Le chapitre IV du titre II est ainsi modifié :
1° Dans l'intitulé, les mots : « demandes d'autorisation de » et les mots : « ayant pour fin la recherche, les études et les évaluations » sont supprimés ;
2° Il est rétabli un article 19 ainsi rédigé :
« Art. 19.-Les traitements de données à caractère personnel dans le domaine de la santé mentionnés au premier alinéa de l'article 55 de la loi du 6 janvier 1978 susvisée ayant pour seule finalité de répondre, en cas de situation d'urgence, à une alerte sanitaire et d'en gérer les suites peuvent utiliser le numéro d'inscription au répertoire national d'identification des personnes physiques dans les conditions prévues au deuxième alinéa du même article 55 lorsqu'une telle utilisation constitue le seul moyen de collecter des données de santé à caractère personnel nécessaires pour faire face à l'urgence sanitaire.
« Le numéro d'inscription au répertoire national d'identification des personnes physiques est collecté soit directement auprès des personnes concernées, soit indirectement auprès de leurs proches ou de toutes personnes morales habilitées à traiter ce numéro dans le cadre de leurs missions ou activités.
« Sa transmission et sa conservation sur support électronique ou numérique font l'objet d'un chiffrement, conforme aux recommandations ou référentiels adoptés par la Commission nationale de l'informatique et des libertés. Il est conservé pour la durée nécessaire à l'appariement de données. » ;
3° Après l'article 19, il est inséré une section 1 ainsi rédigée :
« Section 1
« Dispositions communes relatives aux demandes d'autorisation
« Art. 19-1.-Sous réserve des dispositions particulières du présent chapitre, les demandes d'autorisation formulées en application du chapitre IX de la loi du 6 janvier 1978 susvisée sont instruites dans les conditions prévues au titre II du présent décret. » ;
4° Après la section 1, il est inséré une section 2 dont l'intitulé est ainsi rédigé :
« Section 2
« Dispositions particulières relatives aux demandes d'autorisation de traitements de données à caractère personnel ayant pour fin la recherche, les études et les évaluations dans le domaine de la santé
5° Les sections 1 et 2 deviennent les sous-sections 1 et 2 ;
6° L'article 20 est ainsi modifié :
a) Au premier alinéa, les mots : « au II de l'article 54 » sont remplacés par les mots : « à l'article 64 » ;
b) Le second alinéa est remplacé par les deux alinéas suivants :
« Ils sont déposés soit auprès de la Commission nationale de l'informatique et des libertés, après avis du comité compétent de protection des personnes en application du 1° de l'article 64 de la loi du 6 janvier 1978 susvisée, soit auprès du secrétariat unique confié, conformément au 2° de l'article L. 1462-1 du code de la santé publique, à l'Institut national des données de santé.
« Les dossiers déposés auprès du secrétariat unique sont transmis dans un délai maximal de sept jours ouvrés au comité d'expertise pour les recherches, les études et les évaluations dans le domaine de la santé pour rendre un avis sur le projet. » ;
7° L'article 21 est ainsi modifié :
a) Au 5°, les mots : « envisagées pour communiquer aux personnes concernées par le traitement les informations figurant à l'article 57 de la loi du 6 janvier 1978 susvisée » sont remplacés par les mots : « d'information prévues en application du règlement (UE) 2016/679 du 27 avril 2016 précité » et la dernière phrase est supprimée ;
b) Au 12°, la référence : « VI » est remplacée par la référence : « IV » ;
8° Au premier alinéa de l'article 22, les mots : « 2° du II de l'article 54 » sont remplacés par les mots : « 2° de l'article 64 » ;
9° L'article 23 est ainsi modifié :
a) Au premier alinéa, après les mots : « ou un avis », est inséré le mot : « favorable » ;
b) Au deuxième alinéa, les mots : « Si le comité d'expertise pour les recherches, les études et les évaluations dans le domaine de la santé ou le comité de protection des personnes rend un avis favorable ou » sont supprimés, les mots : « le comité compétent » sont remplacés par les mots : « ce comité », et la référence : « III » est remplacée par la référence : « V » ;
