[PLF 2025] Suivez en temps réel le projet de loi finance 2025 sur Pappers Politique !

Pappers Politique vous permet de rechercher et surveiller les amendements, rapports, questions, propositions de loi des députés et sénateurs
  • Suivi automatiquement de vos amendements
  • Suivez en temps réel les débats parlementaires
  • Cartographie parlementaire avancée
Réserver une démo

Délibération n° 2021-051 du 15 avril 2021 portant avis sur un projet de décret relatif à la mise en œuvre de l'espace numérique de santé (demande d'avis n° 21001144)

Données personnelles
Sécurité sociale
Assurance
Déposé le 14 avril 2021 à 22h00, publié le 6 août 2021 à 22h00
Journal officiel

Texte

La Commission nationale de l'informatique et des libertés,
Saisie par le ministre des solidarités et de la santé d'une demande d'avis concernant un projet de décret relatif à la mise en œuvre de l'espace numérique de santé ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE ;
Vu le code de la santé publique, notamment son article L. 1111-13-1 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;

Après avoir entendu le rapport de Mme Valérie PEUGEOT, commissaire, et les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,
Emet l'avis suivant :
Le projet de texte soumis pour avis à la Commission a principalement pour objet la mise en œuvre de l'espace numérique de santé (ENS) prévu à l'article L. 1111-13-1 du code de la santé publique (CSP). Il étend également les catégories de professionnels susceptibles d'échanger ou de partager des informations relatives à la même personne prise en charge mentionnées à l'article R. 1110-2 du CSP.
L'ENS sera mis en œuvre par étapes selon le calendrier suivant :



- une phase de test d'avril au 30 juin 2021 portant sur des données et des ENS fictifs ;
- une phase pilote du 1er juillet au 31 décembre 2021 consistant en une expérimentation sur trois départements (Haute-Garonne, Somme et Loire-Atlantique) qui concernera les assurés sociaux, majeurs ou mineurs, relevant d'un régime obligatoire d'assurance maladie ;
- une phase de généralisation à partir du 1er janvier 2022 qui concernera tous les Français et les personnes résidant en France, ce qui représente plus de 67 millions de personnes.



Certaines briques fonctionnelles de l'ENS ne seront pas mises en œuvre au 1er janvier 2022, à savoir :



- la collecte de données relatives à l'accueil et l'accompagnement assurés par les établissements et services sociaux et médico-sociaux ;
- le répertoire des autorisations d'accès pour des services et outils numériques non référencés au sein de l'ENS ;
- les modalités d'accès permanent d'un professionnel ou d'un établissement de santé à l'ENS d'une personne ;
- les modalités d'accès des professionnels et du personnel d'un établissement assurant la prise en charge du titulaire d'un ENS.



Sur les catégories de données
La Commission relève que les données contenues au sein de l'ENS, notamment celles contenues au sein dossier médical partagé (DMP), sont susceptibles de relever des catégories de données composant le système national des données de santé (SNDS) mentionnées à l'article L. 1461-1 du CSP, notamment le 6° de cet article.
Le ministère a précisé que l'utilisation de ces données pour l'une des finalités mentionnées au III de l'article L. 1461-1 du CSP conduisant à leur intégration au sein du SNDS n'est pas envisagée pour le moment. Dans l'hypothèse où ces données seraient intégrées au SNDS, le ministère s'est engagé à en informer les personnes avant toute réutilisation afin de leur permettre d'exercer leur droit d'opposition dans les conditions définies par les dispositions légales et règlementaires encadrant le SNDS.
La Commission en prend acte.
Par ailleurs, elle demande au ministère de mener une campagne d'information expliquant aux personnes concernées par la création d'un ENS, l'articulation entre les différents dispositifs existants, dont le SNDS et le DMP.
Sur les conditions d'information des personnes
Sur la réutilisation de données collectées par des organismes d'assurance maladie
Le ministère a indiqué que, pour l'envoi des courriers d'information sur le parcours d'enrôlement mentionnés au projet d'article R. 1111-28, la Caisse nationale d'assurance maladie (CNAM) procédera à la réutilisation des données collectées par les différents organismes d'assurance maladie en vue d'identifier les personnes concernées.
Il a également précisé que seront collectées l'identité de la personne, ainsi que ses coordonnées électroniques ou postales. La Commission comprend des échanges avec le ministère que l'identité des personnes mineures rattachées à la personne concernée sera également collectée. Elle prend acte de l'engagement du ministère de compléter le projet de décret d'une disposition relative à cette réutilisation de données.
Concernant la durée de conservation des données :



- les données seront transférées à un centre de notification dépendant de la CNAM en charge de l'envoi des courriers ;
- les données seront supprimées dès la réalisation des opérations d'envoi des courriers. A cet égard, le ministère a précisé que cette opération de communication relative au lancement de l'ENS s'achèverait « début 2022 ».



