Retour à la section

Délibération n°2022-044 du 14 avril 2022

JORF n°0112 du 14 mai 2022

Ce texte est une simplification générée par une IA.
Il n'a pas de valeur légale et peut contenir des erreurs.

Avis de la Cnil sur les bases de données et leur intégration au SNDS

Résumé La Cnil donne son avis sur un projet de décret pour le SNDS, clarifiant des notions et traitant de l'enrichissement de bases de données et de conventions.

La Commission nationale de l'informatique et des libertés,
Saisie par le ministre des solidarités et de la santé d'une demande d'avis concernant le projet d'arrêté relatif aux données alimentant la base principale et aux bases de données du catalogue du système national des données de santé ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD) ;
Vu le code de la santé publique (CSP), notamment ses articles L. 1461-1 et R. 1461-2 ;
Après avoir entendu le rapport de Mme Valérie PEUGEOT, commissaire, et les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,
Etant rappelés les éléments de contexte suivants
Le système national des données de santé (SNDS), créé par la loi n° 2016-41 du 26 janvier 2016, a pour finalité la mise disposition de données à caractère personnel concernant la santé, afin notamment de mettre en œuvre des traitements à des fins de recherches, d'études ou d'évaluations dans le domaine de la santé répondant à un motif d'intérêt public.
Initialement circonscrit au « SNDS historique », le périmètre des catégories de données le composant actuellement a été élargi par la loi n° 2019-774 du 24 juillet 2019. Ainsi, lorsqu'elles sont traitées pour l'une des finalités mentionnées à l'article L. 1461-1 III du code de la santé publique (CSP), les catégories de données visées à l'article L. 1461-1 I du CSP composent le SNDS (SNDS « élargi ») et sont soumises au respect de l'ensemble des dispositions y afférentes (respect du référentiel de sécurité, modalités de transparence, etc.).
Si ce rattachement juridique au « SNDS élargi » n'emporte pas, à lui seul, de migration au sein d'une base centralisée, une partie de ces données a toutefois vocation à être intégrée progressivement dans un « SNDS centralisé » par la Caisse nationale de l'assurance maladie (CNAM) et par la Plateforme des données de santé (PDS).
Ce « SNDS centralisé » est composé d'une base principale (comprenant à ce jour le « SNDS historique ») et d'un catalogue incluant d'autres bases de données considérées comme pertinentes pour les acteurs de la recherche. Ces dernières peuvent être de nature et d'ampleur variées (bases détenues par un organisme privé, cohortes, etc.). Cette intégration impliquera la migration des données vers la CNAM et/ou la PDS (seule celle-ci disposera du catalogue).
La mise en œuvre du « SNDS centralisé » est encadrée par le décret n° 2021-848 du 29 juin 2021 (ci-après le « décret SNDS »). Afin d'en parachever la mise en place, ce décret a prévu à l'article R. 1461-2 du CSP qu'un arrêté, pris après avis de la Commission, liste les données relevant des 1° à 11° du I de l'article L. 1461-1 du CSP qui alimentent la base principale, fixe les modalités d'alimentation de cette base et désigne les bases de données figurant dans le catalogue.
Bien que l'article R. 1461-2 du CSP ne fasse référence qu'aux modalités d'alimentation de la base principale, cet arrêté précise également les modalités d'alimentation du catalogue et les garanties permettant d'assurer la légalité de ces traitements. La Commission estime donc qu'en renvoyant à un arrêté ministériel le soin de désigner les bases de données alimentant le catalogue, le Premier ministre a implicitement mais nécessairement entendu confier à cet arrêté le soin de préciser les conditions d'alimentation de la base catalogue.
Tel est l'objet du projet d'arrêté, résultant d'une saisine rectificative, soumis pour avis à la Commission.
Emet l'avis suivant sur le projet d'arrêté
Sur l'économie générale du texte
Si ce projet d'arrêté ne procède pas à la création d'un traitement de données à caractère personnel, les catégories de données composant le SNDS étant déjà prévues par le CSP, il permet de lister, sur la recommandation du Comité stratégique des données de santé, les bases de données ayant vocation à enrichir la base principale et à alimenter le catalogue du « SNDS centralisé ».
S'agissant du catalogue, ce projet d'arrêté vise à fixer un socle minimum de garanties, tant juridiques que techniques, qui devront être détaillées par les conventions conclues entre, d'une part, les responsables des bases de données destinées à être versées au catalogue et, d'autre part, la PDS.
Il résulte de l'article 3 du projet d'arrêté et des échanges avec le ministère que, s'agissant de la base catalogue :

