Projet de loi Protection des données personnelles
Direction de la Séance
N°117
19 mars 2018
(1ère lecture)
(PROCÉDURE ACCÉLÉRÉE)
(n° 351 , 350 )
AMENDEMENT
C | Sagesse du Sénat |
---|---|
G | Favorable |
Adopté |
présenté par
Le Gouvernement
ARTICLE 13
Consulter le texte de l'article ^
Après l’alinéa 46
Insérer douze alinéas ainsi rédigés :
« Art. 64 – Dans le respect des missions et pouvoirs de la Commission nationale de l’informatique et des libertés et aux fins de renforcer la bonne application des règles de sécurité et de protection des données, un comité d’audit du système national des données de santé est institué. Ce comité d’audit définit une stratégie d’audit puis une programmation dont il informe la commission. Il fait réaliser des audits sur l’ensemble des systèmes réunissant, organisant ou mettant à disposition tout ou partie des données du système national des données de santé à des fins de recherche, d’étude ou d’évaluation et sur les systèmes composant le système national des données de santé.
« Le comité d’audit comprend des représentants des services des ministères chargés de la santé, de la sécurité sociale et de la solidarité, de la Caisse nationale de l’assurance maladie, responsable du traitement du système national des données de santé, des autres producteurs de données du système national des données de santé, de l’Institut national des données de santé, ainsi qu’une personne représentant les acteurs privés du domaine de la santé. Des personnalités qualifiées peuvent y être désignées. Le président de la Commission nationale de l’informatique et des libertés, ou son représentant, peut y assister en tant qu’observateur.
« Les audits, dont le contenu est défini par le comité d’audit, sont réalisés par des prestataires sélectionnés selon des critères et modalités permettant de disposer de garanties attestant de leur compétence en matière d’audit de systèmes d’information et de leur indépendance à l’égard de l’entité auditée.
« Le prestataire retenu soumet au président du comité d’audit la liste des personnes en charge de chaque audit et les informations permettant de garantir leurs compétences et leur indépendance.
« Les missions d’audit s’exercent sur pièces et sur place. La procédure suivie inclut une phase contradictoire. La communication des données médicales individuelles ne peut se faire que sous l’autorité et en présence d’un médecin, s’agissant des informations qui figurent dans un traitement nécessaire aux fins de la médecine préventive, de la recherche médicale, des diagnostics médicaux, de l’administration de soins ou de traitements, ou de la gestion de service de santé.
« Pour chaque mission diligentée, des échanges ont lieu, si nécessaire, entre les personnes en charge des audits, le président du comité d’audit, le responsable du traitement mentionné au II de l’article L. 1461-1 du code de la santé publique et le président de la Commission nationale de l’informatique et des libertés.
« Si le comité d’audit a connaissance d’informations de nature à révéler des manquements graves en amont ou au cours d’un audit ou en cas d’opposition ou d’obstruction à l’audit, un signalement est adressé sans délai par le président du comité d’audit au président de la Commission nationale de l’informatique et des libertés.
« Chaque mission diligentée établit un rapport relevant notamment les anomalies constatées et les manquements aux règles applicables aux systèmes d’information audités.
« Si la mission constate, à l’issue de l’audit, de graves manquements, elle en informe sans délai le président du comité d’audit qui informe sans délai le président de la Commission nationale de l’informatique et des libertés et le responsable du traitement mentionné au II de l’article L. 1461-1 du code de la santé publique.
« En cas d’urgence, le directeur général de la Caisse nationale d’assurance maladie peut suspendre temporairement l’accès au système national des données de santé avant le terme de l’audit s’il dispose d’éléments suffisamment préoccupants concernant des manquements graves aux règles précitées. Il doit en informer immédiatement le président du comité et le président de la Commission. Le rétablissement de l’accès ne peut se faire qu’avec l’accord de ce dernier au regard des mesures correctives prises par l’entité auditée. Ces dispositions sont sans préjudice des prérogatives propres de la Commission nationale de l’informatique et des libertés.
« Le rapport définitif de chaque mission est transmis au comité d’audit, au président de la Commission nationale de l’informatique et des libertés et au responsable du traitement audité.
« Un décret en Conseil d’État, pris après avis de la Commission nationale de l’informatique et des libertés, précise la composition du comité et définit ses règles de fonctionnement, ainsi que les modalités de l’audit.
Objet
Les systèmes réunissant, organisant et mettant à disposition tout ou partie des données du Système national des données de santé (SNDS) et de ses composantes à des fins de recherche, d'étude ou d'évaluation représentent, à ce jour, près de 300 bases. En l’état actuel de la législation, la seule autorité de contrôle habilitée à auditer toutes ces bases est la Commission nationale de l’informatique et des libertés. Au regard des enjeux de sécurité qui pèsent sur ces données, l’objectif de l’article 64 du projet de loi relatif à la protection des données personnelles est de développer une politique d’audit pilotée par l’Etat, complémentaire aux contrôles pilotés par la Commission, permettant ainsi de démultiplier le nombre des contrôles visant la sécurisation du processus de mise à disposition des données de santé.
La mise en place d’une politique d’audit propre aux traitements réalisés avec le SNDS à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé participe directement de la crédibilité de l’ensemble du dispositif. Les opérations de contrôle ne sont que la juste contrepartie de l’ouverture de l’accès à des données sensibles. Elles doivent permettre de garantir le bon usage et la sécurité de ces données, en vérifiant notamment que la règlementation est respectée, que la finalité des traitements est conforme à ce qui a été annoncé, et que le référentiel de sécurité est appliqué.
Pour ce faire, dans le cadre de la gouvernance du système national des données de santé, le comité stratégique « données de santé » a décidé la création d’un comité d’audit piloté par le Haut fonctionnaire de défense et de sécurité des ministères sociaux. Ce comité d’audit est chargé d’établir un programme de contrôle et d’en suivre l’exécution.
Il convient de préciser qu’en cas d’urgence, le directeur de la CNAM, responsable du traitement du SNDS en vertu de l’article L.1461-1-II du code de la santé publique, peut suspendre temporairement l’accès au SNDS.