Sur l'information préalablement à la création de l'ENS
Le courrier d'information renvoie à la notion de citoyen français pour déterminer les personnes concernées par l'ouverture d'un ENS. Il ressort toutefois des échanges avec le ministère qu'un ENS sera ouvert à toute personne affiliée à un régime d'assurance maladie ou bénéficiaire de l'aide médicale d'Etat, ce qui ne correspond pas à la qualité de citoyen français.
Le courrier ne fait pas mention du droit dont dispose chaque personne de demander la clôture de son ENS ainsi que l'effacement des données qu'il contient, demandes qui peuvent être formulées à tout moment. La Commission estime nécessaire la mention de ces droits dans le courrier afin de garantir la parfaite information des personnes concernées et la transparence du dispositif, et invite donc le ministère à modifier le courrier en conséquence.
L'information individuelle des personnes, prévue par le projet d'article R. 1111-28 du CSP, porte sur le parcours d'enrôlement pour procéder à l'activation d'un ENS ou s'y opposer, et ne constitue pas une information au sens du RGPD.
Le ministère a précisé que l'information au titre du RGPD et de la loi « informatique et libertés » sera réalisée par :



- un renvoi vers un site web dédié mentionné dans le courrier d'information, et lors du parcours d'enrôlement du titulaire du compte ENS ;
- la mise à disposition au sein des caisses d'assurance maladie d'affichettes ou de flyers.