- la désignation d'une base comme devant figurer dans le catalogue et le régime juridique qui en découle résultent de la seule entrée en vigueur du présent arrêté ;
- la transmission des données est subordonnée à la signature d'une convention entre le responsable de traitement initial de la base de données et la PDS dont une partie du contenu est prévue à l'article 4 du projet.

Ainsi, la Commission estime que les données issues des bases visées à l'article 3 du projet ne devront alimenter le catalogue que si une convention est conclue avec le producteur à cet effet.
La définition de critères objectifs et précis pouvant conduire au versement d'une base dans la base principale ou le catalogue ou du basculement au sein de la base principale d'une base figurant dans le catalogue est indispensable pour garantir l'adhésion et la confiance des acteurs de l'écosystème et la pérennité de ce dispositif. A cet égard, la Commission demande que les travaux initiés par le Comité stratégique des données de santé soient poursuivis de manière prioritaire, avant toute nouvelle saisine portant modification de l'arrêté.
Sur l'enrichissement de la base principale du « SNDS centralisé »
Sur les critères d'enrichissement de la base principale
L'article R. 1461-2 du CSP prévoit que la base principale comprend des données qui portent sur l'ensemble de la population. Selon les précisions du ministère, un traitement pourra, dans un premier temps, être inscrit au catalogue avant d'alimenter la base principale, dès lors qu'il répondra à la condition précitée.
La Commission renouvelle sa demande de clarification, déjà formulée dans sa délibération n° 2020-106 du 29 octobre 2020 portant avis sur le projet de décret SNDS, de la notion de base « couvrant l'ensemble de la population », dans la mesure où elle sera déterminante pour l'inscription d'un traitement dans la base principale et où cette intégration emporte des conséquences en termes d'information, d'exercice des droits et de mesures de sécurité à mettre en œuvre.
Sur l'enrichissement par les données des bases SI-DEP et « Vaccin-covid »
Le projet d'article 1er prévoit que les bases « Vaccin-covid » et « SI-DEP » alimentent la base principale du « SNDS élargi » et l'article 2 liste les catégories des données issues de ces bases qui vont y être versées.
Cet article prévoit que plusieurs types de données relatives aux professionnels de santé issues de la base « Vaccin-covid » alimenteront la base principale :

- d'une part, l'identification des professionnels de santé ayant réalisé respectivement la consultation préalable à la vaccination et chaque injection ;
- d'autre part, les numéros d'identification des professionnels de santé et des personnes placées sous leur responsabilité ayant réalisé la consultation préalable et la vaccination.

La Commission estime que, conformément aux dispositions de l'article R. 1461-4 du CSP, la base principale du SNDS ne peut comporter de données directement identifiantes des professionnels de santé. Elle prend acte de ce que le projet d'arrêté sera modifié afin de faire uniquement référence au « numéro d'identification du professionnel de santé ».
Plus généralement, les personnes concernées devront en être informées conformément aux dispositions du RGPD :

- concernant la base « Vaccin-covid », la Commission demande que les supports d'information de tous les responsables conjoints de traitements, notamment ceux de la CNAM, soient mis à jour et qu'un renvoi vers la page web dédiée de la DREES soit réalisé ;
- la Commission prend acte de ce que le site du ministère de la santé portant information des personnes concernées par ces traitements sera mis à jour et de ce qu'un renvoi sera réalisé vers la page web dédiée de la DREES.