c) Au troisième alinéa, les mots : « chaque comité » sont remplacés par les mots : « le comité d'expertise pour les recherches, les études et les évaluations dans le domaine de la santé » ;
10° L'article 24 est ainsi modifié :
a) Au premier alinéa, les mots : « sixième alinéa du II de l'article 54 » sont remplacés par les mots : « deuxième alinéa de l'article 61 » ;
b) La deuxième phrase du deuxième alinéa est supprimée ;
11° L'article 25 est ainsi modifié :
a) Au premier alinéa, les mots : « l'article 54 » sont remplacés par les mots : « le 2° de l'article 64 » ;
b) Après le premier alinéa, il est inséré un alinéa ainsi rédigé :
« Plusieurs sections peuvent être instituées au sein du comité en fonction de la nature ou de la finalité du traitement. » ;
12° Au premier alinéa de l'article 26, les mots : « 2° du II de l'article 54 » sont remplacés par les mots : « 2° de l'article 64 » ;
13° L'article 27 est ainsi modifié :
a) Au I, le mot : « douze » est remplacé par le mot : « dix » et le deuxième alinéa est supprimé ;
b) Au IV, les mots : « au 2° du II de l'article 54 de la loi du 6 janvier 1978 » sont remplacés par les mots : « à l'article 25 » ;
c) Au V, les mots : « mentionnées au 2° du II de l'article 54 de la loi du 6 janvier 1978 » sont supprimés ;
14° A l'article 32, les mots : « En application du II de l'article 54, » sont supprimés ;
15° Après l'article 32, il est inséré une sous-section 3 ainsi rédigée :
« Sous-section 3
« Composition et fonctionnement du comité d'audit du système national des données de santé
« Art. 32-1.-Le comité d'audit prévu à l'article 65 de la loi du 6 janvier 1978 susvisée est présidé par le haut fonctionnaire de défense et de sécurité des ministères chargés des affaires sociales qui peut déléguer cette fonction au fonctionnaire de sécurité des systèmes d'information des ministères chargés des affaires sociales et de la santé.
« Le comité d'audit est composé :
« 1° Du directeur de la recherche, des études, de l'évaluation et des statistiques ou son représentant ;
« 2° Du délégué à la stratégie des systèmes d'information de santé ou son représentant ;
« 3° Du directeur de la Caisse nationale d'assurance maladie, responsable du traitement du système national des données de santé, ou son représentant ;
« 4° Du directeur de l'Agence technique de l'information sur l'hospitalisation ou son représentant ;
« 5° Du directeur de l'Institut national de la santé et de la recherche médicale ou son représentant ;
« 6° Du directeur de la Caisse nationale de solidarité pour l'autonomie ou son représentant ;
« 7° De représentants des organismes d'assurance maladie complémentaire ;
« 8° Du président de l'Institut national des données de santé ou son représentant ;
« 9° D'une personne représentant les acteurs privés du domaine de la santé ;
« 10° D'une personnalité qualifiée.
« Les personnes mentionnées aux 7°, 9° et 10° sont désignées par arrêté du ministre chargé des affaires sociales et de la santé, sur proposition du président du comité d'audit.
« Le président de la Commission nationale de l'informatique et des libertés ou son représentant assiste au comité d'audit en tant qu'observateur.
« Le comité d'audit se réunit au moins deux fois par an sur convocation de son président.
« Sur la base des orientations arrêtées par le comité d'audit, son président décide des audits à réaliser chaque année sur l'ensemble des systèmes réunissant, organisant ou mettant à disposition tout ou partie des données du système national des données de santé à des fins de recherche, d'étude ou d'évaluation et sur les systèmes composant le système national des données de santé.
« La stratégie d'audit ainsi que la programmation des audits sont transmises par le président du comité d'audit au président de la Commission nationale de l'informatique et des libertés.
