Articles

Article AUTONOME (Délibération n° 2020-106 du 29 octobre 2020 portant avis sur un projet de décret relatif au système national des données de santé (demande d'avis n° 20011090))

Article AUTONOME (Délibération n° 2020-106 du 29 octobre 2020 portant avis sur un projet de décret relatif au système national des données de santé (demande d'avis n° 20011090))


Sur la proposition de Mme Valérie PEUGEOT, commissaire, et après avoir entendu les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
Le projet de décret dont est saisie la Commission est pris en application de la loi n° 2019-774 du 24 juillet 2019 relative à l'organisation et à la transformation du système de santé, qui a étendu le périmètre du système national des données de santé (SNDS) et créé la Plateforme des données de santé (PDS), chargée de réunir, d'organiser et de mettre à disposition ces données.
A titre liminaire, la Commission souhaite émettre trois observations sur le projet de décret.
D'une part, elle regrette vivement, au regard de l'enjeu essentiel s'attachant à la protection de données de santé de millions de Français, le manque de lisibilité et de clarté des dispositions encadrant le SNDS qui, au-delà de l'insécurité juridique ainsi créée, réservent sa compréhension - et les enjeux importants qui y sont attachés - aux seuls experts du domaine.
D'autre part, elle estime, pour les raisons qui sont détaillées ci-dessous, que le projet de décret ne répond que partiellement aux objectifs qui lui sont fixés par l'article L. 1461-7 du code de la santé publique (CSP), notamment en ce qu'il ne remplit pas suffisamment clairement l'objectif de fixer « la liste des catégories de données réunies au sein du système national des données de santé » ainsi que « les catégories de responsables des traitements du SNDS et les responsables de traitement et fixer leurs rôles respectifs ».
Enfin, et surtout, la Commission estime indispensable que la garantie prévue par l'arrêté du 9 octobre 2020 au bénéfice des données de l'entrepôt « Covid » soit étendue à l'ensemble des données composant le « SNDS centralisé » et, qu'ainsi, il soit fait interdiction à l'ensemble de ces données de faire l'objet d'un transfert de données en dehors de l'Union européenne, quelles que soient les modalités d'hébergement (portail de la CNAM ; solution technique de la PDS, système fils, etc.). Elle prend acte de l'engagement du ministère de modifier le projet de décret sur ce point.
Sur le périmètre du SNDS
Alors que le SNDS - le « SNDS historique » - était jusqu'alors limité aux données issues des bases médico-administratives hébergées ou susceptibles d'être hébergées par la Caisse nationale de l'assurance maladie (CNAM), la loi du 24 juillet 2019 a ajouté de nouvelles catégories de données, telles que les données issues de la prise en charge médicale lorsque les actes sont remboursés par la sécurité sociale, les données issues des visites médicales scolaires, des services de protection maternelle ou infantile, des visites de santé au travail ou des enquêtes appariées, etc. L'ensemble de ces données entre dans le périmètre du « SNDS élargi ». Lorsqu'elles sont utilisées pour l'une des finalités visées à l'article L. 1461-1 III du CSP, elles sont soumises au respect de l'ensemble des dispositions de ce code, tout particulièrement au respect du référentiel de sécurité, à l'interdiction de poursuite de finalités interdites, aux conditions d'accès aux données via un accès permanent ou à la réalisation d'une formalité ainsi qu'aux modalités de transparence. Ce rattachement juridique au « SNDS élargi » n'emporte pas pour autant à lui seul de migration des données au sein d'une base centralisée.
Par ailleurs, l'essentiel de ces données a vocation à être intégré progressivement dans un « SNDS centralisé » composé d'une base principale (comprenant à ce jour le « SNDS historique » et pouvant être dans l'avenir enrichi) et d'une base catalogue incluant d'autres bases de données considérées comme pertinentes pour les acteurs de la recherche. Cette intégration impliquera, quant à elle, la migration des données. Initialement envisagé comme un système décentralisé, la Commission relève que le choix du ministère s'oriente finalement vers une centralisation des données du SNDS. Elle prend acte que ce projet de décret vise à amorcer cette centralisation des données auprès de la CNAM et de la PDS et à encadrer uniquement la mise en œuvre de ce « SNDS centralisé ».
La Commission relève également que, d'après les précisions apportées par le ministère, la PDS disposera d'une copie de la base principale, actuellement hébergée par la CNAM et que la base catalogue sera uniquement hébergée par la PDS.
La Commission attire, enfin, l'attention du ministère sur l'absence de clarté du périmètre du « SNDS élargi », ce qui nuit à la bonne compréhension du dispositif prévu par le projet de décret.
Sur le périmètre du « SNDS élargi »
La Commission estime que certaines catégories de données listées à l'article L. 1461-1 du CSP nécessiteraient d'être précisées.
S'agissant des données visées au 6° de l'article L. 1461-1 du CSP, le ministère a précisé que les données issues des dossiers médicaux, de même que celles issues des entrepôts hospitaliers, ne sont pas considérées comme des données du SNDS ab initio. La Commission comprend que ces données auront vocation à intégrer le « SNDS élargi » à condition d'être utilisées pour l'une des finalités prévues au III de ce même article (pour une finalité de recherche, d'étude ou d'évaluation par exemple). Ces données sont ensuite susceptibles d'intégrer le « SNDS centralisé » suite à un texte autorisant leur mise à disposition.
En outre, d'après les précisions apportées par le ministère, dès lors que le producteur de la base réutilise ses propres données à des fins de recherche, le critère de la mise à disposition ne sera pas rempli.
La Commission demande donc au ministère de clarifier le régime juridique applicable à la réutilisation de ces données et en particulier la notion de « mise à disposition ».
Par ailleurs, le ministère a également précisé que toutes les données, dès lors qu'elles seraient appariées avec des données du SNDS, feraient partie du « SNDS élargi ». Si la Commission comprend qu'un tel traitement soit effectivement soumis aux dispositions du CSP (respect du référentiel de sécurité du SNDS, transparence, etc.), cela ne doit pas pour autant conduire à considérer que la base ainsi appariée fait partie de facto du périmètre du « SNDS élargi ». Pour relever de ce périmètre, la base ainsi appariée ne devrait contenir que des données visées à l'article L. 1461-1 du CSP.
Parmi les données visées par cet article, la Commission relève que font partie du « SNDS élargi » « les données à caractère personnel des enquêtes dans le domaine de la santé, lorsque ces données sont appariées avec des données mentionnées aux 1° à 6° ». La Commission relève que, d'après les précisions apportées par le ministère, cette terminologie fait référence aux enquêtes définies par la loi n° 51-711 du 7 juin 1951 sur l'obligation, la coordination et le secret en matière de statistiques. Elle prend acte de l'engagement du ministère de préciser le terme « enquête » dans le projet de décret.
Elle prend également acte de la volonté du ministère de faire figurer les cohortes appariées au « SNDS historique » dans le « SNDS élargi », mais s'interroge, cependant sur la vocation des cohortes appariées au « SNDS historique » ou d'autres bases de données, constituées à des fins de recherche et ne relevant pas de la loi du 7 juin 1951, à faire partie du périmètre « SNDS élargi ».
La Commission invite donc le ministère à clarifier le périmètre du « SNDS élargi », afin de ne pas l'étendre au-delà des seules données mentionnées dans la loi.
Sur le périmètre du « SNDS centralisé » (base principale et base catalogue)
La Commission relève que le projet de décret prévoit qu'« un arrêté du ministre chargé de la santé liste les données du 1° à 11° du I de l'article L. 1461-1 du présent code qui alimentent la base principale et recense les bases de données du catalogue. Il est actualisé périodiquement selon la disponibilité des données ».
Elle constate que le projet de décret renvoie le soin à un arrêté, portant uniquement sur le « SNDS centralisé », d'apporter des précisions concernant les catégories de données visées par l'article L. 1461-1 du CSP. Elle regrette que ces catégories de données ne soient pas précisées en amont de l'inscription dans la base principale et dans la base catalogue de manière à déterminer préalablement le périmètre du « SNDS élargi ».