La Commission recommande que les campagnes d'information individuelle et collective au titre du parcours d'enrôlement mettent en évidence la possibilité pour les personnes de demander la transmission d'une note d'information complète et les modalités de cette demande, qui ne devront pas renvoyer exclusivement à des moyens électroniques.
Les personnes concernées devront être informées dans les conditions prévues par le RGPD ; l'information ne pourra se limiter à l'affichage de conditions générales d'utilisation (CGU) de l'ENS et devrait faire l'objet d'une notification spécifique.
S'agissant des personnes mineures, le ministère a précisé que le courrier d'information individuelle sera envoyé à la personne inscrite comme ouvrant droit principal auprès d'un régime d'assurance maladie d'une personne mineure. Cet ouvrant droit principal disposera d'un accès délégué à l'ENS de la personne mineure. La Commission en prend acte.
La Commission remarque que la personne mineure ne sera pas destinataire du courrier d'information individuelle quel que soit son âge. Elle demande que toute personne mineure disposant d'une carte vitale soit destinataire d'un courrier d'information individuelle décrivant les modalités de création de son ENS, notamment le fait que son droit d'opposition est exercé par son représentant légal, ainsi que l'existence d'un accès délégué à son ENS par son représentant légal.
Par conséquent, elle invite le ministère à préciser que l'information individuelle est réalisée directement auprès de la personne concernée et de son représentant légal, le cas échéant.
En outre, elle demande que chacun des titulaires de l'autorité parentale soit informé, préalablement à la mise en œuvre d'un traitement de données à caractère personnel concernant une personne mineure, de l'existence de ce traitement ainsi que des modalités d'exercice des droits. Le ministère a indiqué que la CNAM n'était pas en mesure d'identifier le second titulaire de l'autorité parentale dès lors que la personne mineure ne lui est pas rattachée. Elle considère néanmoins que l'information de chaque titulaire de l'autorité parentale devrait être prévue dès le commencement de la phase pilote.
Sur l'exercice des droits
Sur le droit d'opposition
L'article L. 1111-13-1 du CSP prévoit l'ouverture automatique d'un ENS, sauf opposition de la personne concernée ou de son représentant légal. Le projet d'article R. 1111-30 prévoit que ce droit s'exercera par voie électronique grâce à l'activation d'un code fourni lors de l'envoi du courrier d'information. Le ministère a indiqué que cette opposition pourra également être réalisée via le recours au téléservice France Connect ou par voie téléphonique via le support mis en place par la CNAM.
La Commission salue l'existence d'une procédure alternative à celles prévues par voie électronique.
Elle prend acte de ce que la personne s'étant opposée à la création de son ENS peut revenir sur son choix en décidant de créer son ENS à tout moment. Dans cette hypothèse, la personne pourra soit s'adresser au support mis en place par la CNAM, soit demander un nouveau code d'enrôlement sur la plateforme électronique d'enrôlement.
Concernant l'exercice du droit d'opposition par les titulaires de l'autorité parentale d'une personne mineure, le ministère a indiqué que seul le titulaire de l'autorité parentale inscrit comme ouvrant droit principal pourra manifester, pour le compte de la personne mineure, son opposition à la création d'un ENS. La Commission rappelle que les droits des personnes mineures peuvent être exercés par chacun des titulaires de l'autorité parentale. Par conséquent, elle recommande au ministère de prévoir, dès le commencement de la phase pilote, la possibilité pour chacun des titulaires de l'autorité parentale d'exercer le droit d'opposition à la création de l'ENS de la personne mineure dont ils ont la charge.
Le ministère a précisé qu'en cas de notification d'un désaccord entre les deux titulaires de l'autorité parentale, il les invitera à régler leur différend à l'amiable ou par voies judiciaires. La Commission considère néanmoins que, dans l'attente du règlement de ce différent, le droit d'opposition devra primer.
Sur le droit à l'effacement
Le projet d'article R. 1111-39 prévoit que le titulaire peut demander la suppression des données contenues dans son ENS sans indiquer les modalités d'exercice de ce droit.
La Commission prend acte que ce projet d'article sera modifié afin de préciser que le droit à l'effacement s'exercera auprès du support téléphonique de la CNAM. Elle invite le ministère à mettre en œuvre des modalités alternatives pour l'exercice de ce droit.
Sur les directives relatives à la conservation, à l'effacement et à la communication des données à caractère personnel d'une personne après son décès
Le projet d'article R. 1111-39 prévoit que le décès du titulaire entraîne la clôture de son ENS et que les données sont conservées dix ans après celle-ci.
Il ressort des précisions apportées par le ministère que l'ENS a notamment pour objectif de promouvoir le rôle de la personne dans la protection et l'amélioration de sa santé ainsi que la gestion de ses données de santé.
Au regard des objectifs poursuivis par l'ENS et de la durée pendant laquelle les données sont conservées en cas de décès de la personne, la Commission invite le ministère à réfléchir à l'intégration d'une composante permettant aux personnes de rédiger des directives relatives à la conservation et à l'effacement de leurs données après leur décès, telles que mentionnées à l'article 85 de la loi « informatique et libertés ».
Sur les services et outils référencés
La Commission comprend qu'en plus des services et outils référencés, il est envisagé que des services et outils non référencés puissent accéder à l'ENS. D'une part, elle s'interroge sur les finalités, les fonctionnalités et les modalités de fonctionnement de ces services et outils. D'autre part, elle considère que l'intégration à l'ENS d'outils et services non référencés constitue, au vu de la nature particulièrement sensible des données qu'il contient et en ce qu'il implique une absence d'évaluation des finalités poursuivies et du niveau de sécurité, un risque d'atteinte aux droits et libertés des personnes concernées.
L'article 2 du projet de décret prévoit que les dispositions du III de l'article L. 1111-13-11 du CSP entreront en vigueur au 1er septembre 2021. Par conséquent, les services et outils numériques ne pourront pas être proposés aux usagers de l'ENS lors du démarrage de la phase pilote.
La Commission prend acte de ce que trente éditeurs de services et outils ont été sélectionnés afin de coconstruire les différents cas d'usage d'accès aux données de l'ENS en lecture et en écriture, ce qui permettra de déterminer les catégories de données dont un service ou outil aurait besoin pour fonctionner.
Elle prend également acte de ce qu'une convention de référencement, en cours d'élaboration, sera conclue avec les éditeurs de ces services et outils pour déterminer les responsabilités et obligations de ceux-ci.
La Commission accueille favorablement la demande de conseil à venir du ministère relative à la détermination des critères de référencement des outils et services.
Sur les critères de référencement des services et outils numériques en santé
Outre la nécessité de respecter les dispositions du RGPD, le ministère a précisé que ces critères, en cours d'élaboration, permettront de vérifier la conformité de ces services et outils, notamment vis-à-vis :



- de la doctrine technique du numérique en santé ;
- des critères éthiques, tels que la transparence des traitements algorithmiques, l'impact environnemental des traitements mis en œuvre, les actions en faveur de l'inclusion numérique ;
- des critères de qualité des contenus en considération des bonnes pratiques définies par la Haute Autorité de santé.



