La CNIL et le CASD publient de nouvelles fiches pratiques pour les circuits d’appariement avec le SNDS
La CNIL publie un ensemble de fiches pratiques, produites en collaboration avec le Centre d’accès sécurisé aux données (CASD), qui présentent des exemples de circuits d’appariement de données avec le SNDS. Elles complètent ainsi le guide pratique de la CNIL publié en décembre 2020.
La CNIL encadre depuis de nombreuses années les appariements de données de santé avec le Système national des données de santé (SNDS), dans le cadre de demandes d’autorisations lorsque l’appariement nécessite le traitement du numéro d’inscription au répertoire ou NIR.
Cependant, elle constate régulièrement plusieurs écueils dans les demandes d’autorisation de la part d’organismes publics ou privés qui réalisent des recherches dans le domaine de la santé. Afin d’accompagner les professionnels concernés, la CNIL a ainsi publié en 2020 un guide pratique présentant les circuits les plus classiques, conformes aux obligations légales et à sa position.
En complément à ce guide, la CNIL publie de nouvelles fiches pratiques qui présentent :
- des schémas détaillés, étape par étape, dans le même formalisme que ceux du guide de 2020 ;
- des schémas montrant les différentes « tables de données », produits par le CASD.
Ces fiches illustrent en détail des exemples d’implémentation concrète des circuits du guide de 2020, qui reste valide.
Elles présentent des variantes de différents circuits, choisies pour leur aspect pédagogique et pour leur représentativité des cas pratiques rencontrés par le CASD et par la CNIL. Les variantes présentées sont compatibles avec les versions génériques portées par le guide.
Les nouvelles fiches pratiques
Les principes issus du guide, qui ont été respectés et déclinés dans les fiches pratiques, sont rassemblés dans un vadémécum.
Cet aide-mémoire constitue également une grille d’analyse pour identifier les écarts et les axes d’améliorations d’un circuit existant et, si besoin, pour construire une variante personnalisée des circuits proposés.
- Circuit responsable de traitement / centre unique
Étude monocentrique où le centre investigateur dépend du responsable de traitement et stocke localement ses données, y compris le NIR.
- Circuit responsable de traitement / centre unique / eCRF sans NIR
Étude monocentrique où le centre investigateur dépend du RT et gère ses données dans un « eCRF », sauf le NIR qui reste stocké localement dans le centre.
- Circuit multi-centres
Étude multicentrique où chaque centre stocke localement ses propres données, y compris le NIR.
- Circuit multi-centres / eCRF avec NIR
Étude multicentrique où les données des centres, y compris le NIR, sont gérées dans un « eCRF » opéré par le responsable de traitement.
- Circuit multi-centres / eCRF sans NIR
Étude multicentrique où les données des centres, sauf le NIR, sont gérées dans un « eCRF » opéré par le responsable de traitement, et où le NIR reste stocké localement dans les centres.
- Circuit multi-centres / NIR chez tiers centralisateur
Étude multicentrique où chaque centre stocke localement ses propres données, sauf le NIR qui est centralisé dans un outil spécifique opéré par un tiers de confiance
- Circuit multi-centres / base centrale pseudonymisée
Étude multicentrique où les données des centres, y compris le NIR, sont stockées localement et sont en parallèle regroupées dans une base pseudonymisée opérée par le responsable de traitement.
Présentation du CASD
Le GIP a pour objet principal d’organiser et de mettre en œuvre des services d’accès sécurisé pour les données confidentielles à des fins non lucratives de recherche, d’étude, d’évaluation ou d’innovation. Il a également pour mission de valoriser la technologie développée pour sécuriser l’accès aux données dans le secteur public et dans le secteur privé.