- S'agissant de la base principale


Selon le projet de texte, la base principale a vocation à couvrir « l'ensemble de la population » et « réunit les données mentionnées aux 1° à 4° du I de l'article L. 1461-1 ». A ce jour, sont concernées les données issues du Système national d'information inter-régimes de l'Assurance maladie (SNIIRAM), du Programme de médicalisation des systèmes d'information (PMSI), du Centre d'épidémiologie sur les causes médicales de Décès (CepiDC) et des données issues des maisons départementales des personnes handicapées. Il est par ailleurs prévu que cette base principale soit « complétée progressivement des données mentionnées aux 5° à 11° de l'article précité. »
La Commission relève que, d'après les précisions apportées par le ministère, la base principale sera alimentée par des « données exhaustives couvrant l'ensemble de la population ». Elle demande au ministère de préciser les critères pris en compte pour déterminer qu'une base alimentera la base principale, afin que le décret précise, comme le prévoit la loi, les modalités d'alimentation du SNDS.
Elle s'interroge également sur les critères conduisant à intégrer, par arrêté ministériel, les données listées aux 5° à 11° de l'article L. 1461-1 dans le « SNDS centralisé ».


- S'agissant du catalogue


Le projet d'article R. 1461-2 du CSP prévoit que « les bases de données du catalogue comprennent des données mentionnées aux 1° à 11° de l'article précité. »
La Commission relève que, d'après les précisions apportées par le ministère, le catalogue comprendra uniquement des données visées à l'article L. 1461-1 du CSP.
Elle relève toutefois, également selon les précisions apportées par le ministère, que lorsqu'une base contient pour partie des données appartenant aux catégories visées par les dispositions de l'article L. 1461-1 du CSP et pour partie d'autres données, seule cette première partie de la base pourra être intégrée au catalogue.
Elle attire l'attention du ministère sur les difficultés que peut présenter, d'un point de vue pratique et scientifique, une telle préparation des bases en vue de leur intégration au catalogue.
Enfin, la Commission relève que l'arrêté du ministre chargé de la santé sera actualisé périodiquement, selon la disponibilité des données.
Elle prend acte de l'engagement du ministère de modifier le projet de décret afin que celui-ci précise que l'arrêté a vocation à inscrire les bases au sein du catalogue et non à recenser celles qui ont déjà été inscrites dans celui-ci.
Elle constate, par ailleurs, que le projet de décret renvoie le soin à la PDS de vérifier la conformité des bases ayant vocation à figurer au catalogue, au regard du RGPD et de la loi « informatique et libertés ». Elle prend acte de l'engagement du ministère, d'une part, de modifier le projet afin que ce rôle ne soit plus dévolu à la PDS et, d'autre part, du fait que la Commission sera saisie pour avis préalable de l'arrêté visé au I de l'article R. 1461-2 du CSP.
Sur l'information des personnes et les modalités d'exercice du droit d'opposition, et les autres droits
Le projet d'article R. 1461-9 du CSP prévoit les modalités d'information des personnes concernées et d'exercice de leurs droits.
S'agissant de l'information relative à la constitution du SNDS
Le projet d'article R. 1461-9 du CSP distingue les modalités d'information mises en œuvre, d'une part, par la PDS et, d'autre part, par la CNAM, la PDS étant chargée de mettre en œuvre sur son site web une information dont le contenu est précisé par le projet de décret. La CNAM est, quant à elle, chargée de réaliser une information « relative à la mise en œuvre du système national des données de santé permettant de porter directement à la connaissance des personnes concernées les principales caractéristiques de ce dispositif » et de mettre à disposition ces informations sur son site internet, qui renverra à celui de la PDS.
La Commission prend acte de ce que, d'après les précisions apportées par le ministère, la CNAM mettra à disposition sur son site web des informations relatives à l'évolution du périmètre du SNDS ainsi qu'au « traitement » et que les personnes concernées seront invitées à consulter le site de la PDS afin de pouvoir accéder à des informations plus détaillées. Elle relève également qu'une information « rappelant la création du SNDS et son fonctionnement » sera rendue accessible via le compte Ameli des assurés et figurera sur les relevés de remboursement adressés par voie postale.
La Commission relève que, malgré l'ampleur du traitement, tant en termes de sensibilité que de volume des données, le projet de décret ne prévoit pas d'information individuelle des personnes concernées. Par ailleurs, prenant acte que l'information sera presque exclusivement réalisée de façon dématérialisée (sites web, compte Ameli), la Commission demande au ministère de réfléchir à des modalités d'information supplémentaires alternatives (campagnes d'affichage ou d'information dans les media, mise à disposition des notes d'information dans les caisses primaires d'assurance maladie, transmission d'une note d'information complète en cas de demande des personnes concernées, etc.). Quant aux 30 % des assurés ne disposant pas d'un compte Ameli, la Commission demande qu'une information individuelle complète leur soit délivrée par voie postale, par exemple, à l'occasion de l'envoi d'un relevé de remboursement.
