Le comité d'audit prévu à l'article 77 de la loi du 6 janvier 1978 susvisée est présidé par le haut fonctionnaire de défense et de sécurité des ministères chargés des affaires sociales qui peut déléguer cette fonction au fonctionnaire de sécurité des systèmes d'information des ministères chargés des affaires sociales et de la santé.
Le comité d'audit est composé :
1° Du directeur de la recherche, des études, de l'évaluation et des statistiques ou son représentant ;
2° Du délégué à la stratégie des systèmes d'information de santé ou son représentant ;
3° Du directeur de la Caisse nationale d'assurance maladie, responsable du traitement du système national des données de santé, ou son représentant ;
4° Du directeur de l'Agence technique de l'information sur l'hospitalisation ou son représentant ;
5° Du directeur de l'Institut national de la santé et de la recherche médicale ou son représentant ;
6° Du directeur de la Caisse nationale de solidarité pour l'autonomie ou son représentant ;
7° De représentants des organismes d'assurance maladie complémentaire ;
8° Du président de l'Institut national des données de santé ou son représentant ;
9° D'une personne représentant les acteurs privés du domaine de la santé ;
10° D'une personnalité qualifiée.
Les personnes mentionnées aux 7°, 9° et 10° sont désignées par arrêté du ministre chargé des affaires sociales et de la santé, sur proposition du président du comité d'audit.
Le président de la Commission nationale de l'informatique et des libertés ou son représentant assiste au comité d'audit en tant qu'observateur.
Le comité d'audit se réunit au moins deux fois par an sur convocation de son président.
Sur la base des orientations arrêtées par le comité d'audit, son président décide des audits à réaliser chaque année sur l'ensemble des systèmes réunissant, organisant ou mettant à disposition tout ou partie des données du système national des données de santé à des fins de recherche, d'étude ou d'évaluation et sur les systèmes composant le système national des données de santé.
La stratégie d'audit ainsi que la programmation des audits sont transmises par le président du comité d'audit au président de la Commission nationale de l'informatique et des libertés.