Système national des données de santé : Conformité du décret SNDS au RGPD

Posted by

Confirmation de la licéité du décret relatif au SNDS par le Conseil d’Etat

le décret n° 2021-848 du 29 juin 2021 relatif au traitement de données à caractère personnel dénommé  » Système national des données de santé « 

Conseil d’Etat, 23 novembre 2022, décision n°456162, 10ème -9ème chambres réunies

Eléonore Scaramozzino, Avocate partenaire, Constellation Avocats

Le Conseil d’Etat a rendu le 23 novembre une décision dans laquelle il a considéré que l’association InterHop « n’est pas fondée à demander l’annulation pour excès de pouvoir » du décret n°2021-848 du 29 juin 2021 relatif au traitement de données à caractère personnel de santé du Système national des données de santé (SNDS). Le Conseil d’Etat a rejeté tous les moyens de la requête considérés comme non fondés.

Selon l’article L. 1462-1 CSP, le HDH est notamment chargé de réunir, organiser et mettre à disposition les données du SNDS. L’article L. 1461-7 CSP renvoie à un décret en Conseil d’Etat, pris après avis de la Commission nationale de l’informatique et des libertés (CNIL), le soin de fixer les modalités d’application des dispositions législatives relatives au SNDS. Le décret  n° 2021-848 du 29 juin 2021a été adopté en application de l’article L 1461-7 CSP.

Sur la légalité externe du décret

L’Association avait requis l’annulation au motif que le décret est entaché d’irrégularité, considérant que la Cnil n’avait pas été consulté sur la version finale du texte. Cependant, la version finale adoptée ne soulevait aucune question nouvelle. Dès lors, il n’était pas nécessaire de re-consulter la Cnil.

Sur la légalité interne du décret : Compliance aux exigences du RGPD

L’Association le décret attaqué n’était pas conforme avec les exigences du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (dit RGPD).

Transfert des données hors UE

Le décret n° 2021-848 du 29 juin 2021 relatif au traitement de données à caractère personnel dénommé  » Système national des données de santé  » n’autorise pas des transferts de données à caractère personnel du SNDS vers un pays tiers, en contradiction avec les exigences du RGPD. Le Conseil d’Etat a rejeté le moyen tiré de ce que le dernier alinéa de l’article R. 1461-1 du CSP autoriserait des transferts de données à caractère personnel en méconnaissance du RGPD, notamment vers les Etats-Unis.

Pseudonymisation des données duSNDS

Les données du SNDS sont pseudonymisées.

Selon le 5 de l’article 4 du RGPD, la pseudonymisation consiste à traiter les données à caractère personnel de telle sorte qu’elles ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que ces données ne sont pas attribuées à une personne physique identifiée ou identifiable.

Pseudonymisation des données des systèmes du SNDS

Les identifiants individuels des bénéficiaires stockés dans un des systèmes du SNDS élargi ne peuvent être que des pseudonymes. Un pseudonyme est obtenu par une opération cryptographique irréversible sur un identifiant ; il est non signifiant et ne permet pas d’identifier directement le bénéficiaire concerné. Aucun gestionnaire de système ne doit posséder à la fois l’ensemble des données à caractère personnel ayant servi à générer le pseudonyme et le pseudonyme généré dans un des systèmes du SNDS élargi, sauf autorisation de la CNIL. Seul le tiers de confiance national peut posséder le dispositif de correspondance entre l’information sur l’identité des bénéficiaires et leurs pseudonymes dans le SNDS élargi. La possession de ce double niveau d’information doit être réalisée dans le cadre des attributions du tiers de confiance et celui-ci ne doit gérer aucune donnée du SNDS. Le tiers de confiance ne doit pas posséder les fonctions de pseudonymisation. Seul le tiers de confiance national doit être en mesure de reconstituer les identités des bénéficiaires à partir d’un ensemble de pseudonymes. Cette reconstitution ne peut être effectuée que dans des cas particuliers autorisés par la loi (par exemple, dans le cas de l’urgence sanitaire) et doit être tracée. Les pseudonymes des bénéficiaires doivent être différents d’un système du SNDS élargi à l’autre et différents de ceux du SNDS central

-art 6.1 de l’Arrêté du 22 mars 2017 relatif au référentiel de sécurité applicable au Système national des données de santé (25.03.2017)