La Commission rappelle que l'information diffusée par la CNAM via son site web et le compte Ameli des assurés devra être complétée afin de comporter des informations concernant les bases de données alimentant le SNDS et les modalités d'exercice des droits (mentions prévues à l'article R. 1461-9 I 1° et 2° du code de la santé publique).
Elle insiste, par ailleurs, sur la nécessité que l'information délivrée aux personnes concernées soit, quel que soit le support utilisé, claire, aisément accessible et conforme aux dispositions de l'article 14 du RGPD. Les supports ne comprenant pas l'intégralité des informations nécessaires devront renvoyer vers un support comportant l'ensemble des mentions prévues par les dispositions du RGPD. Enfin, elle estime qu'une note d'information complète devra être adressée par voie postale à toute personne qui en ferait la demande.
S'agissant de l'information relative à la réutilisation des données du SNDS
Le projet d'article R. 1461-9 du CSP prévoit que la PDS mettra à disposition sur son site web la liste et les caractéristiques des projets portant sur les données du SNDS. La Commission accueille favorablement la mise en œuvre de ce « portail de transparence » centralisant, conformément aux dispositions de l'article 14 du RGPD, les informations relatives à l'ensemble des projets menés dans le cadre d'un accès permanent ou suite à la réalisation d'une formalité auprès de la Commission.
La Commission rappelle que les dispositions de l'article 69 de la loi « informatique et libertés » demeurent pleinement applicables à tous les traitements réalisés à partir de données du SNDS, y compris dans le cadre des accès permanents. Conformément aux dispositions de l'article 14 du RGPD, dans l'hypothèse où la fourniture d'une information individuelle se révélerait impossible, exigerait des efforts disproportionnés ou compromettrait gravement la réalisation des objectifs du traitement, des mesures appropriées devront être mises en œuvre par chaque responsable de traitement afin de protéger les droits et libertés, ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles. La Commission rappelle qu'il appartiendra à chaque responsable de traitement souhaitant réaliser un traitement de données du SNDS de mettre en œuvre des mesures appropriées afin de rendre l'information publiquement disponible, laquelle ne pourra se limiter à l'inscription de son traitement au sein du portail de transparence de la Plateforme des données de santé.
S'agissant des modalités d'exercice des droits des personnes
La Commission relève le manque de clarté du dispositif prévu dans le projet de décret et le fait qu'il ne s'applique qu'au « SNDS centralisé ». Elle craint que ce dispositif ne constitue un frein à l'exercice des droits des personnes, d'autant que les organismes auprès desquels les demandes doivent être adressées varient selon la base de données et le droit concerné.
Le projet de décret prévoit que le droit prévu à l'article 21 du RGPD ainsi qu'à l'article 74 de la loi « informatique et libertés » ne puisse être exercé dans le cadre de la constitution du SNDS.
La Commission prend acte de ce que, selon les précisions apportées par le ministère, l'inapplicabilité du droit d'opposition concerne à la fois la constitution de la base principale et de la base catalogue. Elle relève néanmoins que le ministère a également indiqué que si une personne s'est opposée à la réutilisation de ses données dans une base source inscrite au catalogue, « ses données n'alimenteront pas le SNDS ».
La Commission considère que l'opposition à la réutilisation des données d'une base source devrait empêcher la remontée des données dans le catalogue. Elle estime également nécessaire de prévoir un droit d'effacement des données, dans l'hypothèse où elles auraient été remontées au catalogue préalablement à l'exercice du droit d'opposition. Elle prend acte de l'engagement du ministère de modifier le projet de décret sur ce point.
En outre, elle rappelle que le droit d'opposition exercé sur chacune des bases de données susceptibles d'alimenter le « SNDS centralisé » avant l'entrée en vigueur du décret devra être pris en compte, qu'il ait été effectué auprès des organismes gestionnaires du régime d'assurance maladie obligatoire s'agissant de la mise à disposition des données ou auprès d'un organisme producteur de données dont la base a été inscrite au catalogue.
La Commission relève que le projet de décret prévoit que, pour exercer son droit d'opposition, la personne concernée doit adresser sa demande :


