Après avoir entendu Mme Valérie PEUGEOT, commissaire, en son rapport, et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La Commission a été saisie par la ministre des affaires sociales et de la santé (ci-après le « ministère ») d'une demande d'avis sur un projet de décret en Conseil d'Etat relatif au Système national des données de santé (ci-après le « projet »).
Ce projet fixe le cadre réglementaire du Système national des données de santé (ci-après le « SNDS »). Il est pris en application des articles L. 1461-1 et suivants du code de la santé publique (ci-après « CSP ») tels que modifiés par l'article 193 de la loi n° 2016-41 de modernisation de notre système de santé du 26 janvier 2016.
Conformément à l'article L. 1461-1 du CSP, la Caisse nationale de l'assurance maladie des travailleurs salariés (ci-après la « CNAMTS ») est le responsable du traitement.
Le présent projet vise à :
- désigner les organismes chargés de gérer la mise à disposition effective des données du SNDS et déterminer leurs responsabilités respectives ;
- dresser la liste des catégories de données réunies au sein du SNDS et des modalités d'alimentation du SNDS ;
- fixer, dans les limites prévues au III de l'article L. 1461-3 du CSP, la liste des services, des établissements ou des organismes bénéficiant de l'autorisation de traiter les données du SNDS pour les besoins de leurs missions de service public ;
- fixer les conditions de désignation et d'habilitation des personnes autorisées à accéder au SNDS ;
- déterminer les modalités selon lesquelles les organismes chargés de gérer la mise à disposition effective des données du SNDS garantissent à toute personne qui leur en fait la demande, en application de l'article 56 de la loi Informatique et Libertés, que ses données de santé à caractère personnel ne seront pas mises à disposition dans le cadre du 1° du I de l'article L. 1461-3 du CSP.
La Commission a été concomitamment saisie d'un projet de décret en Conseil d'Etat visant à modifier le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi Informatique et Libertés. Ce projet vise à permettre l'application des dispositions relatives au traitement du numéro d'inscription au répertoire national d'identification des personnes physiques en cas d'alerte sanitaire et à celles relatives à la fusion des chapitres IX et X de la loi Informatique et Libertés.
Un autre décret d'application prévu par l'article 193 de la loi du 26 janvier 2016, relatif aux données à caractère personnel qui, en raison du risque d'identification directe des personnes concernées, sont confiées à un organisme distinct du responsable du SNDS et des responsables des traitements, est attendu pour compléter l'encadrement du dispositif.
A titre liminaire, la Commission observe que le SNDS est susceptible de permettre l'accès à des données de santé à caractère personnel concernant l'ensemble des bénéficiaires de l'assurance maladie. Elle relève également que le nombre d'utilisateurs potentiels du SNDS est susceptible d'être élevé et que le législateur a prévu que certains de ces utilisateurs y auront un accès permanent.
Dès lors, elle considère que la création de ce nouveau traitement de données à caractère personnel d'ampleur nationale doit être assortie de garanties particulières, notamment en termes de gestion des habilitations, de confidentialité et de sécurité des données, compte tenu des risques d'atteinte à l'intimité et à la vie privée des personnes.
Sur la mise à disposition des données du SNDS :
Le projet d'article R. 1461-2 prévoit que la CNAMTS peut charger l'Institut national de la santé et de la recherche médicale (INSERM) d'assurer la réalisation des extractions et la mise à disposition effective de données du SNDS. Une convention doit être signée entre ces deux organismes afin de préciser le service de l'INSERM chargé d'assurer ces opérations et les responsabilités respectives des parties.
Sans préjuger de la légalité du renvoi de la détermination des responsabilités à une convention, alors que l'article L. 1461-7 du CSP prévoit qu'elle relève du décret en Conseil d'Etat, la Commission précise que le ministère lui a adressé le projet de convention entre l'INSERM et la CNAMTS à l'appui de la présente demande d'avis.
