Responsable du traitement

L’Union nationale des professionnels de santé (ci-après l’Union ) est une association regroupant des représentants d’organisations syndicales de professionnels de santé en exercice libéral en France qui, pour l’exercice de ses missions, réalise des études à partir des bases de données médico-administratives.

Sur l’opportunité du renouvellement de la décision unique précédemment délivrée par la Commission

Le 17 septembre 2018, l’Union a été autorisée par la Commission à mettre en œuvre pendant trois ans des traitements de données à caractère personnel à partir de certaines données du SNDS. Ces traitements avaient pour finalité la réalisation d’études destinées à l’analyse de l’activité et des soins prodigués par les professions réunies en son sein. Dans le cadre de cette autorisation, l’Union a mis en œuvre une vingtaine de traitements de données à caractère personnel. La Commission relève qu’un bilan relatif à ces traitements lui a été transmis.

L’Union sollicite un renouvellement de l’autorisation précédemment délivrée par la Commission afin d’accéder aux tableaux de bord, aux datamarts, à un échantillon du Système national d’information inter-régimes de l’Assurance maladie (SNIIRAM), aux données du Programme de médicalisation des systèmes d’information (PMSI) ainsi qu’aux données des résumés de passages aux urgences (RPU) pour continuer, pendant cinq ans, à mettre en œuvre ces traitements. Dans ce cadre, plusieurs dizaines de traitements sont susceptibles d’être mis en œuvre par l’Union.

Ces traitements répondent à une même finalité, la réalisation d’études destinées à l’analyse de l’activité et des soins prodigués par les professions réunies au sein de l’Union, portent sur des catégories de données identiques – en l’espèce, les tableaux de bord, les datamarts, un échantillon du SNIIRAM et les données du PMSI – et dont les catégories de destinataires sont identiques – les personnes habilitées par le responsable de traitement.

Les traitements décrits relevant du régime prévu par les dispositions des articles 66 et 72 et suivants de la loi n° 78-17 du 6 janvier 1978 modifiée (ci-après loi informatique et libertés ), la Commission estime opportun, au vu des éléments présentés dans le dossier de demande, de faire application des dispositions de l’article 66 IV, qui lui permettent, par décision unique, de délivrer à un même demandeur une autorisation pour des traitements répondant à une même finalité, portant sur des catégories de données identiques et ayant des catégories de destinataires identiques.

Sur l’application des dispositions liées au SNDS

Les données des datamarts, des tableaux de bord, de l’échantillon du SNIIRAM et du PMSI étant issues de composantes du SNDS, la Commission rappelle que l’ensemble des dispositions législatives et réglementaires relatives au SNDS est applicable en l’espèce, et notamment l’interdiction d’utiliser ces données pour les finalités décrites à l’article L. 1461-1 V du code de la santé publique (CSP).

Sur la licéité des traitements

Afin de disposer de l’expertise nécessaire à la réalisation des missions qui lui sont dévolues par le code de la sécurité sociale, l’Union réalise des études portant sur la démographie des professionnels de santé, leur activité et la répartition de leurs honoraires.

Les traitements mis en œuvre par l’Union sont nécessaires à l’exécution de la mission d’intérêt public dont elle est investie.

Ces traitements sont, à ce titre, licites au regard de l’article 6.1.e du règlement général sur la protection des données (ci-après RGPD ).

Sur la finalité des traitements et leur caractère d’intérêt public

Les traitements nécessitant un accès aux datamarts, aux tableaux de bord, à un échantillon du SNIIRAM, aux données du PMSI et aux RPU ont pour finalité la réalisation d’études portant sur l’activité et les soins prodigués par les professions de santé réunies au sein de l’Union grâce à l’analyse :

• de la démographie des professions de santé (évolution des effectifs et des densités, disparités territoriales, etc.) ;
• de la répartition de l’activité en fonction des types d’actes et des différents profils de pratique des professionnels ;
• des honoraires ;
• de l’activité pour identifier des objectifs de maîtrise médicalisée.

La Commission considère, d’une part, que la finalité des traitements est déterminée, explicite et légitime, conformément à l’article 5.1.b du RGPD et, d’autre part, qu’elle présente un intérêt public, conformément à l’article 66 I de la loi informatique et libertés .