- auprès du directeur de la Plateforme des données de santé « lorsque celle-ci est responsable du traitement concerné » ;
- auprès du directeur de l'organisme gestionnaire du régime d'assurance maladie obligatoire « lorsque la CNAM est responsable du traitement concerné ».


La Commission relève que le projet de décret ne précise pas le caractère alternatif ou cumulatif des modalités d'exercice des droits. Elle prend acte de l'engagement du ministère de préciser dans le projet de décret que les personnes concernées pourront adresser leur demande indifféremment à l'un ou l'autre de ces organismes, conformément aux dispositions de l'article 26-3° du RGPD, et que, dans cette hypothèse, il sera considéré que la personne concernée s'est opposée à toute mise à disposition de ses données (hors accès permanent) dans le SNDS « centralisé ».
Elle relève, en outre, que lorsqu'une demande est effectuée auprès de la PDS, cette dernière met en œuvre un circuit de traitement du numéro d'inscription au répertoire des personnes physiques (NIR) afin de lever le pseudonymat des données et d'identifier les données se rapportant au demandeur. A cet égard, la Commission rappelle qu'un des principes fondamentaux de la sécurité du SNDS repose sur la pseudonymisation de ses données et un strict cloisonnement entre les données identifiantes et les données pseudonymisées, excluant par principe qu'une même entité ait accès simultanément aux NIR et aux données du SNDS. Dès lors, elle considère contraire à ce principe que la PDS traite le NIR de la personne exerçant ses droits pour opérer la réidentification de ses données. Elle demande que le projet de décret soit modifié sur ce point.
S'agissant des droits d'accès et de rectification, la Commission relève que les modalités d'exercice de ces droits diffèrent selon la base concernée : ainsi, les droits s'exercent auprès de l'organisme gestionnaire du régime d'assurance maladie pour la base principale, et auprès des organismes responsables de chaque base de données alimentant le SNDS pour le catalogue de données.
La Commission considère que de telles modalités d'exercice des droits d'opposition, d'accès et de rectification, qui imposent aux personnes concernées de s'adresser à plusieurs responsables de traitement alors même qu'elles ne seront pas toujours individuellement informées des traitements de données les concernant, ne sont pas, en l'état, de nature à permettre un exercice effectif des droits. Elle prend toutefois acte de l'engagement du ministère de clarifier l'articulation entre les modalités d'exercice des droits des personnes directement auprès des responsables des bases sources et les modalités d'exercice de ces droits dans le cadre du SNDS.
En outre, elle relève que, selon les termes du projet de décret, l'exercice d'un droit d'accès délégué aux responsables des bases alimentant le catalogue ne permettra pas à la personne d'avoir connaissance des données consolidées et appariées qui lui sont rattachées dans le catalogue centralisé sur la PDS. Elle prend acte de l'engagement du ministère de modifier le projet de texte sur ce point afin de prévoir l'application du droit d'accès aux données détenues par la PDS ou la CNAM lorsque les données font l'objet d'un appariement.
La Commission considère, en conséquence, que la gestion des demandes d'exercice des droits devrait intervenir au niveau des organismes gestionnaires du régime d'assurance maladie obligatoire. En effet, ces organismes sont dépositaires du secret permettant d'effectuer le premier niveau de pseudonymisation du NIR, et sont susceptibles de constituer un « guichet unique » efficace pour toutes les demandes d'exercice des droits d'une personne.
Dans cette hypothèse, la CNAM - comme actuellement - et la PDS ne recevraient alors qu'un pseudonyme dérivé du NIR leur permettant de sélectionner les données correspondant au demandeur et d'effectuer les opérations nécessaires au bon exercice de ses droits (suppression ou extraction pour transmission). Par ailleurs, ce schéma permettrait à la personne concernée, grâce à une seule demande, d'exercer ses droits pour l'ensemble des bases du « SNDS centralisé », permettant ainsi de se conformer à la fois aux principes de sécurité du SNDS et aux dispositions du RGPD.
De plus, la réalisation d'appariements entre des données provenant de différentes sources sur la base d'identifiants dérivés du NIR constitue l'un des fondements principaux de l'architecture technique de la PDS. Par conséquent, celle-ci semble tout à fait en mesure de réaliser ce type d'opérations dans les conditions de sécurité nécessaires.
En complément, et dans l'hypothèse où un téléservice spécifique serait mis en place pour simplifier l'exercice des droits, la Commission insiste sur le fait qu'il devra respecter les principes rappelés ci-dessus et recommande très fortement que le projet lui soit soumis préalablement à sa mise en œuvre afin qu'elle puisse évaluer notamment les modalités de vérification de l'identité du demandeur et les mesures de sécurité mises en œuvre afin de limiter les risques inhérents à une réidentification des données du SNDS.
