SNDS – réglementation, traitements, information aux personnes concernées
Qu’est-ce que le SNDS ?
Le Système National des Données de Santé (SNDS), créé par la loi de modernisation de notre système de santé, regroupe de manière strictement anonyme les principales bases de données de santé publiques existantes (Article 1461-1-1 de la loi de modernisation du système de santé du 26 janvier 2016).
Géré par la CNAM, le SNDS intègre notamment les données suivantes :
- la base SNIIRAM contenant les données de l’assurance maladie (données issues du traitement des remboursements de soins, feuille de soins électronique ou papier) ;
- la base PMSI contenant les données issues de l’activité des établissements de santé ;
- la base CepiDC, gérée par l’INSERM, contenant les données sur les causes de décès;
- les données liées au handicap issues des maisons départementales des personnes handicapées.
Les traitements des données du SNDS sont soumis aux dispositions de la Loi Informatique et Libertés, du Règlement Européen sur la Protection des Données (RGPD) et du Code de la Santé Publique.
Comment EPI-PHARE accède au SNDS ?
EPI-PHARE, groupement d’intérêt scientifique entre l’ANSM et la Cnam, ne collecte pas de données de santé.
EPI-PHARE accède au SNDS via les accès permanents de ses organismes de tutelles, en application des dispositions du décret n°2016-1871 du 26 décembre 2016 relatif aux traitements des données à caractère personnel dénommé « Système National des Données de Santé », des articles de loi Art. R.1461-13 et R.1461-14 du Code de la Santé Publique et la délibération CNIL-2016-316 de la Commission nationale de l’informatique et des libertés (CNIL).
Conformément à cet accès réglementaire permanent de l’ANSM et de la CNAM, les travaux réalisés par EPI-PHARE ne nécessitent pas d’avis du CESREES ni d’autorisation spécifique de la part de la CNIL.
Traitement des données par EPI-PHARE
Tous les traitements sur le SNDS sont réalisés par des personnes dûment formées et habilitées en profil 30 ou 108, via un accès direct au portail SNDS, sans extraction des données natives en local, en suivant des mesures de sécurité et d »authentification fortes.
Les traitements sont déclarés dans le registre des traitements d’EPI-PHARE nécessitant l’utilisation du SNDS.
Responsables des traitements.
Les responsables des traitements sont Mme Catherine PAUGAM-BURTZ, Directrice générale de l’ANSM, et M. Thomas FATÔME, Directeur général de la CNAM.
Objectifs des traitements.
Les traitements des données du SNDS mis en œuvre par EPI-PHARE ont pour objectif de réaliser et piloter des études pharmaco-épidémiologie pour étudier l’usage, le mésusage, les bénéfices et les risques des produits de santé et mesurer l’impact des décisions sanitaires, dans l’objectif d’éclairer les prises de décisions des autorités publiques.
Finalités des traitements.
Les traitements réalisés par EPI-PHARE s’inscrivent dans l’une des finalités suivantes : Information sur la santé ainsi que sur l’offre de soins / Définition, mise en œuvre et évaluation des politiques de santé et de protection sociale / Connaissance des dépenses de santé, information des professionnels de santé et des établissements de santé sur leur activité / Surveillance, veille et sécurité sanitaire / Recherche, étude, évaluation.
Données utilisées.
EPI-PHARE utilise principalement les données du Système National des Données de Santé (SNDS). EPI-PHARE peut utiliser ponctuellement d’autres données de santé en complément de celles du SNDS. EPI-PHARE ne collecte pas de données de santé.
Catégories de données.
EPI-PHARE peut utiliser les variables sensibles du SNDS suivantes : Année et mois de naissance / Commune de résidence ou données infracommunales de localisation / Date de soins / Date de décès / Commune de décès.
Durée de conservation des données.
EPI-PHARE accède aux données via le portail SNDS et n’extraie aucune donnée native en local. Les tables distantes sont conservées autant de temps que nécessaire pour répondre aux impératifs de sécurité sanitaire de ses organismes de tutelle.
Destinataires des données.
Pour chaque étude, les données traitées exclusivement par le personnel affecté à la réalisation de l’étude. En dehors des personnes affectées à une étude, aucune autre personne interne ou externe à EPI-PHARE n’est destinataire des données.
Transfert des données hors UE.
Aucune donnée n’est transmise hors de l’Union européenne.
Mesures du sécurité.
Accès au portail SNDS via une url sécurisée https, identifiants SNDS uniques et codes uniques générés par une calculette personnelle, ordinateurs professionnels gérés par l’ANSM ou la CNAM et protégés (accès personnel après authentification forte, mises à jour de sécurité, anti-virus, pare-feu…).
EPI-PHARE peut-il diffuser les données du SNDS ?
EPI-PHARE ne peut pas diffuser les données du SNDS.
Toutefois, toute personne ou structure, publique ou privée, à but lucratif ou non, peut accéder aux données du SNDS sur autorisation de la Commission nationale de l’informatique et des libertés (CNIL) via la Plateforme des Données de Santé afin de réaliser une étude, une recherche ou une évaluation présentant un intérêt public.
Droit d’accès et d’opposition
Même si les données du SNDS sont « pseudonymisées » afin de préserver la vie privée des personnes, leur confidentialité est garantie par la loi.
Les personnes concernées possèdent des droits d’accès, de rectification, d’opposition à la réutilisation, et d’effacement, prévus par les dispositions de l’article R. 1461-9 du Code de la Santé Publique.
Pour l’exercice de ces droits, la personne concernée adresse sa demande, en justifiant de son identité par tout moyen, au directeur de la Plateforme des Données de Santé ou au Directeur de l’organisme gestionnaire d’assurance maladie obligatoire dont elle relève.
Réclamation auprès d’une autorité de contrôle
Conformément à la réglementation, toute personne concernée a le droit d’introduire une réclamation auprès d’une autorité de contrôle.