Adopté par un arrêté du 22 mars 2017, le référentiel de sécurité applicable au Système national des données de santé (ci-après désigné : « SNDS ») a été mis à jour par un nouvel arrêté en date du 6 mai 2024. Pour rappel, ce référentiel mentionné au 3° du IV de l’article L.1461-1 et au II de l’article R.1461-7 du Code de la santé publique (ci-après désigné : « CSP ») fixe des exigences de sécurité applicables aux systèmes d’information et traitements utilisant des données à caractère personnel issues du SNDS.
Pour rappel, le SNDS a été créé par la loi n°2016-41 du 26 janvier 2016 et a pour finalité la mise disposition de données à caractère personnel concernant la santé, afin notamment de mettre en œuvre des traitements à des fins de recherches, d’études ou d’évaluations dans le domaine de la santé répondant à un motif d’intérêt public.
Initialement circonscrit aux données issues des bases médico-administratives hébergées ou susceptibles d’être hébergées par la Caisse nationale de l’assurance maladie (ci-après désignée : « CNAM »), le périmètre des catégories de données composant le SNDS (visé au I de l’article L.1461-1 du CSP) a été élargi par la loi n°2019-774 du 24 juillet 2019 , afin d’intégrer également des données dites de « vie réelle » issues de la prise en charge médicale, des visites médicales scolaires, des services de protection maternelle ou infantile, des visites de santé au travail ou des enquêtes appariées, etc. Dès lors que ces catégories de données sont traitées pour l’une des finalités mentionnées au III de l’article L. 1461-1 du CSP, elles composent le SNDS « élargi ».
Une partie de ces données a vocation à être intégrée progressivement dans un « SNDS central » géré par la CNAM et par la Plateforme des données de santé (ci-après désignée : « PDS »). L’arrêté du 6 mai 2024 consacre à ce sujet le rôle de coresponsable de traitement du SNDS central de la PDS, aux côtés de la CNAM. Ce « SNDS central » est composé d’une base principale (comprenant à ce jour le « SNDS historique » ainsi que d’autres bases couvrant l’ensemble de la population bases telles que « SI-DEP » et « Vaccin-COVID ») et d’un catalogue incluant d’autres bases de données. Afin de garantir un niveau de sécurité suffisant, l’accès aux données du SNDS doit s’effectuer dans des conditions assurant la confidentialité, l’intégrité des données et la traçabilité des accès et des autres traitements, conformément au référentiel de sécurité du SNDS, tel que prévu au 3° du IV de l’article L.1461-1 et au II de l’article R.1461-7 du CSP.
L’arrêté du 6 mai 2024 a pour objet la mise à jour du référentiel de sécurité du SNDS et intègre alors ces évolutions du cadre juridique et de l’état de l’art en matière de sécurité des données.
Par conséquent, le référentiel actualisé s’applique désormais au SNDS central pour l’alimentation, l’hébergement, la transmission, y compris entre les gestionnaires de système du SNDS central, et la mise à disposition des données. Il s’applique aussi à l’ensemble des systèmes fils compris au sein du SNDS élargi, aux côtés du SNDS central, pour l’hébergement, la transmission et la mise à disposition des données. Concernant les autres systèmes du SNDS, il s’applique, s’il y a mise à disposition de données du SNDS, dès lors que celle-ci est faite à un tiers pour des finalités du SNDS ainsi qu’à l’hébergement des données mises à disposition ou, s’il y a transmission de données SNDS, à cette transmission pour des finalités SNDS.
En revanche, les exigences du référentiel ne s’appliquent pas aux autres systèmes contenant des données du SNDS, utilisées pour leurs propres finalités et non mises à disposition à des tiers. De même, pour les données anonymes, les exigences du référentiel ne sont pas applicables. Ce référentiel n’a pas vocation, en effet, à définir les méthodes d’anonymisation ou de qualification du caractère anonyme de ces données.
L’actualisation du référentiel s’est accompagnée de l’introduction de critères de territorialité.
Le référentiel actualisé rappelle tout d’abord que conformément à l’article R.1461-1 du CSP, les données du SNDS sont hébergées au sein de l’Union européenne (ci-après désignée : « UE ») et aucun transfert de données personnelles de santé hors UE ne peut être réalisé, sauf dans le cas d’accès ponctuels aux données par des personnes situées hors de l’UE, pour une finalité relevant du 1° du I de l’article L.1461-3 du CSP.
Le référentiel actualisé crée ensuite une nouvelle obligation pour les gestionnaires et les sous-traitants susceptibles d’être soumis à la législation d’un pays tiers n’assurant pas un niveau de protection des données personnelles adéquat au sens de l’article 45 du Règlement général de protection des données (ci-après désigné : « RGPD »). Ces derniers doivent désormais identifier les législations susceptibles de permettre un accès non autorisé par le droit de l’UE aux données, au sens de l’article 48 du RGPD, puis mettre en œuvre des mesures pour atténuer les risques d’accès non autorisés induits par ces réglementations et identifier enfin les risques résiduels qui demeureraient malgré ces mesures.
Les systèmes d’information existants, qu’ils soient soumis ou non au référentiel fixé par l’arrêté du 22 mars 2017, devront désormais se mettre en conformité avec cette nouvelle version du référentiel, pour leur prochaine homologation de sécurité, et au plus tard dans un délai de deux ans à compter de la date de publication de l’arrêté le 8 mai 2024. Dans ce délai, les gestionnaires de ces systèmes d’information devront, dans un délai maximal de six mois après la publication de l’arrêté, définir un plan d’actions à mener pour mettre leur système en conformité et réaliser un certain nombres d’actions pour assurer la protection des données et le respect de la vie privée des personnes concernées (notamment mener une analyse de risques et définir des actions à mener à court et moyen terme pour garantir la confidentialité et l’intégrité des données et la traçabilité des accès et traitements des données).
Jeanne BOSSI MALAFOSSE, associée, et Grégoire PETYT, stagiaire