Délibération n° 2018-257 du 7 juin 2018 portant homologation d'une méthodologie de référence relative aux traitements de données nécessitant l'accès pour le compte des personnes produisant ou commercialisant des produits mentionnés au II de l'article L. 5311-1 du code de la santé publique aux données du PMSI centralisées et mises à disposition par l'ATIH par l'intermédiaire d'une solution sécurisée (MR 006)

Chemin :




Article
ELI: Non disponible


2.1. Finalité des traitements


Les traitements de données à caractère personnel des personnes concernées ne doivent pas avoir pour objectif principal ou secondaire, ou pour effet de permettre la réalisation d'une ou des finalités interdites, décrites à l'article L. 1461-1 V du CSP.
Le motif d'intérêt public est justifié par le responsable de traitement dans le protocole et auprès de l'INDS conformément au paragraphe 6.2 « Principe de transparence » de la présente méthodologie de référence.
En tout état de cause, les traitements de données d'études répondant aux finalités suivantes peuvent être réalisés dans le cadre de la méthodologie de référence :


- préparation des dossiers de discussions et réunions avec les autorités et comités compétents (exemple : réunions annuelles du comité de prospective des innovations médicamenteuses (CPIM), comité économique des produits de santé (CEPS), etc.) ;
- réalisation d'études en conditions réelles d'utilisation à destination ou à la demande des autorités ;
- ciblage des centres et/ou réalisation d'études de faisabilité dans le cadre d'une recherche impliquant ou n'impliquant pas la personne humaine ;
- réalisation d'études dans le cadre de la vigilance et de la surveillance après commercialisation.


2.2. Origine et nature des données
2.2.1. Origine des données à caractère personnel


Les données doivent provenir exclusivement des bases de données constituées par l'ATIH au titre du PMSI.


2.2.2. Nature des données à caractère personnel


En application de l'article 5, paragraphe 1, point c, du RGPD, les données traitées doivent être pertinentes, adéquates et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (principe de minimisation des données). A cet égard, le responsable de traitement s'engage à ne traiter que les données strictement nécessaires et pertinentes au regard des objectifs de l'étude. Dès lors, chacune des catégories de données ne peut être traitée que si leur traitement est justifié dans le protocole.
Les catégories de données à caractère personnel pouvant faire l'objet du traitement sont les données centralisées et mises à disposition par l'Agence technique de l'information sur l'hospitalisation (ATIH), sur l'ensemble des fichiers dans les champs :


- médecine, chirurgie, obstétrique et odontologie (MCO) ;
- soins de suite et de réadaptation (SSR) ;
- recueil d'information médicalisée en psychiatrie (RIM-P) ;
- hospitalisation à domicile (HAD) ;
- avec la possibilité de relier toutes les données du PMSI concernant un même patient au moyen du fichier « ANO ».


Les traitements inclus dans le cadre de la présente méthodologie de référence portent sur les données nationales du PMSI dont la profondeur historique maximale est de neuf ans plus l'année en cours.
La zone géographique concernée ainsi que la profondeur historique des données consultées sont justifiées dans le protocole.


2.3. Destinataires des données à caractère personnel traitées


Les données de l'ATIH sont mises à disposition du laboratoire de recherche ou bureau d'études par l'intermédiaire d'une solution sécurisée. Aucune exportation de données à caractère personnel ne peut être réalisée en dehors de la solution sécurisée utilisée dans le cadre de la présente méthodologie de référence.
Seul le personnel du laboratoire de recherche et du bureau d'études peut accéder aux données, dans le respect des dispositions prévues par l'article 3 du référentiel déterminant les critères de confidentialité, d'expertise et d'indépendance pour les laboratoires de recherche et bureaux d'études.
Ces catégories de personnes sont soumises au secret professionnel dans les conditions définies par les articles 226-13 et 226-14 du code pénal.
La qualification des personnes habilitées et leurs droits d'accès doivent être régulièrement réévalués, par le laboratoire de recherche ou bureau d'études conformément aux modalités décrites dans la procédure d'habilitation qu'il a établie.


2.4. Publication des résultats


Conformément aux dispositions de la loi informatique et libertés, la présentation des résultats du traitement de données ne peut en aucun cas permettre l'identification directe ou indirecte des personnes concernées.


2.5. Information et droits des personnes concernées par l'étude


L'information des personnes concernées, quant à la réutilisation possible de leurs données et aux modalités d'exercice de leurs droits, est assurée par une mention figurant sur le site internet des responsables de traitement, des laboratoires de recherche et bureaux d'études, des établissements de santé, des organismes d'assurance maladie et sur des supports permettant de la porter à la connaissance des personnes, notamment des affiches dans les locaux ouverts au public ou des documents qui leur sont remis.
Les droits d'accès, de rectification et d'opposition s'exercent auprès du directeur de l'organisme gestionnaire du régime d'assurance maladie obligatoire auquel la personne est rattachée, conformément aux dispositions de l'article R. 1461-9 du CSP.


2.6. Durée de conservation


Les données à caractère personnel du PMSI ne peuvent faire l'objet d'une conservation en dehors de la solution sécurisée auquel le laboratoire de recherche ou le bureau d'études a recours. Seuls des résultats anonymes peuvent être exportés.
La durée d'accès aux données dans la solution sécurisée doit être limitée à celle nécessaire à la mise en œuvre du traitement. Lorsque le responsable de traitement en justifie, l'accès aux données peut être maintenu à l'issue de l'étude, dans la limite de deux ans à compter de la dernière publication relative aux résultats.
Lorsque la solution sécurisée est détenue par le laboratoire de recherche ou le bureau d'études, la durée d'accès aux données et la durée de conservation dans la solution sécurisée doivent être limitées à la durée nécessaire à la mise en œuvre du traitement. Lorsque le responsable de traitement en justifie, l'accès aux données et leur conservation peuvent être maintenus à l'issue de l'étude, dans la limite de deux ans à compter de la dernière publication relative aux résultats.


Liens relatifs à cet article