Entrée en vigueur le 2 juin 2019
Modifié par : LOI n°2019-774 du 24 juillet 2019 - art. 41 (V)
I.-Un accès aux données à caractère personnel du système national des données de santé ne peut être autorisé que pour permettre des traitements :
1° Soit contribuant à une finalité mentionnée au III de l'article L. 1461-1 et répondant à un motif d'intérêt public ;
2° Soit nécessaires à l'accomplissement des missions des services de l'Etat, des établissements publics ou des organismes chargés d'une mission de service public compétents, dans les conditions définies au III du présent article.
Le responsable de tels traitements n'est autorisé à accéder aux données du système national des données de santé et à procéder à des appariements avec ces données que dans la mesure où ces actions sont rendues strictement nécessaires par les finalités des traitements ou par les missions de l'organisme concerné.
Seules les personnes nommément désignées et habilitées à cet effet par le responsable du traitement, dans les conditions précisées par le décret en Conseil d'Etat mentionné à l'article L. 1461-7, sont autorisées à accéder aux données du système national des données de santé.
II.-Les traitements de données concernant la santé mentionnés au 1° du I du présent article sont autorisés selon les procédures définies à la section 3 du chapitre III du titre II de la loi n° 78-17 du 6 janvier 1978 précitée.
Les personnes produisant ou commercialisant des produits mentionnés au II de l'article L. 5311-1 du présent code ou les organismes mentionnés au 1° du A et aux 1°, 2°, 3°, 5° et 6° du B du I de l'article L. 612-2 du code monétaire et financier ainsi que les intermédiaires d'assurance mentionnés à l'article L. 511-1 du code des assurances sont tenus :
1° Soit de démontrer que les modalités de mise en œuvre du traitement rendent impossible toute utilisation des données pour l'une des finalités mentionnées au V de l'article L. 1461-1 ;
2° Soit de recourir à un laboratoire de recherche ou à un bureau d'études, publics ou privés, pour réaliser le traitement.
Les responsables des laboratoires de recherche et des bureaux d'études présentent à la Commission nationale de l'informatique et des libertés un engagement de conformité à un référentiel incluant les critères de confidentialité, d'expertise et d'indépendance, arrêté par le ministre chargé de la santé, pris après avis de la même commission.
L'accès aux données est subordonné :
a) Avant le début de la mise en œuvre du traitement, à la communication, par le demandeur, au groupement d'intérêt public mentionné à l'article L. 1462-1 de l'étude ou de l'évaluation de l'autorisation de la Commission nationale de l'informatique et des libertés, d'une déclaration des intérêts du demandeur en rapport avec l'objet du traitement et du protocole d'analyse, précisant notamment les moyens d'en évaluer la validité et les résultats ;
b) A l'engagement du demandeur de communiquer au groupement d'intérêt public mentionné au même article L. 1462-1, dans un délai raisonnable après la fin du traitement, de l'étude ou de l'évaluation, la méthode et, pour les traitements mentionnés à la sous-section 2 de la section 3 du chapitre III du titre II de la loi n° 78-17 du 6 janvier 1978 précitée, les résultats de l'analyse et les moyens d'en évaluer la validité.
Le groupement d'intérêt public mentionné audit article L. 1462-1 publie sans délai l'autorisation de la Commission nationale de l'informatique et des libertés, la déclaration des intérêts, puis les résultats et la méthode.
III.-Le décret en Conseil d'Etat mentionné à l'article L. 1461-7 fixe la liste des services de l'Etat, des établissements publics ou des organismes chargés d'une mission de service public autorisés à traiter des données à caractère personnel du système national des données de santé pour les besoins de leurs missions. Ce décret précise, pour chacun de ces services, établissements ou organismes, l'étendue de cette autorisation, les conditions d'accès aux données et celles de la gestion des accès.
Il en résulte, d'autre part, que ces mêmes requérants ne peuvent davantage utilement soutenir que la délibération attaquée méconnaitrait les articles 44 à 48 du RGPD, […] ainsi que le dernier alinéa de l'article R. 1461-1 du code de la santé publique selon lequel » Les données du système national des données de santé sont hébergées au sein de l'Union européenne. […] Aucun transfert de données à caractère personnel ne peut être réalisé en dehors de l'Union européenne, […] pour une finalité relevant du 1° du I de l'article L. 1461-3 « . 8. En deuxième lieu, […] elle dispose toutefois de la certification » hébergeur de données de santé » prévue par l'article L. 1111-8 du code de la santé publique, […]
Lire la suite…[…] Enfin, les données de l'ESND étant issues d'une des bases composant le SNDS, l'ensemble des dispositions législatives et réglementaires relatives à ce dernier sont applicables en l'espèce, notamment l'interdiction d'utiliser ces données pour les finalités décrites à l'article L. 1461-1 V du code de la santé publique (CSP). […] À cette fin, l'article L. 1461-3 du CSP subordonne l'accès aux données du SNDS et de ses composantes à la communication à la plateforme des données de santé (PDS) de plusieurs éléments par le responsable de traitement, avant et après les études. […] M.-L. Denis
[…] Les données du PMSI étant issues de composantes du SNDS, la Commission rappelle que l'ensemble des dispositions législatives et réglementaires relatives au SNDS est applicable en l'espèce, et notamment l'interdiction d'utiliser ces données pour les finalités décrites à l'article L. 1461-1 V du code de la santé publique (CSP). […] La mise à disposition des données du SNDS et de ses composantes est conçue de façon à permettre de rendre compte de leur utilisation au public. A cette fin, l'article L. 1461-3 du CSP subordonne l'accès aux données du SNDS et de ses composantes à la communication à la Plateforme des données de santé (PDS) de plusieurs éléments par le responsable de traitement, avant et après les études.
[…] Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 44-3° et 66-III ; […] des fichiers composés à partir des données issues directement ou indirectement des prescriptions médicales, dès lors que ces fichiers permettent d'identifier directement ou indirectement le prescripteur (article L.°4113-7 du code de la santé publique). […] La Commission souligne que les exigences de transparence prévues par l'article L. 1461-3 du code de la santé publique s'ajouteront dans le cas où des données de l'entrepôt EMR seraient appariées avec celles du système national des données de santé.
Il en résulte, d'autre part, que ces mêmes requérants ne peuvent davantage utilement soutenir que la délibération attaquée méconnaitrait les articles 44 à 48 du RGPD, […] ainsi que le dernier alinéa de l'article R. 1461-1 du code de la santé publique selon lequel » Les données du système national des données de santé sont hébergées au sein de l'Union européenne. […] Aucun transfert de données à caractère personnel ne peut être réalisé en dehors de l'Union européenne, […] pour une finalité relevant du 1° du I de l'article L. 1461-3 « . 8. En deuxième lieu, […] elle dispose toutefois de la certification » hébergeur de données de santé » prévue par l'article L. 1111-8 du code de la santé publique, […]
Lire la suite…