Le Décret n° 2021-848 du 29 juin 2021 a mis en place les modalités de gouvernance et de fonctionnement du système national des données de santé dont le périmètre est étendu à de nouvelles bases de données.
Il désigne les responsables de traitement, définit leur rôle et leurs missions. Il modifie en outre la composition de la liste des organismes, établissements, et services bénéficiant d’accès permanents aux données du système national des données de santé en raison des missions de service public qu’ils exercent. Il précise aussi les règles applicables à cet accès permanent. Il prévoit les modalités d’exercice des droits des personnes concernées et notamment les conditions d’information des personnes auxquelles les données se rapportent.
Sommaire
Plateforme des données de santé
Pour rappel, ce Décret dont est pris en application de la loi n° 2019-774 du 24 juillet 2019 relative à l’organisation et à la transformation du système de santé, qui a étendu le périmètre du système national des données de santé (SNDS) et créé la Plateforme des données de santé (PDS), chargée de réunir, d’organiser et de mettre à disposition ces données.
Réserves de la CNIL
Saisie pour avis, la CNIL avait formulé des réserves importantes sur le texte. Elle estimait indispensable que la garantie prévue par l’arrêté du 9 octobre 2020 au bénéfice des données de l’entrepôt « Covid » soit étendue à l’ensemble des données composant le « SNDS centralisé » et, qu’ainsi, il soit fait interdiction à l’ensemble de ces données de faire l’objet d’un transfert de données en dehors de l’Union européenne, quelles que soient les modalités d’hébergement (portail de la CNAM ; solution technique de la PDS, système fils, etc.).
Alors que le SNDS – le « SNDS historique » – était jusqu’alors limité aux données issues des bases médico-administratives hébergées ou susceptibles d’être hébergées par la Caisse nationale de l’assurance maladie (CNAM), la loi du 24 juillet 2019 a ajouté de nouvelles catégories de données, telles que les données issues de la prise en charge médicale lorsque les actes sont remboursés par la sécurité sociale, les données issues des visites médicales scolaires, des services de protection maternelle ou infantile, des visites de santé au travail ou des enquêtes appariées, etc.
L’ensemble de ces données entre dans le périmètre du « SNDS élargi ». Lorsqu’elles sont utilisées pour l’une des finalités visées à l’article L. 1461-1 III du CSP, elles sont soumises au respect de l’ensemble des dispositions de ce code, tout particulièrement au respect du référentiel de sécurité, à l’interdiction de poursuite de finalités interdites, aux conditions d’accès aux données via un accès permanent ou à la réalisation d’une formalité ainsi qu’aux modalités de transparence.
Ce rattachement juridique au « SNDS élargi » n’emporte pas pour autant à lui seul de migration des données au sein d’une base centralisée.
Par ailleurs, l’essentiel de ces données a vocation à être intégré progressivement dans un « SNDS centralisé » composé d’une base principale (comprenant à ce jour le « SNDS historique » et pouvant être dans l’avenir enrichi) et d’une base catalogue incluant d’autres bases de données considérées comme pertinentes pour les acteurs de la recherche. Cette intégration impliquera, quant à elle, la migration des données. Initialement envisagé comme un système décentralisé, la Commission relève que le choix du ministère s’oriente finalement vers une centralisation des données du SNDS. Elle prend acte que ce projet de décret vise à amorcer cette centralisation des données auprès de la CNAM et de la PDS et à encadrer uniquement la mise en œuvre de ce « SNDS centralisé ».
Information des patients
La Commission a aussi relevé que, d’après les précisions apportées par le ministère, la PDS disposera d’une copie de la base principale, actuellement hébergée par la CNAM et que la base catalogue sera uniquement hébergée par la PDS. Malgré l’ampleur du traitement, tant en termes de sensibilité que de volume des données, l’avant-projet de décret ne prévoyait pas d’information individuelle des personnes concernées.
