Substituer aux alinéas 1 à 52 les soixante-quatorze alinéas suivants :

« I - Le livre IV de la première partie du code de la santé publique est complété par un titre VI ainsi rédigé :

« Titre VI

« Mise à disposition des données de santé

« Chapitre préliminaire

« Principes relatifs à la mise à disposition des données de santé

« Art. L. 1460‑1. – Les données de santé à caractère personnel recueillies à titre obligatoire et destinées aux services ou établissements publics de l’État, des collectivités territoriales ou aux organismes de sécurité sociale peuvent faire l’objet de traitements à des fins d’études, de recherches et évaluations présentant un caractère d’intérêt public, dans le respect de la loi n° 78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Les traitements réalisés à cette fin ne peuvent avoir ni pour objet ni pour effet de porter atteinte à la vie privée des personnes concernées.

« Les citoyens, les professionnels de santé, les établissements de santé et leurs organisations représentatives ainsi que les organismes participant au financement de la couverture contre le risque maladie ou réalisant des études et des recherches à des fins de santé publique, les services de l’État et les institutions publiques compétentes en matière de santé ont accès aux données mentionnées à l’alinéa précédent dans des conditions précisées au présent titre.

« Chapitre I^er

« Système national des données de santé

« Art. L. 1461‑1. – I. – Le système national des données de santé rassemble et met à disposition :

« 1° Les données issues des systèmes d’information hospitaliers mentionnés à l’article L. 6113‑7 du présent code ;

« 2° Les données du système d’information de l’assurance maladie mentionné à l’article L. 161‑28‑1 du code de la sécurité sociale ;

« 3° Les données sur les causes de décès mentionnées à l’article L. 2223‑42 du code général des collectivités territoriales ;

« 4° Les données médico-sociales du système d’information mentionné à l’article L. 247 – 2 du code de l’action sociale et des familles ;

« 5° Un échantillon représentatif des données de remboursement par bénéficiaire transmises par des organismes d’assurance maladie complémentaire et défini en concertation avec leurs organisations représentatives.

« II. – Dans le cadre d’orientations générales définies par l’État, en concertation avec les organismes responsables des systèmes d’information et des données mentionnés au I, la Caisse nationale de l’assurance maladie des travailleurs salariés réunit et organise l’ensemble des données qui constituent le système national des données de santé mentionné au I. Elle est responsable du traitement.

« La méthode d’appariement des données mentionnées au 5° du I du présent article avec les données correspondantes du système national des données de santé est élaborée en concertation avec les organisations représentatives des organismes qui transmettent les données concernées.

« III. – Le système national des données de santé a pour finalité la mise à disposition des données, dans les conditions définies par les articles L. 1461‑2 et L. 1461‑3, pour contribuer :

« 1° À l’information sur la santé, les soins et la prise en charge médico-sociale ;

« 2° À la définition, la mise en œuvre et l’évaluation des politiques de santé et de protection sociale ;

« 3° À la connaissance des dépenses de santé, des dépenses de l’assurance maladie et des dépenses médico-sociales ;

« 4° À l’information des professionnels, structures et établissements de santé ou médico – sociaux sur leur activité ;

« 5° À la surveillance, la veille et la sécurité sanitaires ;

« 6° À la recherche, aux études, à l’évaluation et à l’innovation dans les domaines de la santé et de la prise en charge médico-sociale.

« IV. – Pour le système national des données de santé et pour les traitements utilisant des données à caractère personnel issues de ce système :

« 1° Aucune décision ne peut être prise à l’encontre d’une personne physique identifiée sur le fondement des données la concernant et figurant dans l’un de ces traitements, sous réserve des dispositions du troisième alinéa de l’article L. 1461‑4-III ;

« 2° Les personnes responsables de ces traitements, ainsi que celles les mettant en œuvre ou autorisées à accéder aux données à caractère personnel qui en sont issues, sont soumises au secret professionnel dans les conditions et sous les peines prévues à l’article 226‑13 du code pénal ;

« 3° L’accès aux données s’effectue dans des conditions assurant la confidentialité et l’intégrité des données, et la traçabilité des accès et des autres traitements, conformément à un référentiel défini par arrêté des ministres chargés de la santé et de la sécurité sociale pris après avis de la Commission nationale de l’informatique et des libertés ;

« 4° Les données individuelles du système national des données de santé sont conservées pour une durée maximale de vingt ans, sans préjudice de l’application du deuxième alinéa de l’article 36 de la loi n° 78‑17 du 6 janvier 1978.