S'agissant des modalités d'exercice du droit d'opposition, elle relève que :

- les dispositions de l'article R. 1461-9 du CSP prévoient que le droit d'opposition prévu à l'article 21 du RGPD ainsi qu'à l'article 74 de la loi « informatique et libertés » ne s'applique pas aux données de la base principale dans le cadre de la constitution du SNDS ;
- les dispositions de l'article 13 du décret n° 2020-551 du 12 mai 2020 et de l'article 5-III du décret n° 2020-1690 du 25 décembre 2020 prévoient que les personnes concernées dont les données sont traitées dans les bases « SI-DEP » et « Vaccin-covid » bénéficient d'un droit d'opposition relatif à la transmission des données à des fins de recherche à la PDS et à la CNAM.

La Commission prend acte de ce que le ministère s'est engagé à ce que les documents d'information destinés aux personnes concernées soient modifiés afin de clarifier les modalités d'exercice du droit d'opposition.
Sur la conclusion d'une convention préalablement à l'enrichissement de la base principale
Le ministère a précisé que la transmission dans la base principale des données en relevant (à ce jour, les bases « SI-DEP » et « Vaccin-covid ») n'interviendra qu'à compter de la conclusion d'une convention entre les responsables de ces bases de données et la CNAM.
Le projet ne faisant mention d'un tel dispositif que s'agissant de l'alimentation de la base catalogue, la Commission recommande que le projet d'arrêté prévoie également la conclusion d'une convention lorsque la base de données intègre la « base principale », notamment dans l'hypothèse où une base, initialement inscrite au catalogue, viendrait à intégrer la base principale du SNDS.
Sur l'alimentation du catalogue des bases du SNDS « centralisé »
Sur les traitements ayant vocation à alimenter le catalogue
L'article 3 du projet désigne les bases de données qui alimenteront le catalogue et l'article 4 prévoit que les responsables initiaux de ces bases les conservent dans leurs propres systèmes d'information, sous leur responsabilité. Ce même article prévoit également que la PDS est responsable du stockage et de la mise à disposition d'une copie de ces bases, qui constitue une partie du « SNDS centralisé ».
La Commission rappelle que les responsables initiaux de ces bases devront respecter le cadre de conformité de la formalité qui a été, le cas échéant, initialement réalisée auprès d'elle. L'inscription au catalogue du SNDS n'a effectivement ni pour objet ni pour effet de modifier les caractéristiques essentielles de ces traitements notamment en ce qui concerne la durée de conservation des données.
La Commission considère que seules les bases de données régulièrement constituées devraient pouvoir alimenter le catalogue. Pour ce faire, elle estime qu'il serait opportun qu'elle soit associée le plus amont possible aux travaux du Comité stratégique portant sur l'évaluation de l'opportunité de l'inscription des bases au catalogue, auxquels elle pourrait participer au titre des dispositions de l'article 6 de l'arrêté du 29 juin 2021 en portant création.
Elle rappelle enfin qu'elle sera particulièrement vigilante et exercera ses pouvoirs de contrôle pour s'assurer que les bases inscrites au catalogue sont régulièrement constituées et mises en œuvre.
Sur les catégories de données pouvant alimenter le catalogue
Selon l'article 4 du projet d'arrêté, la convention conclue entre le responsable de la base de données et la PDS précisera les catégories de données qui alimenteront le catalogue.
La Commission attire l'attention du ministère sur les dispositions de l'arrêté du 29 novembre 2019 portant approbation d'un avenant à la convention constitutive de la PDS qui prévoient que celle-ci est autorisée à traiter des données contextuelles « lorsque c'est pertinent au regard de la demande des utilisateurs ».
La Commission comprend que lorsqu'une base contient des données relevant pour partie du SNDS et des données contextuelles qui seraient indivisibles, l'intégralité de la base pourrait être transmise à la PDS. Elle rappelle que seules les catégories de données visées par l'article L. 1461-1 I du CSP et strictement nécessaires aux finalités du SNDS pourront alimenter les bases du « SNDS centralisé ».
Sur l'information par le responsable de la base de données
L'article 4 du projet prévoit que les responsables des bases de données réalisent une information individuelle des personnes concernées, par voie papier ou électronique, relativement à l'alimentation du catalogue du SNDS, sauf si la fourniture de telles informations se révèle impossible ou exigerait des efforts disproportionnés au sens de l'article 14 du RGPD. Les modalités selon lesquelles cette obligation devra être respectée doivent être fixées dans la convention conclue entre le responsable de la base de données et la PDS.
Cette information, qui revêt un caractère obligatoire pour tous les responsables de traitement, devra être conforme aux dispositions des articles 13 ou 14 du RGPD.
La Commission rappelle à ce titre que :

