Arrêté du 12 mai 2022 relatif aux données alimentant la base principale et aux bases de données du catalogue du système national des données de santé

NOR : SSAE2213990A
ELI : https://www.legifrance.gouv.fr/eli/arrete/2022/5/12/SSAE2213990A/jo/texte
JORF n°0112 du 14 mai 2022
Texte n° 57

Version initiale


Le ministre des solidarités et de la santé,
Vu le code de la santé publique, notamment ses articles L. 1461-1 et L. 3131-9-1 et R. 1461-2 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;
Vu la loi n° 2020-546 du 11 mai 2020 modifiée prorogeant l'état d'urgence sanitaire et complétant ses dispositions ;
Vu la loi n° 2021-689 du 31 mai 2021 relative à la gestion de la sortie de crise sanitaire ;
Vu le décret n° 2019-536 du 29 mai 2019 modifié pris pour application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret n° 2020-551 du 12 mai 2020 modifié relatif aux systèmes d'information mentionnés à l'article 11 de la loi n° 2020-546 du 11 mai 2020 prorogeant l'état d'urgence sanitaire et complétant ses dispositions ;
Vu le décret n° 2020-1690 du 25 décembre 2020 modifié autorisant la création d'un traitement de données à caractère personnel relatif aux vaccinations contre la covid-19 ;
Vu l'arrêté du 22 mars 2017 relatif au référentiel de sécurité applicable au Système national des données de santé ;
Vu la délibération 00-002 du 13 janvier 2000 portant autorisation de mise en œuvre par l'Agence régionale de l'hospitalisation d'Ile-de-France d'un traitement de données personnelles de santé à des fins d'évaluation des pratiques de soins en urgence face à un infarctus du myocarde ;
Vu la délibération n° 2013-611 du 10 janvier 2014 de la Commission nationale de l'informatique et des libertés autorisant la mise en œuvre du traitement mis en œuvre par l'Institut national de la santé et de la recherche médicale (INSERM) ayant pour finalité une étude portant sur les bénéfices et risques associés aux différentes modalités de prise en charge thérapeutique des hépatites B et C modifiée par la délibération n° 2018-300 du 19 juillet 2018 ;
Vu la délibération n° 2014-439 du 23 octobre 2014 de la Commission nationale de l'informatique et des libertés autorisant l'institut de veille sanitaire (InVS) à mettre en œuvre un traitement automatisé de données à caractère personnel, dénommé SurSaUD ayant pour finalité la surveillance sanitaire des urgences et des décès ;
Vu la délibération n° 2014-501 du 11 décembre 2014 de la Commission nationale de l'informatique et des libertés portant autorisation unique de mise en œuvre de traitements automatisés de données à caractère personnel par les entreprises ou organismes exploitant ou important des médicaments dans le cadre des autorisations temporaires d'utilisation (ATU) et recommandations temporaires d'utilisation (RTU) (AU-041) et l'engagement de conformité n° 1841450 du 5 mars 2015 ;
Vu la délibération n° 2018-153 du 3 mai 2018 portant homologation d'une méthodologie de référence relative aux traitements de données à caractère personnel mis en œuvre dans le cadre des recherches dans le domaine de la santé avec recueil du consentement de la personne concernée (MR-001) et abrogeant la délibération n° 2016-262 du 21 juillet 2016 et les engagements de conformité n° 1510962 en date du 30 mai 2011 et n° 21986634 en date du 18 juillet 2018 ;
Vu l'arrêté modifié du 22 août 2011 relatif à la notification obligatoire des maladies infectieuses et autres maladies mentionnées à l'article D. 3113-7 du code de la santé publique ;
Vu la délibération n° 2019-002 du 10 janvier 2019 de la Commission nationale de l'informatique et des libertés autorisant l'Agence nationale de santé publique à mettre en œuvre un traitement de données à caractère personnel ayant pour finalité un traitement de surveillance du VIH et de la tuberculose par un dispositif dématérialisé de déclaration obligatoire nommé « E-DO » et abrogeant la délibération n° 2015-344 du 6 octobre 2015 ;
Vu l'arrêté du 22 avril 2021 relatif à la notification obligatoire des cas d'infection à virus du Nil Occidental et des cas d'infection à virus de l'encéphalite à tiques ;
Vu la délibération n° 2019-113 du 5 septembre 2019 de la Commission nationale de l'informatique et des libertés autorisant l'Assistance publique-hôpitaux de Paris à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la constitution et la mise en œuvre d'un entrepôt de données, dénommé « Banque nationale de données maladies rares » (BNDMR) ;
Vu la décision DR-2020-180 du 25 avril 2020 de la Commission nationale de l'informatique et des libertés autorisant l'Institut national de la santé et de la recherche médicale et le ministère des solidarités et de la santé (direction de la recherche, des études, de l'évaluation et des statistiques) à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur l'épidémiologie et les conditions de vie liées au covid-19, intitulée « EpiCov » ;
Vu la décision DR-2020-365 du 27 novembre 2020 de la Commission nationale de l'informatique et des libertés autorisant le Centre régional de coordination des dépistages des cancers en Occitanie à mettre en œuvre un traitement de données ayant pour finalité l'évaluation de l'apport de l'utilisation d'une Intelligence Artificielle dans le programme de dépistage organisé du cancer du sein français et nécessitant un accès aux données du SNIIRAM et du PMSI pour les années 2006 à 2019 et au CépiDC pour les années 2006 à 2016, composantes du Système national des données de santé, intitulé « DEEP-PISTE » ;
Vu la décision DT-2021-018 du 26 juillet 2021 autorisant l'Agence régional de santé d'Ile-de-France à mettre en œuvre un traitement ayant pour finalité un entrepôt de données de santé de cardiologie d'Ile-de-France, dénommé « EDS cardiologie IDF » ;
Vu la décision DE-2017-066 du 21 mars 2017 de la Commission nationale de l'informatique et des libertés autorisant la société UNICANCER à mettre en œuvre la modification d'un traitement de données de santé à caractère personnel ayant pour finalité l'évaluation de l'évolution de la prise en charge thérapeutique du cancer du sein métastatique à partir de 2008 dans les Centres de lutte contre le cancer (CLCC) ;
Vu l'arrêté du 29 juin 2021 portant création du comité stratégique des données de santé ;
Vu l'avis du comité stratégique des données de santé en date du 9 juillet 2021 ;
Vu la délibération n° 2022-044 du 14 avril 2022 portant avis sur un projet d'arrêté relatif aux données alimentant la base principale et aux bases de données du catalogue du système national des données de santé,
Arrête :


