Adoption par la CNIL de deux nouvelles méthodologies de référence « MR-007 » et « MR-008 » pour faciliter l’accès à la base principale du SNDS
La Commission Nationale de l’Informatique et des Libertés (CNIL) a adopté deux nouvelles méthodologies de référence (ci-après « MR »), MR-007 et MR-008, par délibération respective du 23 juillet 2023 n°2023-082 et 2023-083, visant à simplifier l’accès à la base principale du Système National des Données en Santé (SNDS). Ces MR ont été publiées au Journal Officiel du 12 octobre 2023, date de leur entrée en vigueur, et s’appliquent aux organismes opérant dans le cadre de missions d’intérêt public (MR-007) ou justifiant d’un intérêt légitime (MR-008).
Les MR-007 et MR-008 permettent aux organismes publics et privés d’exploiter les données du SNDS au-delà du programme de médicalisation des systèmes d’information (PMSI) – une des composantes du SNDS, et viennent ainsi compléter les MR-005 et MR-006 régissant l’accès aux données du PMSI pour les établissements de santé et leurs fédérations (MR-005), ainsi que pour les acteurs de l’industrie de la santé (MR-006).
L’adoption de ces MR fait suite à l’élargissement du champ d’application du SNDS décrété par la loi sur l’organisation et la transformation du système de santé de juillet 2019 et son décret d’application de juin 2021, qui ont incité la CNIL à mettre en place de nouveaux cadres de référence et de nouveaux outils pour étendre et simplifier l’accès aux données de santé à la base principale du SNDS (base SNIIRAM + base PMSI + données sur les causes de décès + données relatives au handicap + système d’information de dépistage). Cela vise à répondre à un intérêt croissant des acteurs d’accéder à ce type de données pour leurs traitements.
Pour rappel, en application de l’article 66 de la loi informatique et libertés (« LIL »), les traitements de données à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé qui sont conformes à une MR peuvent être mis en œuvre après envoi d’une simple déclaration de conformité. A défaut, une demande d’autorisation pour le traitement de données doit être effectuée auprès de la CNIL. Pour ce qui concerne les nouvelles MR-007 et MR-008, en plus de l’obligation de se conformer aux principes énoncés, il est nécessaire d’obtenir de l’avis expressément favorable du Comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé (CESREES).
En comparaison avec les MR-005 et 006, les MR-007 et 008 se distinguent par (i) leurs responsables de traitement, (ii) leurs finalités de traitements, et (iii) leur source et mise à disposition.
- Responsables de traitement concernés: La MR-007 s’applique aux organismes pour lesquels la recherche, l’étude ou l’évaluation dans le domaine de la santé est nécessaire à l’exécution d’une mission d’intérêt public ou relève de l’exercice de l’autorité publique, au sens de l’article 6.1.e du RGPD. Alors que, la MR-008 s’adresse aux organismes pour lesquels ces activités sont nécessaires à la poursuite d’un intérêt légitime au sens de l’article 6.1.f du RGPD, à l’exception des assureurs. Pour le traitement des données dans le cadre de la MR-008, il est obligatoire de recourir à un laboratoire de recherche ou un bureau d’études.
- Finalités de traitements: La MR-007 intègre le ciblage des centres et/ou la réalisation d’études de faisabilité pour la réalisation d’une recherche impliquant ou non la personne humaine, en plus des finalités déjà encadrées par la MR-005. Tandis que la MR-008 établit de manière limitative les finalités de traitement autorisées, spécifiant clairement les domaines d’intérêt public tels que l’évaluation comparative de l’offre de soins, l’évolution des pratiques de prise en charge..., comparé à la MR-006 qui présente quant à elle, une liste de finalités non-exhaustive, offrant ainsi une plus grande flexibilité quant aux objectifs des traitements de données. Ces deux méthodologies soulignent de plus, qu’aucun traitement de données ne doit avoir pour objectif, principal ou secondaire, de permettre la réalisation de finalités interdites telles que décrites à l’article L. 1461-1 V du Code de la santé publique (promotion des produits de santé auprès des professionnels de santé et des établissements de santé ; exclusion de garanties des contrats d’assurance et modification de cotisations ou de primes d’assurance d’un individu ou d’un groupe d’individus présentant un même risque).
- Source et mise à disposition: À la différence des MR-005 et 006 qui encadrent l’accès aux données du PMSI mises à disposition sur la plateforme sécurisée de l’Agence technique de l’information sur l’hospitalisation (ATIH), les données traitées dans le cadre des MR-007 et 008 proviennent exclusivement et directement de la CNAM. Pour faciliter la mise à disposition des données par la CNAM, les responsables de traitement doivent adosser à leur protocole une expression de besoins, précisant les composantes de la base principale du SNDS concernées par la demande d’accès, la population ciblée, la période de ciblage, les données nécessaires, la profondeur historique des données qui ne peut être supérieure à 9 ans et la durée d’accès demandée qui ne peut excéder cinq ans à compter de la dernière mise à disposition effective des données.
En outre, dans le cadre de ces deux MR il est nécessaire de (i) désigner un délégué à la protection des donnéesdès lors que l’article 37 du RGPD est applicable, (ii) tenir un registre des traitements, (iii) garantir une transparence sur le résultat des études avec la publication du répertoire public sur les données de santé ou la mise en place d’un portail de transparence dès lors que le responsable de traitement est amené à réaliser plusieurs études à partir des données du SNDS et (iv) procéder à une information collective des personnes sur le site web du responsable de traitement et du laboratoire de recherche ou du bureau d’étude – qui peuvent eux-mêmes être responsables de traitement, dans ce cas l’information collective se fait sur leur site.
Enfin, tous les trois ans, les organismes utilisant les MR-007 et 008, devront fournir à la CNIL et au CESREES un bilan de leurs pratiques afin de contribuer à l’amélioration de ses cadres de référence. La CNIL publiera très bientôt un modèle de bilan élaborée avec la Plateforme des données de santé (PDS) – avec un accès dédié à celui-ci sur le site de la CNIL, afin d’accompagner les acteurs dans la réalisation de ce bilan. Dans un but d’alignement avec les MR-007 et 008, les MR-005 et 006 toujours applicables aujourd’hui, seront mise à jour courant de l’année 2024 afin d’intégrer également cette obligation de bilan.
Un guide pédagogique est par ailleurs en cours d’élaboration par la CNIL et la Plateforme des données de santé (PDS) afin d’accompagner chaque acteur dans sa conformité aux MR-007 ou 008. Ce guide devrait être publié d’ici la fin de l’année.