Demande d’autorisation dans le domaine de la santé (hors recherche) : les informations à fournir et les critères d’octroi

La demande d’autorisation déposée auprès de la CNIL doit détailler les caractéristiques du traitement envisagé, tant sur ses aspects juridiques que techniques, afin que la CNIL puisse s’assurer que le projet de traitement respecte les dispositions pertinentes du RGPD et de la loi Informatique et Libertés.

Cette fiche a vocation à synthétiser ces exigences à l’aune de la pratique d’instruction des demandes d’autorisation pour aider les responsables de traitement à élaborer leur dossier de demande.

Cela recouvre en particulier les points suivants :

• l’identification du ou des responsables de traitement, des sous-traitants et des organismes chargés de la mise en œuvre du traitement ;
• la présentation de la finalité (objectif) du traitement et la justification de son caractère d’intérêt public ;
• l’identification de la base légale du traitement et l’exception permettant de traiter des données sensibles ;
• l’identification de la nature des données traitées et la justification de la collecte de ces données, notamment lorsque celles-ci présentent un caractère particulier (données administratives d’identification, numéro d’inscription au répertoire national d’identification des personnes physiques, données sensibles autres que des données de santé, etc.)  ;
• une description des modalités de rapprochements ou d’interconnexions de fichiers ;
• l’identification et, le cas échéant, la justification de la pertinence des catégories de destinataires envisagées ;
• une présentation des modalités d’information et d’exercice des droits en fonction des catégories de personnes concernées ;
• les durées de conservation des données ;
• l’identification d’éventuels transferts de données en dehors de l’Union européenne et une présentation des modalités d’encadrement de ces transferts ;
• les mesures de sécurité adaptées aux risques.

En outre, afin de faciliter l’instruction de la demande, il est vivement recommandé aux demandeurs d’identifier précisément l’ensemble des points de non-conformité juridiques et techniques au référentiel applicable (il peut, par exemple, s’agir de la nature des données traitées (données génétiques pour un traitement de vigilance), ou encore de la base légale du traitement (intérêt légitime pour la constitution d’un entrepôt de données)).

La fiche ci-dessous propose une liste des principaux points d’attention de la CNIL lors de l’instruction des demandes d’autorisation. Les responsables de traitement sont invités à mentionner ces différents éléments, si possible dans un document unique ou dans l’analyse d’impact relative à la protection des données (AIPD) lorsque celle-ci est obligatoire.

Ce qu’il faut savoir

Lorsque le traitement est susceptible de présenter des risques pour les droits et libertés des personnes concernées, la réalisation d’une AIPD est obligatoire.

Afin de guider les acteurs dans leur démarche, la CNIL a précisé les traitements pour lesquels la réalisation d’une AIPD est requise ou non. Ainsi, une AIPD est par exemple requise pour : la constitution d’un entrepôt de données de santé ; la mise en œuvre d’un traitement ayant pour finalité la gestion des alertes et des signalements en matière sanitaire (vigilances sanitaires) ou encore pour les traitements de données génétiques de patients.

En outre, si le traitement remplit au moins deux des neuf critères identifiés par le CEPD, la réalisation d’une AIPD sera généralement requise (par ex. : collecte de données sensibles, de données de personnes vulnérables, collecte de données à large échelle, etc.). En pratique, les traitements de données nécessitant une autorisation de la CNIL remplissent, sauf exceptions, les critères du CEPD. Une AIPD est donc le plus souvent requise.

Ce dont la CNIL a besoin pour instruire la demande d’autorisation

Lorsque la réalisation d’une AIPD est requise, il est recommandé de la réaliser avant de déposer la demande d’autorisation et de la transmettre lors du dépôt du dossier (en pièce jointe ou via le téléservice dédié), à la fois pour justifier que l’obligation de réalisation d’une AIPD est remplie et pour faciliter l’instruction de votre dossier.

Dans l’hypothèse où l’AIPD n’aurait pas été transmise lors du dépôt, sa communication est susceptible d’être demandée lors de l’instruction, afin notamment de vérifier la légalité du traitement envisagé.  

Lorsque la réalisation d’une AIPD n’est pas requise, le demandeur doit en justifier dans son dossier de demande.

La CNIL tient à la disposition des responsables de traitement l’outil gratuit PIA afin de les aider à réaliser leurs AIPD.