- par principe, les personnes concernées doivent être individuellement informées lors d'un traitement de leurs données à caractère personnel, qu'il s'agisse d'une collecte directe ou d'une collecte indirecte de données ;
- uniquement en cas de collecte indirecte des données, conformément aux dispositions de l'article 14-5-b du RGPD, l'obligation d'information individuelle des personnes concernées peut faire l'objet d'exceptions, notamment dans l'hypothèse où la fourniture d'une telle information se révélerait impossible, exigerait des efforts disproportionnés ou compromettrait gravement la réalisation des objectifs du traitement. En pareils cas, le responsable de traitement prend des mesures appropriées pour protéger les droits et libertés, ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles ;
- lorsque la collecte de données, même indirecte, est réalisée de façon prospective, une information individuelle doit, dans la mesure du possible, être délivrée aux personnes concernées ;
- les documents d'information devront mentionner que les données seront versées au catalogue ou être complétés à cette fin.

Enfin, la Commission demande que les motifs justifiant de faire exception, pour tout ou partie des personnes concernées, à la fourniture d'une information individuelle, ainsi que les mesures appropriées mises en œuvre pour rendre l'information publiquement disponible, soient explicitement décrits dans la convention. Elle souhaite également que des échanges ultérieurs aient lieu avec le ministère et la PDS sur ce point.
Sur les modalités d'exercice des droits
La convention prévue à l'article 4 du projet, conclue entre le responsable du traitement et la PDS, précisera les modalités de conservation des tables de correspondance (« conservation des secrets »). Ces précisions sont essentielles pour permettre aux personnes d'exercer leurs droits.
La Commission estime que les conventions devront a minima indiquer, au titre de ces modalités :

- l'organisme responsable de cette conservation ;
- les conditions de conservation dans l'hypothèse où le responsable de traitement souhaite mettre fin au traitement et/ou supprimer les données traitées ;
- les modalités de conservation suivant que les données sont appariées grâce au numéro d'inscription au répertoire national d'identification des personnes physiques (NIR) des personnes ou non.

Par ailleurs, la Commission considère que délai minimal d'un mois entre la signature de la convention et le versement effectif des données au catalogue contribue à garantir l'effectivité du droit d'opposition dont les personnes disposent en application du II de l'article R. 1461-9 du CSP. Ce délai devra être déterminé en fonction des caractéristiques du traitement et notamment en fonction du nombre de personnes concernées, des modalités d'information et de l'ancienneté des données traitées.
Sur les conventions organisant le versement des données dans le catalogue
L'article 4 du projet fixe les grands principes qui devront être détaillés dans toutes les conventions conclues avec les producteurs de données notamment en ce qui concerne :

- les modalités d'information et d'exercice des droits au niveau du producteur des données et de la PDS ;
- la répartition des rôles et des responsabilités ;
- les mesures de sécurité encadrant la transmission des données et leur pseudonymisation.

