Les traitements dans le domaine de la santé contenant des données concernant la santé des personnes sont soumis, outre à celles du règlement (UE) 2016/679 du 27 avril 2016, aux dispositions de la présente section, à l'exception des catégories de traitements dans le domaine de la santé suivantes :

1° Les traitements relevant du 1° de l'article 44 de la présente loi et des a et c à f du 2 de l'article 9 du règlement (UE) 2016/679 du 27 avril 2016 ;

2° Les traitements permettant d'effectuer des études à partir des données recueillies en application du 1° de l'article 44 de la présente loi lorsque ces études sont réalisées par les personnels assurant ce suivi et destinées à leur usage exclusif ;

3° Les traitements mis en œuvre pour l'exercice de leurs missions par les organismes chargés de la gestion d'un régime de base d'assurance maladie ainsi que la prise en charge des prestations par les organismes d'assurance maladie complémentaire ;

4° Les traitements effectués au sein des établissements de santé par les médecins responsables de l'information médicale, dans les conditions prévues au deuxième alinéa de l'article L. 6113-7 du code de la santé publique ;

5° Les traitements effectués par les agences régionales de santé, par l'Etat et par la personne publique qu'il désigne en application du premier alinéa de l'article L. 6113-8 du même code, dans le cadre défini au même article L. 6113-8 ;

6° Les traitements mis en œuvre par l'Etat aux fins de conception, de suivi ou d'évaluation des politiques publiques dans le domaine de la santé ainsi que ceux réalisés aux fins de collecte, d'exploitation et de diffusion des statistiques dans ce domaine.

I. - Les traitements relevant de la présente section ne peuvent être mis en œuvre qu'en considération de la finalité d'intérêt public qu'ils présentent. La garantie de normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux constitue une finalité d'intérêt public.

II. - Des référentiels adoptés par la Commission nationale de l'informatique et des libertés précisent les modalités de mise en œuvre des traitements en vue d'assurer, dans le respect du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) et de la présente loi, un équilibre entre la protection des données et les finalités d'intérêt public mentionnées au I du présent article, notamment en matière de développement de la recherche dans le domaine de la santé.

Les référentiels sont élaborés à l'initiative de la Commission nationale de l'informatique et des libertés ou sur proposition des ministres chargés de la santé et de la recherche ou d'organismes publics ou privés représentatifs des acteurs concernés, dans des conditions prévues par décret en Conseil d'Etat.

La Commission nationale de l'informatique et des libertés élabore et publie une stratégie comportant une programmation des référentiels à adopter, dans des conditions définies par décret en Conseil d'Etat. Cette programmation inclut notamment les catégories les plus usuelles de traitements.

III. - Les traitements sont conformes à l'un des référentiels mentionnés au II. Avant la mise en œuvre d'un traitement, son responsable adresse à la Commission nationale de l'informatique et des libertés une déclaration attestant de cette conformité.

Une seule déclaration de conformité est nécessaire lorsqu'un responsable de traitement entend mettre en œuvre plusieurs traitements relevant d'un même référentiel.

IV. - Un traitement qui n'est pas conforme à un référentiel mentionné au II peut, par dérogation au III, être mis en œuvre après autorisation de la Commission nationale de l'informatique et des libertés. La demande d'autorisation est présentée dans les formes prévues à l'article 33.

La Commission nationale de l'informatique et des libertés peut, par décision unique, délivrer à un même demandeur une autorisation pour des traitements répondant à une même finalité, portant sur des catégories de données identiques et ayant des catégories de destinataires identiques.

V. - La Commission nationale de l'informatique et des libertés se prononce dans un délai de deux mois à compter de la réception de la demande. Toutefois, ce délai peut être prolongé une fois pour la même durée sur décision motivée de son président ou lorsque le comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé est saisi en application du second alinéa de l'article 72.

Lorsque la Commission nationale de l'informatique et des libertés ne s'est pas prononcée dans ces délais, la demande d'autorisation est réputée acceptée. Cette disposition n'est toutefois pas applicable si l'autorisation fait l'objet d'un avis préalable en application de la sous-section 2 de la présente section et que l'avis ou les avis rendus ne sont pas expressément favorables.