La Commission relève que le projet de convention prévoit plusieurs garanties de nature à protéger la confidentialité des données du SNDS :
- le service de l'INSERM disposera d'un correspondant informatique et libertés ;
- les modalités de mise à disposition des données doivent être conformes au référentiel de sécurité du SNDS (pris par un arrêté dont la Commission a été saisie le 10 octobre) et aux standards de sécurité fixés par la PGSSI-S ;
- l'utilisation du NIR à des fins d'appariement sera effectuée en conformité avec les textes réglementaires applicables. A cet égard, la Commission rappelle que l'article L. 1111-8-1-II du CSP prévoit qu'un arrêté du ministre chargé de la santé, pris après avis de la CNIL, doit préciser les modalités d'appariement des données à partir du NIR, à des fins de recherche dans le domaine de la santé ;
- il est rappelé l'obligation de ne pas utiliser les données extraites du SNDS pour des finalités non conformes à celles prévues par les textes et les autorisations délivrées par la CNIL ;
- l'INSERM tiendra des registres de suivi qui seront mis à la disposition de la CNAMTS et des autorités de contrôle (liste des extractions de données avec leurs finalités, liste des demandes d'accès au SNDS avec leur état d'avancement, liste des personnels habilités à réaliser des extractions, description des mesures de sécurité).
La Commission prend acte de ce qu'elle sera tenue informée de toute modification substantielle de la convention ainsi que de son éventuel renouvellement à l'issue du terme initial de 5 ans.
Par ailleurs, la Commission relève que le projet de convention envisage le recours par l'INSERM à des prestataires de service qui pourraient accéder aux données du SNDS.
Elle s'interroge sur la capacité de l'INSERM à recourir à de tels prestataires dans la mesure où l'article R. 1461-4-1 du projet réserve l'accès aux données du SNDS, en vue de leur mise à disposition, aux « personnels ou prestataires » s'agissant de la CNAMTS ou aux seuls « personnels dont les missions le justifient » s'agissant de l'INSERM.
Plus généralement, elle estime que le recours aux tiers, qu'il s'agisse de prestataires techniques ou de chercheurs, doit être ponctuel et strictement encadré afin de ne pas affaiblir la sécurité de l'ensemble du dispositif.
Par ailleurs, le projet d'article R. 1461-4-IV, en ce qu'il prévoit un encadrement général des habilitations pourrait être interprété comme octroyant à un organisme bénéficiant d'un accès permanent le pouvoir de donner accès librement au SNDS aux personnes de son choix.
Afin d'éviter une telle interprétation, la Commission demande que le décret soit précisé et qu'il limite clairement les possibilités d'habilitation par un organisme disposant d'un accès permanent à son personnel ainsi qu'aux chercheurs externes et aux prestataires, agissant au nom et pour le compte de cet organisme et dans le strict cadre des missions de ce dernier. Ces accès à des prestataires et chercheurs devraient en tout état de cause être ponctuels et limités aux seuls besoins du projet concerné et n'être utilisés qu'à cette fin.
La Commission rappelle qu'en vertu de l'article 35 de la loi Informatique et Libertés, l'intervention d'un sous-traitant doit être formalisée dans un contrat prévoyant les obligations lui incombant en matière de protection de la sécurité et de la confidentialité des données. En application de ce même article, le responsable du traitement reste tenu d'une obligation de veiller au respect des mesures de sécurité et de confidentialité mentionnées à l'article 34 de la loi Informatique et Libertés.
Enfin, la Commission estime que le décret devrait rappeler dans son article R. 1461-5 que tout autre accès aux données à caractère personnel du SNDS à des fins de recherche, d'étude ou d'évaluation qui n'entre pas dans le cadre de l'article R. 1461-4 est soumis à la procédure définie au chapitre IX de la loi Informatique et Libertés.
Afin que les recours aux tiers soient efficacement suivis, la Commission recommande que le registre tenu par le CIL de chaque organisme détaille les prestataires et chercheurs ayant accès aux données du SNDS, ainsi que leurs qualités et le périmètre de leurs accès.