Les modalités convenues dans la convention devront permettre d'assurer un respect effectif des obligations issues du RGPD.
Sur l'application du référentiel de sécurité du SNDS
Les mesures de sécurité applicables aux opérations d'alimentation du catalogue devront être conformes au référentiel de sécurité applicable au SNDS prévu par l'arrêté du 22 mars 2017. La Commission rappelle que ce référentiel devra être actualisé pour tirer les conséquences des évolutions introduites par le « décret SNDS », notamment en ce qui concerne le rôle de la PDS dans la mise en œuvre du SNDS et le déploiement du catalogue. Elle estime que cette mise à jour devrait donc intervenir préalablement à la conclusion des conventions avec les responsables de traitement et à l'alimentation du catalogue.
La Commission considère, au regard des dispositions du référentiel actuellement en vigueur, que les traitements « SI-DEP » et « Vaccin-covid » doivent être qualifiés de « systèmes sources » du SNDS. Elle s'interroge enfin sur la qualification en tant que « systèmes sources » des traitements dont l'inscription au catalogue du SNDS est envisagée par le présent projet de texte.
Les autres dispositions du projet d'arrêté n'appellent pas d'observations de la part de la Commission.

1 version

Historique des versions

Version 1

La Commission nationale de l'informatique et des libertés,

Saisie par le ministre des solidarités et de la santé d'une demande d'avis concernant le projet d'arrêté relatif aux données alimentant la base principale et aux bases de données du catalogue du système national des données de santé ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD) ;

Vu le code de la santé publique (CSP), notamment ses articles L. 1461-1 et R. 1461-2 ;

Après avoir entendu le rapport de Mme Valérie PEUGEOT, commissaire, et les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,

Etant rappelés les éléments de contexte suivants

Le système national des données de santé (SNDS), créé par la loi n° 2016-41 du 26 janvier 2016, a pour finalité la mise disposition de données à caractère personnel concernant la santé, afin notamment de mettre en œuvre des traitements à des fins de recherches, d'études ou d'évaluations dans le domaine de la santé répondant à un motif d'intérêt public.

Initialement circonscrit au « SNDS historique », le périmètre des catégories de données le composant actuellement a été élargi par la loi n° 2019-774 du 24 juillet 2019. Ainsi, lorsqu'elles sont traitées pour l'une des finalités mentionnées à l'article L. 1461-1 III du code de la santé publique (CSP), les catégories de données visées à l'article L. 1461-1 I du CSP composent le SNDS (SNDS « élargi ») et sont soumises au respect de l'ensemble des dispositions y afférentes (respect du référentiel de sécurité, modalités de transparence, etc.).

Si ce rattachement juridique au « SNDS élargi » n'emporte pas, à lui seul, de migration au sein d'une base centralisée, une partie de ces données a toutefois vocation à être intégrée progressivement dans un « SNDS centralisé » par la Caisse nationale de l'assurance maladie (CNAM) et par la Plateforme des données de santé (PDS).

Ce « SNDS centralisé » est composé d'une base principale (comprenant à ce jour le « SNDS historique ») et d'un catalogue incluant d'autres bases de données considérées comme pertinentes pour les acteurs de la recherche. Ces dernières peuvent être de nature et d'ampleur variées (bases détenues par un organisme privé, cohortes, etc.). Cette intégration impliquera la migration des données vers la CNAM et/ou la PDS (seule celle-ci disposera du catalogue).

La mise en œuvre du « SNDS centralisé » est encadrée par le décret n° 2021-848 du 29 juin 2021 (ci-après le « décret SNDS »). Afin d'en parachever la mise en place, ce décret a prévu à l'article R. 1461-2 du CSP qu'un arrêté, pris après avis de la Commission, liste les données relevant des 1° à 11° du I de l'article L. 1461-1 du CSP qui alimentent la base principale, fixe les modalités d'alimentation de cette base et désigne les bases de données figurant dans le catalogue.