Ce qu’il faut savoir

Pour faciliter l’instruction de la demande, il est vivement recommandé de pointer les écarts au référentiel applicable et de les justifier, qu’il s’agisse de points juridiques ou techniques.  

En tout état de cause, le référentiel applicable doit servir de référence, puisqu’il détaille la doctrine de la CNIL et ses exigences pour le type de traitement concerné.

Ce dont la CNIL a besoin pour instruire la demande d’autorisation

Il est recommandé :

• d’attester de la conformité en tous points au référentiel applicable, sauf sur les éléments identifiés ;
• de détailler les points de non-conformité (juridiques et techniques) au référentiel et de justifier ces écarts ainsi que, si nécessaire, les mesures supplémentaires envisagées afin de compenser les non-conformités.

La CNIL dispose d’un délai de deux mois (renouvelable une fois pour la même durée) à compter de la réception de la demande pour se prononcer.

Si la CNIL ne se prononce pas dans ce délai, la demande d'autorisation est réputée acceptée. Le projet fait alors automatiquement l’objet d’une autorisation tacite, sans envoi systématique d’une confirmation écrite.

Plusieurs cas de figure peuvent se présenter :

• lorsque le dossier est complet et apporte des réponses satisfaisantes à l’ensemble des questions qu’il peut soulever, il est autorisé. L’autorisation peut être délivrée sans échange préalable avec le responsable de traitement.
• lorsque quelques éléments du dossier sont imprécis ou insuffisants au regard des exigences du RGPD et de la loi Informatique et Libertés, une demande de compléments juridiques et/ou techniques est adressée à la personne désignée comme point de contact dans le dossier de demande. Cette dernière dispose alors d’un délai maximal de quinze jours pour répondre et pour transmettre les documents modifiés en conséquence en suivi des modifications (par exemple, la note d’information des patients, ou l’AIPD). Dans l’hypothèse où ces pièces seraient volumineuses (>6MO), la CNIL dispose d’une plateforme d’échanges de fichiers fin d’assurer une transmission fiable et sécurisée des pièces. L’envoi de la demande de compléments n’interrompt pas le délai d’instruction de deux ou quatre mois : il est donc particulièrement important que la personne désignée comme contact soit disponible ou remplacée en cas d’absence pour répondre dans les meilleurs délais. En cas d’absence de réponse ou si les réponses apportées ne sont pas satisfaisantes, la CNIL peut être amenée à refuser la mise en œuvre du traitement ;
• lorsque le dossier est manifestement lacunaire ou, dans certains cas, vise à mettre en œuvre un traitement manifestement illicite en l’état de ce qui est envisagé par le demandeur, la CNIL peut en refuser la mise en œuvre sans échange préalable avec le responsable de traitement.

Dans les autres cas, elle s’efforce, par un dialogue bienveillant et constructif, d’accompagner le responsable de traitement dans la mise en conformité de son traitement.

Ce qu’il faut savoir

Il est important de bien déterminer le statut des acteurs impliqués et les responsabilités respectives en amont de la mise en œuvre du traitement. Il faut donc identifier le ou les responsable(s) de traitement.

En cas de responsabilité conjointe de traitement, il est nécessaire de répartir formellement les responsabilités (art. 26 du RGPD).

Enfin, lorsque le responsable de traitement n’est pas établi dans l’Union européenne, il doit, dans certains cas, désigner un représentant en application de l’article 27 du RGPD.

Ce dont la CNIL a besoin pour autoriser le traitement

• En cas de responsabilité conjointe de traitement et en l’absence de transmission de la convention, il est nécessaire de préciser la matrice de co-responsabilité ou une grille schématique de répartition des rôles.

• Lorsque le responsable de traitement n’est pas établi dans l’Union européenne et qu’il doit désigner un représentant, le nom et les coordonnées de ce dernier doivent figurer dans le dossier de demande.

Ce qu’il faut savoir

Si le responsable de traitement fait appel à des sous-traitants, il est nécessaire de préciser leur rôle et de le définir contractuellement. Le traitement par un sous-traitant doit être régi par un contrat remplissant les conditions de l’article 28-3 du RGPD.

En cas de traitement de données du SNDS, les organismes produisant ou commercialisant des produits mentionnés au II de l'article L. 5311-1 du code de la santé publique (CSP)  ou mentionnés au 1° du A et aux 1°, 2°, 3°, 5° et 6° du B du I de l'article L. 612-2 du code monétaire et financier (CMF) ; ou les intermédiaires d'assurance mentionnés à l'article L. 511-1 du code des assurances peuvent décider de recourir à un laboratoire de recherche ou à un bureau d'études, pour réaliser un traitement de données du SNDS. Ce dernier doit s’être déclaré conforme au référentiel prévu par l’arrêté du 17 juillet 2017. 

