Les règles de la gestion sécurisée du système national des données de santé, définies dans un référentiel de sécurité arrêté par les ministres chargés de la santé, de la sécurité sociale et du numérique après avis de la Commission nationale de l'informatique et des libertés sont établies dans le respect des principes suivants :

1° Pseudonymisation :

a) Le système national des données de santé ne comporte aucune donnée directement identifiante : ni le nom ni le prénom ni l'adresse ni le numéro d'inscription au Répertoire national d'identification des personnes physiques des personnes. Un pseudonyme, constitué d'un code non signifiant obtenu par un procédé cryptographique irréversible du numéro d'inscription au Répertoire national d'identification des personnes physiques tel que prévu au 1° du I de l'article R. 1461-4, est associé aux données se rapportant à chaque personne ;

b) Le procédé cryptographique irréversible mentionné ci-dessus est utilisé pour alimenter le système national des données de santé et pour apparier les données extraites du système national des données de santé et des données relatives à des bénéficiaires de l'assurance maladie figurant dans d'autres systèmes. Cette procédure est organisée de sorte que nul ne puisse disposer à la fois de l'identité des personnes, notamment de leur numéro d'inscription au Répertoire national d'identification des personnes physiques, d'une part, et du pseudonyme mentionné au III de l'article R. 1461-1, d'autre part. Les personnes intervenant dans cette procédure sont tenues au secret professionnel ;

2° Traçabilité :

Les modalités de conservation et d'utilisation des données permettent d'en contrôler les usages et de fournir des preuves en cas d'usage non autorisé.