  • En application du I de l'article R. 1461-2, la base principale du système national des données de santé réunit les données mentionnées aux 1° à 4° du I de l'article L. 1461-1 du code de la santé publique complétée des données issues de :
    1° La base de données relative aux vaccinations contre la covid-19, dénommée « Vaccin-covid » ;
    2° La base de données relative au dépistage des cas de covid-19, dénommée « SI-DEP » ;


  • Les données qui alimentent la base principale, conformément au I de l'article R. 1461-2 du code de la santé publique, sont les suivantes :
    1° Pour « Vaccin-covid » :
    a) Les données relatives à la personne invitée à se faire vacciner ou vaccinée : sexe, mois et année de naissance ;
    b) Les données relatives à la réalisation de la vaccination : dates de la ou des injections, informations permettant l'identification du vaccin injecté, précisions sur l'administration du vaccin, identification du ou des lieux de vaccination, les numéros d'identification des professionnels de santé ayant réalisé respectivement la consultation préalable à la vaccination et chaque injection ;
    c) Les données relatives à la santé de la personne mentionnée au a : critères médicaux d'éligibilité à la vaccination et traitements suivis, informations relatives à la recherche et à l'identification de contre-indications à la vaccination, date d'une infection par le virus de la covid-19 obtenue à partir des informations mentionnées au 6° de l'article 9 du décret du 12 mai 2020 susvisé ;
    d) Les numéros d'identification des professionnels de santé et des personnes placées sous leur responsabilité ayant réalisé la consultation préalable et la vaccination ;
    e) Le numéro d'identification de l'établissement ou de la structure de rattachement, de l'établissement ou de la structure de vaccination ;
    2° Pour « SI-DEP » :
    a) Les données relatives à la personne ayant fait l'objet d'un examen de dépistage virologique ou sérologique de la covid-19 : sexe, mois et année de naissance, commune de résidence et son code ainsi que données infracommunales de localisation ;
    b) Les informations portant sur la situation du patient nécessaires à la réalisation des enquêtes sanitaires : résident dans un lieu d'hébergement collectif, patient hospitalisé dans un établissement de santé, personne ayant fait l'objet d'une vaccination contre la covid-19 (statut vaccinal, nom du vaccin et date de la ou les injections), personne ayant séjourné à l'étranger avec indication du pays le cas échéant ou personne ayant fait l'objet d'un dépistage dans le cadre d'une campagne organisée par l'agence régionale de santé et, le cas échéant, date d'apparition des premiers symptômes ;
    c) Le numéro d'identification des professionnels de santé ;
    d) Les caractéristiques techniques du prélèvement : date et heure du prélèvement, lieu de prélèvement ;
    e) Les informations relatives au résultat des examens de dépistage virologique ou sérologique : numéro d'identification du laboratoire, type d'analyse réalisée, date et heure de la validation de l'analyse, résultat de l'analyse, compte-rendu d'analyse ;