La liste des organismes s’étant déclarés conformes est publiée sur le site web de la Plateforme des données de santé.

Par ailleurs, il est également nécessaire d’identifier les services ou les catégories de personnes chargées de la mise en œuvre du traitement.

Ce dont la CNIL a besoin pour autoriser le traitement 

• si un contrat a déjà été conclu avec le(s) sous-traitant(s), il faut justifier qu’il est bien conforme à l’article 28 du RGPD (cette information figure généralement dans l’AIPD) ;
• si le contrat n’est pas encore conclu, le responsable de traitement doit s’engager à le conclure avant le début du traitement ;
• en cas de traitement de données du SNDS par un sous-traitant qui ne s’est pas encore déclaré conforme au référentiel prévu par l’arrêté du 17 juillet 2017, ce dernier doit procéder à cette déclaration de conformité auprès de la CNIL (par exemple par voie postale).

Ce qu’il faut savoir

Tout traitement de données personnelles doit être mis en œuvre dans un but précis. La finalité définie pour le traitement doit être respectée tout au long du traitement et remplir un certain nombre d’exigences.

Dans le cadre de traitements de données dans le domaine de la santé, cette finalité doit remplir une condition légale : elle doit être d’intérêt public (3° de l’article 44 et article 66 de la loi Informatique et Libertés »).

Ce dont la CNIL a besoin pour autoriser le traitement

• la description précise des finalités (objectif principal et secondaires) ;
• la justification de leur intérêt public au regard des articles 44 3° et 66 de la loi Informatique et Libertés.

Ce qu’il faut savoir

Pour pouvoir être mis en œuvre, tout traitement de données doit se fonder sur l’une des « bases légales » prévues par le RGPD. Certaines bases légales sont privilégiées pour les traitements de données dans le domaine de la santé. En principe, s’agissant des traitements soumis à la CNIL pour autorisation, il s’agira le plus souvent de la mission d’intérêt public pour les organismes publics (article 6-1-e du RGPD) et de l’intérêt légitime pour les autres organismes (article 6-1-f du RGPD). Dans certains cas, il peut également s’agir du respect d’une obligation légale (article 6-1-c du RGPD)

Le traitement des données de santé (et parfois d’autres données sensibles) est possible, lorsque l’une des conditions prévues par l’article 9-2 du RGPD peut être invoquée et en application de l’article 44-3° de la loi Informatique et Libertés, à condition de respecter un référentiel ou de bénéficier d’une autorisation de la CNIL.

La demande doit préciser la condition permettant le traitement de données de santé et, le cas échéant, d’autres catégories de données sensibles. Il s’agira le plus souvent de motifs d'intérêt public dans le domaine de la santé publique (article 9-2-i du RGPD) ou de la recherche scientifique (article 9-2-j du RGPD).

La demande devra également, au titre du principe de minimisation justifier de ce que les catégories de données utilisées sont bien nécessaires au projet de recherche.

Ce dont la CNIL a besoin pour autoriser le traitement

• la base légale du traitement ;
• l’exception de l’article 9-2 du RGPD retenue et permettant de traiter des données de santé et, le cas échéant, d’autres données sensibles.

Ce qu’il faut savoir

• En application du principe de minimisation, seules les données nécessaires à la mise en œuvre du traitement peuvent être traitées. Il convient donc de s’interroger sur la nécessité de la collecte, tant s’agissant des catégories de données collectées, des bases de données « sources » ou encore, par exemple, de la profondeur historique sollicitée.
• En particulier, le traitement de données sensibles ou d’autres « catégories particulières de données » devra être justifié au regard des dispositions applicables (ex : la collecte du numéro d’inscription au répertoire national d’identification des personnes physiques (NIR) aux fins d’appariement avec les données du SNDS, le traitement de données d’infraction, de données génétiques, de données relatives à la vie sexuelle des personnes, etc.). Il en va de même des photographies, des vidéos et des enregistrements vocaux qui doivent être recueillis dans des conditions conformes aux dispositions applicables en matière de droit à l'image et de droit à la voix.  
• S’agissant du cas particulier des données du SNDS, il faut justifier qu’elles sont nécessaires à la mise en œuvre du traitement tant s’agissant des composantes concernées (SNIIRAM, PMSI, CépiDc…) que de la profondeur historique sollicitée.