Enfin, la Commission relève que les modalités ci-dessus concernant le SNDS centralisé ne sont pas exclusives de la capacité des personnes à exercer leurs droits directement auprès des responsables des autres bases du SNDS pour les données traitées par ces derniers, que ces bases soient dans le « SNDS élargi » ou qu'elles alimentent le « SNDS centralisé », et demande que le projet de décret soit complété en ce sens.
Sur les responsabilités respectives de la CNAM, de la PDS et des différents acteurs (article R. 1461-3 du CSP et 6° de l'article L. 1461-7)
L'article L. 1461-7 du CSP prévoit que le décret doit définir « les catégories de responsables des traitements du SNDS et les responsables de traitement et fixer leurs rôles respectifs ».
Sur ce point, la Commission prend acte du choix du ministère de ne pas multiplier les responsables de traitements du « SNDS centralisé » et de ne pas désigner tout organisme producteur de données comme responsable de traitement.
Le ministère a précisé que la CNAM et la PDS étaient responsables conjoints de traitement du « SNDS centralisé », au sens du RGPD et a apporté des précisions sur les missions spécifiques de chacun de ces organismes dans le cadre de la mise en œuvre du traitement, telles que la mise à disposition des données issues de la base principale ou l'intégration du catalogue. La Commission suggère que le projet de texte soit complété, au regard des clarifications apportées.
La Commission relève toutefois qu'un organisme responsable de traitement d'une base source alimentant la base principale ou la base catalogue pourra continuer à mettre à disposition les données de la base source auprès d'autres responsables de traitement (par exemple, l'Agence technique de l'information sur l'hospitalisation mettant à disposition les données du PMSI auprès d'autres responsables de traitement ou un centre hospitalier universitaire mettant à disposition les données d'un entrepôt hospitalier auprès d'une entreprise spécialisée dans l'intelligence artificielle). Elle relève que cette mise à disposition sera régie par les dispositions du CSP (interdiction de poursuite des finalités interdites, respect du référentiel de sécurité du SNDS, etc.). Elle prend acte des précisions apportées par le ministère selon lesquelles l'organisme est responsable du traitement de sa base source tant qu'il traite les données et jusqu'à ce que les données soient traitées pour alimenter le « SNDS centralisé ».
En outre, dans sa délibération n° 2019-008 du 31 janvier 2019, la Commission avait appelé à ce que les textes d'application prévoient, comme le permet l'article 4 du RGPD, les critères spécifiques applicables à la désignation de la PDS en tant que responsable, co-responsable de traitement ou sous-traitant lors de la mise en œuvre de projets de recherche.
Ainsi, dans un objectif de clarté et de sécurité juridique, elle estime nécessaire d'indiquer dans le décret la qualification de la PDS ou de la CNAM ainsi que du demandeur, dans l'hypothèse où les données seront mises à disposition d'un porteur de projet, dans le cadre d'un accès autorisé ou lorsque la PDS réalisera des opérations pour le compte d'un demandeur. Elle demande donc que le projet de décret soit clarifié sur ces points.
Sur l'accès permanent de certains services publics au système national des données de santé
La Commission relève que les dispositions régissant « l'accès permanent » aux données du SNDS dont disposent les organismes publics ou chargés d'une mission de service public sont largement modifiées dans le cadre de ce projet de décret, tant en ce qui concerne les bénéficiaires de cet accès que s'agissant de la nature des données pouvant être traitées.
S'agissant des traitements pouvant être mis en œuvre dans le cadre de cet accès permanent
La Commission prend acte des précisions apportées par le ministère selon lesquelles cette autorisation législative et réglementaire ne concerne que la base principale du « SNDS centralisé » et demande que le projet de décret le précise expressément.
Elle rappelle également que ces organismes ne peuvent procéder, conformément aux dispositions de l'article L. 1461-3 du CSP, à des appariements avec les données du SNDS « que dans la mesure où ces actions sont rendues strictement nécessaires par les finalités des traitements ou par [leurs] missions ». La Commission relève que le projet de décret n'apporte aucune précision sur ces appariements, le projet d'article R. 1461-15 du CSP ne faisant état que de la nécessité de respecter « les procédures définies par la section 3 du chapitre III du titre II de la loi « informatique et libertés » lorsque les besoins d'un traitement « excèdent l'étendue de l'autorisation dont [l'organisme] bénéficie ». La Commission demande au ministère de préciser ces termes dans le projet de décret et de mentionner expressément qu'en cas d'appariement, les dispositions de la section 3 du chapitre III du titre II de la loi « informatique et libertés » devront être respectées.
S'agissant des organismes bénéficiaires d'un accès permanent et le périmètre des données traitées