Sur la nature des données du SNDS :
En vertu de l'article L. 1461-1-I du CSP, le SNDS a vocation à regrouper les données de santé ville-hôpital (SNI IRAM-PMSI), les causes médicales de décès (CépiDC), les données issues des Maisons départementales des personnes handicapées (MDPH) ainsi qu'un échantillon de données de remboursement d'assurance maladie complémentaire.
Le projet d'article R. 1461-3 détaille les catégories de données issues de ces différentes sources et précise en son dernier alinéa qu'il « ne comporte aucune autre donnée que celles de ses composantes telles que prévues à l'article L. 1461-1 du code de la santé publique ».
Même si le SNDS ne comportera ni les noms et prénoms des personnes, ni leur NIR, ni leur adresse, des informations relatives à leur prise en charge médicale, médico-sociale, sanitaire et financière seront accessibles ainsi que des informations relatives aux arrêts de travail et au décès. Ainsi, un grand nombre des données appelées à y figurer sont des données individuelles relatives à la santé qui sont donc des données sensibles au sens de l'article 8 de la loi Informatique et Libertés.
S'agissant des informations relatives aux professionnels de santé, le projet d'article R. 1461-3-V prévoit que des numéros d'identification des professionnels seront utilisés. La Commission rappelle qu'ils doivent être conservés et gérés séparément des autres données en application de l'article L. 1461-4-I du code de la santé publique.
Le projet d'article R. 1461-3 ouvre la possibilité de constituer des jeux de données agrégées et semi-agrégées ainsi que des échantillons généralistes de bénéficiaires. Les modalités de constitution de tels jeux de données et échantillons ne sont pas encore déterminées mais la Commission attire l'attention du ministère sur l'accroissement des risques de réidentification des personnes induit par la mise à disposition de multiples échantillons. Elle recommande qu'une analyse de risques soit menée avant la constitution de chaque nouvel échantillon ou nouveau jeu de données,
tenant compte notamment du niveau d'agrégation, de la taille des échantillons, des identifiants potentiels et des possibilités d'appariement avec d'autres jeux de données.
La Commission prend acte de ce que le projet prévoit la diffusion de la liste détaillée des données sur le portail snds.gouv.fr et qu'elle sera informée de la constitution de nouveaux échantillons.
Enfin, elle rappelle qu'en vertu de l'article L. 1461-2 du CSP, seules des « statistiques agrégées ou de [s] données individuelles constituées de telle sorte que l'identification, directe ou indirecte, des personnes concernées y est impossible » sont mises à disposition du public gratuitement et sans formalités préalables.
Sauf ce cas de mise à disposition gratuite, et en dehors des accès de droit prévus par le projet, toute demande de constitution d'échantillon de données individuelles du SNDS est soumise à la procédure d'autorisation prévue par le chapitre IX de la loi Informatique et Libertés. Sont ainsi concernés les services, établissements ou organismes bénéficiant d'un accès de droit qui souhaiteraient traiter des données qui ne sont pas comprises dans le périmètre de cet accès, de même que tous les organismes, publics ou privés, ne bénéficiant pas d'une autorisation de traiter les données du SNDS en application du présent projet.
Sur les bénéficiaires d'accès permanents et les conditions d'habilitation :
Le projet d'article R. 1461-4 fixe la liste des services de l'Etat, des établissements publics ou des organismes chargés d'une mission de service public autorisés à traiter des données du SNDS pour les besoins de leurs missions.
Sans méconnaître l'intérêt de l'exploitation des données de santé par les acteurs chargés d'une mission d'intérêt public, la Commission souligne l'importance que le décret détermine finement l'étendue de leur autorisation, leurs conditions d'accès aux données et celles de la gestion de leurs accès afin que l'ouverture des données de santé s'accomplisse dans le respect de la vie privée. Ceci apparaît d'autant plus nécessaire que ces organismes n'auront pas d'autorisation préalable à solliciter pour l'ensemble des accès aux données qui rentrent dans le champ de leur autorisation définie par le décret.
