Le système national des données de santé (SNDS) et l’accès aux données de santé

Paru le 28/12/2016

Ouvrir l’accès aux données de santé collectées par des organismes publics afin de tirer profit des potentialités qu’elles offrent est un enjeu sanitaire majeur. Cette ouverture vise à accroître les connaissances relatives à l’offre de soins et la prise en charge médico-sociale à destination aussi bien des professionnels de santé que des usagers et des citoyens, à contribuer à la recherche et à l’innovation en santé et enfin à favoriser la veille et la sécurité sanitaires.

Instauré par la loi du 26 janvier 2016 de modernisation de notre système de santé, le Système national des données de santé (SNDS) a été élargi par la loi du 24 juillet 2019 relative à l’organisation et la transformation du système de santé pour tenir compte des besoins des acteurs concernés en termes de données mais aussi d’un contexte favorable au développement du numérique en santé.

Qu’est-ce que le SNDS ?

L’objectif du SNDS est de faire de la France l’un des pays pionniers dans le domaine de la promotion et de la valorisation des données de santé. Géré par la Plateforme des données de santé (PDS ou « Health data hub ») et la Caisse nationale de l’assurance maladie (CNAM), le SNDS est alimenté, depuis 2016, par :

  • la base de données « SNIIRAM » (Système national d’information inter-régimes de l’assurance maladie) contenant les données relatives à toutes les dépenses de l’assurance maladie,
  • la base de données « PMSI » (Programme de médicalisation des systèmes d'information) contenant les données d’analyse de l’activité des établissements de santé,
  • la base de données du CépiDc (Centre d'épidémiologie sur les causes médicales de décès) contenant les données relatives aux causes de décès.

Progressivement et sur le fondement de la loi du 24 juillet 2019, le SNDS sera alimenté par :

  • des données médico-sociales liées au handicap, fournies par les maisons départementales des personnes handicapées,
  • l’ensemble des données de santé dont le recueil est directement ou indirectement financé par des fonds publics, en particulier les données cliniques recueillies dans le cadre du parcours de soins ce qui inclut les activités de prévention, de diagnostic, des soins et de suivi social et médico-social.

De nouvelles sources de données sont ainsi ajoutées aux trois bases historiques (SNIIRAM, PMSI, CépiDc), l’appariement de ces données entre elles devant faciliter leur structuration et démultiplier leurs usages. Ces nouvelles données permettent essentiellement d’apporter de l’information sur l’état de santé précis du patient (résultats d’examen, diagnostic des médecins) et ses déterminants de santé (indice de masse corporelle, consommation de tabac…) dont l’absence limitait les usages du SNDS.


Qui peut utiliser les données du SNDS et comment y accéder  ?

Par principe, toute personne ou structure, publique ou privée, à but lucratif ou non lucratif, peut accéder aux données du SNDS sur autorisation de la CNIL, en vue de réaliser un traitement de données présentant un intérêt public.


Pour des projets de recherche, les demandes sont à déposer auprès de la Plateforme des données de santé. Elle  est le point d’entrée unique des demandes d'autorisation d’accès au SNDS à des fins de recherche, étude ou évaluation, avec pour mission d’assurer un traitement des demandes conformément au cadre réglementaire et dans les délais définis par la loi.


La PDS assure également le secrétariat du comité éthique et scientifique pour les recherches, les études et les évaluations (CESREES), un comité indépendant chargé d’examiner les demandes du point de vue méthodologique, afin de fournir un avis à la CNIL sur la cohérence entre la finalité de l’étude proposée, la méthodologie présentée et le périmètre des données auxquelles l’accès est demandé.


L’avis rendu par le CESREES vise à faciliter l’examen par la CNIL des demandes d'autorisation d’accès au SNDS et à réduire les délais globaux d’instruction.

Pour accéder à certaines données du SNDS uniquement, telles que les données hospitalières, la même procédure est applicable. En effet, tout l’intérêt du SNDS réside dans le fait de définir des règles uniformes et des procédures standardisées permettant d’accéder aux données de santé. 

Pour la constitution d’entrepôts comportant des données du SNDS, les demandes sont à déposer directement auprès de la CNIL.