Par dérogation à l'article 66, les traitements de données à caractère personnel dans le domaine de la santé mis en œuvre par les organismes ou les services chargés d'une mission de service public figurant sur une liste fixée par arrêté des ministres chargés de la santé et de la sécurité sociale, pris après avis de la Commission nationale de l'informatique et des libertés, ayant pour seule finalité de répondre, en cas de situation d'urgence, à une alerte sanitaire et d'en gérer les suites, au sens de la section 1 du chapitre III du titre Ier du livre IV de la première partie du code de la santé publique, sont soumis aux seules dispositions de la section 3 du chapitre IV du règlement (UE) 2016/679 du 27 avril 2016.

Les traitements mentionnés au premier alinéa du présent article qui utilisent le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques sont mis en œuvre dans les conditions prévues à l'article 30 de la présente loi.

Les dérogations régies par le premier alinéa du présent article prennent fin un an après la création du traitement si ce dernier continue à être mis en œuvre au-delà de ce délai.

Nonobstant les règles relatives au secret professionnel, les membres des professions de santé peuvent transmettre au responsable d'un traitement de données autorisé en application de l'article 66 les données à caractère personnel qu'ils détiennent.

Lorsque ces données permettent l'identification des personnes, leur transmission doit être effectuée dans des conditions de nature à garantir leur confidentialité. La Commission nationale de l'informatique et des libertés peut adopter des recommandations ou des référentiels sur les procédés techniques à mettre en œuvre.

Lorsque le résultat du traitement de données est rendu public, l'identification directe ou indirecte des personnes concernées doit être impossible.

Les personnes appelées à mettre en œuvre le traitement de données ainsi que celles qui ont accès aux données sur lesquelles il porte sont astreintes au secret professionnel sous les peines prévues à l'article 226-13 du code pénal.

Les personnes auprès desquelles sont recueillies des données à caractère personnel ou à propos desquelles de telles données sont transmises sont individuellement informées conformément aux dispositions du règlement (UE) 2016/679 du 27 avril 2016.

Toutefois, ces informations peuvent ne pas être délivrées si la personne concernée a entendu faire usage du droit qui lui est reconnu par l'article L. 1111-2 du code de la santé publique d'être laissée dans l'ignorance d'un diagnostic ou d'un pronostic.

Sont destinataires de l'information et exercent les droits de la personne concernée par le traitement les titulaires de l'exercice de l'autorité parentale, pour les mineurs, ou la personne chargée d'une mission de représentation dans le cadre d'une tutelle, d'une habilitation familiale ou d'un mandat de protection future, pour les majeurs protégés dont l'état ne leur permet pas de prendre seuls une décision personnelle éclairée.

Par dérogation au premier alinéa du présent article, pour les traitements de données à caractère personnel réalisés dans le cadre de recherches mentionnées aux 2° et 3° de l'article L. 1121-1 du code de la santé publique ou d'études ou d'évaluations dans le domaine de la santé, ayant une finalité d'intérêt public et incluant des personnes mineures, l'information peut être effectuée auprès d'un seul des titulaires de l'exercice de l'autorité parentale s'il est impossible d'informer l'autre titulaire ou s'il ne peut être consulté dans des délais compatibles avec les exigences méthodologiques propres à la réalisation de la recherche, de l'étude ou de l'évaluation au regard de ses finalités. Le présent alinéa ne fait pas obstacle à l'exercice ultérieur, par chaque titulaire de l'exercice de l'autorité parentale, des droits mentionnés au premier alinéa.

Pour ces traitements, le mineur âgé de quinze ans ou plus peut s'opposer à ce que les titulaires de l'exercice de l'autorité parentale aient accès aux données le concernant recueillies au cours de la recherche, de l'étude ou de l'évaluation. Le mineur reçoit alors l'information et exerce seul ses droits.

Pour ces mêmes traitements, le mineur âgé de quinze ans ou plus peut s'opposer à ce que les titulaires de l'exercice de l'autorité parentale soient informés du traitement de données si le fait d'y participer conduit à révéler une information sur une action de prévention, un dépistage, un diagnostic, un traitement ou une intervention pour laquelle le mineur s'est expressément opposé à la consultation des titulaires de l'autorité parentale, en application des articles L. 1111-5 et L. 1111-5-1 du code de la santé publique, ou si les liens de famille sont rompus et que le mineur bénéficie à titre personnel du remboursement des prestations en nature de l'assurance maladie et maternité et de la couverture complémentaire mise en place par la loi n° 99-641 du 27 juillet 1999 portant création d'une couverture maladie universelle. Il exerce alors seul ses droits.