Ce dont la CNIL a besoin pour autoriser le traitement

• La liste exhaustive des catégories particulières de données traitées (données de santé et données sensibles autres que les données de santé, donnée d'infraction, données administratives d’identification et données à caractère hautement personnel), en justifiant la pertinence de leur collecte par rapport à la finalité du traitement.
• En cas de traitement de données du SNDS, les composantes concernées ainsi que la profondeur historique sollicitée (par exemple : les années 2015 à 2021) doivent figurer dans le dossier de demande.

Ce qu’il faut savoir

Lorsqu’il est prévu de réutiliser des données issues de collectes précédentes, par exemple lorsque sont versées dans un entrepôt de données de santé des données issues de projets de recherche, il est nécessaire de s’assurer que la base initiale a été régulièrement constituée et mise en œuvre (par exemple en s’assurant que la durée de conservation de la base de données initiale n’a pas expiré et que les données n’auraient pas déjà dû être supprimées ou anonymisées).

Ce dont la CNIL a besoin pour autoriser le traitement

En cas de réutilisation de données déjà collectées, le cadre juridique dans lequel elles ont été recueillies (déclaration de conformité à une méthodologie de référence, numéro de l’autorisation de la CNIL, etc.).

Ce qu’il faut savoir

• Les destinataires sont toutes les personnes distinctes du responsable de traitement à qui il envisage de communiquer les données. Par exemple, les salariés de l’organisme responsable de traitement ne sont pas des destinataires, mais des accédants. En revanche, un sous-traitant est généralement un destinataire des données.
• Il est nécessaire que ces destinataires soient limités à ceux ayant un réel et légitime besoin d’avoir communication des données.
• Les référentiels sectoriels prévoient les catégories de destinataires des données directement identifiantes et celles qui peuvent être destinataires des données pseudonymisées.

Ce dont la CNIL a besoin pour autoriser le traitement

En cas de non-conformité à un référentiel s’agissant des destinataires ou des accédants aux données,

Le dossier de demande doit comporter :

• les destinataires ou catégories de destinataires ainsi que la liste des données concernées par ces transmissions ;
• la justification de ce que ces transmissions sont nécessaires ;
• les mesures prévues par le responsable de traitement s’agissant de la gestion des habilitation d’accès aux données.

Ce qu’il faut savoir

Les personnes concernées doivent reçoir une information individuelle dont le contenu est fixé par le RGPD.

Les articles 13 (collecte directe) et 14 du RGPD (collecte indirecte, notamment lorsque le traitement implique la réutilisation de données d’une base existante) prévoient les modalités d’information et les éléments devant figurer dans la note d’information.

Que l’information soit individuelle ou collective, l’article 12 du RGPD exige que l’information des personnes soit concise, compréhensible et aisément accessible, en des termes clairs et simples.

Il faudra adapter la note d’information pour chaque catégorie de personnes concernées par le traitement, notamment en présence de mineurs ou de personnes vulnérables afin que celle-ci soit la plus transparente possible.

Si le traitement d’un volume important de données est prévu ou s’il est prévu que le traitement s’effectue durant plusieurs années, par exemple lors de la constitution d’un entrepôt de données de santé, il est recommandé de  mettre en œuvre un « portail de transparence », c’est-à-dire une page sur le site web du responsable de traitement et/ou de ses partenaires, ou encore sur un site dédié permettant de centraliser les informations :

• relatives au traitement mis en œuvre ;
• ainsi qu’aux réutilisations futures des données.

Les notes d’information individuelle délivrées aux personnes pourront renvoyer vers ce portail de transparence.

Ce dont la CNIL a besoin pour autoriser le traitement

Le dossier de demande doit :

• en cas de délivrance d’une information individuelle :
  • décrire les modalités de transmission de cette note d’information à la personne concernée (lors de la prise en charge par un professionnels de santé, envoi postal, etc.) ainsi que, s’il y a lieu, aux titulaires de l’exercice de l’autorité parentale, aux personnes vulnérables ou aux personnes chargées d'une mission de représentation dans le cadre d'une tutelle, d'une habilitation familiale ou d'un mandat de protection future ;
  • joindre les différents documents d’information ;
• en cas de demande d’exception à la fourniture d’une information individuelle (pour tout ou partie des personnes concernées) :
  • la justification de cette demande au regard des dispositions de l’article 14-5-b) du RGPD ;
  • la description des mesures appropriées, notamment les modalités d’information collective (information sur le site web du responsable de traitement, information réalisée par voie d’affichage, envoi d’une newsletter…).