  • Le catalogue du système national des données de santé est constitué des données issues des bases mentionnées ci-après. La transmission des données à la Plateforme des données de santé sera effective après la signature de la convention prévue à l'article 4 du présent arrêté.
    1° La base de données relative au dépistage du cancer du sein des départements du Gard et de la Lozère, dénommée « base E-SIS » ;
    2° La base de données relative à l'enquête statistique sur l'état de santé et les conditions de vie en lien avec l'épidémie due au coronavirus, dénommée « EpiCov » ;
    3° La base de données relative à la banque nationale des maladies rares centralisant les dossiers patients informatisés créés par les centres experts, dénommée « BNDMR » ;
    4° La base de données relative aux données de surveillance de 33 maladies à déclaration obligatoire permettant de prévenir les risques d'épidémie, dénommée « Maladies déclaration obligatoire » ;
    5° La base de données relative à l'accès précoce de 1402 patients atteints de cancer bronchique à petites cellules traités par TECENTRIQ en association au carboplatine et à l'étoposide en première ligne de traitement de stade étendu et présentant un score ECOG de 0 ou 1, dénommée « ATU CBPC atezolizumabR » ;
    6° La base de données relative aux patients atteints d'hépatite B ou C, dénommée « HEPATHER » ;
    7° La base de données relative à l'exploitation des données de passages aux urgences, dénommée « OSCOUR » ;
    8° La base de données relative à l'entrepôt de données structurées issues des dossiers médicaux de patientes atteintes d'un cancer du sein métastatique prises en charge dans des Centres régionaux de lutte contre le cancer, dénommée « ESME CSM » ;
    9° La base de données relative à une étude sur l'histoire naturelle de la maladie d'Alzheimer, dénommée « MEMENTO » ;
    10° La base de données relative aux infarctus du myocarde pris en charge par les services d'aide médicale urgente (SAMU) et les structures mobiles d'urgences et de réanimation (SMUR) d'Ile-de-France, dénommée « registre E-MUST ».


  • Les modalités d'alimentation du catalogue doivent assurer la confidentialité et l'intégrité des données conformément au référentiel de sécurité applicable au SNDS.
    Les responsables des bases de données mentionnées à l'article 3 les conservent dans leurs propres systèmes d'information sous leur responsabilité. La Plateforme des données de santé est responsable du stockage et de la mise à disposition d'une copie de ces bases lorsqu'elles sont inscrites dans le catalogue du SNDS.
    Les responsables des bases de données réalisent une information individuelle des personnes concernées, par voie papier ou électronique, relativement à l'alimentation du catalogue du SNDS, sauf si la fourniture de telles informations se révèle impossible ou exigerait des efforts disproportionnés au sens de l'article 14 du règlement général sur la protection des données (UE 2016/679).
    La Plateforme des données de santé met à disposition sur son site internet les informations relatives aux bases de données mentionnées à l'article 3.
    Pour l'exercice des droits mentionnés à l'article R. 1461-9 du code de la santé publique, la personne concernée adresse sa demande au directeur de la Plateforme des données de santé ou au directeur de l'organisme responsable de la base de données alimentant le catalogue.
    Les mesures de protection techniques et organisationnelles sont précisées par voie de convention entre l'organisme responsable de la base de données alimentant le catalogue et la Plateforme des données de santé..
    Cette convention définit les conditions de transmission des données ainsi que les droits et obligations des parties, notamment sur :


    - le périmètre des données et leurs caractéristiques ;
    - les modalités de pseudonymisation des données à caractère personnel ;
    - les mesures de sécurité encadrant la transmission des données conformément au référentiel de sécurité du SNDS ;
    - l'information assurée par le GIP « Plateforme de données de santé » à l'organisme responsable de la base de données concernant les études réalisées à partir de ses données ;
    - les conditions d'un accès par l'organisme responsable de la base de données à ses données sur la plateforme technologique du GIP « Plateforme de données de santé » à des fins de recherche, d'étude ou d'évaluation dans le domaine de la santé ;
    - les modalités de valori sation de l'organisme responsable de la base de données dans la communication des études et de leurs réalisations ;
    - les conditions d'un accompagnement financier ou humain pour aider l'organisme responsable de la base de données à réaliser les opérations de transfert ou de documentation nécessaires pour la transmission et l'exploitation des données sur la plateforme technologique du GIP « Plateforme de données de santé » ;
    - les engagements de l'organisme responsable de la base de données à réaliser autant que possible une information individuelle des citoyens et les modalités de cette information ou, à défaut, de l'information collective ; . - le délai qui est accordé aux citoyens pour exercer leur droit d'opposition avant la transmission effective des données, qui ne peut en tout état de cause être inférieur à un mois,


    le cas échéant, les modalités de conservation des secrets permettant l'exercice des droits après la période d'activité d'une base.


  • Le présent arrêté sera publié au Journal officiel de la République française.


Fait le 12 mai 2022.


Pour le ministre et par délégation :
Le directeur de la recherche, des études, de l'évaluation et des statistiques,
F. Lenglart

Extrait du Journal officiel électronique authentifié PDF - 211,2 Ko
Retourner en haut de la page