Sur la proposition de Mme Valérie PEUGEOT, commissaire, et après avoir entendu les observations de Mme Nacima BELKACEM, commissaire du Gouvernement,
Formule les observations suivantes :
La Commission a été saisie le 28 avril 2020 par la Plateforme des données de santé d'une demande de modification du référentiel portant sur la description et les garanties de procédure permettant la mise à disposition en vue de leur traitement de l'échantillon généraliste des bénéficiaires (ci-après, EGB) et des bases de données thématiques appelées « datamarts » du système national d'information interrégimes de l'Assurance maladie (SNIIRAM), présentant un faible risque d'impact sur la vie privée, établi par la délibération n° 2019-039 du 11 avril 2019.
Le présent référentiel porte sur la description et les garanties de procédure permettant la mise à disposition en vue de leur traitement des données de l'EGB du SNIIRAM, composante du système national des données de santé (SNDS).
L'EGB du SNIIRAM est un échantillon constitué par la Caisse nationale de l'assurance maladie (CNAM) qui concerne 1/97e de la population couverte par l'assurance maladie en France. L'EGB contient des informations sur les caractéristiques sociodémographiques et médicales des bénéficiaires et les prestations de soins qu'ils ont reçues. L'utilisation de cet échantillon permet notamment de mieux connaître et comprendre le recours aux soins, les trajectoires de soins et les dépenses de santé des assurés sur une période.
Sont également constituées à partir du SNIIRAM des bases de données thématiques de données agrégées appelées « datamarts » orientées vers le suivi des dépenses (Damir) ou l'analyse de l'offre de soins (Amos), ainsi que des tableaux de bord sur la biologie et la pharmacie. Ces jeux de données sont inclus dans le champ d'application du présent référentiel.
Conformément aux dispositions du troisième alinéa de l'article 66-II de la loi « Informatique et Libertés », des jeux de données de santé présentant un faible risque d'impact sur la vie privée peuvent faire l'objet d'une mise à disposition en vue de leur traitement dans des conditions préalablement définies par un référentiel, sans que l'autorisation prévue à l'article 76 de la loi précitée soit requise.
La Commission rappelle, à titre liminaire, que le SNIIRAM étant une composante du SNDS, l'ensemble des dispositions législatives et réglementaires relatives au SNDS est applicable aux traitements de données issues de l'EGB et, en particulier :
- l'interdiction d'utiliser les données du SNDS pour les finalités décrites à l'article L. 1461-1 V du code de la santé publique (finalités interdites) ;
- le respect du référentiel de sécurité applicable au SNDS, fixé par l'arrêté du 22 mars 2017 ;
- le principe de transparence prévu à l'article L. 1461-3 II du code de la santé publique. La Commission rappelle sur ce point que le cadre juridique permettant la mise à disposition des données du SNDS et de ses composantes est conçu de façon à rendre compte de leur utilisation à la société civile. A cette fin, le code de la santé publique subordonne l'accès aux données du SNDS et de ses composantes à la communication à la Plateforme des données de santé de plusieurs éléments par le responsable de traitement, avant et après la réalisation des études. Ainsi, le responsable du traitement s'engage à enregistrer auprès du répertoire public tenu par la Plateforme des données de santé les études réalisées dans le cadre de ce référentiel. Cet enregistrement, à effectuer par le responsable de traitement ou la personne agissant pour son compte avant le début des études, s'accompagne de la transmission à la Plateforme des données de santé d'un dossier comportant :
- le protocole, incluant la justification de l'intérêt public, ainsi qu'un résumé, selon le modèle mis à disposition par la Plateforme des données de santé ;
- la déclaration d'intérêts du responsable du traitement, en rapport avec l'objet des études ;
- à la fin des études, la méthode et les résultats obtenus en vue de leur publication ;
- la conformité de l'enregistrement du traitement et de la transmission des résultats aux modalités définies par la Plateforme des données de santé.
L'information des personnes concernées quant à la réutilisation possible de leurs données et les modalités d'exercice de leurs droits, devront être conformes aux dispositions législatives et règlementaires applicables aux traitements de données à caractère personnel du SNDS.
Décide :
La description et les garanties de procédure permettant la mise à disposition des données à caractère personnel issues de l'EGB du SNDS définies par la Commission sont les suivantes :
Traitements susceptibles d'être examinés uniquement par la Plateforme des données de santé :
Les conditions d'accès définies par le présent référentiel s'appliquent aux traitements mis en œuvre à des fins de recherche, d'étude ou d'évaluations dans le domaine de la santé, justifiés par l'intérêt public, et pour la réalisation desquels seul un accès à l'EGB et/ou aux « datamarts » et tableaux de bord du SNIIRAM est nécessaire.