Une information relative aux dispositions de la présente sous-section doit être assurée notamment dans tout établissement ou centre où s'exercent des activités de prévention, de diagnostic et de soins donnant lieu à la transmission de données à caractère personnel en vue d'un traitement mentionné au présent titre.

Les traitements automatisés de données à caractère personnel dont la finalité est ou devient la recherche ou les études dans le domaine de la santé ainsi que l'évaluation ou l'analyse des pratiques ou des activités de soins ou de prévention sont soumis à la sous-section 1 de la présente section, sous réserve de la présente sous-section.

Le comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé peut se saisir ou être saisi, dans des conditions définies par décret en Conseil d'Etat, par la Commission nationale de l'informatique et des libertés ou le ministre chargé de la santé sur le caractère d'intérêt public que présentent les traitements mentionnés au premier alinéa du présent article.

Pour l'application de la présente sous-section, au titre des référentiels mentionnés au II de l'article 66, des méthodologies de référence sont adoptées par la Commission nationale de l'informatique et des libertés.

Toute personne a le droit de s'opposer à ce que des données à caractère personnel la concernant fassent l'objet de la levée du secret professionnel rendue nécessaire par un traitement de la nature de ceux mentionnés à l'article 65.

Dans le cas où la recherche nécessite l'examen des caractéristiques génétiques, le consentement éclairé et exprès des personnes concernées doit être obtenu préalablement à la mise en œuvre du traitement de données. Le présent article n'est pas applicable aux recherches réalisées en application de l'article L. 1130-5 du code de la santé publique.

L'autorisation du traitement est accordée par la Commission nationale de l'informatique et des libertés dans les conditions définies à l'article 66, après avis :

1° Du comité compétent de protection des personnes mentionné à l'article L. 1123-6 du code de la santé publique, pour les demandes d'autorisation relatives aux recherches impliquant la personne humaine mentionnées à l'article L. 1121-1 du même code ;

2° Du comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé, pour les demandes d'autorisation relatives à des études ou à des évaluations ainsi qu'à des recherches n'impliquant pas la personne humaine, au sens du 1° du présent article.

Ce comité est composé de manière à garantir son indépendance et la diversité des compétences dans le domaine des traitements concernant la santé et à l'égard des questions scientifiques, éthiques, sociales et juridiques. Il est composé en recherchant une représentation équilibrée des femmes et des hommes. Il comporte, en son sein, des représentants d'associations de malades ou d'usagers du système de santé agréées désignés au titre des dispositions de l'article L. 1114-1 du code de la santé publique.

Les membres du comité, les personnes appelées à collaborer à ses travaux et les agents relevant du statut général des fonctionnaires ou du statut général des militaires qui en sont dépositaires sont tenus, dans les conditions et sous les peines prévues aux articles 226-13 et 226-14 du code pénal, de garder secrètes les informations dont ils peuvent avoir connaissance à raison de leurs fonctions et qui sont relatives à la nature des recherches, études ou évaluations, aux personnes qui les organisent ou aux produits, objets ou méthodes faisant l'objet de la recherche.

Ne peuvent valablement participer à une délibération les personnes qui ne sont pas indépendantes du promoteur et de l'investigateur de la recherche, de l'étude ou de l'évaluation examinée.

Un décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés, fixe la composition du comité éthique et scientifique et définit ses règles de fonctionnement. Les membres du comité sont soumis à l'article L. 1451-1 du code de la santé publique.

Les dossiers présentés dans le cadre de la présente section, à l'exclusion des recherches impliquant la personne humaine, sont déposés auprès d'un secrétariat unique assuré par la plateforme des données de santé, qui assure leur orientation vers les instances compétentes.

Par dérogation au 2° du présent article, les demandes d'autorisation relatives à des études ou à des évaluations ainsi qu'à des recherches n'impliquant pas la personne humaine et ayant fait l'objet d'un avis favorable d'un comité scientifique et éthique local peuvent être dispensées d'un avis préalable du comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé, dans des conditions définies par un décret en Conseil d'Etat pris après avis de la Commission nationale de l'informatique et des libertés.