La Commission rappelle que le bénéfice d'un accès permanent devrait être justifié par la nécessité pour l'organisme de réaliser une grande volumétrie de traitements ou des traitements urgents de données du SNDS pour les besoins de ses missions. Elle rappelle également que les accès permanents sont strictement personnels aux organismes qui en bénéficient et que les données ainsi obtenues ne sauraient être mises à disposition d'autres organismes responsables de traitement.
La Commission relève que le projet d'article R. 1461-12 du CSP allonge substantiellement la liste des organismes publics ou chargés d'une mission de service public pour lesquels la nouvelle réglementation prévoirait un accès permanent. Le nombre de ces organismes serait, en effet, porté à trente-deux, au lieu de vingt-cinq antérieurement. Elle relève qu'une fiche a été transmise par la plupart de ces organismes à l'appui de leur demande. La Commission s'étonne cependant de l'incomplétude de certaines des fiches justificatives transmises et rappelle l'importance d'évaluer les besoins de ces organismes sur la base de critères objectifs et d'un argumentaire détaillé.
Elle relève que plusieurs des nouveaux organismes souhaitant bénéficier d'un accès permanent n'ont jamais déposé de demande d'autorisation auprès de la Commission afin d'accéder aux données du SNDS. Elle considère, par ailleurs, que la profondeur historique sollicitée (9 ans ou 19 ans plus l'année en cours) par certains de ces organismes n'est pas suffisamment justifiée dans les fiches qui lui ont été transmises.
S'agissant des organismes qui disposaient déjà d'un accès permanent, la Commission relève également que la profondeur historique d'accès ainsi que la typologie des données concernées ont été substantiellement modifiées afin d'accroître considérablement cet accès, sans pour autant que des justifications particulières, pour certains organismes, aient été fournies pour faire évoluer le périmètre de leurs accès.
Elle relève enfin que plusieurs organismes ont omis, dans la fiche justificative qu'ils ont transmise, de préciser le nombre d'utilisateurs concernés et/ou de décrire les modalités de gestion de leurs habilitations.
Eu égard aux missions statutaires des organismes en cause, la Commission ne remet pas en cause le fait que la règlementation puisse les autoriser à disposer d'un accès permanent au SNDS. Il convient cependant qu'au moment où celui-ci se concrétisera, l'administration s'assure qu'il est réellement nécessaire et que l'organisme justifie avoir déployé les mesures de sécurité, d'information ou d'organisation adaptées aux risques que représente cette mise à disposition. Pour tenir compte des observations exposées ci-dessus, la Commission demande donc au ministère de prévoir, par une modification du projet de décret, qu'un contrôle préalable soit opéré avant que les sept nouveaux organismes bénéficient de cet accès permanent au SNDS ou que les accès existants soient élargis. Ce contrôle devra permettre de vérifier que l'organisme remplit les conditions requises. La commission insiste notamment sur la nécessaire mise en place d'une gouvernance formalisée des accès au SNDS, d'une procédure de gestion des habilitations individuelles ainsi que d'un programme permanent et renforcé de formation, de sensibilisation et d'accompagnement des utilisateurs habilités.
Sur le rapport d'évaluation de l'étendue de l'autorisation
La Commission relève que le projet de décret prévoit que chaque organisme disposant d'un accès permanent doit établir dans un délai maximal de trois ans « un rapport d'évaluation de l'étendue de l'autorisation au regard de ses missions » et le communiquer à la Commission.
Elle relève que, selon les précisions apportées par le ministère, le point de départ du délai de trois ans pour l'établissement de ce rapport court à compter de la date de publication du présent décret. Elle prend acte de l'engagement du ministère de modifier le projet de décret sur ce point.
Elle insiste, par ailleurs, sur la nécessité de respecter l'obligation réglementaire de transmission du rapport d'évaluation, qui permet à l'organisme de dresser en interne un bilan des traitements réalisés, cette démarche s'inscrivant dans une démarche de responsabilisation et de transparence vis-à-vis de la Commission.
Elle relève que plus de la moitié des organismes qui disposaient déjà d'un accès permanent n'a pas transmis de rapport ou de liste des études et des caractéristiques des traitements alors qu'il s'agit pourtant d'une obligation réglementaire. Compte tenu des enjeux attachés au bénéfice d'un accès permanent (absence de formalité vis-à-vis de la Commission, inapplicabilité du droit d'opposition, etc.), la Commission estime que l'absence de transmission d'un rapport complet devrait être assortie d'une sanction (non renouvellement de l'accès permanent, suspension des accès par la CNAM et la PDS). La Commission prend acte de l'engagement du ministère de modifier le projet de décret sur ce point.
Enfin, sans méconnaître l'intérêt de l'exploitation des données du SNDS par les organismes chargés d'une mission d'intérêt public, la Commission attire l'attention du ministère sur la nécessité qu'il réévalue, à l'issue de ce délai, la pertinence des accès permanents accordés.
Autres points
La Commission souhaite également faire part de ses observations sur les points suivants :


