Après avoir entendu Mme Marie-France MAZARS, commissaire, en son rapport, et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,
Formule les observations suivantes :
Le règlement (UE) n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après le RGPD), et notamment son article 5, point 2, prévoit que le responsable de traitement doit être en mesure de démontrer que les principes du règlement sont respectés.
L'article 9, paragraphe 4, du RGPD précise que les Etats membres peuvent maintenir ou introduire des conditions supplémentaires, y compris des limitations, en ce qui concerne le traitement des données génétiques ou des données concernant la santé.
Ainsi, en application de la loi du 6 janvier 1978 modifiée (ci-après « loi informatique et libertés »), les traitements de données à caractère personnel à des fins de recherche, étude ou évaluation dans le domaine de la santé sont autorisés par la Commission nationale de l'informatique et des libertés (ci-après « la Commission »).
La Commission peut homologuer et publier des méthodologies de référence, au titre des référentiels mentionnés au II de l'article 54 de la loi informatique et libertés, établies en concertation avec l'Institut national des données de santé (ci-après l'« INDS »), ainsi qu'avec les organismes publics et privés représentatifs des acteurs concernés.
Parmi les traitements les plus usuels figurent les traitements réalisés par les personnes produisant ou commercialisant des produits mentionnés au II de l'article L. 5311-1 (ci-après « produits de santé ») du code de la santé publique (ci-après « CSP ») à partir des données centralisées par l'Agence technique de l'information sur l'hospitalisation (ci-après « ATIH »), c'est-à-dire les données du programme de médicalisation des systèmes d'information (ci-après « PMSI »).
Le PMSI consiste en un recueil synthétique et standardisé d'informations administratives et médicales au sein des établissements de santé, publics ou privés, à but lucratif ou à but non lucratif, dont les objectifs principaux sont d'organiser les soins hospitaliers sur le territoire français (planification) et de financer les établissements en fonction de leur activité (tarification à l'activité).
Régi par les articles L. 6113-7 et L. 6113-8 du CSP, le PMSI a été généralisé dans les années 1990 et est désormais appliqué quel que soit le secteur d'hospitalisation mais avec des modes de recueil différents selon les catégories de prise en charge. Il comporte des données concernant les activités suivantes :
- médecine, chirurgie, obstétrique et odontologie (MCO) ;
- soins de suite et de réadaptation (SSR) ;
- recueil d'information médicalisée en psychiatrie (RIM-P) ;
- hospitalisation à domicile (HAD).
Un fichier spécifique permet de relier toutes les données du PMSI concernant un même patient (fichier « ANO »).
Ces traitements permettent notamment de préparer les dossiers de discussions avec les autorités et les comités compétents principalement dans le domaine des médicaments et des dispositifs médicaux (mise sur le marché, discussions tarifaires, marquage CE, etc.) et la réalisation d'études en conditions réelles d'utilisation.
Au regard de ces besoins, la Commission a estimé que le cadre d'une méthodologie de référence était approprié pour faciliter et encadrer les nombreux traitements de données réalisés par les personnes produisant ou commercialisant des produits mentionnés au II de l'article L. 5311-1 du CSP à partir des données du PMSI.
Les responsables de traitement qui adressent un engagement de conformité à cette méthodologie de référence sont autorisés à mettre en œuvre les traitements dès lors que ceux-ci répondent aux conditions prévues par ces dispositions.
Décide :