Actualités

14.11.18 Eléments de doctrine du CEREES sur les décisions uniques

L’article 193 de la loi de modernisation du système de santé promeut l’ouverture des données de santé à des fins d’études, de recherches et d’évaluation dans le respect de la confidentialité des données et de la vie privée des personnes et dès lors que ces dernières présentent un caractère d’intérêt public. Pour faciliter et fluidifier le processus d’accès à ces données, le législateur a prévu la possibilité de procédures simplifiées permettant de répondre à des besoins d’acteurs récurrents. 

La décision unique est l’une de ces procédures : elle permet à la CNIL de délivrer à un même demandeur une autorisation couvrant plusieurs traitements répondant à une même finalité, portant sur des catégories de données identiques et ayant des catégories de destinataires identiques.

Le CEREES est amené à se prononcer sur ce type de demande avant l’autorisation de la CNIL. Il a, conformément au décret d’application de la loi Informatique et Libertés, 1 mois à compter de sa saisine par l’Institut national des données de santé (INDS) pour rendre un avis principalement sur la méthodologie retenue, sur la nécessité de recours à des données à caractère personnel, sur la pertinence de celles-ci par rapport à la finalité du traitement et, s’il y a lieu, sur la qualité scientifique du projet. Le cas échéant, le comité peut recommander aux demandeurs des modifications de leur projet afin de le mettre en conformité avec les obligations prévues par la loi.

Pour ce faire, toute demande d'accès à des données du SNDS sous la forme de décision unique, conformément à l'article 54 de la loi Informatique et libertés, devra faire l'objet d'un dépôt d'un dossier sur le site de l'INDS où seront précisés les traitements qui doivent « répondre à une même finalité, portant sur des catégories de données identiques et ayant des catégories de destinataires identiques ». Cela implique notamment que le ou les objectifs des traitements de données devront être clairement définis, en nombre limité, avec une méthodologie appropriée et décrite.

Il sera donc possible pour le CEREES de formuler son avis en faveur d’une telle demande pour une durée limitée (dans l’attente d’une éventuelle MR spécifique à ces situations) à la condition que le dossier présenté entre parfaitement dans le cadre réglementaire applicable décrit plus haut.

Le responsable de traitement et son équipe ont les compétences spécifiques, techniques et informatiques pour pouvoir traiter ces données dans le cadre des portails sécurisés de la CNAM et/ou de l’ATIH, ou les exporter dans un système répondant au référentiel de sécurité du SNDS, dans le respect du règlement général sur la protection des données (RGPD) et des dispositions de la Loi informatiques et libertés.