Ci-dessous sont présentées les modifications introduites à la date donnée. L’ancien texte est en rouge, le texte introduit à cette date est en vert.
| 443 | 443 |
### Article 30 |
| 444 | 444 | |
| 445 | 445 |
Un décret en Conseil d'Etat, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés, détermine les catégories de responsables de traitement et les finalités de ces traitements au vu desquelles ces derniers peuvent être mis en œuvre lorsqu'ils portent sur des données comportant le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques. La mise en œuvre des traitements intervient sans préjudice des obligations qui incombent aux responsables de traitement ou à leurs sous-traitants en application de la section 3 du chapitre IV du règlement (UE) 2016/679 du 27 avril 2016. |
| 446 | 446 | |
| 447 | 447 |
N'entrent pas dans le champ d'application du premier alinéa du présent article ceux des traitements portant sur des données à caractère personnel parmi lesquelles figure le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques ou qui requièrent une consultation de ce répertoire : |
| 448 | 448 | |
| 449 | 449 |
1° Qui ont exclusivement des finalités de statistique publique, sont mis en œuvre par le service statistique public et ne comportent aucune des données mentionnées au I de l'article 6 ou à l'article 46 ; |
| 450 | 450 | |
| 451 | 451 |
2° Qui ont exclusivement des finalités de recherche scientifique ou historique ; |
| 452 | 452 | |
| 453 | 453 |
3° Qui ont pour objet de mettre à la disposition des usagers de l'administration un ou plusieurs téléservices de l'administration électronique définis à l'article 1er de l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives au sens de ce même article 1er, et entre ces mêmes autorités administratives. |
| 454 | 454 | |
| 455 | 455 |
La dérogation prévue pour les traitements dont les finalités sont mentionnées aux 1° et 2° du présent article, n'est applicable que si le numéro d'inscription au répertoire national d'identification des personnes physiques fait préalablement l'objet d'une opération cryptographique lui substituant un code statistique non signifiant. Cette opération est renouvelée à une fréquence définie par décret en Conseil d'Etat, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés. Les traitements ayant comme finalité exclusive de réaliser cette opération cryptographique ne sont pas soumis au premier alinéa. |
| 456 | 456 | |
| 457 | 457 |
Pour les traitements dont les finalités sont mentionnées au 1°, l'utilisation du code statistique non signifiant n'est autorisée qu'au sein du service statistique public. |
| 458 | 458 | |
| 459 | 459 |
Pour les traitements dont les finalités sont mentionnées au 2°, l'opération cryptographique et, le cas échéant, l'interconnexion de deux fichiers par l'utilisation du code spécifique non signifiant qui en est issu ne peuvent être assurées par la même personne ni par le responsable de traitement. |
| 460 | 460 | |
| 461 | 461 |
Par dérogation au premier alinéa, les traitements de données à caractère personnel dans le domaine de la santé sont régis par la section 3 du chapitre III du titre II, à l'exception : |
| 462 | 462 | |
| 463 | 463 |
1° Des traitements mentionnés à l'article 67 ; |
| 464 | 464 | |
| 465 | 465 |
2° Des traitements comportant le numéro d'inscription au répertoire national d'identification des personnes physiques utilisé comme identifiant de santé des personnes en application de l'article L. 1111-8-1 du code de la santé publique, en dehors de ceux de ces traitements mis en œuvre à des fins de recherche ou servant à constituer des bases de données à des fins ultérieures de recherche, d'étude ou d'évaluation dans le domaine de la santé . |
| 797 | 797 |
##### Article 65 |
| 798 | 798 | |
| 799 | 799 |
Les traitements contenant des données concernant la santé des personnes sont soumis, outre à celles du règlement (UE) 2016/679 du 27 avril 2016, aux dispositions de la présente section, à l'exception des catégories de traitements suivantes : |
| 800 | 800 | |
| 801 | 801 |
1° Les traitements relevant du 1° de l'article 44 de la présente loi et des a et c à f du 2 de l'article 9 du règlement (UE) 2016/679 du 27 avril 2016 ; |
| 802 | 802 | |
| 803 | 803 |
