Qu’est-ce que le SNDS ?
Unique en Europe, voire au monde, le Système National des Données de Santé (SNDS) constitue une avancée considérable pour analyser et améliorer la santé de la population
Qu’est-ce que signifie d’avoir élargi le SNDS ?
Le SNDS historique a été créé par la loi n° 2016-41 du 26 janvier 2016 de modernisation de notre système de santé.
Géré par la Caisse Nationale de l’Assurance Maladie (Cnam), le « SNDS historique » visait de permettre de chaîner :
- les données de l’Assurance Maladie (base SNIIRAM) ;
- les données des hôpitaux (base PMSI) ;
- les causes médicales de décès (base du CépiDC de l’Inserm) ;
- les données relatives au handicap (en provenance des MDPH - données de la CNSA) ;
- un échantillon de données en provenance des organismes d’Assurance Maladie complémentaire.
Les deux premières catégories de données sont déjà disponibles et les causes médicales de décès sont en cours d’alimentation. Les données médico-sociales de la CNSA commencent à être reçues par la Cnam et ne seront disponibles de manière effective que dans plusieurs mois.
Le décret qui organise les modalités de gouvernance et de fonctionnement du SNDS a été mis à jour en juin 2021. Ce texte désigne la Cnam et le HDH comme responsables conjoints de traitement du SNDS, définit leur rôle et leurs missions. Il modifie en outre la composition de la liste des organismes, établissements, et services bénéficiant d’accès permanents aux données du SNDS en raison des missions de service public qu’ils exercent. Il précise les règles applicables à cet accès permanent. Enfin, il prévoit les modalités d’exercice des droits des personnes concernées et notamment les conditions d’information des personnes auxquelles les données se rapportent.
En application de ce nouveau texte, le « SNDS historique » est renommé « base principale ». C’est la base qui réunit les données mentionnées aux 1° à 4° du I de l’article L. 1461-1 du Code de la santé publique et qui a vocation à être complétée progressivement de données mentionnées aux 5° à 11° de l’article précité. Désormais, un « catalogue » peut aussi être constitué par le HDH afin de rassembler un ensemble de bases de données ne couvrant pas l'ensemble de la population.
L’ensemble de ces bases est soumis aux mêmes règles en termes d’accès, de sécurité et de transparence.
Le Health Data Hub a été créé par la loi n° 2019-774 du 24 juillet 2019 relative à l’organisation et la transformation du système de santé. Cette structure publique permet à des porteurs de projets d’accéder à des données de santé dans un cadre très sécurisé, pour qu’ils contribuent à trouver des solutions qui améliorent la santé des personnes. Des procédures très précises encadrent ces accès, et surtout, ces données, qui ne contiennent ni les noms, ni les prénoms, ni les numéros de sécurité sociale des personnes.
L’objectif du Health Data Hub est donc que les données de santé, qui représentent un véritable patrimoine collectif, puissent être utilisées au bénéfice de la société. Ces données sont notamment celles de la base principale mais également des établissements de santé, de Santé publique France, etc. Ces autres sources sont réunies dans le « catalogue », c’est-à-dire une collection de bases de données non exhaustives. Il ne s’agit pas de réunir l’ensemble des données de santé de la population française. Ce catalogue, c’est la possibilité, notamment pour les chercheurs, de mener des recherches d’intérêt public avec de forts impacts pour la société. La liste des flux de la base principale et des bases composant le catalogue est portée par un arrêté (à paraître).
Qui peut utiliser les données du SNDS et comment peut-on y demander l’accès ?
Toute personne ou structure, publique ou privée, à but lucratif ou non lucratif, peut accéder aux données du SNDS sur autorisation de la CNIL, en vue de réaliser une étude, une recherche ou une évaluation présentant un intérêt public.
Le SNDS a pour finalité la mise disposition de ces données afin de favoriser les études, recherches ou évaluation présentant un caractère d’intérêt public et contribuant à l’une des finalités suivantes :
- à l’information sur la santé ;
- à la mise en œuvre des politiques de santé ;
- à la connaissance des dépenses de santé ;
- à l’information des professionnels et des établissements sur leurs activités ;
- à l'innovation dans les domaines de la santé et de la prise en charge médico-sociale ;
- à la surveillance, à la veille et à la sécurité sanitaire.
Il est en revanche interdit d’y accéder pour réaliser un traitement qui aurait pour objectif d’aboutir à prendre une décision à l’encontre d’une personne physique identifiée sur le fondement des données la concernant et figurant l’un de ces traitements, soit qui viserait :
- La promotion en direction des professionnels de santé ou des établissements des produits de santé ;
- Ou l’exclusion de garanties des contrats d’assurance ou la modification de cotisations ou de primes d’assurance pour un individu ou un groupe d’individus.
Attention : avoir suivi une formation est obligatoire avant d’y accéder !
Quels sont les engagements que vous devez prendre si vous voulez accéder au SNDS ?
L’accès aux données du SNDS et leur utilisation ne peut se faire que dans des conditions respectant le référentiel de sécurité, visant à garantir la confidentialité et l’intégrité des données et la traçabilité des accès et autres traitements.
Toutes les personnes traitant des données du SNDS sont soumises au secret professionnel dans les conditions et sous les peines prévues à l’article 226-13 du code pénal.