Sont susceptibles de bénéficier d'une approbation unique de la Plateforme des données de santé les traitements qui respectent les conditions cumulatives suivantes :
- le traitement est réalisé au sein du portail sécurisé de la CNAM et ne prévoit pas la constitution d'un système fils du SNDS tel que défini à l'arrêté du 22 mars 2017 précité ;
- aucun croisement de plusieurs identifiants potentiels, tels que définis par les dispositions réglementaires applicables au SNDS, n'est réalisé ;
- la durée d'accès au portail n'excède pas vingt-quatre mois. Cette durée peut être prolongée de vingt-quatre mois maximum sur demande motivée du responsable de traitement.
Le traitement répond à l'une des finalités suivantes :
- évaluation comparative de l'offre de soins ;
- évolution des pratiques de prise en charge ;
- analyses comparatives des activités de soins ;
- description et analyse des pathologies et parcours de soins des patients ;
- études épidémiologiques et/ou médico-économiques dont les études pour la préparation des dossiers de discussions et réunions avec les autorités et comités compétents, ou les études à des fins de surveillance ;
- études de faisabilité dans le cadre d'une recherche impliquant ou n'impliquant pas la personne humaine.
Modalités d'accès spécifiques à certaines catégories de responsables de traitements :
Afin de bénéficier des présentes conditions de mises à disposition de l'EGB et des « datamarts », dans l'hypothèse où le traitement est réalisé par des personnes produisant ou commercialisant des produits mentionnés au II de l'article L. 5311-1 du code de la santé publique ou les organismes mentionnés au 1° du A et aux 1°, 2°, 3°, et 6° du B de l'article L. 612-2 du code monétaire et financier ainsi que les intermédiaires d'assurance mentionnés à l'article L. 511-1 du code des assurances, ces derniers sont tenus de recourir à un laboratoire de recherche ou à un bureau d'études mentionnés à l'article L. 1461-3 du code de la santé publique.
Examen par la Plateforme des données de santé
La Plateforme des données de santé se prononce au regard des éléments suivants :
- la justification apportée par le responsable de traitement pour démontrer la pertinence scientifique du projet ;
- la finalité d'intérêt public poursuivie par le traitement ;
- la durée de l'accès au portail pour le traitement envisagé, qui doit être limitée à la durée nécessaire à la réalisation de la recherche, l'étude ou l'évaluation ; et, le cas échéant, la justification de la demande de prolongation de cette durée adressée par le responsable du traitement ;
- le respect des exigences législatives applicables au SNDS et l'engagement du responsable de traitement sur le respect du paragraphe 5 « Accès aux données » du référentiel de sécurité précité applicable au SNDS ;
- le cas échéant, le respect des modalités d'accès aux données prévues par le référentiel déterminant les critères de confidentialité, d'expertise et d'indépendance pour les laboratoires de recherche et bureaux d'études (recours à un laboratoire de recherche ou à un bureau d'études pour certaines catégories d'acteurs).
Procédure d'accès
La demande d'accès est adressée à la Plateforme des données de santé dans les mêmes conditions que celles prévues pour la transmission du dossier de demande d'autorisation de recherche, étude ou évaluation dans le domaine de la santé prévu à l'article 76 de la loi « Informatique et Libertés ».
La Plateforme des données de santé notifie sa décision au demandeur dans un délai de quinze jours ouvrés, à compter de la réception d'un dossier complet. Sans réponse de la part de la Plateforme des données de santé au terme du délai de quinze jours ouvrés, la demande est réputée approuvée.
La Plateforme des données de santé peut contacter le demandeur pour tout complément d'information si nécessaire. Le délai d'approbation est suspendu dans l'attente des éléments complémentaires.
Dans le cas où la Plateforme des données de santé ne s'estime pas en mesure de se prononcer au vu des éléments constitutifs du dossier, elle peut décider que le traitement envisagé est soumis à la procédure complète selon les modalités prévues aux articles 72 à 79 de la loi « informatique et libertés » modifiée et en informe le demandeur. Après accord de ce dernier, la Plateforme des données de santé saisit le CESREES pour avis, puis la Commission nationale de l'informatique et des libertés pour autorisation, dans le respect des dispositions de la loi « Informatique et Libertés ».
Transparence
Sans préjudice du dispositif de transparence prévu par les dispositions législatives et réglementaires applicables aux traitements de données à caractère personnel du SNDS, la Plateforme des données de santé informe au moins une fois par an la Commission des approbations délivrées dans les conditions décrites dans le cadre du présent référentiel ainsi que des caractéristiques des traitements mis en œuvre.
La délibération n° 2019-039 du 11 avril 2019 portant adoption d'un référentiel portant sur la description et les garanties de procédure permettant la mise à disposition en vue de leur traitement de l'EGB et des bases de données thématiques appelées « datamarts » du SNIIRAM, présentant un faible risque d'impact sur la vie privée et abrogeant la délibération n° 2018-134 du 12 avril 2018, est abrogée.
Le présent référentiel portant sur la description et les garanties de procédure permettant la mise à disposition en vue de leur traitement de l'EGB et des bases de données thématiques appelées « datamarts » du SNIIRAM, présentant un faible risque d'impact sur la vie privée, entre en vigueur le lendemain de sa publication au Journal officiel de la République française.