Ce qu’il faut savoir

• Le responsable de traitement doit garantir aux personnes dont les données sont traitées la possibilité d’exercer les droits prévus par le RGPD, et notamment le droit d’accès. Il doit également vérifier que les autres droits (rectification, opposition, effacement, limitation, portabilité) s’exercent conformément au RGPD et à la loi Informatique et Libertés .
• Un aménagement des modalités d'exercice des droits est prévu à l’article 11 du RGPD pour les traitements ne nécessitant pas l’identification des personnes concernées.

Ce dont la CNIL a besoin pour autoriser le traitement

Il est nécessaire que l’existence et les modalités d’exercice de ces droits soient prévues, décrites dans le dossier  (notamment la fonction ou le service auprès duquel s’exercent les droits) et figurent dans la note d’information.

Lorsque l’application des dispositions de l’article 11 du RGPD est sollicitée, le responsable de traitement doit :

• justifier dans le dossier de demande qu'il n'est pas en mesure d'identifier les personnes concernées ;
• prévoir d’en informer les personnes concernées ;
• prévoir que les personnes concernées peuvent fournir, aux fins d'exercer les droits que lui confèrent ces articles, des informations complémentaires qui permettent de les identifier.

Ce qu’il faut savoir

• En respect du principe de conservation limitée des données, les données ne doivent pas être conservées indéfiniment. Un guide pratique permet d’aider à déterminer ces durées.
• La durée de conservation des données peut être différente en fonction de la nature de celles-ci (par exemple, en cas de collecte du numéro d’inscription au répertoire national d’identification des personnes physiques (NIR) aux seules fins d’appariement avec les données du SNDS, celui-ci doit en principe être détruit après l’appariement ; il en va de même des données nominatives et des coordonnées qui doivent en principe être détruites de la base de données de l’étude à la fin du suivi, sauf en cas de justification scientifique ou technique permettant de justifier une dérogation à cette interdiction).
• La ou les durées de conservation doivent être précisée selon les modalités de conservation des données (en base active ou en archivage).

Ce dont la CNIL a besoin pour autoriser le traitement

Le dossier de demande doit mentionner et justifier :

• pour les données pseudonymisées : la durée de conservation en base active et en archivage. Ces durées doivent être exprimées en années uniquement et justifiées au regard de la finalité de l’étude ;
• pour les données administratives d’identification (par exemple des données nominatives et des coordonnées) ou les numéros d’inscription au répertoire national d’identification des personnes physiques : leur durée de conservation avec sa justification ;
• s’il y a lieu, en cas de traitement de données du SNDS, la durée d’accès aux données (sur une plateforme sécurisée) ou leur durée de conservation (dans une bulle sécurisée). Dans certains cas, la durée de conservation des données personnelles correspond simplement à la durée pendant laquelle il peut accéder à distance aux données. Pour le cas d’entrepôts de données de santé appariés au SNDS, cette durée est exprimée en période glissante, c’est-à-dire qu’à l’issue d’une durée préalablement définie, les données du SNDS sont régulièrement supprimées avant réception du nouveau jeu de données au sein de la bulle sécurisée.

Ce qu’il faut savoir

Les transferts de données en dehors de l’Union européenne doivent être conformes au chapitre V du RGPD.

• En cas de transfert de données en dehors de l’Union européenne, un niveau de protection suffisant et approprié doit être garanti.
• Certains pays hors UE bénéficient d’un niveau de protection équivalent, dont attestent notamment les décisions d’adéquations établies avec ces pays. Dans ce cas, le transfert de données est libre.
• En l’absence d’une telle décision d’adéquation avec le pays vers lequel le transfert est envisagé, le responsable de traitement ne pourra effectuer un transfert que :
  • S’il recourt à un outil d’encadrement du transfert visé à l’article 46 (notamment les clauses contractuelles types adoptées par la Commission européenne). A noter qu’il est nécessaire d’analyser la législation du pays de destination et, dans certains cas, de compléter l’outil d’encadrement du transfert par des mesures supplémentaires afin de garantir un niveau de protection essentiellement équivalent à celui prévu dans l'Espace économique européen en application de l’arrêt de la CJUE du 16 juillet 2020 « Schrems 2 ».
  • ou s’il invoque une des exceptions mentionnées à l’article 49 du RGPD (par exemple lorsque la personne concernée a été informée du transfert de ses données, des risques impliqués et qu’elle a consenti au transfert).