- Sur les conditions de désignation et d'habilitation des personnes autorisées à accéder au système national des données de santé (article L. 1461-3 et 4° de l'article L. 1461-7)


La Commission relève que ces conditions sont définies pour l'accès aux données par la CNAM et la PDS ; en revanche, elles ne sont pas précisées pour les autres cas (accès direct aux bases sources du SNDS, par exemple).


- Sur le rôle des comités scientifiques locaux


Au regard de l'extension du SNDS et du rôle dévolu au CESREES, la Commission s'interroge sur le rôle des comités locaux, constitués par exemple par les organismes disposant d'un entrepôt de données de santé. Cette gouvernance locale, essentielle aux producteurs de données, devra notamment s'articuler avec l'avis rendu par le CESREES lorsque la mise à disposition des données est réalisée par la PDS suite à l'inscription de la base au catalogue. Le rôle de ces comités devra également être précisé lorsque les données sont mises à disposition sans avis préalable du CESREES (recherche impliquant la personne humaine, méthodologie de référence par exemple).
La Commission accueille ainsi favorablement la proposition du ministère de lancer conjointement avec le ministère en charge de la recherche une réflexion sur les instances et comités scientifiques des entrepôts et bases de données, ainsi que sur leur gouvernance.


- Sur la constitution de jeux de données


La Commission prend acte de la volonté du ministère d'élargir les types d'échantillons pouvant être constitués, en ne les limitant plus à un échantillon « généraliste » (par exemple, un échantillon sur une pathologie donnée). Elle constate en outre que ceux-ci pourront être constitués à partir de données issues, outre de la base principale, également du catalogue.
Elle rappelle que la constitution d'un jeu de données nécessitant le traitement de données à caractère personnel devra faire l'objet de formalités appropriées auprès d'elle. Elle rappelle en outre que des formalités devront également être réalisées auprès d'elle par les responsables de traitements souhaitant y avoir accès, dans l'hypothèse où ces jeux de données ne seraient pas anonymes. Sur ce point, elle précise que des référentiels pourront être établis, conformément à l'article 66-II de la loi « informatique et libertés ».


- Sur le dépôt du dossier auprès de la PDS ou de la CNAM


La Commission relève que le projet d'article R. 1461-2 - III prévoit qu'« à l'exception des organismes visés au 2° du I de l'article L. 1461-3 qui bénéficient d'un accès permanent au système national des données de santé en application de la section 2 du présent chapitre, ils [les responsables de traitement] déposent auprès de la Plateforme de données de santé ou de la Caisse nationale de l'assurance maladie un dossier de demande d'accès aux données du système national des données de santé dont la composition figure sur leurs sites internet. »
La Commission considère qu'une telle formulation pourrait laisser entendre que la CNAM intervient au même titre que la PDS en qualité de « guichet unique », dans le cadre du traitement des dossiers de demande d'autorisation, comme le prévoient les dispositions de l'article 76 de la loi « informatique et libertés ». Sur ce point, le ministère a précisé faire référence à l'étape d'expression des besoins du demandeur pour l'accès effectif aux données du SNDS, quelle que soit la formalité effectuée en amont. La Commission prend acte de l'engagement du ministère de clarifier le projet de décret sur ce point.


