Mise à disposition de l'échantillon des données du SNDS : la CNIL met à jour le référentiel (ex-EGB)

03 février 2023

Depuis octobre 2022, l’échantillon généraliste des bénéficiaires (EGB) est remplacé par un échantillon des données du SNDS (ESND) de taille plus importante. Pour tenir compte de cette actualisation, la CNIL met à jour le référentiel qui encadrait les conditions de mise à disposition de l’échantillon.

Qu’est-ce que l’échantillon des données du SNDS ?

L’échantillon généraliste des bénéficiaires (EGB) du SNIIRAM était un échantillon constitué par la Caisse nationale de l'assurance maladie (CNAM) qui concernait 1/97^e (un peu plus de 1 %) de la population couverte par l'assurance maladie en France. L'EGB contenait des informations sur les caractéristiques sociodémographiques et médicales des bénéficiaires et les prestations de soins qu'ils ont reçues. L'utilisation de cet échantillon permet notamment de mieux connaître et comprendre le recours aux soins, les trajectoires de soins et les dépenses de santé des assurés sur une période donnée.

En octobre 2022, la CNAM a fait évoluer l’échantillon généraliste des bénéficiaires qui est devenu l’échantillon des données du SNDS (ESND). En conséquence, la CNIL met à jour son référentiel afin de permettre d’accéder aux données de l’ESND et des « datamarts » (base de données agrégées thématiques) du Système national des données de santé (SNIIRAM).

Le nouvel échantillon des données du SNDS est de taille plus importante que l’ancien EGB : il représente 2 % des personnes assurées présentes dans le SNIIRAM.

Quels traitements sont concernés par ce référentiel ?

Les conditions d'accès définies par le référentiel s'appliquent aux traitements mis en œuvre à des fins de recherche, d'étude ou d'évaluations dans le domaine de la santé, justifiés par l'intérêt public, et pour la réalisation desquels seul un accès à l’ESND, aux « datamarts » et/ou aux tableaux de bord du SNIIRAM est nécessaire.

Ainsi, ce référentiel permet, pour certains traitements présentant un faible risque d’impact sur la vie privée et sous réserve de conditions cumulatives précises (finalité, modalité d’accès, durée d’accès…), un unique examen par la Plateforme des données de santé (PDS). L’accès aux données peut alors s’effectuer sans obtenir l’avis du Comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé (CESREES) et l’autorisation de la CNIL. Cette procédure permet à un porteur de projet, si le traitement est conforme en tout point à ce référentiel, de bénéficier d’une approbation de la PDS, dans un délai de quinze jours avant d’accéder au jeu de données standardisé.

Quel est l’objectif de cette mise à jour du référentiel ?

Ce référentiel maintient la procédure d’accès simplifié pour la mise en œuvre de projets de recherche. Il permet notamment aux acteurs :

d’améliorer la qualité des projets en favorisant la réalisation d’études de faisabilité ;
de réaliser des études pour lesquelles des volumes de données suffisants sont présents dans la base échantillonnée ;
de mieux connaître et comprendre le recours aux soins, les trajectoires de soins et les dépenses de santé des assurés ;
de minimiser les risques en offrant aux porteurs de projets un échantillon augmenté permettant de réaliser davantage de projets et de réduire le nombre de projets nécessitant une extraction des données du SNDS.

Quelles sont les autres nouveautés du référentiel ?

La profondeur historique d’accès aux données de l’ESND

Ce référentiel prévoit la mise à disposition de deux jeux de données, afin d’ajuster les profondeurs historiques mises à disposition des porteurs de projets en fonction des besoins identifiés :

une profondeur historique de neuf ans en plus de l’année en cours ;
une profondeur historique de dix-neuf ans en plus de l’année en cours.

La profondeur historique des données auxquelles l’accès sera demandé et l’identifiant potentiel utilisé devront être justifiés par le responsable de traitement dans le protocole.

L’information des personnes

La précédente version du référentiel mentionnait simplement la nécessité d’informer les personnes concernées conformément aux dispositions législatives et règlementaires applicables aux traitements de données à caractère personnel du SNDS.

Dans le référentiel mis à jour, des précisions sont apportées en ce qui concerne l’information des personnes afin d’éclairer les acteurs sur leurs obligations, notamment s’agissant des modalités d’application de l’article 14.5.b du RGPD.

Ainsi, une information collective relative à la réalisation de chaque étude mise en œuvre dans le cadre de ce référentiel devra figurer sur le site web du responsable de traitement ainsi que du laboratoire de recherche ou bureau d’études la réalisant. En complément, et en considération des caractéristiques de l’étude, d’autres vecteurs pourront être utilisés pour diffuser cette information (communication sur les réseaux sociaux, dans les médias régionaux, auprès d’associations de patients, publication d’un communiqué de presse, etc.).

Dès lors qu’un responsable de traitement réalise plusieurs études à partir des données du SNDS, il sera nécessaire de mettre en place un portail de transparence (c'est-à-dire un site web spécifique), comportant une information générale sur le SNDS, ainsi qu’une note d’information spécifique à chaque étude.

Ces documents devront comporter l’ensemble des mentions prévues à l’article 14 du RGPD.

Texte reference