Le projet d'article R. 1461-4 distingue les niveaux d'accès autorisés selon la profondeur historique des données (le standard est de 5 ans mais les autorisations peuvent aller jusqu'à 9 et 19 ans en plus de l'année en cours) et la sensibilité des données.
La sensibilité des données est définie selon la même logique que celle qui a présidé à l'organisation des accès aux données du SNIIRAM. Ainsi, les variables sensibles, désormais appelées « identifiants potentiels », sont la date de naissance en mois et année, le code de la commune de résidence et ses subdivisions, la date exacte des soins, la date exacte du décès et le code de la commune de décès. Cette dernière variable est une nouveauté due à la présence d'informations relatives au décès dans le SNDS.
La combinaison de la profondeur des données avec leur sensibilité conduit à définir les accès selon 7 niveaux, du plus large au plus restreint :
- ensemble des données individuelles avec croisement des identifiants potentiels, et accès au numéro d'identification des professionnels de santé en clair ;
- ensemble des données individuelles avec croisement des identifiants potentiels sans accès au numéro d'identification des professionnels de santé ;
- ensemble des données individuelles sans croisement des identifiants potentiels ;
- échantillons de données avec croisement des identifiants potentiels ;
- échantillons de données avec croisement limité à deux identifiants potentiels ;
- données seuil-agrégées (individualisées pour les professionnels de santé mais agrégées pour les bénéficiaires) ;
- données agrégées.
Le projet d'article R. 1461-4 prévoit que seuls les organismes d'assurance maladie obligatoire et les agences régionales de santé, sur leur champ de compétence territoriale, peuvent accéder au numéro d'identification des professionnels de santé. Les autres organismes ne peuvent avoir accès qu'à « un pseudonyme construit à partir de ce numéro ».
La Commission prend acte de ce que ce pseudonyme sera construit selon un procédé cryptographique irréversible et recommande que le projet le précise.
Du plus large au plus restreint, les accès permanents au SNDS peuvent être résumés ainsi
- l'accès à l'ensemble des données pour la CNAMTS, en tant que responsable de traitement et, par délégation, pour l'équipe dédiée de l'INSERM, en tant que coordinateur national d'infrastructures de recherche utilisant des données de santé ;
- l'accès à l'ensemble des données individuelles avec croisement ;
- sur une profondeur de 19 ans plus l'année en cours : la Haute autorité de santé et les agences sanitaires (ANSP, ANSM, EFS, InCA, ABM) ;
- sur 9 ans plus l'année en cours : la DREES, l'IRDES, l'ATIH, la CNSA, la CNAMTS (pour ses besoins propres d'exploitation des données du SNDS et non en sa qualité de responsable de traitement) et les ARS sur leurs champs de compétence régional et interrégional ;
- sur 5 ans plus l'année en cours : la DGS, la DGOS, la CCMSA, la CNRSI, l'INDS, l'INED, la FNORS et les ORS sur leur périmètre régional ; les ARS et les organismes locaux et régionaux de l'assurance maladie obligatoire sur leur périmètre d'intervention ; et le service de santé des armées sur le champ couvert par la caisse nationale des militaires ;
- l'accès à l'ensemble des données individuelles sans croisement des variables sensibles sur 5 années plus l'année en cours pour la DG Trésor ;
- l'accès restreint aux échantillons avec croisement des identifiants potentiels ainsi qu'aux données semi-agrégées et agrégées : l'INSERM (pour ses besoins propres d'exploitation des données du SNDS et non en sa qualité de coordinateur national d'infrastructures de recherche), les CHU et I'EFIESP ,
- l'accès restreint aux échantillons avec croisement possible de deux identifiants ainsi qu'aux données semi-agrégées et agrégées : la DSS, I'IRSN, le HCAAM, le Fonds CMU, I'OFDT, I'ANAP, I'INC et l'ASN ;
- l'accès restreint aux données agrégées et semi-agrégées : les URPS.
La Commission relève que les accès existants aux données du SNIIRAM ne sont pas remis en cause et que le projet poursuit une logique d'ouverture des accès aux données tout en définissant les niveaux d'accès de manière plus fine que pour le SNIIRAM.
