Scroll Top
MR-007 et MR-008 : mr-ci pour cet accès au SNDS
Partager l'article



*




MR-007 & MR-008 : MR-ci pour cet accès au SNDS

Article rédigé le 6 novembre 2023 par Me Laurence Huin et Raphaël Cavan

La CNIL a publié sur son site internet le 12 octobre 2023 l’annonce de l’adoption de deux nouvelles méthodologies de référence (MR-007 et MR 008). Alors que les MR-005 et 006 actuellement en vigueur de la CNIL visent l’accès au seul PMSI et aux RPU, les nouvelles méthodologies adoptées par la CNIL permettent d’élargir leur accès aux données présentes au sein de la base principale du SNDS, sans avoir à demander l’autorisation de la CNIL.
L’absence d’autorisation à obtenir de la CNIL ne signifie pas l’absence d’obligations prévues dans ces deux MR007 et 008 et ce à la charge des différents acteurs intervenant dans la recherche. Le présent article aura pour objet de décortiquer les obligations respectives de chacun des acteurs et ce accompagné d’un schéma, premier d’une longue série à venir.

 

Pour accéder aux données du SNDS dans le cadre de la recherche scientifique, deux choix s’offrent au responsable d’une recherche, étude ou évaluation : une demande d’autorisation à obtenir auprès de la CNIL, ou une déclaration de conformité à une méthodologie de référence (MR).
Une déclaration de conformité à l’une des MR permet de s’affranchir de l’autorisation délivrée par la CNIL et simplifie les démarches du responsable de traitement visant à réaliser un traitement de données dans le cadre de la recherche dans le domaine de la santé. Toutefois, pour réaliser une déclaration de conformité à une MR il est indispensable de respecter strictement l’ensemble des obligations posées par la CNIL.
Les acteurs de la recherche scientifique doivent donc être en mesure de déterminer les obligations juridiques à leur charge. Or, la tâche est loin d’être simple, les MR-007 et 008, intègrent différents acteurs que nous retrouvions déjà dans le code de la santé publique et dans les précédentes MR.

 

Des obligations pour le responsable de traitement bien connues

Sur ce point, on constate des exigences déjà connues par les responsables de traitement se fondant sur les précédentes méthodologies de référence.

Tout d’abord, l’accès aux données du SNDS peut être sollicité par un responsable de traitement du secteur public (MR-007) ou privé (MR-008), tant que les études et évaluations réalisées présentent un caractère d’intérêt public. Là-dessus, rien de nouveau comme vous l’avez constaté, cette exigence se retrouve également dans les précédentes MR.

Nous retrouvons également l’obligation faite au responsable de traitement de procéder à la désignation d’un délégué à la protection des données.

De même, les exigences de transparence envers la Plateforme de données de santé (ci-après « PDS » ou « HDH ») restent similaires, à savoir la remise par le responsable de traitement d’un protocole à la PDS justifiant l’intérêt public de la recherche, de la déclaration d’intérêts du responsable de traitement, et enfin une publication des résultats de la recherche auprès du répertoire public tenu par la PDS.

En outre, nous retrouvons également les mêmes interdictions faites au responsable de traitement d’utiliser les données du SNDS dans le cadre de finalités contraires prévues par le code de la santé publique (à titre d’exemple : la promotion de certaines catégories de produits à destination des professionnels de santé ou d’établissements de santé).

Enfin, déjà prévue au sein de la MR004, l’obligation pour le responsable de traitement de réaliser une analyse d’impact sur la vie privée (AIPD), laquelle doit être réactualisée régulièrement sans toutefois préciser la fréquence. Sur ce point, le projet de recommandation sur lequel travaille la CNIL sur les traitements « critiques » qui pourrait potentiellement s’appliquer aux traitements menés dans le cadre des nouvelles MR, nous donne une idée de la fréquence qui, en l’état du projet, recommande une fréquence d’au moins une fois tous les deux ans.

Si la MR005 ne prévoyait pas cette obligation de réaliser une AIPD, la CNIL l’avait prévue au sein de son projet de refonte soumis à consultation publique en janvier 2022.

Pour autant, le point de bascule ici réside dans l’évaluation du caractère d’intérêt public par le Comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé (ci-après « CESREES »), qui doit être sollicité dans le cadre d’une demande d’avis.