« Art. 32-2.-Les audits sont réalisés par des prestataires indépendants.
« Si le périmètre de l'audit implique des données médicales individuelles, le prestataire retenu doit prévoir la présence d'un médecin auprès des auditeurs pour tous les aspects de l'audit concernant ces données.
« Le président du comité d'audit suit la mise en œuvre des audits et en rend compte au comité.
« Le comité d'audit et le prestataire fondent leur action sur une charte d'audit définie par arrêté du ministre chargé des affaires sociales et de la santé pris après avis de la Commission nationale de l'informatique et des libertés.
« Art. 32-3.-Le président du comité d'audit envoie une notification à l'entité auditée pour l'avertir de l'audit. Cette notification rappelle notamment l'objet de la mission, l'identité des auditeurs, la procédure d'audit, le droit d'opposition à l'audit de l'entité auditée qui peut s'exercer à tout moment ainsi que les délais et les voies de recours de l'entité auditée.
« Si l'entité auditée fait état de son droit d'opposition à l'audit, les auditeurs alertent aussitôt le président du comité d'audit qui en informe sans délai le président de la Commission nationale de l'informatique et des libertés.
« Les auditeurs ont accès de 8 heures à 20 heures, pour l'exercice de leurs missions, aux lieux, locaux, enceintes, installations ou établissements servant à la mise en œuvre des traitements de données à caractère personnel, à l'exclusion des parties de ceux-ci affectés au domicile privé.
« Pour l'exercice de leurs missions, les auditeurs peuvent demander communication de tous documents, quel qu'en soit le support, et en prendre copie. Ils peuvent recueillir, notamment sur place ou sur convocation, tout renseignement et toute justification utiles. Les auditeurs peuvent accéder, dans des conditions préservant la confidentialité à l'égard des tiers, aux programmes informatiques et aux données, ainsi qu'en demander la transcription par tout traitement approprié dans des documents directement utilisables pour les besoins de l'audit.
« Les auditeurs peuvent procéder à toute constatation utile. Les auditeurs peuvent notamment, à partir d'un service de communication au public en ligne, consulter les données librement accessibles ou rendues accessibles. Les auditeurs peuvent retranscrire les données par tout traitement approprié dans des documents directement utilisables pour les besoins de l'audit.
« En cas de difficultés lors de l'audit, l'entité auditée peut saisir le président du comité d'audit afin qu'il s'assure de la conformité du comportement du prestataire et de ses auditeurs aux exigences découlant de la loi du 6 janvier 1978 susvisée, du présent décret, de la charte d'audit mentionnée à l'article 32-2 et des clauses du marché public sur le fondement duquel ils interviennent.
« Art. 32-4.-L'audit donne lieu à un rapport qui est transmis, pour contradiction, à l'entité auditée. Ce rapport rappelle l'objet de la mission, les membres de celle-ci, les personnes rencontrées, le cas échéant leurs déclarations, les demandes formulées par les auditeurs ainsi que les éventuelles difficultés rencontrées. Les manquements et dysfonctionnements constatés par les auditeurs à la loi du 6 janvier 1978 susvisée et aux dispositions du code de la santé publique relatives au système national des données de santé sont consignés dans ces rapports ainsi que les recommandations en découlant.
« Le rapport est signé par les auditeurs. Il est envoyé, après validation par le président du comité d'audit, par ce dernier par lettre recommandée avec accusé de réception à l'entité auditée.
« Lorsque l'audit conduit à l'accès à des données médicales individuelles, le médecin désigné par le prestataire consigne dans un rapport les vérifications qu'il a faites sans faire état des données médicales individuelles auxquelles il a eu accès. Le rapport, après validation par le président du comité d'audit, est transmis par ce dernier par lettre recommandée avec accusé de réception à l'entité contrôlée.
« L'entité auditée dispose d'un délai d'un mois pour répondre à compter de la réception des rapports. Ses réponses doivent comporter un plan d'action et un calendrier de mise en œuvre de ses actions.