Concernant les bénéficiaires d'accès :
A l'appui de la demande d'avis, le ministère a fourni une fiche pour chaque organisme demandeur d'un accès permanent au SNDS décrivant :
- ses missions, en particulier celle(s) concemée(s) par l'accès au SNDS, et leur(s) base(s) légale(s) ;
- ses accès actuels aux données du SNIIRAM et aux autres jeux de données qui pourront être versés dans le SNDS, ainsi que l'explication de leurs éventuelles insuffisances ;
- l'accès demandé aux données du SNDS, avec en particulier
- les finalités poursuivies,
- les jeux de données concernés,
- sur les bénéficiaires, la justification d'accès aux identifiants potentiels,
- le cas échéant sur les professionnels de santé, si le numéro d'identification est nécessaire ;
- le nombre et les profils des utilisateurs ainsi que la procédure de gestion des habilitations.
La Commission relève que, en cumulant la trentaine d'organismes demandeurs, ce sont plus de deux mille utilisateurs potentiels qui auront accès au SNDS, voire jusqu'à trois mille en comptant l'intégralité des Unions régionales des professionnels de santé (URPS). Sur ce total, plus de cinq cents utilisateurs seront dans des organismes qui ne possèdent pas aujourd'hui d'accès direct aux données du SNIIRAM ou du PMSL
En outre, la plupart des organismes demandent l'accès à des données individuelles du SNDS, avec croisement de plusieurs identifiants potentiels pour reconstituer les parcours individuels de soins ville-hôpital, travailler sur des zones géographiques et socio-économiques fines, et suivre des populations ciblées (âge, pathologie, etc.).
Sans méconnaître la légitimité des besoins des organismes précités, la Commission demande, au vu du nombre d'utilisateurs potentiels du SNDS, du périmètre et de la sensibilité des données de santé auxquelles ils auront accès, que la CNAMTS mette en place un programme permanent et renforcé de formation, de sensibilisation et d'accompagnement des utilisateurs du SNDS, dans la continuité de ce qui est fait aujourd'hui pour le SNIIRAM.
Concernant la gestion des habilitations d'accès
En premier lieu, le projet prévoit que les directeurs, directeurs généraux et présidents directeurs généraux des services de l'État, des établissements ou des organismes
bénéficiant d'une autorisation de traiter les données du SNDS habilitent, sous leur responsabilité, des personnes nommément désignées à accéder aux données du SNDS. Seules sont habilitées des personnes, en nombre limité, spécialement formées, dans le cadre de leurs fonctions et pour l'accomplissement de leurs missions (point IV du projet d'article R. 1461-4).
La Commission en prend acte et estime en outre que les habilitations devraient être attribuées plus spécifiquement en fonction des projets nécessitant un accès aux données du SNDS. Elle propose que le décret soit complété en ce sens.
La Commission rappelle qu'elle recommande que les permissions d'accès soient attribuées pour une durée déterminée, après validation hiérarchique, qu'elles soient supprimées pour tout utilisateur n'étant plus habilité et qu'une revue globale des habilitations soit opérée régulièrement.
Elle rappelle également qu'en tant que responsable de traitement, la CNAMTS doit être en mesure de contrôler l'habilitation des personnels des organismes bénéficiant d'un accès permanent. A cet égard, elle prend acte de ce que la CNAMTS réalisera chaque année une revue des habilitations auprès des organismes.
La Commission relève par ailleurs que le projet impose la désignation d'un correspondant informatique et libertés au sein des organismes précités. Elle estime que de tels correspondants sont des vecteurs de sécurité juridique et informatique au sein de leurs organismes.
En second lieu, la Commission prend acte de ce que le référentiel de sécurité précisera les modalités de gestion des habilitations. Elle recommande la signature d'une charte utilisateur, la mise en oeuvre d'une revue régulière des habilitations et leur retrait en cas d'usage non autorisé ou non conforme à la charte.
