à l'article L. 161-36-5 du code de la sécurité sociale, dans sa rédaction antérieure à la présente loi, devient le groupement d'intérêt public « Institut national des données de santé », mentionné à l'article L. 1462-1 du code de la santé publique, à la date d'approbation de la convention constitutive de celui-ci. L'Institut national des données de santé se substitue à l'Institut des données de santé dans l'ensemble des droits et obligations de ce dernier.
XI.-Les organismes bénéficiant, à la date de la publication de la présente loi, d'un accès à tout ou partie du système national d'information interrégimes de l'assurance maladie mentionné à l'article L. 161-28-1 du code de la sécurité sociale conservent cet accès, dans les mêmes conditions, pendant une durée de trois ans à compter de cette publication.
XII.-Les autorisations délivrées par la Commission nationale de l'informatique et des libertés sur le fondement des chapitres IX et X de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dans leur rédaction antérieure à l'entrée en vigueur de la présente loi, demeurent applicables sauf modification de l'un des éléments mentionnés à l'article 30 de la même loi.
XIII.-Les articles L. 161-30 et L. 161-36-5 du code de la sécurité sociale sont abrogés.
XIV.-L'article L. 5121-28 du code de la santé publique est abrogé.