Démarches réglementaires

Tout savoir sur la réglementation française encadrant l’accès aux données de santé

Partager

Qui peut utiliser les données de santé ?

De façon générale, toute personne ou structure, publique ou privée, à but lucratif ou non, peut accéder à des données personnelles de santé à des fins de recherche. 

 

Comment peut-on demander l’accès à ces données si elles ne sont pas parfaitement anonymes ?

  • Si les données sont parfaitement anonymes : la CNIL n’intervient pas, vous pouvez accéder librement aux données. 
  • Si les données ne sont pas parfaitement anonymes : la CNIL doit alors autoriser l’accès aux données. C’est en effet le seul organisme habilité à délivrer ce type d’autorisation. 

Les demandes sont à déposer auprès du Health Data Hub. Ce dernier est le point d’entrée unique des demandes d’accès aux données de santé, avec pour mission d’assurer un traitement des demandes conformément au cadre réglementaire, dans les délais définis par la loi. La demande d’accès faite au Health Data Hub nécessite la constitution d’un dossier de demandes d’accès intégrant plusieurs pièces à remplir et à envoyer obligatoirement.

 

Une fois la demande déposée, comment se déroule la suite de la procédure ?

En plus d’être un point d’entrée unique aux demandes d’accès, le Health Data Hub assure le secrétariat du Comité Ethique et Scientifique pour les Recherches, les Etudes et les Evaluations dans le domaine de la Santé (CESREES) chargé d’examiner les demandes du point de vue méthodologique, afin de fournir un avis à la CNIL sur la cohérence entre la finalité de l’étude proposée, la méthodologie présentée, sa pertinence éthique, son caractère scientifique et le périmètre des données auxquelles il est demandé accès. Dans certains cas, il instruira aussi la finalité d’intérêt public. Le Health Data Hub lui transmet votre dossier sous 7 jours. 

Le CESREES a un mois renouvelable une fois pour rendre son avis. Ensuite, le Health Data Hub, avec votre accord, transmet votre dossier à la CNIL qui a deux mois renouvelable une fois pour fournir une réponse à votre demande. La CNIL pourra être amenée à vous demander des précisions pendant toute cette période. Faute d’avis ou d’autorisation rendus dans les délais, ces derniers sont réputés favorables ou acquis.

 

Quelle est la procédure applicable si la demande d’accès nécessite également la collecte de données impliquant la personne humaine via un questionnaire ou un examen ?

Dans ce cas, la recherche ne peut être mise en œuvre qu’après avis favorable d’un comité de protection des personnes, chargé d’examiner les conditions de validité de cette recherche.

 

Quels sont les acteurs soumis à des dispositions spécifiques ?

Dans le cas de l’accès au SNDS, l’accès des entreprises productrices de produits de santé et des assureurs en santé est plus fortement encadré : ils doivent, soit passer par un bureau d’études ou un organisme de recherche indépendant, soit démontrer que les modalités techniques d’accès ne permettent en aucun cas d’utiliser le SNDS pour des finalités interdites identifiées dans la loi.

Pour certaines organisations chargées d’une mission de service public, une procédure spécifique d’accès au SNDS est prévue : ces organisations, listées par décret en conseil d’État pris après avis de la CNIL, peuvent pour accomplir leurs missions accéder à certaines données de manière permanente. C’est par exemple le cas pour l’agence Santé publique France, l’Agence nationale de sécurité du médicament et des produits de santé, la Haute Autorité de santé, les chercheurs des CHU, des Centres de lutte contre le cancer et de l’Inserm, l’Agence de la biomédecine ou encore les Agences régionales de santé

Documentation type SNDS

Liste des traitements des données individuelles du SNDS

Documentation type SNDS

Modalités d’habilitation

Existe-t-il des procédures simplifiées pour faciliter et accélérer l’accès aux données ?

Oui. La loi prévoit des procédures simplifiées dans trois cas de figure :

  • La CNIL peut définir des méthodologies de référence : un demandeur qui s’engage à se conformer à une méthodologie de référence (disponibles sur le site internet de la CNIL) peut se déclarer conforme en un simple clic. Cet engagement vaut autorisation de la CNIL. Le demandeur doit néanmoins réaliser certaines démarches réglementaires spécifiques détaillées plus bas, mais sa demande ne sera examinée ni pas le CESREES ni par la CNIL  ;
  • La CNIL peut délivrer des autorisations uniques à des organismes réalisant plusieurs traitements répondant à une même finalité, portant sur des catégories de données identiques et ayant des catégories de destinataires identiques ;
  • Le Health Data Hub pourra mettre à disposition des jeux de données agrégées ou des échantillons, issus des traitements des données de santé à caractère personnel pour des finalités et dans des conditions reconnues conformes à la présente loi par la CNIL, dans des conditions que cette dernière aura préalablement homologuées (mise en œuvre prévue : mi-2017).

 

Demande de modification de l’autorisation CNIL

Une fois votre étude autorisée, vous pouvez demander à la modifier. Selon l’importance de ces modifications, une nouvelle autorisation pourra être nécessaire. Un formulaire de soumission dédié a été conçu à cette fin. En cas de doute, nous vous invitons à consulter la notice explicative et le logigramme

 

Demande d’accès aux échantillons et données agrégées 

Si votre projet nécessite l’utilisation des données agrégées ou de l’échantillon généraliste du bénéficiaire (EGB) du SNDS “historique”, il peut être éligible à la procédure simplifiée permettant sous certaines conditions d'accéder à ces données sans autorisation de la CNIL, après approbation du Health Data Hub (mode d’emploi). Une fois votre projet approuvé, vous devrez compléter votre dossier en renseignant un ensemble de dispositions prévues par le RGPD dont l’essentiel est destiné à être publié sur le site du Health Data Hub au titre de la transparence.

 

Méthodologies de référence

Une Méthodologie de Référence (MR) est une procédure dérogatoire d'accès aux données de santé. Si vous remplissez les conditions prévues par la MR, cela vous permet d'engager le traitement des données sans avoir à demander une autorisation à la CNIL. Vous êtes soumis néanmoins à trois obligations : 


La MR004 :

Vous êtes concerné par la MR004 si vous souhaitez réutiliser des données de santé existantes et que les personnes concernées sont préalablement informées de la réalisation de votre projet. Il vous sera toutefois interdit par exemple de : recueillir de données nominatives, de procéder à un appariement avec une autre source, ou encore d’utiliser des données du SNDS historique non déjà chaînées dans une source de données tierce.​


La MR005 : 

Vous êtes concerné par la MR005 si vous souhaitez utiliser les données du PMSI, et que vous appartenez à un établissement de santé ou une fédération hospitalière.


La MR006 : 

Vous êtes concerné par la MR006 si vous souhaitez utiliser les données du PMSI, et que vous appartenez à une structure  produisant ou commercialisant des produits de santé et que la mise en œuvre de votre étude est assurée par un bureau d’études.

le-cesrees

Découvrez le CESREES

Comprendre le rôle du CESREES et de ses avis dans les projets utilisant des données de santé

starter-kit

Suivez le guide

Tout ce qu’il faut savoir pour demander l’accès à des données de santé dans le cadre d’un projet