Sur les catégories de données traitées

Le responsable de traitement ne doit traiter, pour chacun des traitements mis en œuvre dans le cadre de la présente décision unique, que les données strictement nécessaires et pertinentes au regard des objectifs des traitements.

Les données pouvant être consultées sur le portail de la Caisse nationale de l’assurance maladie (ci-après la CNAM ) dans le cadre de cette décision unique sont exclusivement :

• les datamarts du SNIIRAM ;
• les données des tableaux de bord du SNIIRAM ;
• les données de l’échantillon généraliste ayant vocation à remplacer l’échantillon généraliste des bénéficiaires, sous réserve qu’elles soient diffusables.

De plus, outre le fichier spécifique permettant de relier les données du PMSI concernant un même patient (fichier ANO ), les données concernant les activités suivantes sont nécessaires à la réalisation de ces traitements :

• médecine, chirurgie, obstétrique et odontologie (MCO) ;
• soins de suite et de réadaptation (SSR) ;
• recueil d’information médicalisée en psychiatrie (RIM-P) ;
• hospitalisation à domicile (HAD).

Enfin, les données des résumés de passage aux urgences (RPU), qui sont mises à disposition par l’ATIH dans les mêmes conditions, sont également incluses dans le champ de la présente décision unique.

Les traitements mis en œuvre par l’Union à partir de ces données porteront sur une profondeur historique maximale de cinq ans.

En considération de ces éléments, la Commission rappelle que seules les données strictement nécessaires et pertinentes devront être mises à disposition auprès du responsable de traitement.

Conformément à l’article 30 du RGPD, le responsable de traitement devra tenir à jour, au sein de son registre des activités de traitement, la liste des traitements mis en œuvre dans le cadre de la présente décision unique.

Par ailleurs, le caractère adéquat, pertinent et limité à ce qui est nécessaire au regard des finalités pour lesquelles les données sont traitées, la zone géographique concernée et la profondeur historique des données consultées devront être justifiés dans ce registre pour chaque traitement mis en œuvre dans le cadre cette décision unique.

Sur la durée de conservation des données

Les données à caractère personnel de l’échantillon du SNIIRAM, des tableaux de bord et des datamarts ne peuvent faire l’objet d’une conservation en dehors du portail de la CNAM par le responsable de traitement, leur exportation étant interdite. Par ailleurs, les données du PMSI et des RPU ne peuvent être exportées de la plateforme sécurisée de l’ATIH. Seuls des résultats anonymes peuvent en être exportés.

La durée d’accès aux données dans la plateforme sécurisée doit être limitée à la durée nécessaire à la mise en œuvre des traitements, qui ne saurait être supérieure à cinq ans.

La Commission considère que cette durée de conservation des données n’excède pas les durées nécessaires aux finalités pour lesquelles elles sont collectées et traitées, conformément aux dispositions de l’article 5-1-e) du RGPD.

Sur la publication des résultats

Lorsque le résultat du traitement de données est rendu public, l’identification directe ou indirecte des personnes concernées doit être impossible, conformément à l’article 68 de la loi informatique et libertés .

Sur les catégories de destinataires des données

Seul le responsable du traitement et les personnes habilitées par lui ont accès aux données dans le cadre de la présente décision unique. Le responsable de traitement tient à jour des documents indiquant la ou les personnes compétentes en son sein pour délivrer l’habilitation à accéder aux données, la liste des personnes habilitées à accéder à ces données, leurs profils d’accès respectifs et les modalités d’attribution, de gestion et de contrôle des habilitations.

Ces catégories de personnes sont soumises au secret professionnel dans les conditions définies par les articles 226-13 et 226-14 du code pénal.

La qualification des personnes habilitées et leurs droits d’accès doivent être régulièrement réévalués, conformément aux modalités décrites dans la procédure d’habilitation établie par le responsable de traitement.

Sur l’information et les droits des personnes

Les personnes concernées sont informées de la mise en œuvre du SNDS et de la réutilisation possible des données de santé à caractère personnel les concernant selon des modalités définies par l’article R. 1461-9 du CSP.