Il faut souligner que les transferts peuvent parfois être induits par le recours à un sous-traitant qui va traiter les données en dehors de l’Union européenne.

Ce dont la CNIL a besoin pour autoriser le traitement

Lorsqu’un transfert de données en dehors de l’Union européenne est envisagé, le dossier de demande doit préciser :

• la nature des données qui seront transférées (données directement identifiantes ; données pseudonymisées) ;
• le ou les pays concerné(s) ;
• en l’absence de décision d’adéquation pour ces pays, l’outil d’encadrement du transfert et, le cas échéant, les mesures supplémentaires ;
• s’il y a lieu, en l'absence d'une décision d'adéquation ou d’outil d’encadrement, la dérogation prévue à l’article 49 du RGPD mobilisée.

Par ailleurs, les documents d’information doivent mentionner l’existence de ces transferts conformément aux dispositions des articles 13-1-f) du RGPD et 14-1-f) du RGPD.

Ce qu’il faut savoir

• L’appariement est le rapprochement d’ensembles de données distincts, à l’aide d’informations communes.
• La mise en œuvre d’un traitement peut, dans certains cas, nécessiter de procéder à un appariement de données issues de plusieurs bases de données (dossiers médicaux, registres, projets de recherche…).
• Cet appariement peut être probabiliste (à partir de variables communes aux deux fichiers, sans qu’il soit certain que les données concernent la même personne) ou déterministe (à partir d’informations permettant d’identifier une personne avec certitude, par exemple un numéro d’inscription au répertoire national d’identification des personnes physiques (NIR) ou des informations qui permettent de le reconstituer).
• En cas de traitement du NIR (ou des informations permettant de le reconstituer) aux fins de réalisation d’un appariement avec des données du SNDS, il est vivement recommandé de se référer au guide pratique publié par la CNIL. Ce guide contient des circuits types ainsi que des recommandations concernant les tiers de centralisation du NIR ainsi que les tiers d’appariementimpliqués dans le traitement du NIR.

Ce dont la CNIL a besoin pour instruire la demande

• En cas de rapprochement ou d’interconnexion de fichiers, il est nécessaire de préciser les modalités d’appariement (probabiliste, déterministe), les variables d’appariement et le circuit des données

• En cas de traitement du NIR, il est nécessaire de préciser dans le dossier :

  ">
  • OU si le circuit retenu n’est pas un de ceux du guide, il sera nécessaire de le détailler et de le justifier ;
  • le circuit du NIR retenu en se référant au guide pratique mentionné ci-dessus ;

• si nécessaire : l’identité du tiers centralisateur et du tiers chargé de reconstituer le NIR.

Ce qu’il faut savoir

• Lorsque les données sont collectées à des fins de centralisation et de mise à disposition pour des traitements ultérieurs, par exemple lors de la constitution d’entrepôts de données de santé, le responsable de traitement doit s’assurer que les finalités de ces traitements ultérieurs sont compatibles avec les finalités pour lesquelles les données ont été initialement collectées.
• Les personnes concernées doivent être informées de ces réutilisations :
  • soit individuellement pour chaque traitement ultérieur ;
  • soit par le renvoi, à l’occasion de l’information sur le traitement initial (constitution de l’entrepôt), vers un portail de transparence recensant ces réutilisations.
• Ces obligations s’appliquent également au sous-traitantdans l’hypothèse où il envisagerait de réutiliser les données qui lui ont été confiées, et sous réserve que le responsable de traitement initial l’autorise par écrit.

Ce dont la CNIL a besoin pour instruire la demande

Lorsque les données sont collectées à des fins de centralisation en vue de réutilisation dans des traitements ultérieurs, le dossier de demande doit préciser, notamment :

• la nature de ces traitements, si possible à l’aide d’exemples concrets ;
• les partenaires ou catégories de partenaires qui utiliseront les données ;
• les formalités qui seront réalisées pour la mise à disposition de ces données ;
• les modalités d’information des personnes quant à ces réutilisations de leurs données ;
• les modalités de mise à disposition des données.

