Deux nouvelles méthodologies de référence (MR-007 et MR-008) adoptées par la CNIL en juillet dernier [1] sont publiées au Journal Officiel du 12 octobre 2023.
Elles sont relatives aux traitements de données de la base principale du SNDS mis en œuvre à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé soit par des organismes agissant dans le cadre de leur mission d’intérêt public (MR-007), soit par des organismes agissant dans le cadre de leurs intérêts légitimes (MR-008).
Sont exclues du bénéfice de ces MR les établissements financiers, les sociétés d’assurance et les mutuelles.
Elles viennent compléter les MR-005 et MR-006 qui concernaient les traitements nécessitant l’accès aux données du PMSI.
Sont énumérées ici assez classiquement les points relatifs à la finalité des traitements, à la nature des données concernées (base principale du SNDS), aux utilisateurs des données (accédants et destinataires), à l’information des personnes et aux modalités d’exercice de leurs droits.
Elles rappellent la nécessité d’être conforme aux mesures de sécurité visées par le référentiel de sécurité prévu par l’arrêté du 22 mars 2017 en cours de révision (« mises à jour ultérieures ») et énumèrent l’ensemble des mesures techniques et organisationnelles à mettre en place.
Il est également rappelé la nécessité d’un enregistrement de l’étude dans le répertoire public tenu par la PDS et l’obligation de transmettre à la CNIL un bilan tous les trois sur les usages observés de la présente méthodologie.
[1] Délibérations n°2023-082 du 20 juillet 2023 (MR-007) et n°2023-083 du 20 juillet 2023 (MR-008)