L’accès aux données du SNDS et la procédure d’accès sur autorisation de la CNIL connaissent toutefois des exceptions.

L’accès des entreprises productrices de produits de santé et des assureurs en santé est plus fortement encadré : ils doivent, soit passer par un bureau d’études ou un organisme de recherche indépendant pour accéder aux données, soit démontrer que les modalités techniques d’accès ne permettent en aucun cas d’utiliser le SNDS pour des finalités interdites identifiées dans la loi.

Pour certaines organisations chargées d’une mission de service public, une procédure spécifique d’accès au SNDS est prévue : ces organisations, listées par décret en conseil d’État pris après avis de la CNIL, peuvent pour accomplir leurs missions accéder à certaines données de manière permanente. C’est par exemple le cas pour l’agence Santé publique France, l’Agence nationale de sécurité du médicament et des produits de santé, la Haute Autorité de santé, les chercheurs des CHU, des centres de lutte contre le cancer et de l’INSERM, l’agence de biomédecine ou encore les Agences régionales de santé.

Tout projet nécessitant l’accès aux données du SNDS doit être mis en œuvre en s’inscrivant dans l’un des objectifs assignés au SNDS par la loi (finalités autorisées).

Quelle sont les 6 finalités autorisées par la loi ?

Les finalités du SNDS sont définies par la loi, elles sont au nombre de six :

  • L’information sur la santé ainsi que sur l’offre de soins, la prise en charge médico-sociale et leur qualité ;
  • La définition, à la mise en œuvre et à l’évaluation des politiques de santé et de protection sociale ;
  • La connaissance des dépenses de santé, des dépenses d’assurance maladie et des dépenses médico- sociales ;
  • L’information des professionnels, des structures et des établissements de santé ou médico-sociaux sur leur activité ;
  • La surveillance, à la veille et à la sécurité sanitaires ;
  • La recherche, aux études, à l’évaluation et à l’innovation dans les domaines de la santé et de la prise en charge médico-sociale.

Quelles sont les finalités interdites par la loi ?

Est interdite toute utilisation des données du SNDS qui aurait pour objectif d’aboutir à prendre une décision à l’encontre d’une personne physique identifiée sur le fondement des données la concernant ou qui viserait :

  • La promotion en direction des professionnels de santé ou des établissements des produits de santé ;
  • Ou l’exclusion de garanties des contrats d’assurance ou la modification de cotisations ou de primes d’assurance pour un individu ou un groupe d’individus.

Toutes les personnes traitant des données du SNDS sont soumises au secret professionnel dans les conditions et sous les peines prévues à l’article 226-13 du code pénal :

« La révélation d'une information à caractère secret par une personne qui en est dépositaire soit par état ou par profession, soit en raison d'une fonction ou d'une mission temporaire, est punie d'un an d'emprisonnement et de 15 000 euros d'amende. »

Par ailleurs, le SNDS étant constitué de données de santé à caractère personnel, les traitements de données qui en sont issues sont soumis aux dispositions de la section 3 du chapitre III du titre II de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, notamment dans sa dimension pénale.

Les obligations de transparence concernant les projets SNDS

Aux termes du décret SNDS, la transparence sur tous les traitements mis en œuvre à partir des données du SNDS est garantie, grâce à la mise à disposition par la Plateforme des données de santé sur son site, de la liste :

  • Des responsables de traitement des bases alimentant le SNDS ainsi que les informations relatives à ces bases ;
  • Des projets mis en œuvre sur le fondement d’une autorisation de la CNIL ;
  • Des projets mis en œuvre par les organismes bénéficiant d’un accès permanent.

Comment est organisé le SNDS ?

Le SNDS rassemble des bases de données existantes pour en favoriser la mise à disposition  et l’exploitation de données pour les six finalités  prévues par la loi.

