Les nouvelles procédures d’accès aux données de santé de l’assurance maladie et des hôpitaux sont fonctionnelles depuis la fin du mois d’août 2017. Ces données contenues dans la base SNDS (système national des données de santé) sont accessibles sur autorisation préalable dans le cadre d’un processus contrôlé. Mais des accès simplifiés sont possibles grâce à la création de référentiels adoptés par la CNIL.
Un nouveau référentiel vient justement d’être adopté par délibération du 11 avril 2019. Cette délibération est tout juste parue au Journal officiel : elle valide le référentiel décrivant la procédure de mise à disposition de l’EGB (échantillon généraliste des bénéficiaires) et des datamarts du SNIIRAM (système national d’information inter-régime de l’Assurance maladie). Ce référentiel remplace l’homologation déjà parue en avril 2018.
Comment les données de santé de l’EGB seront-elles accessibles ?
L’avantage de passer par le référentiel qui vient d’être adopté par la CNIL, c’est que la procédure est bien plus simple qu’une procédure classique. En effet, il suffit de déposer un dossier auprès de l’INDS (Institut national des données de santé) qui se charge, seul, de vérifier sa conformité et de donner l’accès aux données demandées.
Il faut savoir que l’EGB regroupe des données agrégées issues de la base de données de l’Assurance maladie et qui vise 1/97e de la population française. Les données qu’il contient sont liées aux informations sociodémographiques, médicales et aux consommations de soins. Ces données sont traitées de façons à ne pas être directement identifiantes.
Comment se déroule l’accès simplifié aux données de santé de l’EGB ? Il faut transmettre une demande à l’INDS. Une fois le dossier complet constitué, l’INDS a 15 jours ouvrés pour rendre sa décision : en cas de silence de l’Institut, le dossier est réputé accepté. Si jamais l’INDS demande des informations supplémentaires au demandeur, le délai est suspendu. Dans le cas où le dossier serait trop complexe pour que l’INDS se prononce seul, celui-ci peut demander l’autorisation au demandeur de passer par la procédure d’examen “classique” impliquant le CEREES (Comité d’expertise pour les recherches les études et les évaluations dans le domaine de la santé) et la CNIL. Si le demandeur refuse, l’INDS refusera très probablement l’accès à l’EGB.
Plusieurs étapes sont à franchir dans la constitution du dossier :
Première étape : l’objet de la demande. Il faut que la demande d’accès à l’EGB soit réalisée dans le cadre de recherches dans le domaine de la santé et présentant un intérêt public. De plus, dans le cadre de cette recherche, il faut que l’accès à l’EGB soit le seul moyen nécessaire.
Deuxième étape : les critères de travail à respecter. Trois critères seront avant tout vérifiés par l’INDS. D’abord, il est nécessaire que le traitement envisagé des données de santé soit fait directement dans le portail sécurisé de la CNAM (donc pas d’extraction possible des données). Ensuite, le traitement ne doit prévoir aucun croisement d’identifiants potentiels entre eux (pour empêcher tout risque de réidentification des individus). Enfin, le travail prévu sur les données de santé ne doit pas durer plus de 2 ans.
Troisième étape : l’étude du dossier par l’INDS. Pour que l’accès simplifié à l’EGB soit autorisé, l’INDS vérifie que le projet est bien porteur d’une finalité d’intérêt public (encore faudrait-il définir clairement ce qui relève ou non de l’intérêt public dans ce cadre). L’Institut se penche également sur les preuves apportées par le responsable du traitement concernant la pertinence scientifique du projet. Puis il est vérifié que le temps d’accès au portail de la CNAM soit bien proportionnel à la durée nécessaire de réalisation du traitement. Finalement, l’engagement du respect du référentiel de sécurité du SNDS par le responsable du traitement est étudié.
On le comprend, bien que nous parlions d’accès simplifié aux données de santé de l’EGB, le processus est très encadré et demeure complexe. La protection du droit au respect de la vie privée des individus est en ligne de mire ce qui explique la sévérité du référentiel. Notons tout de même que le délai d’examen de 15 jours est favorable à tous les organismes qui font de la recherche : c’est un point positif face aux délais bien plus étendus s’agissant de l’accès “classique” aux données de santé.