Ce qu’il faut savoir

• Des précautions élémentaires doivent être mises en œuvre de façon systématique. Les exigences en matière de sécurité sont d’autant plus élevées en présence d’un traitement de données de santé.
• La sécurité se traduit tant par des mesures techniques que des mesures organisationnelles. Au titre de ces dernières, il est notamment important de limiter l’accès aux données aux personnes qui, sous la responsabilité du titulaire de l’autorisation, ont réellement besoin d’y accéder (définition des accédants).
• Le traitement envisagé doit être conforme à l’état de l’art en matière de sécurité informatique, au regard du contexte et des risques. Le responsable de traitement peut à cet effet se référer au cadre technique prévu par le référentiel applicable.

Ce dont la CNIL a besoin pour autoriser le traitement

• Lorsqu’une AIPD est fournie, les mesures techniques et organisationnelles doivent figurer dans l’AIPD.
• Lorsque le traitement envisagé n’est pas conforme à un référentiel sur le plan technique et qu’une AIPD n’est pas fournie, le dossier de demande devra comporter un document présentant l’architecture technique détaillée du système, les flux des données et l’ensemble des mesures existantes ou prévues, en se référant aux guides AIPD de la CNIL.

Ce qu’il faut savoir

Un traitement impliquant des données du SNDS doit être mis en œuvre dans des conditions de sécurité conformes au référentiel de sécurité du SNDS prévu par l’arrêté du 22 mars 2017 (en cours de mise à jour). Ainsi, notamment, tout système d’information contenant des données issues du SNDS, existant ou créé pour le traitement, doit être conforme à ce référentiel.

Ce dont la CNIL a besoin pour autoriser le traitement

S’il y a lieu, en cas de traitement de données du SNDS, le dossier de demande doit mentionner :

• les modalités de mise à disposition des données : portail de la CNAM, plateforme de l’ATIH, CASD, solution technique de la Plateforme des données de santé ou système fils du SNDS ;
• s’il y a lieu, notamment en cas d’accès aux données via la solution technique de la Plateforme des données de santé ou de création d’un système fils du SNDS, les documents d’homologation doivent être transmis, ainsi que l’AIPD pour le traitement dans sa globalité.

Dans l’hypothèse où il est envisagé de traiter les données du SNDS dans un « système-fils », deux cas de figure sont possibles :

Cas 1 : le responsable de traitement (ou le responsable de la mise en œuvre) héberge les données dans :

• une nouvelle « bulle sécurisée » (un « système fils » selon les termes du référentiel SNDS),
• une « bulle sécurisée ancienne » (hébergeant les données du SNDS dans le cadre d’un traitement autorisé expressément par la CNIL depuis plus de trois ans)
• via la solution technique de la Plateforme des données de santé.

En application de l’arrêté du 22 mars 2017, un dossier d’homologation comportant les éléments suivants doit être transmis à la CNIL :

• un document démontrant la conformité, point par point, au référentiel SNDS ;
• un document d’homologation signé, établi par le(s) responsable(s) de traitement, attestant de sa (leur) connaissance du système d’information, des risques et des mesures de sécurité existantes et/ou prévues, et acceptant les risques résiduels ;
• le compte-rendu de la réunion d’homologation ;
• le plan d’actions détaillé pour la mise en place des mesures de sécurité prévues, actualisé récemment (notamment avec les acteurs, jalons, niveaux d’avancement).

L’AIPD, lorsqu’elle est nécessaire, permet également de justifier de la conformité à l’article 32 du RGPD.

Cas 2 : le responsable de traitement (ou le responsable de la mise en œuvre) héberge les données dans une bulle sécurisée déjà homologuée et utilisée dans le cadre d’un traitement de données antérieur autorisé expressément par la CNIL il y a moins de trois ans. Si la durée de validité de l’homologation n’a pas expiré et fait l’objet d’un suivi régulier par le gestionnaire du système fils, le dossier de demande doit alors simplement comporter la décision d’homologation signée en cours de validité.

Toutefois :

• si les mesures techniques et organisationnelles associées au déploiement de la bulle sécurisée ont été modifiées ou mises à jour suite à la dernière autorisation expresse de la CNIL ;
• OU si la dernière décision d’homologation a expiré et n’a pas été renouvelée ;

les nouveaux documents d’homologation (complets comme pour le cas 1) doivent être joints au dossier de demande, en faisant apparaître les modifications par rapport à la version précédemment communiquée à la CNIL.