Bien que l'article R. 1461-2 du CSP ne fasse référence qu'aux modalités d'alimentation de la base principale, cet arrêté précise également les modalités d'alimentation du catalogue et les garanties permettant d'assurer la légalité de ces traitements. La Commission estime donc qu'en renvoyant à un arrêté ministériel le soin de désigner les bases de données alimentant le catalogue, le Premier ministre a implicitement mais nécessairement entendu confier à cet arrêté le soin de préciser les conditions d'alimentation de la base catalogue.

Tel est l'objet du projet d'arrêté, résultant d'une saisine rectificative, soumis pour avis à la Commission.

Emet l'avis suivant sur le projet d'arrêté

Sur l'économie générale du texte

Si ce projet d'arrêté ne procède pas à la création d'un traitement de données à caractère personnel, les catégories de données composant le SNDS étant déjà prévues par le CSP, il permet de lister, sur la recommandation du Comité stratégique des données de santé, les bases de données ayant vocation à enrichir la base principale et à alimenter le catalogue du « SNDS centralisé ».

S'agissant du catalogue, ce projet d'arrêté vise à fixer un socle minimum de garanties, tant juridiques que techniques, qui devront être détaillées par les conventions conclues entre, d'une part, les responsables des bases de données destinées à être versées au catalogue et, d'autre part, la PDS.

Il résulte de l'article 3 du projet d'arrêté et des échanges avec le ministère que, s'agissant de la base catalogue :

- la désignation d'une base comme devant figurer dans le catalogue et le régime juridique qui en découle résultent de la seule entrée en vigueur du présent arrêté ;

- la transmission des données est subordonnée à la signature d'une convention entre le responsable de traitement initial de la base de données et la PDS dont une partie du contenu est prévue à l'article 4 du projet.

Ainsi, la Commission estime que les données issues des bases visées à l'article 3 du projet ne devront alimenter le catalogue que si une convention est conclue avec le producteur à cet effet.

La définition de critères objectifs et précis pouvant conduire au versement d'une base dans la base principale ou le catalogue ou du basculement au sein de la base principale d'une base figurant dans le catalogue est indispensable pour garantir l'adhésion et la confiance des acteurs de l'écosystème et la pérennité de ce dispositif. A cet égard, la Commission demande que les travaux initiés par le Comité stratégique des données de santé soient poursuivis de manière prioritaire, avant toute nouvelle saisine portant modification de l'arrêté.

Sur l'enrichissement de la base principale du « SNDS centralisé »

Sur les critères d'enrichissement de la base principale

L'article R. 1461-2 du CSP prévoit que la base principale comprend des données qui portent sur l'ensemble de la population. Selon les précisions du ministère, un traitement pourra, dans un premier temps, être inscrit au catalogue avant d'alimenter la base principale, dès lors qu'il répondra à la condition précitée.

La Commission renouvelle sa demande de clarification, déjà formulée dans sa délibération n° 2020-106 du 29 octobre 2020 portant avis sur le projet de décret SNDS, de la notion de base « couvrant l'ensemble de la population », dans la mesure où elle sera déterminante pour l'inscription d'un traitement dans la base principale et où cette intégration emporte des conséquences en termes d'information, d'exercice des droits et de mesures de sécurité à mettre en œuvre.

Sur l'enrichissement par les données des bases SI-DEP et « Vaccin-covid »

Le projet d'article 1er prévoit que les bases « Vaccin-covid » et « SI-DEP » alimentent la base principale du « SNDS élargi » et l'article 2 liste les catégories des données issues de ces bases qui vont y être versées.

Cet article prévoit que plusieurs types de données relatives aux professionnels de santé issues de la base « Vaccin-covid » alimenteront la base principale :

- d'une part, l'identification des professionnels de santé ayant réalisé respectivement la consultation préalable à la vaccination et chaque injection ;

- d'autre part, les numéros d'identification des professionnels de santé et des personnes placées sous leur responsabilité ayant réalisé la consultation préalable et la vaccination.