Concernant les équipes de recherche des Centres hospitaliers universitaires (CHU), qui représentent plus de cinq cents utilisateurs potentiels, la Commission prend acte de ce que le ministère assurera un accompagnement et un suivi renforcé des CHU dans la gestion de leurs habilitations.
Concernant les personnels de la CNAMTS, la fiche indique qu' « à l'avenir, la cible serait de moduler la délégation de l'autorité d'enregistrement en fonction de la sensibilité des données. Ainsi, les directeurs de chaque direction interne de la CNAMTS conserveraient une fonction d'autorité d'enregistrement mais l'accès aux données les plus sensibles ne pourrait être ouvert que par l'autorité d'enregistrement principale selon des procédures internes adaptées, en lien avec le médecin conseil national. ».
La Commission est favorable à ce type de mesure et recommande sa mise en place dans les meilleurs délais.
S'agissant de la CNAMTS, mais aussi de l'INSERM et de la DREES, la Commission tient à souligner les risques inhérents aux multiples traitements de données du SNDS qu'ils mettent en oeuvre pour répondre aux différentes missions qui leur incombent.
En effet, la CNAMTS et l'INSERM présentent la singularité d'être à la fois chargés de mettre à disposition les données du SNDS et d'avoir besoin d'y accéder pour leurs propres projets de recherche, études ou évaluations.
S'agissant de l'INSERM en particulier, la Commission rappelle l'importance que les engagements envisagés dans la convention soient mis en oeuvre de manière effective et qu'ils se traduisent par des mesures organisationnelles, fonctionnelles et techniques concrètes afin de garantir le cloisonnement des données et des accès au sein de l'INSERM. La Commission prend acte de ce que le projet de convention renvoie l'élaboration de ces mesures à un dossier technique qui lui sera adressé et tenu à la disposition de la CNAMTS.
Concernant la DREES, elle bénéficie d'un accès de droit en vertu du présent projet mais peut également demander à accéder aux données du SNDS en tant que service statistique ministériel au sens de l'article ler de la loi n° 51-711 du 7 juin 1951 sur l'obligation, la coordination et le secret en matière de statistiques. De tels traitements relèvent d'une procédure particulière prévue par la loi du 7 juin 1951 et l'article 8-11-7° de la loi Informatique et Libertés.
La Commission prend acte de ce qu'un nombre réduit d'agents de la DREES sera initialement habilité à accéder aux données du SNDS et que la procédure d'habilitation sera distincte de celle mise en oeuvre pour les traitements relevant de la loi de 1951.
De même, la CNAMTS et l'INSERM géreront distinctement les habilitations relevant des utilisations dédiées à la réalisation d'études et celles dans le cadre de leur fonction d'opérateur et de gestionnaire.
En complément, la Commission renouvelle sa recommandation formulée à l'occasion de son avis sur la dernière modification de l'arrêté relatif au SNIIRAM et estime qu'un ensemble de mesures organisationnelles, fonctionnelles et techniques doivent être prévues pour l'habilitation des agents de ces trois organismes, pour le cloisonnement de leurs traitements mais aussi pour la validation des projets, selon la mission dans laquelle ils s'inscrivent.
Sur le respect des droits des personnes :
Le projet d'article R. 1461-7-1 du CSP prévoit que les modalités d'information des personnes auxquelles les données se rapportent sont fixées à l'article 32 de la loi du 6 janvier 1978 susvisée et à l'article 35 du décret d'application de la loi Informatique et Libertés.
Or, la Commission recommande que les modalités d'information respectent non seulement les conditions prévues par l'article 32 de la loi Informatique et Libertés pour ce qui est du SNDS dans son ensemble, mais aussi les dispositions de l'article 57 de la loi Informatique et Libertés pour la réalisation de recherches, d'études ou d'évaluations. Elle relève par ailleurs que les dispositions réglementaires relatives à l'utilisation des données du SNDS sont prévues par le projet d'article 36 du projet de décret modifiant le décret d'application de la loi Informatique et Libertés qui lui a été soumis pour avis concomitamment au présent projet de décret et qui détaille les conditions d'information des personnes concernées s'agissant des traitements réalisés dans le cadre de l'article 57-III de la loi Informatique et Libertés et de l'article L.1461-3 du code de la santé publique, à savoir les recherches, les études ou les évaluations recourant à des données de santé à caractère personnel non directement identifiantes recueillies à titre obligatoire et destinées aux services ou aux établissements de l'Etat ou des collectivités territoriales ou aux organismes de sécurité sociale et contenues dans le SNDS.