« Au vu des réponses de l'entité auditée, de son plan d'action et de son calendrier de mise en œuvre, les auditeurs formalisent des rapports définitifs. Ces rapports définitifs sont signés par les auditeurs et le président du comité d'audit, après validation par ce dernier. Ils sont envoyés aux entités auditées par lettre recommandée avec accusé de réception par le président du comité d'audit.
« Les rapports définitifs sont systématiquement transmis au président de la Commission nationale de l'informatique et des libertés, et à tous les corps de contrôle qui en font la demande.
« L'intégralité des pièces justificatives sont transmises par les auditeurs au président du comité d'audit.
« Art. 32-5.-Les entités auditées rendent compte au président du comité d'audit et aux auditeurs de la mise en œuvre de leur plan d'action tous les six mois ou selon le calendrier arrêté par les parties. Les entités auditées doivent fournir à cette occasion tout document justifiant de cette mise en œuvre.
« Le président du comité d'audit et les auditeurs suivent la mise en œuvre de ces plans d'action.
« Art. 32-6.-Le président du comité d'audit rend compte annuellement au ministre chargé des affaires sociales et de la santé ainsi qu'au comité stratégique de la stratégie d'audit du comité d'audit, des audits réalisés, du niveau global de maîtrise des opérations, des problèmes significatifs constatés ainsi que des recommandations formulées pour respecter la législation en vigueur, les référentiels et réduire les risques.
« Le président du comité d'audit présente les principales conclusions et recommandations des audits au comité d'audit. » ;
16° La section 3 devient la sous-section 4 ;
17° La section 4 devient la section 3 ;
18° L'article 34 est ainsi rédigé :
« Le président du comité d'expertise pour les recherches, les études et les évaluations dans le domaine de la santé, siégeant à l'assemblée générale de l'Institut national des données de santé, peut avoir recours aux membres du comité d'expertise pour participer à la formalisation des référentiels et règlements types mentionnés au II de l'article 54 de la loi du 6 janvier 1978 susvisée et des méthodologies de référence mentionnées à l'article 62 de la même loi.
« La commission ou, par délégation, le président ou le vice-président délégué établit ces référentiels et règlements types et homologue ces méthodologies de référence. Ceux-ci sont publiés au Journal officiel de la République française. » ;
19° L'article 34-2 est ainsi modifié :
a) Les mots : « pris un engagement » sont remplacés par les mots : « fait une déclaration » ;
b) Après les mots : « de conformité à », sont insérés les mots : « l'un des référentiels, l'un des règlements types ou à » ;
c) Les mots : « seul cet engagement est envoyé » sont remplacés par les mots : « seule cette déclaration est envoyée » ;
d) La deuxième phrase est supprimée ;
20° Les articles 34-3 et 34-4 sont abrogés ;
21° La section 5 devient la section 4 ;
22° L'article 35 est abrogé ;
23° A l'article 36, les mots : « Pour l'application du III de l'article 57 » sont remplacés par les mots : « Concernant les données du système national des données de santé et de ses composantes » ;
24° L'article 37 est ainsi modifié :
a) Les mots : « ayant pour fin la recherche, une étude ou une évaluation » sont remplacés par les mots : « de données à caractère personnel » ;
b) Après le mot : « informées », est inséré le mot : « individuellement » ;
c) Les mots : « au I de l'article 57 de la loi du 6 janvier 1978 susvisée » sont remplacés par les mots : « par le règlement (UE) 2016/679 du 27 avril 2016 précité » ;
25° L'article 38 est ainsi modifié :
a) Les mots : « à des fins de recherche, d'étude ou d'évaluation dans le domaine de la santé » sont supprimés ;
b) Après les mots : « à caractère personnel », sont insérés les mots : « dans le domaine de la santé » ;
c) Les mots : « de la recherche, de l'étude ou de l'évaluation » sont remplacés par les mots : « du traitement » ;
26° A l'article 40, les mots : « de l'article 60 » sont remplacés par les mots : « des articles 45 et 46 ».