Après avoir entendu Mme Valérie PEUGEOT, commissaire, en son rapport, et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,
Formule les observations suivantes :
1. La Commission a été saisie le 7 janvier 2019 par l'Institut national des données de santé (INDS) d'une demande de transformation en référentiel de la procédure homologuée par elle dans sa délibération n° 2018-134 du 12 avril 2018 portant homologation de conditions de mise à disposition de l'échantillon généraliste des bénéficiaires (EGB) et des bases de données thématiques appelées « datamarts » du Système national d'information inter régimes de l'assurance maladie (SNIIRAM) ;
2. Le présent référentiel porte sur la description et les garanties de procédure permettant la mise à disposition en vue de leur traitement des données de l'échantillon généraliste des bénéficiaires (ci-après EGB) du Système national d'information inter régimes de l'assurance maladie (SNIIRAM), composante du Système national des données de santé (SNDS).
3. L'EGB du SNIIRAM est un échantillon constitué par la Caisse nationale de l'assurance maladie (CNAM) qui concerne 1/97e de la population couverte par l'assurance maladie en France. L'EGB contient des informations sur les caractéristiques sociodémographiques et médicales des bénéficiaires et les prestations de soins qu'ils ont reçues. L'utilisation de cet échantillon permet notamment de mieux connaître et comprendre le recours aux soins, les trajectoires de soins et les dépenses de santé des assurés sur une période.
4. Sont également constituées à partir du SNIIRAM des bases de données thématiques de données agrégées appelées « datamarts » orientées vers le suivi des dépenses (Damir) ou l'analyse de l'offre de soins (Amos), ainsi que des tableaux de bord sur la biologie et la pharmacie. Ces jeux de données sont inclus dans le champ d'application du présent référentiel.
5. Conformément aux dispositions du troisième alinéa de l'article 54-II de la loi « informatique et libertés », des jeux de données de santé présentant un faible risque d'impact sur la vie privée peuvent faire l'objet d'une mise à disposition en vue de leur traitement dans des conditions préalablement définies par un référentiel, sans que l'autorisation prévue à l'article 64 de la loi précitée ne soit requise.
6. Le SNIIRAM étant une composante du Système national des données de santé (SNDS), la Commission rappelle, à titre liminaire, que l'ensemble des dispositions législatives et réglementaires relatives au SNDS sont applicables aux traitements de données issues de l'EGB et, en particulier :
- l'interdiction d'utiliser les données du SNDS pour les finalités décrites à l'article L. 1461-1 V du code de la santé publique (finalités interdites) ;
- l'obligation pour les personnes visées à l'article L. 1461-3 II du code de la santé publique de confier le traitement des données à un bureau d'études ou laboratoire de recherche ayant réalisé un engagement de conformité au référentiel incluant les critères de confidentialité, d'expertise et d'indépendance, fixés par l'arrêté du 17 juillet 2017 ou de démontrer que les modalités de mise en œuvre du traitement rendent impossible toute utilisation des données pour l'une des finalités interdites ;
- le respect du référentiel de sécurité applicable au SNDS, fixé par l'arrêté du 22 mars 2017 ;
- le principe de transparence prévu à l'article L. 1461-3, II du code de la santé publique : transmission du protocole, de la déclaration des intérêts et des résultats auprès de l'INDS.
7. Conformément aux dispositions législatives et réglementaires applicables, les données concernées étant des données de santé à caractère personnel, non directement identifiantes, recueillies à titre obligatoire et destinées aux services ou aux établissements de l'Etat, l'information des personnes concernées, quant à la réutilisation possible de leurs données et aux modalités d'exercice de leurs droits, est assurée par une mention figurant sur le site internet des établissements de santé ou médico-sociaux, des organismes d'assurance maladie ainsi que sur des supports permettant de la porter à la connaissance des personnes, notamment des affiches dans les locaux ouverts au public ou des documents qui leur sont remis. Les droits d'accès, de rectification et d'opposition s'exercent selon les conditions définies à l'article R. 1461-9 du code de la santé publique auprès du directeur de l'organisme gestionnaire du régime d'assurance maladie obligatoire auquel la personne concernée est rattachée.