Plus généralement, les personnes concernées devront en être informées conformément aux dispositions du RGPD :

- la Commission prend acte de ce que le site du ministère de la santé portant information des personnes concernées par ces traitements sera mis à jour et de ce qu'un renvoi sera réalisé vers la page web dédiée de la DREES.

S'agissant des modalités d'exercice du droit d'opposition, elle relève que :

- les dispositions de l'article 13 du décret n° 2020-551 du 12 mai 2020 et de l'article 5-III du décret n° 2020-1690 du 25 décembre 2020 prévoient que les personnes concernées dont les données sont traitées dans les bases « SI-DEP » et « Vaccin-covid » bénéficient d'un droit d'opposition relatif à la transmission des données à des fins de recherche à la PDS et à la CNAM.

Sur la conclusion d'une convention préalablement à l'enrichissement de la base principale

Le ministère a précisé que la transmission dans la base principale des données en relevant (à ce jour, les bases « SI-DEP » et « Vaccin-covid ») n'interviendra qu'à compter de la conclusion d'une convention entre les responsables de ces bases de données et la CNAM.

Le projet ne faisant mention d'un tel dispositif que s'agissant de l'alimentation de la base catalogue, la Commission recommande que le projet d'arrêté prévoie également la conclusion d'une convention lorsque la base de données intègre la « base principale », notamment dans l'hypothèse où une base, initialement inscrite au catalogue, viendrait à intégrer la base principale du SNDS.

Sur l'alimentation du catalogue des bases du SNDS « centralisé »

Sur les traitements ayant vocation à alimenter le catalogue

L'article 3 du projet désigne les bases de données qui alimenteront le catalogue et l'article 4 prévoit que les responsables initiaux de ces bases les conservent dans leurs propres systèmes d'information, sous leur responsabilité. Ce même article prévoit également que la PDS est responsable du stockage et de la mise à disposition d'une copie de ces bases, qui constitue une partie du « SNDS centralisé ».

La Commission rappelle que les responsables initiaux de ces bases devront respecter le cadre de conformité de la formalité qui a été, le cas échéant, initialement réalisée auprès d'elle. L'inscription au catalogue du SNDS n'a effectivement ni pour objet ni pour effet de modifier les caractéristiques essentielles de ces traitements notamment en ce qui concerne la durée de conservation des données.

La Commission considère que seules les bases de données régulièrement constituées devraient pouvoir alimenter le catalogue. Pour ce faire, elle estime qu'il serait opportun qu'elle soit associée le plus amont possible aux travaux du Comité stratégique portant sur l'évaluation de l'opportunité de l'inscription des bases au catalogue, auxquels elle pourrait participer au titre des dispositions de l'article 6 de l'arrêté du 29 juin 2021 en portant création.

Elle rappelle enfin qu'elle sera particulièrement vigilante et exercera ses pouvoirs de contrôle pour s'assurer que les bases inscrites au catalogue sont régulièrement constituées et mises en œuvre.

Sur les catégories de données pouvant alimenter le catalogue

Selon l'article 4 du projet d'arrêté, la convention conclue entre le responsable de la base de données et la PDS précisera les catégories de données qui alimenteront le catalogue.

La Commission attire l'attention du ministère sur les dispositions de l'arrêté du 29 novembre 2019 portant approbation d'un avenant à la convention constitutive de la PDS qui prévoient que celle-ci est autorisée à traiter des données contextuelles « lorsque c'est pertinent au regard de la demande des utilisateurs ».

La Commission comprend que lorsqu'une base contient des données relevant pour partie du SNDS et des données contextuelles qui seraient indivisibles, l'intégralité de la base pourrait être transmise à la PDS. Elle rappelle que seules les catégories de données visées par l'article L. 1461-1 I du CSP et strictement nécessaires aux finalités du SNDS pourront alimenter les bases du « SNDS centralisé ».