Par ailleurs vous vous engagez à rendre publique votre fiche projet sur le répertoire public des projets et certains éléments de résultats conformément à l’obligation de transparence. Des éléments sur ce point seront précisés prochainement.
Est-ce que l’accès au SNDS est payant ?
Le Health Data Hub a la possibilité d’arrêter des tarifs et l’accès aux données peut être tarifé pour des acteurs qui ne sont pas publics. Pour 2022, les modes de tarification de l’accès aux données resteront inchangés : gratuité pour l’accès au SNDS historique et selon les règles habituelles pour l’accès au PMSI via l’ATIH.
Quelles sont les règles de sécurité applicables au SNDS ?
Conformément à la loi, les accès aux données du SNDS doivent s’effectuer dans « des conditions assurant la confidentialité et l'intégrité des données et la traçabilité des accès et des autres traitements ». Un référentiel précise ces conditions en édictant les règles de sécurité que tout système utilisant des données du SNDS se doit de mettre en place. Les modalités d’application de ce référentiel sont indiquées dans l’arrêté du 22 mars 2017.
En premier lieu, la sécurité des données est garantie par l’obligation pour chaque gestionnaire de système de réaliser une analyse de risque. C’est cette analyse qui permet au gestionnaire de s’assurer que les données sont correctement protégées par des mesures de sécurité adéquates.
Le référentiel s’appuie notamment sur les mesures techniques et organisationnelles suivantes :
- la pseudonymisation : pour chaque individu, l’ensemble des informations permettant de l’identifier (NIR, nom, prénom, adresse…) doit être remplacé par un pseudonyme, c’est-à-dire par un code alphanumérique ne permettant pas le rattachement à son identité ;
- l’authentification : elle permet d’une part de contrôler les accès et d’autre part d’imputer les actions effectuées sur le système à une personne désignée. Par défaut, une authentification forte est exigée ;
- la traçabilité : l’ensemble des événements relatifs à la sécurité du système doit être tracé ;
- cette traçabilité doit permettre de contrôler l’utilisation de données et de disposer de preuves pouvant être instruites en justice ;
- aucun export de données ou résultat ne peut, dans ce cadre, être autorisé sans s’être assuré que les données ne présentent aucun risque de réidentification ;
- le contrôle : il permet de s’assurer d’une utilisation des données conforme à la loi et au référentiel. Effectué à posteriori par le biais d’audits, il est notamment rendu possible par l’utilisation conjointe de la traçabilité et de l’authentification ;
- la sensibilisation et la formation des utilisateurs et des administrateurs.
En plus de ces règles spécifiques, les traitements de données du SNDS sont soumis à l’ensemble des référentiels généraux applicables aux systèmes d’information du Ministère des Affaires sociales et de la santé, à savoir : la Politique Générale de Sécurité des Systèmes d’Information en Santé (PGSSI-S), la Politique de Sécurité des Systèmes d’Information pour les ministères chargés des affaires sociales (PSSI MCAS), et le Référentiel Général de Sécurité (RGS).
Respect des droits
Le décret n° 2021-848 du 29 juin 2021 relatif au traitement de données à caractère personnel dénommé « système national des données de santé » précise les modalités d’exercice des droits dans le nouveau dispositif :
"Les droits d'accès et de rectification s'exercent dans les conditions définies aux articles 15 et 16 du règlement (UE) 2016/679 du 27 avril 2016.
"Le droit d'opposition, prévu par l'article 21 du règlement (UE) 2016/679 du 27 avril 2016 et l'article 74 de la loi n° 78-17 du 6 janvier 1978, porte sur les données des traitements mentionnés au 1° du I de l'article L. 1461-3. Il ne s'applique pas :
- Dans le cadre de la constitution du système national des données de santé, aux données de la base principale mentionnée au I de l'article R. 1461-2 ;
- Dans le cadre de la mise à disposition des données, aux traitements mis en œuvre par les services de l'Etat, les établissements et les organismes dont la liste figure à l'article R. 1461-12 dans le cadre de leur accès permanent.
Lorsque leurs données relèvent de bases inscrites au catalogue, les personnes concernées peuvent exercer un droit d'effacement, dans les conditions prévues à l'article 17 du règlement (UE) 2016/679 du 27 avril 2016."
"Pour l'exercice des droits [ci-dessus], la personne concernée adresse sa demande, en justifiant de son identité par tout moyen, au directeur de la Plateforme ou au directeur de l'organisme gestionnaire d'assurance maladie obligatoire dont elle relève".
Pour en savoir plus sur la gestion de données à caractère personnel et pour exercer vos droits, vous pouvez contacter le Délégué à la protection des données du Health Data Hub par courriel (dpd@health-data-hub.fr) ou en utilisant notre formulaire de contact en ligne ou par voie postale (Health Data Hub, à l’attention du Délégué à la protection des données, 9 rue Georges Pitard, 75015 Paris).
Coordonnées des responsables conjoints de traitement du SNDS
Plateforme de données de santé - Health Data Hub
9 rue Georges Pitard
75015 Paris
Caisse nationale d’assurance maladie
26-50, avenue du Professeur-André-Lemierre
75986 Paris