« V. – Les données du système national des données de santé ne peuvent être traitées pour l’une des finalités suivantes :

« 1° La prospection commerciale en direction des professionnels de santé ou d’établissements de santé ;

« 2° L’exclusion ou la modification des contrats d’assurance et la modification de cotisations ou primes d’assurance d’un individu ou groupe d’individus présentant un même risque.

« Art. L. 1461‑2. – Les données du système national des données de santé qui font l’objet d’une mise à la disposition du public sont traitées pour prendre la forme de statistiques agrégées ou de données individuelles constituées de telle sorte que l’identification directe ou indirecte des personnes concernées y est impossible. Ces données sont mises à disposition gratuitement.

« Par dérogation à l’alinéa précédent, les données relatives à l’activité des professionnels de santé publiées par les organismes gestionnaires des régimes obligatoires de base de l’assurance maladie en application de l’article L. 162‑1‑11 du code de la sécurité sociale sont réutilisées dans les conditions mentionnées à l’article 12 et au deuxième alinéa de l’article 13 de la loi n° 78‑753 du 17 juillet 1978 portant diverses mesures d’amélioration des relations entre l’administration et le public et diverses dispositions d’ordre administratif, social et fiscal.

« Art. L. 1461‑3. – I. – Un accès aux données à caractère personnel du système national des données de santé ne peut être autorisé que pour permettre des traitements :

« a) soit à des fins de recherche, d’étude ou d’évaluation contribuant à un objectif mentionné au III de l’article L. 1461‑1 et répondant à un motif d’intérêt public ;

« b) soit nécessaires à l’accomplissement des missions des services de l’État, des établissements publics ou des organismes chargés d’une mission de service public compétents dans les conditions définies au III du présent article.

« Le responsable de tels traitements n’est autorisé à accéder aux données du système national des données de santé et à procéder à des appariements avec ces données que dans la mesure où ces actions sont rendues strictement nécessaires par les finalités de la recherche, de l’étude ou de l’évaluation ou par les missions de l’organisme concerné.

« Seules les personnes nommément désignées et habilitées à cet effet par le responsable du traitement, dans les conditions précisées dans le décret en Conseil d’État mentionné à l’article L. 1461‑7, sont autorisées à accéder aux données du système national des données de santé.

« II – Les traitements à des fins de recherche, d’étude ou d’évaluation mentionnés au a du I sont autorisés selon la procédure définie au chapitre IX de la loi n° 78‑17 du 6 janvier 1978 susmentionnée.

« Les personnes produisant ou commercialisant des produits mentionnés au II de l’article L. 5311‑1 ou les personnes participant, directement ou indirectement, à la conception et à la commercialisation de contrats d’assurance, sont tenues :

« a) soit de démontrer que les modalités d’accès aux données rendent impossible toute utilisation des données pour l’une des finalités mentionnées au V de l’art. L. 1461‑1 ;

« b) soit de recourir à un laboratoire de recherche ou à un bureau d’étude, publics ou privés, pour réaliser le traitement.

« Les responsables des laboratoires de recherche et des bureaux d’études présentent à la Commission nationale de l’informatique et des libertés un engagement de conformité à un référentiel incluant les critères d’expertise et d’indépendance, arrêté par le ministre chargé de la santé, pris après avis de la même Commission.

 « L’accès aux données est subordonné à l’engagement par le demandeur de communiquer au groupement d’intérêt public mentionné à l’article L 1462‑1 :

« 1° Au début de la recherche, de l’étude ou de l’évaluation, l’autorisation de la Commission nationale de l’informatique et des libertés et une déclaration des intérêts du demandeur en rapport avec l’objet du traitement ;

« 2° À la fin de la recherche, de l’étude ou de l’évaluation, la méthode et les résultats de l’analyse, et les moyens d’en évaluer la validité.

« Le groupement d’intérêt public mentionné à l’article L. 1462‑1 publie l’autorisation de la Commission nationale de l’informatique et des libertés, la déclaration d’intérêts, les résultats et la méthode.