Sur l'information par le responsable de la base de données

L'article 4 du projet prévoit que les responsables des bases de données réalisent une information individuelle des personnes concernées, par voie papier ou électronique, relativement à l'alimentation du catalogue du SNDS, sauf si la fourniture de telles informations se révèle impossible ou exigerait des efforts disproportionnés au sens de l'article 14 du RGPD. Les modalités selon lesquelles cette obligation devra être respectée doivent être fixées dans la convention conclue entre le responsable de la base de données et la PDS.

Cette information, qui revêt un caractère obligatoire pour tous les responsables de traitement, devra être conforme aux dispositions des articles 13 ou 14 du RGPD.

La Commission rappelle à ce titre que :

- uniquement en cas de collecte indirecte des données, conformément aux dispositions de l'article 14-5-b du RGPD, l'obligation d'information individuelle des personnes concernées peut faire l'objet d'exceptions, notamment dans l'hypothèse où la fourniture d'une telle information se révélerait impossible, exigerait des efforts disproportionnés ou compromettrait gravement la réalisation des objectifs du traitement. En pareils cas, le responsable de traitement prend des mesures appropriées pour protéger les droits et libertés, ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles ;

- lorsque la collecte de données, même indirecte, est réalisée de façon prospective, une information individuelle doit, dans la mesure du possible, être délivrée aux personnes concernées ;

- les documents d'information devront mentionner que les données seront versées au catalogue ou être complétés à cette fin.

Sur les modalités d'exercice des droits

La convention prévue à l'article 4 du projet, conclue entre le responsable du traitement et la PDS, précisera les modalités de conservation des tables de correspondance (« conservation des secrets »). Ces précisions sont essentielles pour permettre aux personnes d'exercer leurs droits.

La Commission estime que les conventions devront a minima indiquer, au titre de ces modalités :

- l'organisme responsable de cette conservation ;

- les conditions de conservation dans l'hypothèse où le responsable de traitement souhaite mettre fin au traitement et/ou supprimer les données traitées ;

- les modalités de conservation suivant que les données sont appariées grâce au numéro d'inscription au répertoire national d'identification des personnes physiques (NIR) des personnes ou non.

Sur les conventions organisant le versement des données dans le catalogue

L'article 4 du projet fixe les grands principes qui devront être détaillés dans toutes les conventions conclues avec les producteurs de données notamment en ce qui concerne :

- les modalités d'information et d'exercice des droits au niveau du producteur des données et de la PDS ;

- la répartition des rôles et des responsabilités ;

- les mesures de sécurité encadrant la transmission des données et leur pseudonymisation.

Les modalités convenues dans la convention devront permettre d'assurer un respect effectif des obligations issues du RGPD.

Sur l'application du référentiel de sécurité du SNDS

Les mesures de sécurité applicables aux opérations d'alimentation du catalogue devront être conformes au référentiel de sécurité applicable au SNDS prévu par l'arrêté du 22 mars 2017. La Commission rappelle que ce référentiel devra être actualisé pour tirer les conséquences des évolutions introduites par le « décret SNDS », notamment en ce qui concerne le rôle de la PDS dans la mise en œuvre du SNDS et le déploiement du catalogue. Elle estime que cette mise à jour devrait donc intervenir préalablement à la conclusion des conventions avec les responsables de traitement et à l'alimentation du catalogue.

La Commission considère, au regard des dispositions du référentiel actuellement en vigueur, que les traitements « SI-DEP » et « Vaccin-covid » doivent être qualifiés de « systèmes sources » du SNDS. Elle s'interroge enfin sur la qualification en tant que « systèmes sources » des traitements dont l'inscription au catalogue du SNDS est envisagée par le présent projet de texte.

Les autres dispositions du projet d'arrêté n'appellent pas d'observations de la part de la Commission.