Le SNDS repose sur deux grands ensembles :

  • La base principale est le cœur du SNDS. Elle regroupe des bases de données existantes, déjà structurées et couvrant l’ensemble de la population française. Cela inclut les bases qui formaient le SNDS « historique » tel qu’il a été créé en 2016 : la base de données « SNIIRAM » en provenance de la CNAM, la base de données « PMSI » de l’ATIH, les causes médicales de décès de l’INSERM, les données médico-sociales liées au handicap, fournies par les maisons départementales des personnes handicapées ainsi que de nouvelles bases mises en œuvre par exemple dans le cadre de la crise sanitaire du SARS-Cov2 (SI-DEP, Vaccin-covid notamment). La base principale est évolutive suivant les dispositions d’un arrêté pris par le Ministre chargé de la santé après avis de la CNIL ;
  • Le catalogue qui regroupe des bases de données existantes et déjà structurées mais ne couvrant pas toute la population française. Le catalogue est évolutif et la liste des bases rejoignant ce catalogue figure dans un arrêté.

Quels sont les acteurs principaux du SNDS ?

La DREES, direction de l’administration centrale, agit sous la triple tutelle du ministère de l’économie, des finances et de la relance, du ministère des solidarités et de la santé et du ministère du travail, de l’emploi et de l’insertion.

Elle fait partie des services statistiques ministériels : sa vocation est de fournir aux décideurs publics, aux citoyens, et aux responsables économiques et sociaux des informations fiables et des analyses sur les populations et les politiques sanitaires et sociales. La DREES est également chargée de la gouvernance des données de santé à des fins de recherche, étude ou évaluation. Son directeur est administrateur des données du ministère des solidarités et de la santé.

La DREES porte les textes relatifs au SNDS et à sa gouvernance.

Les responsables conjoints du SNDS adoptent toutes les mesures techniques et organisationnelles destinées à assurer la mise en œuvre du SNDS.

Ces responsables sont :

  • La CNAM, établissement public à caractère administratif, définit et met en œuvre les politiques de gestion du risque en matière de maladie, de maternité, d’accident du travail et de maladie professionnelle. Elle est notamment chargée de la constitution et du stockage de la base principale et de la mise à disposition de ses données ;
  • La PDS, groupement d’intérêt public, est chargée de l’enrichissement des données de la base principale par les données du catalogue, elle est le guichet unique pour les demandes d’accès aux données du SNDS.

Le comité stratégique des données de santé présidé par le Ministre chargé de la santé rassemble les acteurs principaux du SNDS, la plupart des parties prenantes ainsi des représentants des associations de patients. Il assure la gouvernance du SNDS et en définit les orientations générales.

Il est par ailleurs instauré un comité d’audit du SNDS qui est chargé de définir une stratégie puis un programme des audits à conduire. Le comité d’audit fait réaliser des audits sur l’ensemble des systèmes d’information réunissant, organisant ou mettant à disposition tout ou partie des données du SNDS ainsi que des systèmes composant le SNDS. Il exerce ses missions en étroite collaboration avec la CNIL.

Quelles mesures sont prises pour garantir la sécurité et l’intégrité des données mises à disposition des utilisateurs ?

 

Les données constituant le SNDS sont "pseudonymisées" afin de préserver la vie privée des personnes : aucun nom, prénom, adresse ni numéro de sécurité sociale ne figure dans le SNDS. Malgré cela, il s’agit de données à caractère personnel et leur confidentialité est garantie par la loi.


Les conditions de mise à disposition du SNDS sont encadrées par la loi : en particulier, toute utilisation doit être tracée en vue de contrôles a posteriori. Ces conditions sont précisées dans un arrêté pris par les ministres en charge de la santé et du numérique, après avis de la CNIL, l’arrêté du 22 mars 2017 relatif au référentiel de sécurité du SNDS.

Les droits des personnes concernées applicables aux données du SNDS sont prévus par les dispositions de l’article R. 1461-9 du code de la santé publique.

Toute personne dont les données sont rassemblées dans le SNDS peut exercer son :

  • Droit d’accès pour toutes les données du SNDS ;
  • Droit de rectification pour toutes les données du SNDS ;
  • Droit de s’opposer à la réutilisation des données la concernant sauf lorsque ces données servent à alimenter la base principale (voir Textes applicables ) ou lorsqu’elles sont mises à disposition d’organismes disposant d’un accès permanent (voir Périmètre et acteurs du SNDS ) ;
  • Droit d’effacement des données la concernant lorsque ces données font partie du catalogue.