« III. – Le décret mentionné à l’article L. 1461‑7 fixe la liste des services de l’État, des établissements publics ou des organismes chargés d’une mission de service public autorisés à traiter des données à caractère personnel du système national des données de santé pour les besoins de leurs missions. Ce décret précise pour chacun de ces services, établissements ou organismes, l’étendue de cette autorisation, les conditions d’accès aux données et celles de la gestion des accès.

« Art. L. 1461‑4. – I. – Le système national des données de santé ne contient ni les noms et prénoms des personnes, ni leur numéro d’inscription au répertoire national d’identification des personnes physiques, ni leur adresse. Les numéros d’identification des professionnels de santé sont conservés et gérés séparément des autres données.

« II. – Un décret pris en Conseil d’État après avis de la Commission nationale de l’informatique et des libertés détermine les données à caractère personnel qui, en raison du risque d’identification directe des personnes concernées, sont confiées à un organisme distinct du responsable du système national des données de santé et des responsables des traitements.

« Cet organisme est seul habilité à détenir le dispositif de correspondance permettant de ré-identifier les personnes à partir des données du système national des données de santé. Il assure la sécurité de ce dispositif.

« III. – La Commission nationale de l’informatique et des libertés peut autoriser l’accès aux données détenues par l’organisme mentionné au II, dans les conditions prévues par la loi n° 78‑17 du 6 janvier 1978, quand il est nécessaire :

« a) pour avertir une personne d’un risque sanitaire grave auquel elle est exposée ou pour lui proposer de participer à une recherche ;

« b) pour la réalisation d’un traitement à des fins de recherche, d’étude ou d’évaluation si le recours à ces données est nécessaire, sans solution alternative, à la finalité du traitement, et proportionné aux résultats attendus.

« Art. L. 1461‑5. – L’accès aux données de santé autres que celles mentionnées à l’article L. 1461‑2 est gratuit pour :

« 1° Les recherches, études ou évaluations demandées par l’autorité publique ;

« 2° Les recherches réalisées exclusivement pour les besoins de services publics administratifs.

« Art. L. 1461‑6. – Pour les finalités de recherche, d’étude ou d’évaluation, la mise à disposition des données des composantes du système national des données de santé mentionnées aux alinéas 1 à 5 de l’article L. 1461‑1 est régie par les dispositions du présent chapitre.

« Art. L. 1461‑7. – Un décret en Conseil d’État pris après avis de la Commission nationale de l’informatique et des libertés :

« 1° Désigne les organismes chargés de gérer la mise à disposition effective des données du système national des données de santé et la détermination de leurs responsabilités respectives ;

« 2° Dresse la liste des catégories de données réunies au sein du système national des données de santé, et des modalités d’alimentation du système national des données de santé, y compris par les organismes d’assurance maladie complémentaire ;

« 3° Fixe, dans les limites prévues par le III de l’article L. 1461‑3, la liste des services, établissements ou organismes bénéficiant de l’autorisation mentionnée par ce même III ;

« 4° Fixe les conditions de désignation et d’habilitation des personnels autorisés à accéder au système national des données de santé ;

« 5° Fixe les conditions de gestion et de conservation séparées des données permettant une identification directe des personnes conformément à l’article L. 1461‑4 et détermine l’organisme à qui sont confiées ces données.

« Chapitre II

« Institut national des données de santé

 « Art. L. 1462‑1. – Un groupement d’intérêt public, dénommé : « Institut national des données de santé », est constitué entre l’État, des organismes assurant une représentation des malades et usagers du système de santé, des producteurs de données de santé et des utilisateurs publics et privés de données de santé, y compris des organismes de recherche en santé.

« Il est notamment chargé :

« 1° De veiller à la qualité des données de santé et aux conditions générales de leur mise à disposition garantissant leur sécurité et facilitant leur utilisation dans le respect de la loi n°78‑17 du 6 janvier 1978 ;

« 2° D’assurer le secrétariat unique mentionné à l’article 54 de la loi n° 78‑17 du 6 janvier 1978 ;

« 3° D’émettre un avis sur le caractère d’intérêt public que présente une recherche, une étude ou une évaluation, dans les conditions prévues par l’article 54 de la même loi ;

« 4° De contribuer à l’expression des besoins en matière de données anonymes et de résultats statistiques, en vue de leur mise à la disposition du public.

« Il publie chaque année un rapport à l’attention du Parlement. » ; ».