- Sur la faculté pour la PDS de procéder à des opérations pour le compte d'un tiers


La Commission relève que l'article L. 1462-1 du CSP attribue un nouveau rôle à la PDS, qui peut « procéder, pour le compte d'un tiers et à la demande de ce dernier, à des opérations nécessaires à la réalisation d'un traitement de données issues du SNDS ».
La Commission rappelle que si, selon la réponse du ministère, la PDS aura un rôle de sous-traitant au sens du RGPD, elle ne pourra « traite[r] les données à caractère personnel que sur instruction documentée du responsable du traitement » selon l'article 28 du RGPD.


- Données issues de l'entrepôt « Covid » et des fichiers Contact Covid et SIDEP


La Commission relève que l'article 8 du projet de décret prévoit que « les données, traitées sur le fondement de l'arrêté du 21 avril 2020 et appariées aux données du système national des données de santé, sont conservées dans le système national des données de santé. »
La Commission attire l'attention du ministère sur l'utilisation du critère d'appariement des données, alors même que les données conservées au titre de l'article 30 de l'arrêté du 10 juillet 2020 modifié, qui a remplacé l'arrêté du 21 avril 2020, n'ont pas été appariées avec les données de la base principale du SNDS.
En outre, elle rappelle que la loi n° 2020-546 du 11 mai 2020 prorogeant l'état d'urgence sanitaire et complétant ses dispositions et le décret n° 2020-1018 du 7 août 2020 ont prévu une durée de conservation à des fins de surveillance épidémiologique et de recherche sur le virus de six mois après la fin de l'état d'urgence sanitaire, s'agissant des données issues de Contact Covid et SIDEP.
La durée de conservation des données du SNDS étant de vingt ans en application de l'article L. 1461-1-IV-4° du CSP, la Commission s'interroge sur la possibilité d'étendre par décret la durée de conservation fixée par la loi.


- Sur l'architecture technique


Le ministère a confirmé que la PDS disposera d'une copie de la base principale, pour répondre efficacement aux demandes et notamment pour la réalisation d'appariements ad hoc entre la base principale et le catalogue.
Sans remettre en cause cette nécessité opérationnelle, la Commission s'inquiète toutefois de la duplication d'une base comportant, par nature, des données sensibles couvrant l'ensemble de la population. En effet, cette duplication implique de transférer régulièrement un grand volume de données entre la CNAM et la PDS, ainsi que de partager des identifiants pseudonymisés ; en outre, la Commission rappelle que la PDS ne dispose pas - contrairement à la CNAM - de ses propres centres de données et fait appel à un prestataire dans un centre de données mutualisé avec plusieurs clients.
Elle rappelle que ces différentes opérations augmentent mécaniquement la surface d'attaque et les risques de violations sur ces données.


- Sur les mesures de sécurité


La Commission relève que le projet d'article R. 1461-5 du CSP prévoit que le nombre de personnes habilitées « est limité à ce qui est strictement nécessaire ». En complément de leur revue régulière, elle recommande que ces habilitations soient délivrées ab initio pour une durée limitée et que leur reconduction engage le même circuit d'habilitation.
S'agissant du projet d'article R. 1461-6 du CSP, la Commission prend acte de la précision du ministère que la liste des personnes habilitées mentionnera la durée de l'habilitation de chaque personne.


- Sur la pseudonymisation


La Commission insiste sur le fait que la pseudonymisation constitue l'un des piliers originels de la sécurité du SNDS. Dans le cadre de l'utilisation de la solution technique de la PDS, qui vise notamment à permettre de nombreux appariements de données, son rôle sera d'autant plus crucial : la robustesse de la pseudonymisation devra donc être assurée durablement par l'ensemble des acteurs amenés à fournir des donnés à la PDS ou à y mener des projets.
A ce titre, la Commission restera extrêmement vigilante sur ce point dans le cadre des demandes d'autorisation qui lui seront adressées, s'agissant notamment de la constitution de l'entrepôt de la PDS ainsi que des projets menés sur la solution technique de la PDS.
Par ailleurs, la Commission prend acte de la mise à jour prochaine du référentiel de sécurité du SNDS, en particulier concernant les règles de pseudonymisation, avec une date cible de publication fixée au début de 2021. A cet égard, elle recommande que des appariements dérivés du NIR ne soient pas mis en œuvre sur la solution technique de la PDS avant que la Commission ait pu rendre un avis sur ce référentiel.
Enfin, la Commission prend acte des précisions apportées par le ministère concernant le projet d'article R. 1461-14 du CSP qui mentionne des « données agrégées présentant un risque résiduel de réidentification » en ce qu'elles correspondent à des « datamarts » de données non anonymisées mais présentant un faible risque de ré-identification du fait de leur agrégation. A cet égard, elle recommande que les risques de ré-identification de ces « datamarts » soient réévalués régulièrement.