Blog Données personnelles

La CNIL adopte deux nouvelles méthodologies de référence pour « faciliter » l’accès aux données du SNDS

Deux nouvelles méthodologies de référence (MR-007 et MR-008) adoptées par la CNIL en juillet dernier [1] sont publiées au Journal Officiel du 12 octobre 2023.

Elles sont relatives aux traitements de données de la base principale du SNDS mis en œuvre à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé soit par des organismes agissant dans le cadre de leur mission d’intérêt public (MR-007), soit par des organismes agissant dans le cadre de leurs intérêts légitimes (MR-008).

Sont exclues du bénéfice de ces MR les établissements financiers, les sociétés d’assurance et les mutuelles.

Elles viennent compléter les MR-005 et MR-006 qui concernaient les traitements nécessitant l’accès aux données du PMSI.

  • Les principales conditions imposées aux traitements relevant des nouvelles MR (Titre I)

  • La poursuite d’un intérêt public au sens de l’article 66 de la loi Informatique et Libertés
  • La nécessité d’un protocole et d’une expression de besoins.
    Ce dernier document doit comprendre les composantes de la base principale du SNDS concernées par la demande d’accès, la population ciblée, la période de ciblage, les données ou catégories de données nécessaires, la profondeur historique des données et la durée d’accès demandées selon un modèle élaboré en collaboration avec la Plateforme des données de santé et la CNAM et mis à disposition.
  • L’avis expressément favorable du CESREES avant la mise en œuvre.
  • Des données provenant exclusivement de la CNAM sans aucune réutilisation possible.
  • Des traitements réalisés par un laboratoire de recherche ou un bureau d’études répondant aux exigences de l’arrêté du 17 juillet 2017 relatif au référentiel déterminant les critères de confidentialité, d’expertise et d’indépendance pour les laboratoires de recherche et bureaux d’études dans un environnement maîtrisé.
  • Les caractéristiques des traitements relatifs aux données des personnes concernées par des études (Titre II)

Sont énumérées ici assez classiquement les points relatifs à la finalité des traitements, à la nature des données concernées (base principale du SNDS), aux utilisateurs des données (accédants et destinataires), à l’information des personnes et aux modalités d’exercice de leurs droits.

  • Les mesures de sécurité (Titre III)

Elles rappellent la nécessité d’être conforme aux mesures de sécurité visées par le référentiel de sécurité prévu par l’arrêté du 22 mars 2017 en cours de révision (« mises à jour ultérieures ») et énumèrent l’ensemble des mesures techniques et organisationnelles à mettre en place.

  • La nécessité d’un hébergement des données issues de la base principale du SNDS au sein de l’espace économique européen et sans accès à distance depuis l’extérieur de l’Union européenne (Titre V)

  • La nécessité de conduire une étude d’impact et d’adresser un engagement de conformité à la CNIL après avis favorable du CESREES (Titre VI)

Il est également rappelé la nécessité d’un enregistrement de l’étude dans le répertoire public tenu par la PDS et l’obligation de transmettre à la CNIL un bilan tous les trois sur les usages observés de la présente méthodologie.


[1Délibérations n°2023-082 du 20 juillet 2023 (MR-007) et n°2023-083 du 20 juillet 2023 (MR-008)