La Commission nationale de l'informatique et des libertés,
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE ;
Vu le code de la santé publique, notamment ses articles L. 1461-1 et suivants et R. 1461-1 et suivants ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 66 ;
Vu la délibération n° 2020-072 du 16 juillet 2020 portant adoption d'un référentiel portant sur la description et les garanties de procédure permettant la mise à disposition en vue de leur traitement de l'échantillon généraliste des bénéficiaires (EGB) et des bases de données thématiques appelées datamarts du système national d'information interrégimes de l'assurance maladie (SNIIRAM), présentant un faible risque d'impact sur la vie privée et abrogeant la délibération n° 2019-039 du 11 avril 2019 ;
Sur la proposition de Mme Valérie PEUGEOT, commissaire, et après avoir entendu les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,
Formule les observations suivantes :
Le référentiel portant sur la description et les garanties de procédure permettant la mise à disposition en vue de leur traitement de données de l'échantillon des données du SNDS (ci-après ESND) et des bases de données thématiques appelées datamarts du SNIIRAM a vocation à remplacer le référentiel encadrant la mise à disposition des données de l'EGB et des bases de données thématiques appelées datamarts du SNIIRAM établi par la délibération n° 2020-072 du 16 juillet 2020.
Constitué par la Caisse nationale de l'assurance maladie (CNAM), l'ESND est un échantillon aléatoire regroupant deux pourcents des personnes dont les données figurent dans le SNIIRAM mentionné à l'article L. 161-28-1 du code de la sécurité sociale.
L'ESND contient les informations du SNIIRAM suivantes :

- le datamart de consommation interrégime (DCIR), aussi appelé « base de données individuelles des bénéficiaires » ;
- les données contenues dans le programme de médicalisation des systèmes d'information (PMSI) sur les champs médecine, chirurgie, obstétrique et odontologie (MCO), soins de suite et de réadaptation (SSR), recueil d'information médicalisée en psychiatrie (RIM-P) et hospitalisation à domicile (HAD).

Sont également constituées à partir du SNIIRAM des bases de données thématiques de données agrégées appelées « datamarts orientées vers le suivi des dépenses » (DAMIR) ou « l'analyse de l'offre de soins » (AMOS), ainsi que des tableaux de bord sur la biologie et la pharmacie. Ces jeux de données sont inclus dans le champ d'application du présent référentiel.
L'utilisation de cet échantillon permet notamment de mieux connaître et comprendre le recours aux soins, les trajectoires de soins et les dépenses de santé des assurés.
Conformément aux dispositions du troisième alinéa de l'article 66-II de la loi « informatique et libertés », des jeux de données de santé présentant un faible risque d'impact sur la vie privée peuvent faire l'objet d'une mise à disposition en vue de leur traitement dans des conditions préalablement définies par un référentiel, sans qu'une autorisation préalable soit requise.
La Commission rappelle, à titre liminaire, que les données de l'ESND étant issues du SNIIRAM, composante de la base principale du SNDS, l'ensemble des dispositions législatives et réglementaires relatives au SNDS est applicable aux traitements de données issues de l'ESND, en particulier :

- l'interdiction d'utiliser les données du SNDS pour les finalités décrites à l'article L. 1461-1-V du code de la santé publique (CSP) (finalités interdites) ;
- le respect du référentiel de sécurité applicable au SNDS prévu par l'article L. 1461-1-IV-3° du CSP ;
- le principe de transparence prévu à l'article L. 1461-3-II du CSP.

Décide :
La description et les garanties de procédure permettant la mise à disposition des données à caractère personnel issues de l'ESND et/ou des « datamarts » et tableaux de bord du SNIIRAM, définies par la Commission sont les suivantes :
Traitements susceptibles d'une approbation unique délivrée par la Plateforme des données de santé :
Les conditions d'accès définies par le présent référentiel s'appliquent aux traitements mis en œuvre à des fins de recherche, d'étude ou d'évaluation dans le domaine de la santé, justifiés par l'intérêt public, et pour la réalisation desquels seul un accès aux données de l'ESND et/ou aux datamarts et tableaux de bord du SNIIRAM est nécessaire.
Sont susceptibles de bénéficier d'une approbation unique de la Plateforme des données de santé (PDS) les traitements qui respectent les conditions cumulatives suivantes :

- le traitement est réalisé au sein du portail sécurisé de la CNAM ;
- aucun croisement de plusieurs identifiants potentiels, tels que définis par les dispositions réglementaires applicables au SNDS, n'est réalisé ;
- la durée d'accès au portail n'excède pas vingt-quatre mois. Cette durée peut être prolongée pour une durée maximale de vingt-quatre mois sur demande motivée du responsable de traitement ;
- le traitement répond à l'une des finalités suivantes :
- évaluation comparative de l'offre de soins ;
- évolution des pratiques de prise en charge ;
- analyses comparatives des activités de soins ;
- description et analyse des pathologies et parcours de soins des patients ;
- études épidémiologiques et/ou médico-économiques, dont les études pour la préparation des dossiers de discussions et réunions avec les autorités et comités compétents, ou les études à des fins de surveillance ;
- études de faisabilité dans le cadre d'une recherche impliquant ou n'impliquant pas la personne humaine.

Modalités d'accès spécifiques à certaines catégories de responsables de traitements :
Afin de bénéficier des présentes conditions de mises à disposition de l'ESND et des datamarts, sont tenus de recourir à un laboratoire de recherche ou à un bureau d'études mentionnés à l'article L. 1461-3 du CSP :

- les personnes produisant ou commercialisant des produits mentionnés au II de l'article L. 5311-1 du CSP ;
- les organismes mentionnés au 1° du A et aux 1°, 2°, 3°, et 6° du B de l'article L. 612-2 du code monétaire et financier ainsi que les intermédiaires d'assurance mentionnés à l'article L. 511-1 du code des assurances.

