La MR 006 encadre l’accès par des industriels de santé aux données du Programme de médicalisation des systèmes d'information (PMSI) de l’Agence technique de l’information sur l’hospitalisation (ATIH) mises à disposition via une solution sécurisée. Les responsables de traitement ont l’obligation de documenter les projets menés dans le registre des activités de traitement. Les études menées doivent présenter un caractère d’intérêt public et aucun appariement avec d’autres données à caractère personnel n’est possible. Les responsables de traitement doivent enregistrer leurs traitements auprès d’un répertoire public tenu par l’INDS. Les industriels devront recourir à un bureau d’études/laboratoires de recherches ayant réalisé un engagement de conformité au référentiel fixé par l’arrêté du 17 juillet 2017 auprès de la CNIL. Ils devront également faire réaliser un audit indépendant tous les 3 ans sur l’utilisation des données et le respect de l’interdiction des finalités interdites.
Les personnes produisant ou commercialisant des produits mentionnés au II de l'article L. 5311-1 du Code de la santé publique (par exemple : laboratoires pharmaceutiques, fabricants de dispositifs médicaux etc.).
Le responsable de traitement désigne un délégué à la protection des données et tient à jour, au sein du registre des activités de traitement, la liste des études mises en œuvre dans le cadre de la méthodologie de référence.
Objectif(s) poursuivi(s) par le traitement (finalités)
Le traitement des données doit présenter un caractère d’intérêt public.
La MR 006 pose une présomption d’intérêt public des finalités suivantes :
La préparation de dossiers de discussions et réunions avec les autorités et comités compétents ;
La réalisation d’études en conditions réelles d’utilisation à destination ou à la demande des autorités ;
Le ciblage des centres et/ou la réalisation d’études de faisabilité dans le cadre d’une recherche impliquant ou n’impliquant pas la personne humaine ;
La réalisation d’études dans le cadre de la vigilance et de la surveillance après commercialisation.
La MR 006 n’exclut pas la possibilité de réaliser des études poursuivant d’autres finalités : il appartient alors au responsable de traitement de justifier que ces études répondent à l’ensemble des obligations de la méthodologie de référence, notamment qu’elles présentent un caractère d’intérêt public.
Une obligation de transparence incombe aux responsables de traitement qui se traduit par l’enregistrement de chaque étude conforme à la MR 006 dans un répertoire public tenu par l’INDS et accessible sur son site internet (www.indsante.fr). En pratique, un protocole (incluant la justification d’intérêt public), un résumé de l’étude selon un format arrêté par l’INDS et une déclaration des intérêts devront être soumis à l’Institut. Une fois l’étude terminée, les résultats obtenus devront aussi être communiqués dans un délai raisonnable conformément aux dispositions du code de la santé publique relatives au SNDS.
Données personnelles concernées
Le responsable de traitement s’engage à ne collecter que les données pertinentes, adéquates et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.
La nécessité de leur traitement doit être justifiée dans le protocole de recherche.
Les données doivent provenir exclusivement des bases de données constituées par l’ATIH au titre du PMSI.
Les catégories de données à caractère personnel pouvant faire l’objet du traitement sont les données centralisées et mises à disposition sur la plateforme sécurisée de l’Agence technique de l’information sur l’hospitalisation (ATIH), en particulier :
Les fichiers dans les champs de la médecine, la chirurgie, l’obstétrique et l’odontologie (MCO) ;
Les fichiers concernant les soins de suite et de réadaptation (SSR) ;
Le recueil d’Information Médicalisée en Psychiatrie (RIM-P) ;
Les fichiers relatifs aux hospitalisations à domicile (HAD) ;
Le fichier ANO qui permet de relier toutes les données du PMSI d’un même patient.
Les traitements inclus dans le cadre de la présente méthodologie de référence portent sur les données nationales du PMSI dont la profondeur historique maximale est de neuf ans plus l’année en cours. La zone géographique concernée ainsi que la profondeur historique des données consultées sont justifiées dans le protocole.
Les données de l’ATIH sont mises à disposition du responsable de traitement par l’intermédiaire d’une solution sécurisée (voir § « sécurité »).
Durée de conservation des données
La durée d’accès aux données dans la plateforme sécurisée doit être limitée à la durée nécessaire à la mise en œuvre du traitement.
Lorsque la solution sécurisée est détenue par le laboratoire de recherche ou le bureau d’études, la durée d’accès aux données et la durée de conservation dans la solution sécurisée doivent être limitées à la durée nécessaire à la mise en œuvre du traitement.
Lorsque le responsable de traitement en justifie, l’accès aux données, et le cas échéant, leur conservation peuvent être maintenus à l’issue de l’étude, dans la limite de deux ans à compter de la dernière publication relative aux résultats.
Destinataires des données
Les données de l’ATIH sont mises à disposition du laboratoire de recherche ou bureau d’études par l’intermédiaire d’une solution sécurisée. Aucune exportation de données à caractère personnel ne peut être réalisée en dehors de la solution sécurisée utilisée.
Seul le personnel du laboratoire de recherche et du bureau d’études peut accéder aux données.
Ces personnes sont soumises au secret professionnel dans les conditions définies par les articles 226-13 et 226-14 du code pénal.
La qualification des personnes habilitées et leurs droits d'accès doivent être régulièrement réévalués, par le laboratoire de recherche ou bureau d’études conformément aux modalités décrites dans la procédure d’habilitation qu’il a établie.
Information des personnes et respect des droits « informatique et libertés »
La MR 006 n’impose pas d’information individuelle des personnes concernées. Cependant, elle prévoit que les responsables de traitement indiquent sur leur site internet qu’ils réalisent des projets à partir des données du PMSI et qu’ils rappellent que les personnes ont des droits d’accès, de rectification et d’opposition qui s’exercent auprès du directeur de l’organisme gestionnaire du régime d’assurance maladie obligatoire auquel elles sont rattachées.
Les systèmes mettant à disposition les données du PMSI doivent ainsi être conformes au référentiel de sécurité applicable au SNDS précité ; deux modalités de mise à disposition sont incluses dans le cadre de la méthodologie de référence :
Les données sont mises à disposition du laboratoire de recherche ou bureau d’études par l’intermédiaire du prestataire d’accès sécurisé désigné par l’ATIH ; (actuellement : le CASD – Centre d’accès sécurisé aux données) ;
Les données sont exportées vers un laboratoire de recherche ou un bureau d’études disposant d’une solution sécurisée et ayant conclu une convention avec l’ATIH (« bulles sécurisées »).
