1.1. Définitions
Au sens de la présente méthodologie, les termes suivants sont ainsi définis :
- donnée à caractère personnel : toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée ») ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ;
- traitement : toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction ;
- responsable de traitement : la personne physique ou morale qui, seule ou conjointement avec d'autres, est responsable d'une recherche, étude ou évaluation n'impliquant pas la personne humaine, en assure la gestion, vérifie que son financement est prévu et qui détermine les finalités et les moyens des traitements nécessaires à celle-ci. Il s'agit des personnes produisant ou commercialisant des produits mentionnés au II de l'article L. 5311-1 du CSP ;
- sous-traitant : la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ;
- laboratoire de recherche/bureau d'études : responsable de la mise en œuvre du traitement de données et chargé de leur analyse, ayant réalisé un engagement de conformité auprès de la Commission à l'arrêté du 17 juillet 2017 relatif au référentiel déterminant les critères de confidentialité, d'expertise et d'indépendance pour les laboratoires de recherche et bureaux d'études. Il s'agit d'un sous-traitant au sens du RGPD qui, dans le cadre de la présente méthodologie de référence, est seul à pouvoir accéder aux données du PMSI ;
- personnes chargées de la réalisation de l'étude : la ou les personnes physiques qui travaillent sur les données individuelles du PMSI ;
- étude : recherche n'impliquant pas la personne humaine, étude ou évaluation dans le domaine de la santé ; une étude peut nécessiter la réalisation de plusieurs requêtes dans la base de données mise à disposition par l'ATIH par l'intermédiaire d'une solution sécurisée ;
- protocole : document indiquant notamment la méthodologie de l'étude, l'objectif du traitement des données à caractère personnel, les catégories de personnes concernées par le traitement, l'origine, la nature et la liste des données à caractère personnel utilisées et la liste des justifications de recours à celles-ci, la durée et les modalités d'organisation de l'étude, la méthode d'analyse des données, ainsi que, lorsque les caractéristiques de l'étude l'exigent, la justification du nombre de personnes et la méthode d'observation retenue.
1.2. Responsables de traitement concernés
Seuls peuvent réaliser un engagement de conformité à la présente méthodologie de référence les personnes produisant ou commercialisant des produits mentionnés au II de l'article L. 5311-1 du CSP.
1.3. Traitement de données à caractère personnel inclus dans le champ d'application de la présente méthodologie
Seuls peuvent faire l'objet d'un engagement de conformité à la présente méthodologie de référence les traitements de données à caractère personnel ayant pour finalité la réalisation d'études présentant un caractère d'intérêt public et respectant les conditions de sécurité, d'organisation et de transparence suivantes :
- les traitements de données ne peuvent être réalisés que par l'intermédiaire d'un laboratoire de recherche ou d'un bureau d'études, public ou privé, ayant réalisé un engagement de conformité auprès de la Commission à l'arrêté du 17 juillet 2017 relatif au référentiel déterminant les critères de confidentialité, d'expertise et d'indépendance pour les laboratoires de recherche et bureaux d'études ; le responsable de traitement signe une convention d'accès aux données avec l'ATIH et lui transmet la liste, actualisable, des laboratoires de recherche ou bureaux d'études auxquels il a recours ; les données sont mises à disposition du laboratoire de recherche ou du bureau d'études par l'ATIH par l'intermédiaire d'une solution sécurisée ; aucun export de données à caractère personnel n'est possible en dehors de la solution sécurisée utilisée. Seuls des résultats anonymes peuvent être exportés ;
- le responsable de traitement désigne un délégué à la protection des données et tient un registre des activités de traitement. Un protocole doit être validé par le responsable de traitement avant le début de la mise en œuvre du traitement des données ;
- le responsable de traitement s'engage à ne pas poursuivre l'une des finalités interdites, en particulier la promotion des produits mentionnés au II de l'article L. 5311-1 du CSP en direction des professionnels de santé ou des établissements de santé ; le responsable de traitement réalise un audit externe indépendant sur le respect des finalités dans un délai de trois ans à compter de l'engagement de conformité à la présente méthodologie de référence puis tous les trois ans après le premier audit réalisé ;
- le responsable de traitement enregistre tous les traitements réalisés dans le cadre de la méthodologie de référence auprès d'un répertoire public tenu par l'INDS ; la méthode et les résultats obtenus sont publiés par l'INDS à la fin du traitement, selon les modalités prévues au paragraphe 6.2 « Principe de transparence ».
La présente méthodologie de référence n'est pas applicable aux traitements :
- nécessitant un export des données à caractère personnel en dehors de la solution sécurisée utilisée ;
- nécessitant un appariement à des données à caractère personnel autres que celles mises à disposition par l'ATIH.
1.4. Intérêt public et finalités interdites
L'accès aux données à caractère personnel du système national des données de santé (ci-après « SNDS ») et de ses composantes, dont font partie les données issues des systèmes d'information mentionnés à l'article L. 6113-7 du CSP, peut être autorisé pour permettre des traitements à des fins d'étude répondant à un motif d'intérêt public.
Les traitements réalisés dans le cadre de cette méthodologie de référence doivent répondre à un motif d'intérêt public, justifié par le responsable de traitement auprès de l'INDS.
Au-delà de l'interdiction de réidentification des patients, deux finalités interdites sont rappelées :
1° La promotion des produits mentionnés au II de l'article L. 5311-1 en direction des professionnels de santé ou d'établissements de santé ;
2° L'exclusion de garanties des contrats d'assurance et la modification de cotisations ou de primes d'assurance d'un individu ou d'un groupe d'individus présentant un même risque.