L'information des personnes concernées consistera en une mention figurant sur le site Internet des établissements de santé, des établissements médico-sociaux et des organismes d'assurance maladie obligatoire et sur d'autres supports, notamment des affiches dans les locaux ouverts au public ou des documents qui seront remis aux personnes intéressées. Le projet d'article 36 précise enfin que cette information est effectuée sous la responsabilité des directeurs des établissements de santé, des directeurs des établissements médico-sociaux et des directeurs des organismes d'assurance maladie obligatoire.
A cet égard, afin de garantir une parfaite information des personnes concernées, la Commission estime utile de préciser la liste des catégories de données accessibles dans le SNDS, ainsi que la liste des organismes qui les consulteront. Elle suggère que ces informations figurent sur le site snds.gouv.fr.
Le projet d'article R. 1461-7-Il du CSP prévoit que les droits d'accès, de rectification et d'opposition s'exercent, dans les conditions définies par les articles 92 à 95 du décret n° 2005-1309 du 20 octobre 2005 modifié, auprès du directeur de l'organisme gestionnaire du régime d'assurance maladie obligatoire auquel la personne est rattachée.
A cet égard, la Commission prend acte de ce que les droits des personnes s'exerceront localement, auprès des directeurs des caisses. Elle recommande que ces derniers soient sensibilisés aux spécificités de l'exercice des droits des personnes s'agissant du traitement des données les concernant dans le cadre du SNDS, dans la mesure où la responsabilité du traitement est assumée au niveau national par la CNAMTS et non au niveau local.
Enfin, le deuxième alinéa du projet d'article R. 1461-7-11-2° mentionne que le droit d'opposition prévu aux premier et troisième alinéas de l'article 56 de la loi Informatique et Libertés porte sur l'utilisation des données dans les traitements mentionnés au I de l'article L. 1461-3 du code de la santé publique, à l'exclusion de ceux spécifiés au 2° de ce 1. 11 en résulte que le droit d'opposition ne peut être exercé s'agissant des traitements nécessaires à l'accomplissement des missions des services de l'Etat, des établissements publics ou des organismes chargés d'une mission de service public compétents.
La Commission relève que l'article L. 1461-7-6° du code de la santé publique prévoit que le décret dont le projet est soumis à l'avis de la Commission doit déterminer les modalités selon lesquelles les organismes chargés de gérer la mise à disposition effective des données du SNDS garantissent à toute personne qui leur en fait la demande que ses données de santé à caractère personnel ne seront pas mises à disposition à des fins de recherche, d'étude ou d'évaluation.
En l'absence de telle disposition dans le projet, la Commission recommande qu'il soit complété de manière à prévoir explicitement les conditions d'exercice du droit d'opposition dans le cas prévu par l'article L. 1461-3-1-1° du CSP
Sur les mesures de sécurité :
La Commission rappelle que la DREES est chargée d'une mission de gouvernance des données de santé, depuis le décret n° 2015-1310 du 19 octobre 2015 et qu'à ce titre, elle assume, pour le compte du ministère, le pilotage du SNDS.
La Commission prend acte de ce que la DREES, dans une note transmise à l'appui de la demande d'avis, souligne que ce positionnement se distingue d'un rôle classique de tutelle et l'engage à garantir le bon usage des données du SNDS et à mettre en oeuvre, via un comité d'audit, des sanctions pour les acteurs qui n'appliqueraient pas les règles de bonne conduite.
En outre, le directeur de la DREES adressera à chacun des organismes disposant d'un accès permanent, un courrier précisant les obligations relatives à la désignation d'un CIL et à la tenue d'un registre, à l'application du référentiel de sécurité, à l'organisation des habilitations attribuées par projet aux utilisateurs, qui s'engageront par écrit sur la confidentialité des données.
