Ci-dessous sont présentées les modifications introduites à la date donnée. L’ancien texte est en rouge, le texte introduit à cette date est en vert.
| 813 | 813 |
##### Article 66 |
| 814 | 814 | |
| 815 | 815 |
I.-Les traitements relevant de la présente section ne peuvent être mis en œuvre qu'en considération de la finalité d'intérêt public qu'ils présentent. La garantie de normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux constitue une finalité d'intérêt public. |
| 816 | 816 | |
| 817 | 817 |
II.-Des référentiels et règlements types, au sens des b et c du 2° du I de l'article 8, s'appliquant aux traitements relevant de la présente section sont établis par la Commission nationale de l'informatique et des libertés, en concertation avec l'Institut national la plateforme des données de santé mentionné mentionnée à l'article L. 1462-1 du code de la santé publique et des organismes publics et privés représentatifs des acteurs concernés. |
| 818 | 818 | |
| 819 | 819 |
Les traitements conformes à ces référentiels peuvent être mis en œuvre à la condition que leurs responsables adressent préalablement à la Commission nationale de l'informatique et des libertés une déclaration attestant de cette conformité. |
| 820 | 820 | |
| 821 | 821 |
Ces référentiels peuvent également porter sur la description et les garanties de procédure permettant la mise à disposition en vue de leur traitement de jeux de données de santé présentant un faible risque d'impact sur la vie privée. |
| 822 | 822 | |
| 823 | 823 |
III.-Les traitements mentionnés au I qui ne sont pas conformes à un référentiel mentionné au II ne peuvent être mis en œuvre qu'après autorisation de la Commission nationale de l'informatique et des libertés. La demande d'autorisation est présentée dans les formes prévues à l'article 33. |
| 824 | 824 | |
| 825 | 825 |
IV.-La Commission nationale de l'informatique et des libertés peut, par décision unique, délivrer à un même demandeur une autorisation pour des traitements répondant à une même finalité, portant sur des catégories de données identiques et ayant des catégories de destinataires identiques. |
| 826 | 826 | |
| 827 | 827 |
V.-La Commission nationale de l'informatique et des libertés se prononce dans un délai de deux mois à compter de la réception de la demande. Toutefois, ce délai peut être prolongé une fois pour la même durée sur décision motivée de son président ou lorsque le comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé est saisi en application du second alinéa de l'article 72. |
| 828 | 828 | |
| 829 | 829 |
Lorsque la Commission nationale de l'informatique et des libertés ne s'est pas prononcée dans ces délais, la demande d'autorisation est réputée acceptée. Cette disposition n'est toutefois pas applicable si l'autorisation fait l'objet d'un avis préalable en application de la sous-section 2 de la présente section et que l'avis ou les avis rendus ne sont pas expressément favorables. |
| 877 | 877 |
##### Article 73 |
| 878 | 878 | |
| 879 | 879 |
Au titre des référentiels mentionnés au II de l'article 66 de la présente loi, des méthodologies de référence sont homologuées et publiées par la Commission nationale de l'informatique et des libertés. Elles sont établies en concertation avec l'Institut national la Plateforme des données de santé mentionné mentionnée à l'article L. 1462-1 du code de la santé publique et des organismes publics et privés représentatifs des acteurs concernés. |
| 880 | 880 | |
| 881 | 881 |
Lorsque le traitement est conforme à une méthodologie de référence, il peut être mis en œuvre, sans autorisation mentionnée à l'article 66 de la présente loi, à la condition que son responsable adresse préalablement à la Commission nationale de l'informatique et des libertés une déclaration attestant de cette conformité. |
| 891 | 891 |
##### Article 76 |
| 892 | 892 | |
| 893 | 893 |
L'autorisation du traitement est accordée par la Commission nationale de l'informatique et des libertés dans les conditions définies à l'article 66, après avis : |
| 894 | 894 | |
| 895 | 895 |
1° Du comité compétent de protection des personnes mentionné à l'article L. 1123-6 du code de la santé publique, pour les demandes d'autorisation relatives aux recherches impliquant la personne humaine mentionnées à l'article L. 1121-1 du même code ; |
| 896 | 896 | |
| 897 | 897 |
2° Du comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé, pour les demandes d'autorisation relatives à des études ou à des évaluations ainsi qu'à des recherches n'impliquant pas la personne humaine, au sens du 1° du présent article. |
| 898 | 898 | |
| 899 | 899 |
Ce comité est composé de manière à garantir son indépendance et la diversité des compétences dans le domaine des traitements concernant la santé et à l'égard des questions scientifiques, éthiques, sociales et juridiques. Il est composé en recherchant une représentation équilibrée des femmes et des hommes. Il comporte, en son sein, des représentants d'associations de malades ou d'usagers du système de santé agréées désignés au titre des dispositions de l'article L. 1114-1 du code de la santé publique. |
| 900 | 900 | |
| 901 | 901 |
Les membres du comité, les personnes appelées à collaborer à ses travaux et les agents relevant du statut général des fonctionnaires ou du statut général des militaires qui en sont dépositaires sont tenus, dans les conditions et sous les peines prévues aux articles 226-13 et 226-14 du code pénal, de garder secrètes les informations dont ils peuvent avoir connaissance à raison de leurs fonctions et qui sont relatives à la nature des recherches, études ou évaluations, aux personnes qui les organisent ou aux produits, objets ou méthodes faisant l'objet de la recherche. |
| 902 | 902 | |