 

Le CESREES : le premier filtre garant de l’éthique et de l’opportunité de la recherche scientifique

L’obtention d’un avis favorable du CESREES est désormais la toute première étape des formalités à mener par le responsable de traitement pour pouvoir accéder aux données du SNDS dans le cadre des nouvelles MR-007 et 008.

Ce comité est connu dans le cadre d’une demande d’autorisation pour réaliser des recherches n’impliquant pas la personne humaine, dont l’avis préalable au dépôt de la demande auprès de la CNIL est obligatoire conformément aux dispositions de l’article 76 de la loi Informatique et Libertés du 6 janvier 1978.

A l’inverse, l’avis du CESREES n’était pas requis dans le cadre d’une déclaration de conformité à une méthodologie de référence, ce qui simplifiait grandement les démarches entreprises par le responsable de traitement. Or, les nouvelles MR-007 et 008 rendent désormais obligatoire l’obtention d’un avis favorable du CESREES pour accéder aux données du SNDS dans le cadre de ces MR.

Ce dernier devra émettre un avis motivé en se fondant sur la méthodologie de la recherche présentée par le responsable de traitement, la nécessité du recours à des données de santé à caractère personnel, la pertinence de celles-ci par rapport à la finalité du traitement et, s’il y a lieu, sur la pertinence scientifique et éthique du projet ainsi que sur le caractère d’intérêt public que présente la recherche, l’étude ou l’évaluation.

Une fois l’avis favorable obtenu, le responsable de traitement devra alors procéder auprès de la CNIL à sa déclaration de conformité à la MR-007 ou 008.

La consultation publique lancée par la CNIL en janvier 2022 concernant la réactualisation des MR-005 et 006 proposait d’intégrer dans une nouvelle version de ces deux MR cette demande d’avis préalable au CESREES, ce qui avait été fortement contesté au moment de la consultation publique par les responsables de traitement concernés par ces MR005 et MR006.

Depuis, aucune information sur la nouvelle version de ces méthodologies n’a été communiquée. La version de la MR-005 actuellement en vigueur prévoit encore expressément à ce jour qu’une demande d’avis auprès du CESREES n’est pas requise pour accéder aux données da la base PMSI .

Espérons que cette nouvelle exigence posée par les nouvelles MR n’aura pas d’incidence sur les prochaines versions des MR-005 et 006.

 

L’intervention de la CESREES est accompagnée par la consécration de deux autres acteurs : le gestionnaire de l’environnement maitrisé d’une part, et le responsable de la mise en œuvre du traitement, d’autre part.

 

Le gestionnaire de l’environnement maitrisé : le gardien des accès

Concernant le gestionnaire de l’environnement maitrisé, celui-ci correspond au responsable d’un système du SNDS qui a la charge de mettre en œuvre les exigences du référentiel de sécurité du SNDS prévues par un arrêté du 22 mars 2017.

À ce titre, il assure la sécurité de l’« espace projet » qu’il met à la disposition du responsable de traitement, plus communément appelé « bulle sécurisée ». Une convention d‘accès doit être signée au préalable entre lui et le responsable de traitement. Pour les plus familiarisés de la MR-005, vous aurez reconnu ici le rôle de l’ATIH lorsque ce dernier met à disposition une bulle sécurisée pour les utilisateurs du responsable de traitement habilités à y accéder.

Le gestionnaire de l’environnement maitrisé est donc la personne en charge de la mise à disposition des données présentes sur le SNDS auxquelles souhaite accéder le responsable de traitement par le biais d’une bulle sécurisée répondant aux exigences posées par le référentiel de sécurité du SNDS.

À noter que le gestionnaire devra recevoir communication de la part du responsable de traitement de « la liste, actualisable, des laboratoires de recherche ou bureaux d’études auxquels il a recours » au moment de la signature préalable de la convention d’accès.

 

Le responsable de la mise en œuvre du traitement : un sous-traitant déterminant

Les nouvelles méthodologies consacrent le rôle des laboratoires de recherche ou bureaux d’étude comme étant un sous-traitant au sens de la réglementation générale sur la protection des données (ci-après « RGPD »).

Le recours aux laboratoires ou bureaux d’études est obligatoire pour les acteurs privés souhaitant se prévaloir de la MR-008, ce dont ils avaient déjà l’habitude dans le cadre de la MR-006 , pour autant rien ne semble indiquer clairement dans la MR-007 que cela soit également le cas pour les acteurs publics.