En vertu de l'article L. 1461-1 du CSP, les règles de la gestion sécurisée du SNDS seront détaillées dans un référentiel de sécurité arrêté par les ministres chargés de la santé, de la sécurité sociale et du numérique après avis de la CNIL.
A l'occasion de l'instruction du projet de décret, la Commission a été destinataire de versions de travail des projets de référentiel et d'arrêté. Elle en a été officiellement saisie le 10 octobre 2016.
Elle prend acte, d'ores et déjà, de la volonté du responsable de traitement de fixer un niveau de sécurité exigeant, à la hauteur des enjeux du SNDS. Le référentiel de sécurité a ainsi été défini au regard d'une analyse des risques intégrant ceux sur les libertés et la vie privée des personnes.
Pour autant, la Commission relève que le niveau de sécurité envisagé ne sera pas atteint au lancement du traitement SNDS en mars 2017, le projet d'arrêté du référentiel de sécurité prévoyant une période de transition de deux ans jusqu'au 26 janvier 2019 pour la mise en conformité des traitements couverts par le projet de décret.
À cet égard, le responsable de traitement a communiqué à la Commission une description détaillée du niveau de sécurité qui serait effectif au lancement du SNDS, niveau techniquement proche de celui actuel du SNIIRAM, complété par des mesures organisationnelles propres au SNDS.
Considérant l'accroissement des risques par rapport au SNIIRAM, en raison de la multiplication des acteurs accédant de manière permanente aux données de santé, la Commission estime que les mesures effectivement mises en oeuvre au lancement du SNDS ne sont pas suffisantes. La Commission demande à recevoir un plan d'action détaillé incluant un calendrier prévisionnel de déploiement des mesures prévues dans
ie référentiel de sécurité et un engagement du responsable de traitement pour la mise en oeuvre dans les meilleurs délais du respect de l'ensemble des exigences du référentiel de sécurité SNDS.
De même, la Commission demande à recevoir le dossier de sécurité prévu par l'article 6 du projet de convention entre la CNAMTS et l'INSERM.
Elle rappelle en outre qu'afin de garantir la mise en oeuvre des différentes mesures de sécurité dans la durée, celles-ci devront faire l'objet de contrôles et de révisions réguliers au vu des évolutions du traitement, de son usage et de son environnement.
Enfin, la Commission prend acte de ce que le projet de décret met en avant deux mesures de sécurité pour les données :
- leur pseudonymisation avec « un code non signifiant obtenu par un procédé cryptographique irréversible du NIR tel que prévu au 1° du I de l'article R.1461-3 » et une organisation cloisonnée qui assure que « nul ne puisse disposer à la fois de l'identité des personnes, notamment de leur NIR, d'une part, et du pseudonyme mentionné au iII de l'article R. 1461-1, d'autre part » ;
- la traçabilité des accès : « les modalités de conservation et d'utilisation des données permettent d'en contrôler les usages et de fournir des preuves en cas d'usage non autorisé ».
A cet égard, la Commission relève que le procédé cryptographique utilisé au lancement du SNDS sera celui du SNIIRAM, procédé dont la robustesse est aujourd'hui remise en question par l'ancienneté de son algorithme et par le fait que les secrets cryptographiques n'ont jamais été renouvelés, comme le pointe le rapport de la Cour des comptes sur les données personnelles de santé gérées par l'assurance maladie publié en mars 2016. Au vu des nouveaux risques liés aux accès permanents prévus par le SNDS, la Commission enjoint le responsable de traitement à lancer rapidement le chantier visant à faire évoluer ce procédé cryptographique, avec l'ensemble des acteurs concernés.
En outre, la Commission recommande que le projet mentionne que les pseudonymes identifiant les bénéficiaires et les professionnels de santé présents dans la base de données SNDS ne soient jamais inclus dans les données mises à disposition.
Les autres points du projet n'appellent pas d'observations de la Commission.