Décide :
8. La description et les garanties de procédure permettant la mise à disposition des données à caractère personnel issues de l'EGB du SNDS définies par la Commission sont les suivantes :
Traitements susceptibles d'être examinés uniquement par l'INDS
9. Les conditions d'accès définies par le présent référentiel s'appliquent aux traitements mis en œuvre à des fins de recherche, d'étude ou d'évaluations dans le domaine de la santé, présentant un caractère d'intérêt public, et pour la réalisation desquels seul un accès à l'EGB et/ou aux « datamarts » et tableaux de bord du SNIIRAM est nécessaire.
10. Sont susceptibles de bénéficier d'une approbation unique de l'INDS les traitements qui respectent les conditions cumulatives suivantes :
- le traitement est réalisé au sein du portail sécurisé de la CNAM et ne prévoit pas la constitution d'un système fils du SNDS tel que défini à l'arrêté du 22 mars 2017 précité ;
- aucun croisement de plusieurs identifiants potentiels, tels que définis par le décret n° 2016-1871 du 26 décembre 2016 relatif au traitement de données à caractère personnel dénommé « système national des données de santé », n'est réalisé ;
- la durée d'accès au portail n'excède pas 24 mois.
Examen par l'INDS
11. L'INDS se prononce au regard des éléments suivants :
- la finalité d'intérêt public de la recherche, de l'étude ou de l'évaluation dans le domaine de la santé ;
- la justification apportée par le responsable de traitement pour démontrer la pertinence scientifique du projet ;
- la durée de l'accès au portail pour le traitement envisagé qui doit être limitée à la durée nécessaire à la réalisation de la recherche, l'étude ou l'évaluation ;
- le respect des exigences législatives applicables au SNDS et notamment l'engagement du responsable de traitement sur le respect du paragraphe 5 « Accès aux données » du référentiel de sécurité précité applicable au SNDS.
Procédure d'accès
12. La demande d'accès est adressée directement à l'Institut national des données de santé (INDS) dans les mêmes conditions que celles prévues pour la transmission du dossier de demande d'autorisation de recherche, étude ou évaluation dans le domaine de la santé prévu à l'article 64 de la loi « informatique et libertés ».
13. L'INDS notifie sa décision au demandeur dans un délai de 15 jours ouvrés, à compter de la réception d'un dossier complet. Sans réponse de la part de l'INDS au terme du délai de 15 jours ouvrés, la décision est réputée favorable.
14. L'INDS peut contacter le demandeur pour tout complément d'information si nécessaire. Le délai d'approbation est suspendu dans l'attente des éléments complémentaires.
15. Dans le cas où l'INDS ne s'estime pas en mesure de se prononcer au vu des éléments constitutifs du dossier, il peut décider que le traitement envisagé est soumis à la procédure complète selon les modalités prévues à la section II du chapitre IX de la loi « informatique et libertés » et en informe le demandeur. Après accord de ce dernier, l'INDS saisit le CEREES pour avis, puis la CNIL pour autorisation dans le respect des dispositions de la loi « informatique et libertés ».
Transparence
16. L'INDS informe au moins une fois par an le CEREES et la CNIL des approbations délivrées dans les conditions décrites dans la présente délibération.
17. La délibération n° 2018-134 du 12 avril 2018 portant homologation de conditions de mise à disposition de l'échantillon généraliste des bénéficiaires (EGB) et des bases de données thématiques appelées « datamarts » du Système national d'information inter régimes de l'assurance maladie (SNIIRAM), est abrogée.
18. Le présent référentiel portant sur la description et les garanties de procédure permettant la mise à disposition en vue de leur traitement de l'échantillon généraliste des bénéficiaires (EGB) et des bases de données thématiques appelées « datamarts » du Système national d'information inter régimes de l'assurance maladie (SNIIRAM), présentant un faible risque d'impact sur la vie privée entre en vigueur le lendemain de sa publication au Journal officiel de la République française.