2° Les traitements permettant d'effectuer des études à partir des données recueillies en application du 1° de l'article 44 de la présente loi lorsque ces études sont réalisées par les personnels assurant ce suivi et destinées à leur usage exclusif ; |
| 804 | 804 | |
| 805 | 805 |
3° Les traitements mis en œuvre aux fins d'assurer le service des prestations ou le contrôle par les organismes chargés de la gestion d'un régime de base d'assurance maladie ainsi que la prise en charge des prestations par les organismes d'assurance maladie complémentaire ; |
| 806 | 806 | |
| 807 | 807 |
4° Les traitements effectués au sein des établissements de santé par les médecins responsables de l'information médicale, dans les conditions prévues au deuxième alinéa de l'article L. 6113-7 du code de la santé publique ; |
| 808 | 808 | |
| 809 | 809 |
5° Les traitements effectués par les agences régionales de santé, par l'Etat et par la personne publique qu'il désigne en application du premier alinéa de l'article L. 6113-8 du même code, dans le cadre défini au même article L. 6113-8 ; |
| 810 | ||
| 809 | 811 |
6° Les traitements mis en œuvre par l'Etat aux fins de conception, de suivi ou d'évaluation des politiques publiques dans le domaine de la santé ainsi que ceux réalisés aux fins de collecte, d'exploitation et de diffusion des statistiques dans ce domaine . |
| 811 | 813 |
##### Article 66 |
| 812 | 814 | |
| 813 | 815 |
I.-Les traitements relevant de la présente section ne peuvent être mis en œuvre qu'en considération de la finalité d'intérêt public qu'ils présentent. La garantie de normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux constitue une finalité d'intérêt public. |
| 814 | 816 | |
| 815 | 817 |
II.-Des référentiels et règlements types, au sens des b et c du 2° du I de l'article 8, s'appliquant aux traitements relevant de la présente section sont établis par la Commission nationale de l'informatique et des libertés, en concertation avec l'Institut national des données de santé mentionné à l'article L. 1462-1 du code de la santé publique et des organismes publics et privés représentatifs des acteurs concernés. |
| 816 | 818 | |
| 817 | 819 |
Les traitements conformes à ces référentiels peuvent être mis en œuvre à la condition que leurs responsables adressent préalablement à la Commission nationale de l'informatique et des libertés une déclaration attestant de cette conformité. |
| 818 | 820 | |
| 819 | 821 |
Ces référentiels peuvent également porter sur la description et les garanties de procédure permettant la mise à disposition en vue de leur traitement de jeux de données de santé présentant un faible risque d'impact sur la vie privée. |
| 820 | 822 | |
| 821 | 823 |
III.-Les traitements mentionnés au I qui ne sont pas conformes à un référentiel mentionné au II ne peuvent être mis en œuvre qu'après autorisation de la Commission nationale de l'informatique et des libertés. La demande d'autorisation est présentée dans les formes prévues à l'article 33. |
| 822 | 824 | |
| 823 | 825 |
IV.-La Commission nationale de l'informatique et des libertés peut, par décision unique, délivrer à un même demandeur une autorisation pour des traitements répondant à une même finalité, portant sur des catégories de données identiques et ayant des catégories de destinataires identiques. |
| 824 | 826 | |
| 825 | 827 |
V.-La Commission nationale de l'informatique et des libertés se prononce dans un délai de deux mois à compter de la réception de la demande. Toutefois, ce délai peut être prolongé une fois pour la même durée sur décision motivée de son président ou lorsque l'Institut national des données de le comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé est saisi en application du second alinéa de l'article 72. |
| 826 | 828 | |
| 827 | 829 |
Lorsque la Commission nationale de l'informatique et des libertés ne s'est pas prononcée dans ces délais, la demande d'autorisation est réputée acceptée. Cette disposition n'est toutefois pas applicable si l'autorisation fait l'objet d'un avis préalable en application de la sous-section 2 de la présente section et que l'avis ou les avis rendus ne sont pas expressément favorables. |
| 869 | 871 |
##### Article 72 |
| 870 | 872 | |
| 871 | 873 |
