L’accès au programme de médicalisation des systèmes d’information (PMSI) à des fins de recherche

16 juillet 2018

Les méthodologies de référence MR-005 & MR-006 simplifient l’accès aux données hospitalières (PMSI - Programme de médicalisation des systèmes d’information), dans des conditions strictes de confidentialité et de transparence.

Qui est concerné ?

Les méthodologies de référence MR-005 & MR-006 encadrent l’accès aux données du PMSI centralisées et mises à disposition par l’Agence technique de l'information sur l'hospitalisation (ATIH), en fonction des catégories d’acteurs :

  • La méthodologie de référence MR-005 concerne tout établissement de santé (public ou privé, à but lucratif ou non lucratif) ou une des cinq fédérations hospitalières (FHF, FHP, FEHAP, FNEHAD, Unicancer) ; Ces responsables de traitement de données à caractère personnel ont également accès aux données du Résumé de Passage aux Urgences (RPU). La planification, la valorisation de l’offre de soins ainsi que l’épidémiologie sont les principaux objectifs des études menées à partir du PMSI par ces acteurs.
  • La méthodologie de référence MR-006 concerne tout organisme produisant ou commercialisant des produits de santé (exemple : laboratoire pharmaceutique, fabricants de dispositifs médicaux), qui réalisent en particulier des études dans le cadre de la préparation des dossiers auprès des autorités sanitaires.

Quels sont les avantages de ces méthodologies de référence ?

Les organismes qui se conforment à ces méthodologies de référence n’ont pas besoin d’effectuer la démarche de demande d’autorisation auprès de l’INDS, du CEREES et de la CNIL.

En contrepartie, ils s’engagent à se conformer strictement, pour chaque traitement qu’ils mettent en œuvre, aux exigences de transparence, de sécurité et de confidentialité précisées dans ces méthodologies.

Le responsable du traitement doit réaliser un engagement de conformité unique auprès de la CNIL, attestant de la conformité de l’ensemble des traitements qu’il met en œuvre.

Dans sa documentation interne, le responsable du traitement de données devra maintenir la liste des traitements mis en œuvre dans le cadre de la méthodologie concernée.

Quelles sont les exigences prévues par ces méthodologies ?

Les exigences communes aux deux méthodologies :

  • La désignation d’un délégué à la protection des données (DPO) par le responsable de traitement est obligatoire ;
  • Chaque étude doit être inscrite dans le répertoire public tenu par l’INDS. En pratique, devront être transmis :
    • un protocole (incluant la justification d’intérêt public) ;
    • un résumé de l’étude selon un format arrêté par l’INDS ;
    • une déclaration des intérêts devront être soumis à l’Institut.

Une fois l’étude terminée, les résultats obtenus devront aussi être communiqués dans un délai raisonnable.

  • Les études doivent avoir une finalité d’intérêt public.
  • Elles ne doivent pas poursuivre une des finalités interdites :
    • La promotion des produits de santé en direction des professionnels de santé ou établissements de santé ;
    • L’exclusion de garanties des contrats d’assurance et la modification de cotisations ou de primes d’assurance d’un individu ou d’un groupe d’individus présentant un même risque.
  • La consultation des données intervient uniquement via la plateforme sécurisée de l’ATIH, sans export de données à caractère personnel, ou via une solution sécurisée conforme au référentiel SNDS (plateforme du CASD, bulle sécurisée) ;
  • Aucun appariement (croisement de données) n’est possible avec d’autres données à caractère personnel ;
  • L’information des personnes : Les méthodologies de référence n’imposent pas d’information individuelle des personnes concernées. Elles exigent toutefois des responsables de traitements de données d’indiquer sur leur site internet
    • qu’ils réalisent des projets à partir des données du PMSI.
    • que les personnes ont des droits d’accès, de rectification et d’opposition. Ces droits s’exercent auprès du directeur de leur organisme gestionnaire du régime d’assurance maladie obligatoire de rattachement.

Les exigences spécifiques à la MR-006 :

  • Le traitement doit être réalisé via un bureau d’études/laboratoire de recherche, ayant réalisé auprès de la CNIL un engagement de conformité à l’arrêté du 17 juillet 2017 relatif au référentiel déterminant les critères de confidentialité, d'expertise et d'indépendance (l’engagement s’effectue par courrier).
  • Les « bulles sécurisées » des bureaux d’études/laboratoires de recherche peuvent être utilisées dans le cadre de la MR, sous réserve de leur conformité avec le référentiel de sécurité relatif au SNDS et de la conclusion d’une convention spécifique avec l’ATIH.
  • Un audit externe à l’initiative du responsable de traitement devra être réalisé tous les 3 ans : cet audit portera uniquement sur l’utilisation qui a été faite des résultats des recherches, afin de vérifier le respect de l’interdiction de réalisation des finalités interdites. Les résultats de l’audit devront être transmis au président du comité d’audit du SNDS (prévu dans la nouvelle loi informatique et libertés);

Comment déclarer ?

Effectuer une déclaration attestant de la conformité à une méthodologie de référence

> Engagement de conformité à une Méthodologie de référence

Ces méthodologies de référence ne correspondent pas à votre situation

Vous devrez déposer votre demande d'autorisation auprès de l'INDS qui transmettra à la CNIL

Déposer une demande auprès de l'INDS

 

Les mots clés associés à cet article