Par ailleurs, prenant acte que l’information sera presque exclusivement réalisée de façon dématérialisée (sites web, compte Ameli), la Commission a demandé au ministère de réfléchir à des modalités d’information supplémentaires alternatives (campagnes d’affichage ou d’information dans les media, mise à disposition des notes d’information dans les caisses primaires d’assurance maladie, transmission d’une note d’information complète en cas de demande des personnes concernées, etc.).
Quant aux 30 % des assurés ne disposant pas d’un compte Ameli, la Commission avait demandé qu’une information individuelle complète leur soit délivrée par voie postale, par exemple, à l’occasion de l’envoi d’un relevé de remboursement.
L’information diffusée par la CNAM via son site web et le compte Ameli des assurés a dû être complétée afin de comporter des informations concernant les bases de données alimentant le SNDS et les modalités d’exercice des droits (mentions prévues à l’article R. 1461-9 I 1° et 2° du code de la santé publique).
La CNIL a insisté sur la nécessité que l’information délivrée aux personnes concernées soit, quel que soit le support utilisé, claire, aisément accessible et conforme aux dispositions de l’article 14 du RGPD. Les supports ne comprenant pas l’intégralité des informations nécessaires devront renvoyer vers un support comportant l’ensemble des mentions prévues par les dispositions du RGPD. Enfin, elle estime qu’une note d’information complète devra être adressée par voie postale à toute personne qui en ferait la demande.
Régime des données du SNDS
Pour mémoire, l’article 69 de la loi « informatique et libertés » demeure pleinement applicable à tous les traitements réalisés à partir de données du SNDS, y compris dans le cadre des accès permanents. Conformément aux dispositions de l’article 14 du RGPD, dans l’hypothèse où la fourniture d’une information individuelle se révélerait impossible, exigerait des efforts disproportionnés ou compromettrait gravement la réalisation des objectifs du traitement, des mesures appropriées devront être mises en œuvre par chaque responsable de traitement afin de protéger les droits et libertés, ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles.
II appartiendra donc à chaque responsable de traitement souhaitant réaliser un traitement de données du SNDS de mettre en œuvre des mesures appropriées afin de rendre l’information publiquement disponible, laquelle ne pourra se limiter à l’inscription de son traitement au sein du portail de transparence de la Plateforme des données de santé.
S’agissant des modalités d’exercice des droits des personnes, la CNIL a dénoncé le manque de clarté du dispositif prévu dans le projet de décret et le fait qu’il ne s’applique qu’au « SNDS centralisé ».
Le projet de décret prévoyait que le droit prévu à l’article 21 du RGPD ainsi qu’à l’article 74 de la loi « informatique et libertés » ne puisse être exercé dans le cadre de la constitution du SNDS. La CNIL avait considéré que de telles modalités d’exercice des droits d’opposition, d’accès et de rectification, qui imposent aux personnes concernées de s’adresser à plusieurs responsables de traitement alors même qu’elles ne seront pas toujours individuellement informées des traitements de données les concernant, n’étaient pas, en l’état, de nature à permettre un exercice effectif des droits.
Le droit d’accès aux données détenues par la PDS ou la CNAM lorsque les données font l’objet d’un appariement est désormais prévu par le Décret. La gestion des demandes d’exercice des droits intervient au niveau des organismes gestionnaires du régime d’assurance maladie obligatoire. En effet, ces organismes sont dépositaires du secret permettant d’effectuer le premier niveau de pseudonymisation du NIR, et sont susceptibles de constituer un « guichet unique » efficace pour toutes les demandes d’exercice des droits d’une personne.
La question de la pseudonymisation
La pseudonymisation constitue l’un des piliers originels de la sécurité du SNDS. Dans le cadre de l’utilisation de la solution technique de la PDS, qui vise notamment à permettre de nombreux appariements de données, son rôle sera d’autant plus crucial : la robustesse de la pseudonymisation devra donc être assurée durablement par l’ensemble des acteurs amenés à fournir des donnés à la PDS ou à y mener des projets.
La CNIL a affirmé qu’elle resterait extrêmement vigilante sur ce point dans le cadre des demandes d’autorisation qui lui seront adressées, s’agissant notamment de la constitution de l’entrepôt de la PDS ainsi que des projets menés sur la solution technique de la PDS.