Les laboratoires et bureaux d’études sélectionnés par le responsable de traitement devront au préalable réaliser une déclaration de conformité auprès de la CNIL relatif au référentiel déterminant les critères de confidentialité, d’expertise et d’indépendance prévu par un arrêté du 17 juillet 2017 pour pouvoir endosser le rôle de responsable de la mise en œuvre du traitement

Dans tous les cas, au titre des exigences posées par le RGPD, le responsable de traitement devra conclure un contrat de sous-traitance reprenant les exigences de l’article 28 du RGPD avec le laboratoire ou bureau d’étude sélectionné pour accéder aux données mises à disposition par le SNDS.

De même, le responsable de traitement devra s’assurer que les mesures de sécurité mises en œuvre par le laboratoire ou bureaux d’étude sont conformes au référentiel de sécurité relatif au SNDS, et celui relatif à la détermination des critères de confidentialité, d’expertise et d’indépendance.

En outre, ce sous-traitant devra également signer avec le responsable de traitement et le gestionnaire de l’environnement maitrisé mettant à disposition les données du SNDS, la convention d’accès aux données.

Ce sous-traitant occupe donc une place primordiale dans la réalisation des études menées dans le cadre des MR-007 et 008.

À ce titre, son rôle devra être particulièrement encadré par le contrat de sous-traitance, que ce soit en termes de répartition des charges tenant à l’information des personnes concernées par les études menées (portail de transparence, notes d’information) mais également celle des utilisateurs, sur les modalités de notification des éventuelles violations de données à caractère personnel qui pourraient survenir, ou encore sur la politique d’habilitation des utilisateurs interagissant avec la bulle sécurisée et la gestion de leurs accès.

De même, on peut aisément entrevoir les enjeux en matière de changement de sous-traitant en cours d’étude, ou les cas de sous-traitance ultérieure qu’il conviendra, là aussi, d’anticiper et d’encadrer. En effet, le responsable de traitement ne doit pas se retrouver bloquer par un contrat mal rédigé avec le laboratoire ou bureau d’étude qui l’empêcherait par la suite d’exploiter au maximum son accès au SNDS, lequel est limité dans le temps de l’étude et ne pourra pas excéder 5 ans à compter de la mise à disposition des données.

Il ne s’agit donc plus ici de recopier (ou de reformuler) machinalement les mentions de l’article 28 du RGPD, mais de pouvoir se les approprier afin d’appuyer une vision stratégique capable d’anticiper les éventuelles situations conflictuelles.

Par ailleurs, la marge d’action laissée au laboratoire ou bureau d’étude doit également être clairement délimitée afin que celle-ci ne puisse pas venir compromettre les obligations de transparence qui s’imposent au responsable de traitement envers la PDS ou la CNIL, que ce soit au moment de rendre compte des usages faits du SNDS et des répercussions scientifiques de ces études menées dans le cadre du bilan de synthèse devant être transmis à la CNIL tous les trois ans. Cette nouvelle obligation mise à la charge du responsable de traitement de produire un bilan synthétisant les usages réalisés auprès du SNDS dans le cadre des MR 007 et 008 à transmettre tous les trois ans à la CNIL fera l’objet d’un prochain article sur notre blog.

Les enjeux juridiques liés à l’intervention de ces laboratoires et bureaux d’études ne sont donc pas à prendre la légère. Dès lors, le responsable de traitement aura donc tout intérêt à solliciter en amont des experts en mesure de l’accompagner dans la détermination de ses besoins.

Interaction entre les différents acteurs de la MR 007 et 008

Avocat depuis 2015, Laurence Huin exerce une activité de conseil auprès d’acteurs du numérique, aussi bien côté prestataires que clients.
Elle a rejoint le Cabinet Houdart & Associés en septembre 2020 et est avocate associée en charge du pôle Santé numérique.
Elle consacre aujourd’hui une part importante de son activité à l’accompagnement des établissements de santé publics comme privés dans leur mise en conformité à la réglementation en matière de données personnelles, dans la valorisation de leurs données notamment lors de projets d’intelligence artificielle et leur apporte son expertise juridique et technique en matière de conseils informatiques et de conseils sur des projets de recherche.