Examen par la Plateforme des données de santé en vue d'une approbation unique :
La demande d'accès aux données de l'ESND et des datamarts adressée à la PDS comporte :

- le protocole, incluant la justification de l'intérêt public, ainsi qu'un résumé, selon le modèle mis à disposition par la PDS ;
- les déclarations d'intérêts du responsable du traitement et responsable du laboratoire de recherche ou bureau d'études, en rapport avec l'objet des études ;
- à la fin des études, la méthode et les résultats obtenus en vue de leur publication ;
- la conformité de l'enregistrement du traitement et de la transmission des résultats aux modalités définies par la PDS.

La Plateforme des données de santé se prononce au regard des éléments suivants :

- la justification apportée par le responsable de traitement pour démontrer la pertinence scientifique du projet ;
- la justification de la profondeur historique demandée concernant les données de l'ESND (neuf ans en plus de l'année en cours ou dix-neuf ans en plus de l'année en cours) ;
- la justification de l'identifiant potentiel retenu ;
- la finalité d'intérêt public poursuivie par le traitement ;
- la durée de l'accès au portail de la CNAM pour le traitement envisagé, qui doit être limitée à la durée nécessaire à la réalisation de la recherche, l'étude ou l'évaluation ; et, le cas échéant, la justification de la demande de prolongation de cette durée adressée par le responsable du traitement ;
- le respect des exigences législatives et règlementaires applicables au SNDS ;
- les modalités d'information et d'exercice des droits des personnes concernées ;
- le cas échéant, le respect des modalités d'accès aux données prévues par le référentiel déterminant les critères de confidentialité, d'expertise et d'indépendance pour les laboratoires de recherche et bureaux d'études.

Procédure d'accès :
La demande d'accès est adressée à la PDS dans les mêmes conditions que celles prévues pour la transmission du dossier de demande d'autorisation de recherche, étude ou évaluation dans le domaine de la santé prévu à l'article 76 de la loi « informatique et libertés ».
La PDS notifie sa décision au demandeur dans un délai de quinze jours ouvrés, à compter de la réception d'un dossier complet. Sans réponse de la part de la PDS au terme du délai de quinze jours ouvrés, la demande est réputée approuvée.
La PDS peut contacter le demandeur pour tout complément d'information si nécessaire. Le délai d'approbation est suspendu dans l'attente des éléments complémentaires.
Dans le cas où la PDS ne s'estime pas en mesure de se prononcer au vu des éléments constitutifs du dossier, elle peut décider que le traitement envisagé est soumis à la procédure complète, selon les modalités prévues aux articles 66, 72 et suivants de la loi « informatique et libertés », et en informe le demandeur. Après accord de ce dernier, la PDS saisit le CESREES pour avis, puis la Commission nationale de l'informatique et des libertés pour autorisation.
Information et modalités d'exercice des droits :
L'information des personnes concernées ne peut se limiter à l'inscription du traitement au sein du répertoire public de la PDS.
En application des dispositions de l'article 14-5-b du RGPD, le responsable de traitement peut faire valoir une exception à l'obligation d'information individuelle pour la mise en œuvre d'un traitement comportant exclusivement des données issues de l'ESND et des datamarts.
Dans cette hypothèse, il devra prendre des mesures appropriées pour protéger les droits et libertés ainsi que les intérêts légitimes des personnes concernées, y compris en rendant les informations publiquement disponibles.
Ainsi, une information collective relative à la réalisation de l'étude devra figurer sur le site web du responsable de traitement ainsi que, le cas échéant, du laboratoire de recherche ou bureau d'études la réalisant. En complément, d'autres vecteurs pourront être utilisés pour diffuser cette information (communication sur les réseaux sociaux, dans les médias régionaux, auprès d'associations de patients, publication d'un communiqué de presse, etc.).
Lorsqu'un responsable de traitement réalise plusieurs études à partir des données de l'ESND et des datamarts, il doit mettre en place un portail de transparence comportant une information générale sur le SNDS, ainsi qu'une note d'information spécifique à chaque étude.
Ces documents doivent comporter l'ensemble des mentions prévues à l'article 14 du RGPD.
Transparence :
Le cadre juridique permettant la mise à disposition des données du SNDS est conçu de façon à rendre compte de leur utilisation à la société civile. Ce principe de transparence est prévu à l'article L. 1461-3-II du code de la santé publique (CSP). A cette fin, l'accès aux données du SNDS est subordonné à la communication à la PDS de plusieurs éléments par le responsable de traitement, avant et après la réalisation des études. Ainsi, le responsable du traitement s'engage à enregistrer dans le répertoire public tenu par la PDS les études réalisées dans le cadre de ce référentiel. Cet enregistrement doit être effectué avant le début des études par le responsable de traitement ou la personne agissant pour son compte.
La PDS transmet annuellement à la Commission un bilan des approbations délivrées dans les conditions décrites dans le cadre du présent référentiel ainsi que des caractéristiques des traitements mis en œuvre.
Entrée en vigueur :
La délibération n° 2020-072 du 16 juillet 2020 est abrogée.
Les traitements mis en œuvre en application de la délibération précitée peuvent se poursuivre dans le respect des dispositions de cette délibération.
Le présent référentiel, portant sur la description et les garanties de procédure permettant la mise à disposition en vue de leur traitement des données de l'ESND et des bases de données thématiques appelées datamarts du SNIIRAM, présentant un faible risque d'impact sur la vie privée, entre en vigueur le lendemain de sa publication au Journal officiel de la République française.