| 903 | 903 |
Ne peuvent valablement participer à une délibération les personnes qui ne sont pas indépendantes du promoteur et de l'investigateur de la recherche, de l'étude ou de l'évaluation examinée. |
| 904 | 904 | |
| 905 | 905 |
Un décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés, fixe la composition du comité éthique et scientifique et définit ses règles de fonctionnement. Les membres du comité sont soumis à l'article L. 1451-1 du code de la santé publique. |
| 906 | 906 | |
| 907 | 907 |
Les dossiers présentés dans le cadre de la présente section, à l'exclusion des recherches impliquant la personne humaine, sont déposés auprès d'un secrétariat unique assuré par l'Institut national la plateforme des données de santé, qui assure leur orientation vers les instances compétentes. |
| 909 | 909 |
##### Article 77 |
| 910 | 910 | |
| 911 | 911 |
Dans le respect des missions et des pouvoirs de la Commission nationale de l'informatique et des libertés et aux fins de renforcer la bonne application des règles de sécurité et de protection des données, un comité d'audit du système national des données de santé est institué. Ce comité d'audit définit une stratégie d'audit puis une programmation, dont il informe la commission. Il fait réaliser des audits sur l'ensemble des systèmes réunissant, organisant ou mettant à disposition tout ou partie des données du système national des données de santé à des fins de recherche, d'étude ou d'évaluation ainsi que sur les systèmes composant le système national des données de santé. |
| 912 | 912 | |
| 913 | 913 |
Le comité d'audit comprend des représentants des services des ministères chargés de la santé, de la sécurité sociale et de la solidarité, de la Caisse nationale d'assurance maladie responsable du traitement des responsables des des traitements du système national des données de santé, des autres producteurs de données du système national des données de santé, de l'Institut national la plateforme des données de santé, ainsi qu'une personne représentant les acteurs privés du domaine de la santé. Des personnalités qualifiées peuvent y être désignées. Le président de la Commission nationale de l'informatique et des libertés, ou son représentant, y assiste en tant qu'observateur. |
| 914 | 914 | |
| 915 | 915 |
Les audits, dont le contenu est défini par le comité d'audit, sont réalisés par des prestataires sélectionnés selon des critères et modalités permettant de disposer de garanties attestant de leur compétence en matière d'audit de systèmes d'information et de leur indépendance à l'égard de l'entité auditée. |
| 916 | 916 | |
| 917 | 917 |
Le prestataire retenu soumet au président du comité d'audit la liste des personnes en charge de chaque audit et les informations permettant de garantir leurs compétences et leur indépendance. |
| 918 | 918 | |
| 919 | 919 |
Les missions d'audit s'exercent sur pièces et sur place. La procédure suivie inclut une phase contradictoire. La communication des données médicales individuelles ne peut se faire que sous l'autorité et en présence d'un médecin, s'agissant des informations qui figurent dans un traitement nécessaire aux fins de la médecine préventive, de la recherche médicale, des diagnostics médicaux, de l'administration de soins ou de traitements, ou de la gestion de service de santé. |
| 920 | 920 | |
| 921 | 921 |
Pour chaque mission diligentée, des échanges ont lieu, si nécessaire, entre les personnes en charge des audits, le président du comité d'audit, les responsables des traitements mentionnés au II de l'article L. 1461-1 du code de la santé publique et le président de la Commission nationale de l'informatique et des libertés. |
| 922 | 922 | |
| 923 | 923 |
Si le comité d'audit a connaissance d'informations de nature à révéler des manquements graves en amont ou au cours d'un audit ou en cas d'opposition ou d'obstruction à l'audit, un signalement est adressé sans délai par le président du comité d'audit au président de la Commission nationale de l'informatique et des libertés. |
| 924 | 924 | |
| 925 | 925 |
Chaque mission diligentée établit un rapport relevant notamment les anomalies constatées et les manquements aux règles applicables aux systèmes d'information audités. |
| 926 | 926 | |
| 927 | 927 |
Si la mission constate, à l'issue de l'audit, de graves manquements, elle en informe sans délai le président du comité d'audit, qui informe sans délai le président de la Commission nationale de l'informatique et des libertés et les responsables des traitements mentionnés au II de l'article L. 1461-1 du code de la santé publique. |
| 928 | 928 | |
| 929 | 929 |
En cas d'urgence, les responsables des traitements mentionnés au II de l'article L. 1461-1 du code de la santé publique peuvent suspendre temporairement l'accès au système national des données de santé avant le terme de l'audit s'ils disposent d'éléments suffisamment préoccupants concernant des manquements graves aux règles précitées. Ils doivent en informer immédiatement le président du comité et le président de la commission. Le rétablissement de l'accès ne peut se faire qu'avec l'accord de ce dernier au regard des mesures correctives prises par l'entité auditée. Ces dispositions sont sans préjudice des prérogatives propres de la Commission nationale de l'informatique et des libertés. |
| 930 | 930 | |
| 931 | 931 |
Le rapport définitif de chaque mission est transmis au comité d'audit, au président de la Commission nationale de l'informatique et des libertés et au responsable du traitement audité. |
| 932 | 932 | |
| 933 | 933 |
Un décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés, précise la composition du comité et définit ses règles de fonctionnement ainsi que les modalités de l'audit. |