Pour exercer l’un de ces droits ou obtenir davantage d’informations sur le traitement SNDS, les personnes concernées sont invitées à s’adresser à l’un ou l’autre des responsables conjoints du traitement :

Toute demande d’exercice des droits déposée par la personne concernée s’applique aux données hébergées par les deux responsables conjoints.

Si une personne estime que ses droits ne sont pas respectés, elle peut déposer une réclamation auprès de la Commission nationale informatique et libertés (CNIL) : www.cnil.fr/fr/plaintes/

Quelles sont les règles de sécurité applicables au SNDS ?

Conformément au IV de l’article L. 1461-1 du code de la santé publique, les accès aux données du SNDS doivent s’effectuer dans « des conditions assurant la confidentialité et l'intégrité des données et la traçabilité des accès et des autres traitements ».

Un référentiel précise ces conditions en édictant les règles de sécurité que tout système utilisant des données du SNDS se doit de mettre en place. Les modalités d’application de ce référentiel sont indiquées dans l’arrêté du 22 mars 2017.

En premier lieu, la sécurité des données est garantie par l’obligation pour chaque gestionnaire de système de réaliser une analyse de risque. C’est cette analyse qui permet au gestionnaire de s’assurer que les données sont correctement protégées par des mesures de sécurité adéquates.

Le référentiel s’appuie notamment sur les mesures techniques et organisationnelles suivantes :

  • la pseudonymisation : pour chaque individu, l’ensemble des informations permettant de facilement l’identifier (NIR, nom, prénom, adresse…) doit être remplacé par un pseudonyme, c’est-à-dire par un code alphanumérique ne permettant pas le rattachement à son identité ;
  • l’authentification : elle permet d’une part de contrôler les accès et d’autre part d’imputer les actions effectuées sur le système à une personne désignée. Par défaut, une authentification forte (également appelée double authentification) est exigée ;
  • la traçabilité : l’ensemble des événements relatifs à la sécurité du système doit être tracé. Cette traçabilité doit permettre de contrôler l’utilisation de données et de disposer de preuves pouvant être instruites en justice ;
  • le contrôle : il permet de s’assurer d’une utilisation des données conforme à la loi et au référentiel. Effectué à posteriori par le biais d’audits, il est notamment rendu possible par l’utilisation conjointe de la traçabilité et de l’authentification ;
  • la sensibilisation et la formation des utilisateurs et des administrateurs.

En plus de ces règles spécifiques, les traitements de données du SNDS sont soumis à l’ensemble des référentiels généraux applicables aux systèmes d’information du Ministère chargé de la santé, à savoir : la Politique Générale de Sécurité des Systèmes d’Information en Santé (PGSSI-S), la Politique de Sécurité des Systèmes d’Information pour les ministères chargés des affaires sociales (PSSI MCAS), et le Référentiel Général de Sécurité (RGS).

Pourquoi la pseudonymisation des données est-elle nécessaire ?

La pseudonymisation systématique des données constitue une des mesures fondamentales du dispositif dans le but de conserver la confidentialité des données manipulées.

Conformément au code de santé publique, le SNDS ne contient ni les noms et prénoms des personnes, ni leur numéro d'inscription au répertoire national d'identification des personnes physiques, ni leur adresse.

Toutefois, de nombreuses études utilisant des données du SNDS nécessitent de pouvoir corréler tout ou partie des informations se rapportant à un même individu. Grâce à la pseudonymisation, il est possible de conserver cette corrélation tout en supprimant les informations permettant d’identifier facilement l’individu. Concrètement, chaque individu se voit attribuer un code spécifique auquel est rattaché l’ensemble des données du SNDS le concernant.
Ce processus est construit pour être irréversible : il est impossible, partant du code, de revenir à l’identité de l’individu.

Consulter les textes encadrant le SNDS et l’accès aux données de santé

Le SNDS dans le code de la santé publique :

Les textes spécifiques relatifs au SNDS :

Les textes relatifs à la Plateforme des données de santé :

Les textes relatifs au comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé (CESREES) :

Nous contacter