Les traitements automatisés de données à caractère personnel dont la finalité est ou devient la recherche ou les études dans le domaine de la santé ainsi que l'évaluation ou l'analyse des pratiques ou des activités de soins ou de prévention sont soumis à la sous-section 1 de la présente section, sous réserve de la présente sous-section. |
| 872 | 874 | |
| 873 | 875 |
L'Institut national des données de santé mentionné à l'article L. 1462-1 du code Le comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé publique peut se saisir ou être saisi, dans des conditions définies par décret en Conseil d'Etat, par la Commission nationale de l'informatique et des libertés ou le ministre chargé de la santé sur le caractère d'intérêt public que présentent les traitements mentionnés au premier alinéa du présent article. |
| 889 | 891 |
##### Article 76 |
| 890 | 892 | |
| 891 | 893 |
L'autorisation du traitement est accordée par la Commission nationale de l'informatique et des libertés dans les conditions définies à l'article 66, après avis : |
| 892 | 894 | |
| 893 | 895 |
1° Du comité compétent de protection des personnes mentionné à l'article L. 1123-6 du code de la santé publique, pour les demandes d'autorisation relatives aux recherches impliquant la personne humaine mentionnées à l'article L. 1121-1 du même code ; |
| 894 | 896 | |
| 895 | 897 |
2° Du comité d'expertise éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé, pour les demandes d'autorisation relatives à des études ou à des évaluations ainsi qu'à des recherches n'impliquant pas la personne humaine, au sens du 1° du présent article. |
| 898 | ||
| 899 |
Ce comité est composé de manière à garantir son indépendance et la diversité des compétences dans le domaine des traitements concernant la santé et à l'égard des questions scientifiques, éthiques, sociales et juridiques. Il est composé en recherchant une représentation équilibrée des femmes et des hommes. Il comporte, en son sein, des représentants d'associations de malades ou d'usagers du système de santé agréées désignés au titre des dispositions de l'article L. 1114-1 du code de la santé publique. |
|
| 900 | ||
| 901 |
Les membres du comité, les personnes appelées à collaborer à ses travaux et les agents relevant du statut général des fonctionnaires ou du statut général des militaires qui en sont dépositaires sont tenus, dans les conditions et sous les peines prévues aux articles 226-13 et 226-14 du code pénal, de garder secrètes les informations dont ils peuvent avoir connaissance à raison de leurs fonctions et qui sont relatives à la nature des recherches, études ou évaluations, aux personnes qui les organisent ou aux produits, objets ou méthodes faisant l'objet de la recherche. |
|
| 902 | ||
| 903 |
Ne peuvent valablement participer à une délibération les personnes qui ne sont pas indépendantes du promoteur et de l'investigateur de la recherche, de l'étude ou de l'évaluation examinée. |
|
| 904 | ||
| 895 | 905 |
Un décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés, fixe la composition de ce du comité éthique et scientifique et définit ses règles de fonctionnement. Les membres du comité d'expertise sont soumis à l'article L. 1451-1 du code de la santé publique. |
| 896 | 906 | |
| 897 | 907 |
Les dossiers présentés dans le cadre de la présente section, à l'exclusion des recherches impliquant la personne humaine, sont déposés auprès d'un secrétariat unique assuré par l'Institut national des données de santé, qui assure leur orientation vers les instances compétentes. |
| 899 | 909 |
##### Article 77 |
| 900 | 910 | |
| 901 | 911 |
Dans le respect des missions et des pouvoirs de la Commission nationale de l'informatique et des libertés et aux fins de renforcer la bonne application des règles de sécurité et de protection des données, un comité d'audit du système national des données de santé est institué. Ce comité d'audit définit une stratégie d'audit puis une programmation, dont il informe la commission. Il fait réaliser des audits sur l'ensemble des systèmes réunissant, organisant ou mettant à disposition tout ou partie des données du système national des données de santé à des fins de recherche, d'étude ou d'évaluation ainsi que sur les systèmes composant le système national des données de santé. |
| 902 | 912 | |
| 903 | 913 |