Les dispositions de l’article 69 de la loi informatique et libertés sont applicables à tous les traitements réalisés à partir de données du SNDS. Conformément aux dispositions de l’article 14 du RGPD, dans l’hypothèse où la fourniture d’une information individuelle se révélerait impossible, exigerait des efforts disproportionnés ou compromettrait gravement la réalisation des objectifs du traitement, des mesures appropriées devront être mises en œuvre par le responsable de traitement afin de protéger les droits et libertés, ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles.

En l’espèce, il sera fait exception au principe d’information individuelle des personnes et des mesures appropriées seront prises par le responsable de traitement afin de rendre l’information publiquement disponible concernant la mise en œuvre de ces traitements.

La Commission relève qu’une rubrique dédiée aux traitements mis en œuvre dans le cadre de cette décision unique sera publiée sur le site web de l’Union.

Elle comportera :

• une note d’information générale sur les traitements mis en œuvre dans le cadre de cette décision unique ;
• le bilan des études réalisées.

La Commission prend acte qu’une note d’information relative à chaque traitement mis en œuvre dans le cadre de cette décision unique sera également publiée sur ce site web.

Sur la sécurité des données et la traçabilité des actions

La mise en œuvre de traitements de données à caractère personnel intervenant dans le cadre de l’étude s’effectue sous la responsabilité du responsable de traitement, y compris chez des tiers agissant pour son compte, dans le respect des dispositions des articles 24, 25, 28, 32 à 35 du RGPD ainsi que de l’arrêté du 22 mars 2017 relatif au référentiel de sécurité applicable au SNDS.

Les données seront mises à disposition auprès du responsable de traitement par l’intermédiaire du portail de la CNAM ou, s’agissant des données du PMSI et des RPU, via la plateforme sécurisée de l’ATIH.

Seules des données issues de processus d’anonymisation, de telle sorte que l’identification, directe ou indirecte, des personnes est impossible, peuvent faire l’objet d’une extraction. Pour se prévaloir de l’anonymat d’un jeu de données, le responsable de traitement devra réaliser une analyse permettant de démontrer que ses processus d’anonymisation respectent les trois critères définis par l’avis n° 05/2014 sur les techniques d’anonymisation adoptés par le groupe de l’Article 29 (G29) le 10 avril 2014. Si ces trois critères ne peuvent être réunis, une étude des risques de réidentification doit avoir été menée afin de démontrer que les risques de réidentification sont négligeables et ainsi conclure à l’anonymat des données.

Sur le principe de transparence

La mise à disposition des données du SNDS et de ses composantes est conçue de façon à rendre compte de leur utilisation au public. A cette fin, l’article L. 1461-3 du CSP subordonne l’accès aux données du SNDS et de ses composantes à la communication à la Plateforme des données de santé de plusieurs éléments par le responsable de traitement, avant et après les études.

Ainsi, le responsable de traitement s’engage à enregistrer auprès du répertoire public tenu par la Plateforme des données de santé l’ensemble des études réalisées dans le cadre de cette décision unique. Cet enregistrement, à effectuer par le responsable de traitement ou la personne agissant pour son compte avant le début des traitements, s’accompagne de la transmission à la Plateforme des données de santé d’un dossier comportant :

• le protocole, incluant la justification de l’intérêt public, ainsi qu’un résumé, selon le modèle mis à disposition par la Plateforme des données de santé ;
• la déclaration d’intérêts du responsable de traitement, en rapport avec l’objet des traitements.

A la fin des études, la méthode et les résultats obtenus devront être communiqués à la Plateforme des données de santé en vue de leur publication. L’enregistrement des traitements et la transmission des résultats sont effectués conformément aux modalités définies par la Plateforme des données de santé.

La Commission accueille favorablement la proposition de l’Union de lui adresser, à l’issue d’un délai de trois ans, un bilan contenant notamment la liste des analyses réalisées dans le cadre de la décision unique, ainsi que la méthodologie suivie dans le cadre des analyses. Elle rappelle qu’un autre bilan devra lui être adressé à l’issue du délai de cinq ans.