La composition du comité scientifique et éthique local mentionné à l'avant-dernier alinéa, les modalités de désignation de ses membres et ses règles de fonctionnement respectent un cahier des charges établi au niveau national par un arrêté des ministres chargés de la santé et de la recherche pris après avis du comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé et de la Commission nationale de l'informatique et des libertés.

Dans le respect des missions et des pouvoirs de la Commission nationale de l'informatique et des libertés et aux fins de renforcer la bonne application des règles de sécurité et de protection des données, un comité d'audit du système national des données de santé est institué. Ce comité d'audit définit une stratégie d'audit puis une programmation, dont il informe la commission. Il fait réaliser des audits sur l'ensemble des systèmes réunissant, organisant ou mettant à disposition tout ou partie des données du système national des données de santé à des fins de recherche, d'étude ou d'évaluation ainsi que sur les systèmes composant le système national des données de santé.

Le comité d'audit comprend des représentants des services des ministères chargés de la santé, de la sécurité sociale et de la solidarité, des responsables des des traitements du système national des données de santé, des autres producteurs de données du système national des données de santé, de la plateforme des données de santé, ainsi qu'une personne représentant les acteurs privés du domaine de la santé. Des personnalités qualifiées peuvent y être désignées. Le président de la Commission nationale de l'informatique et des libertés, ou son représentant, y assiste en tant qu'observateur.

Les audits, dont le contenu est défini par le comité d'audit, sont réalisés par des prestataires sélectionnés selon des critères et modalités permettant de disposer de garanties attestant de leur compétence en matière d'audit de systèmes d'information et de leur indépendance à l'égard de l'entité auditée.

Le prestataire retenu soumet au président du comité d'audit la liste des personnes en charge de chaque audit et les informations permettant de garantir leurs compétences et leur indépendance.

Les missions d'audit s'exercent sur pièces et sur place. La procédure suivie inclut une phase contradictoire. La communication des données médicales individuelles ne peut se faire que sous l'autorité et en présence d'un médecin, s'agissant des informations qui figurent dans un traitement nécessaire aux fins de la médecine préventive, de la recherche médicale, des diagnostics médicaux, de l'administration de soins ou de traitements, ou de la gestion de service de santé.

Pour chaque mission diligentée, des échanges ont lieu, si nécessaire, entre les personnes en charge des audits, le président du comité d'audit, les responsables des traitements mentionnés au II de l'article L. 1461-1 du code de la santé publique et le président de la Commission nationale de l'informatique et des libertés.

Si le comité d'audit a connaissance d'informations de nature à révéler des manquements graves en amont ou au cours d'un audit ou en cas d'opposition ou d'obstruction à l'audit, un signalement est adressé sans délai par le président du comité d'audit au président de la Commission nationale de l'informatique et des libertés.

Chaque mission diligentée établit un rapport relevant notamment les anomalies constatées et les manquements aux règles applicables aux systèmes d'information audités.

Si la mission constate, à l'issue de l'audit, de graves manquements, elle en informe sans délai le président du comité d'audit, qui informe sans délai le président de la Commission nationale de l'informatique et des libertés et les responsables des traitements mentionnés au II de l'article L. 1461-1 du code de la santé publique.

En cas d'urgence, les responsables des traitements mentionnés au II de l'article L. 1461-1 du code de la santé publique peuvent suspendre temporairement l'accès au système national des données de santé avant le terme de l'audit s'ils disposent d'éléments suffisamment préoccupants concernant des manquements graves aux règles précitées. Ils doivent en informer immédiatement le président du comité et le président de la commission. Le rétablissement de l'accès ne peut se faire qu'avec l'accord de ce dernier au regard des mesures correctives prises par l'entité auditée. Ces dispositions sont sans préjudice des prérogatives propres de la Commission nationale de l'informatique et des libertés.

Le rapport définitif de chaque mission est transmis au comité d'audit, au président de la Commission nationale de l'informatique et des libertés et au responsable du traitement audité.

Un décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés, précise la composition du comité et définit ses règles de fonctionnement ainsi que les modalités de l'audit.