Le comité d'audit comprend des représentants des services des ministères chargés de la santé, de la sécurité sociale et de la solidarité, de la Caisse nationale d'assurance maladie responsable du traitement du système national des données de santé, des autres producteurs de données du système national des données de santé, de l'Institut national des données de santé, ainsi qu'une personne représentant les acteurs privés du domaine de la santé. Des personnalités qualifiées peuvent y être désignées. Le président de la Commission nationale de l'informatique et des libertés, ou son représentant, y assiste en tant qu'observateur. |
| 904 | 914 | |
| 905 | 915 |
Les audits, dont le contenu est défini par le comité d'audit, sont réalisés par des prestataires sélectionnés selon des critères et modalités permettant de disposer de garanties attestant de leur compétence en matière d'audit de systèmes d'information et de leur indépendance à l'égard de l'entité auditée. |
| 906 | 916 | |
| 907 | 917 |
Le prestataire retenu soumet au président du comité d'audit la liste des personnes en charge de chaque audit et les informations permettant de garantir leurs compétences et leur indépendance. |
| 908 | 918 | |
| 909 | 919 |
Les missions d'audit s'exercent sur pièces et sur place. La procédure suivie inclut une phase contradictoire. La communication des données médicales individuelles ne peut se faire que sous l'autorité et en présence d'un médecin, s'agissant des informations qui figurent dans un traitement nécessaire aux fins de la médecine préventive, de la recherche médicale, des diagnostics médicaux, de l'administration de soins ou de traitements, ou de la gestion de service de santé. |
| 910 | 920 | |
| 911 | 921 |
Pour chaque mission diligentée, des échanges ont lieu, si nécessaire, entre les personnes en charge des audits, le président du comité d'audit, le responsable du traitement mentionné les responsables des traitements mentionnés au II de l'article L. 1461-1 du code de la santé publique et le président de la Commission nationale de l'informatique et des libertés. |
| 912 | 922 | |
| 913 | 923 |
Si le comité d'audit a connaissance d'informations de nature à révéler des manquements graves en amont ou au cours d'un audit ou en cas d'opposition ou d'obstruction à l'audit, un signalement est adressé sans délai par le président du comité d'audit au président de la Commission nationale de l'informatique et des libertés. |
| 914 | 924 | |
| 915 | 925 |
Chaque mission diligentée établit un rapport relevant notamment les anomalies constatées et les manquements aux règles applicables aux systèmes d'information audités. |
| 916 | 926 | |
| 917 | 927 |
Si la mission constate, à l'issue de l'audit, de graves manquements, elle en informe sans délai le président du comité d'audit, qui informe sans délai le président de la Commission nationale de l'informatique et des libertés et le responsable du traitement mentionné les responsables des traitements mentionnés au II de l'article L. 1461-1 du code de la santé publique. |
| 918 | 928 | |
| 919 | 929 |
En cas d'urgence, le directeur général les responsables des traitements mentionnés au II de l'article L. 1461-1 du code de la Caisse nationale d'assurance maladie peut santé publique peuvent suspendre temporairement l'accès au système national des données de santé avant le terme de l'audit s'il dispose s'ils disposent d'éléments suffisamment préoccupants concernant des manquements graves aux règles précitées. Il doit Ils doivent en informer immédiatement le président du comité et le président de la commission. Le rétablissement de l'accès ne peut se faire qu'avec l'accord de ce dernier au regard des mesures correctives prises par l'entité auditée. Ces dispositions sont sans préjudice des prérogatives propres de la Commission nationale de l'informatique et des libertés. |
| 920 | 930 | |
| 921 | 931 |
Le rapport définitif de chaque mission est transmis au comité d'audit, au président de la Commission nationale de l'informatique et des libertés et au responsable du traitement audité. |
| 922 | 932 | |
| 923 | 933 |
Un décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés, précise la composition du comité et définit ses règles de fonctionnement ainsi que les modalités de l'audit. |