  • le SNDS ne contient ni les noms et prénoms des personnes, ni leur numéro d’inscription au répertoire national d’identification des personnes physiques, ni leur adresse (Article L. 1461-4 du CSP)
  • . Les données à caractère personnel présentes dans le SNDS et celles qui sont mises à disposition des tiers sont rattachées à chaque personne concernée par un pseudonyme. (art R. 1461-7-I CSP)
  • Ce pseudonyme est constitué d’un code non signifiant obtenu par un procédé cryptographique irréversible du numéro d’inscription au répertoire national d’identification des personnes physiques (art R. 1461-7-II CSP)
  • Ce procédé est utilisé pour alimenter le SNDS et pour apparier les données extraites du SNDS et des données relatives à des bénéficiaires de l’assurance maladie figurant dans d’autres systèmes, nul ne pouvant disposer simultanément de l’identité des personnes et du pseudonyme.
  • Les données du SNDS qui font l’objet d’une mise à la disposition du public sont traitées pour prendre la forme de statistiques agrégées ou de données individuelles constituées de telle sorte que l’identification, directe ou indirecte, des personnes concernées y est impossible (art L 1461-2 CSP)

Co-responsabilité : CNAM et HDH

Le partage des responsabilités entre la CNAM et le HDH co-responsables de traitement (R 1461-3 CSP)

Le décret n° 2021-848 du 29 juin 2021 relatif au traitement de données à caractère personnel dénommé  » Système national des données de santé «  (SNDS) ne permet pas à la Plateforme des données de santé (HDH) de disposer au sein du SNDS de données directement nominatives. Dans ces conditions, le Conseil d’Etat a considéré que le moyen tiré de ce que, pour ce motif, ce décret méconnaîtrait le RPGD et la loi du 6 janvier 1978 ne peut qu’être écarté. Par ailleurs, l’association soutenait les opérations de pseudonymisation des données du SNDS seraient, en pratique, effectuées à l’aide de techniques obsolètes. Le Conseil d’Eta a rappelé que le décret litigieux « n’a ni pour objet, ni pour effet de définir les modalités techniques des opérations de pseudonymisation et il n’avait pas, à peine d’illégalité, à procéder à une telle définition ».

La copie de la base SNDS est-elle conforme au principe de minimisation des données (art 5.1.c) du RGPD ?

L’association requérante soutenait que cette mise à disposition ne serait pas nécessaire et méconnaîtrait le principe de minimisation des données résultant du c) du paragraphe 1 de l’article 5 du RGPD ?

La mise à la disposition de la Plateforme des données de santé d’une copie de la base principale vise notamment à lui permettre de répondre plus efficacement et plus rapidement aux demandes d’accès aux données, notamment pour la réalisation d’appariements à façon entre la base principale et le  » catalogue « . Le Conseil d’Etat a fait valoir la nécessité de cette mise à disposition pour « lui permettre de répondre plus efficacement et plus rapidement aux demandes d’accès aux données.

Il ressort de l’avis rendu par la CNIL sur le projet de décret litigieux que celle-ci a retenu à cet égard une  » nécessité opérationnelle « .

Sécurité : Accès aux données du SNDS 

La sécurité applicable au SNDS est définie dans l’arrêté du 22 mars 2017 relatif au référentiel de sécurité applicable au SNDS.

L’accès aux données du SNDS s’effectue dans des conditions assurant la confidentialité et l’intégrité des données et la traçabilité des accès et des autres traitements, conformément à un référentiel défini par arrêté des ministres chargés de la santé, de la sécurité sociale et du numérique, pris après avis de la Commission nationale de l’informatique et des libertés  » (IV de l’article L. 1461-1 CSS).

Le Conseil d’Etat a écart le moyen tiré de ce que le décret serait illégal en ce qu’il ne fixerait pas les règles de sécurisation des postes des utilisateurs susceptibles d’accéder aux données du SNDS. Même si ces postes utilisateurs ne seraient pas, en pratique, suffisamment sécurisés, cette « prétendue » défaillance de sécurité est dépourvue d’incidence sur la légalité du décret attaqué.

Le CE a écarté le moyen tiré de ce que le décret SNDS, notamment en ce qu’il ouvre un droit d’accès à la Cour des comptes, permettrait un accès aux données du SNDS qui ne serait ni nécessaire, ni proportionné, en méconnaissance de l’article 5 du RGPD.

SNDS et Droits des personnes concernées

Limitation du droit d’opposition

La limitation du droit à l’effacement pour des motifs d’intérêt public

Il résulte de tout ce qui précède que l’association InterHop n’est pas fondée à demander l’annulation pour excès de pouvoir du décret n° 2021-848 du 29 juin 2021 relatif au traitement de données à caractère personnel dénommé  » Système national des données de santé « 

Laisser un commentaire