Le projet d'article R. 1111-35 dispose qu'une analyse d'impact sur la protection des données (AIPD) pourra être demandée à l'appui d'une demande de référencement. Le ministère a précisé que les éditeurs de services et outils souhaitant être référencés et accéder aux données de l'ENS devront avoir mené une AIPD. La Commission en prend acte et considère qu'une AIPD, concluant à l'absence de risque résiduel élevé pour les droits et libertés des personnes concernées, devra être systématiquement exigée à l'appui d'une demande de référencement. Elle l'invite à modifier le projet d'article R. 1111-35, alinéa 2, en ce sens.
Les dispositions du III de l'article L. 1111-13-1 du CSP n'autorisent l'accès des outils et services aux données de l'ENS « qu'à des fins de prévention, de diagnostic, de soins ou de suivi social et médico-social ». Ainsi, elle considère qu'une justification particulière sur l'intérêt d'accéder aux données de l'ENS et des autres services qu'il contient, tels que le DMP, et la compatibilité des finalités de l'outil ou du service aux dispositions précitées, devront être apportées par les services et outils, notamment en ce qui concerne les applications de bien-être pour lesquelles une telle compatibilité ne saurait être présumée.
La Commission prend acte de ce que ces services et outils n'auront jamais accès au contenu de la messagerie sécurisée en application du principe de secret des correspondances.
En tout état de cause, elle rappelle que ces services et outils ne pourront pas accéder aux données de l'ENS à des fins promotionnelles.
Le ministère a précisé que certains services ou outils ne poursuivant pas les finalités mentionnées au III de l'article L. 1111-13-1 du CSP pourront être référencés dès lors qu'ils n'accèdent pas aux données de l'ENS. La Commission s'interroge sur la possibilité pour ces services et outils de poursuivre totalement ou partiellement des finalités promotionnelles, notamment par la collecte de données supplémentaires qui ne seraient pas synchronisées avec l'ENS de la personne et, par conséquent, ne relèveraient pas de la notion de « données de l'ENS ».
La Commission invite le ministère à être particulièrement vigilant lors du référencement des services et outils afin de s'assurer qu'une telle utilisation ne soit pas prévue.
La plupart des données contenues dans l'ENS seront couvertes par le secret médical mentionné à l'article L. 1110-4 du CSP et constituent des informations ne pouvant être partagées et échangées que dans les conditions prévues par ce même article.
La Commission estime qu'une attention particulière devra être portée aux conditions dans lesquelles les personnes seront informées des traitements mis en œuvre par ces services et outils, ainsi que des modalités d'exercice des droits. Elle recommande que l'interface de l'ENS recense les modalités d'exercice des droits concernant chaque outil et service et propose un chemin simplifié d'accès, par exemple au moyen d'un tableau de bord.
Sur l'accès à l'ENS
Sur le répertoire des autorisations d'accès
Le projet d'article R. 1111-26 prévoit que l'ENS est notamment composé d'« un répertoire des autorisations d'accès que le titulaire est amené à donner ou retirer ».
Le ministère a précisé que ce répertoire regrouperait les autorisations consenties par le titulaire pour l'accès aux données contenues dans son ENS par :



- des professionnels intervenant pour sa prise en charge ;
- des services et outils référencés au sein de l'ENS ;
- le personnel des établissements du secteur sanitaire, médico-social et social. La Commission prend acte qu'elle sera saisie pour avis du texte déterminant les conditions d'accès de cette catégorie de professionnels ;
- des services et outils non référencés au sein de l'ENS.



De manière générale, la Commission invite le ministère à prévoir :



- un système régulier d'alerte de la personne afin de l'inviter à vérifier que les autorisations d'accès délivrées sont toujours pertinentes et adaptées à sa situation et son besoin de prise en charge ;
- une suspension de l'autorisation d'accès en cas de modification des identifiants de connexion à un service ou outil référencé, notamment dans le cas de l'ENS d'un mineur.



Le passage à la majorité d'une personne pour laquelle un ENS a été activé lors de sa minorité entraînera la suspension de tous les accès dès lors que la personne n'y aura pas expressément consenti.
S'agissant des autorisations d'accès consenties pour des services et des outils :



- ces autorisations d'accès reposent sur le consentement libre et éclairé de la personne, qui devra être parfaitement informée des conséquences de son consentement quant à l'accès à ses données de santé ;
- le consentement peut être modifié ou retiré à tout moment ;
- toute autorisation d'accès suppose une action positive de la part du titulaire ;
- les catégories de données auxquelles les services et outils pourraient avoir accès seront déterminées par finalité lors de la procédure de référencement et la personne en sera spécifiquement informée avant d'y consentir.



S'agissant des autorisations d'accès consenties pour des professionnels participant à la prise en charge de la personne, le projet d'article R. 1111-36 conditionne l'accès des professionnels ou des établissements de santé, social ou médico-social à l'accord préalable de la personne et renvoie aux conditions prévues au 1° du IV de l'article L. 1111-13-1 du CSP.
Seules les autorisations d'accès temporaire des professionnels, c'est-à-dire un accès dont la durée est déterminée par la personne, seront mises en œuvre lors de la phase de généralisation. Cette durée d'accès sera déterminée avec une granularité fine pouvant correspondre à une période de quelques heures ou plusieurs jours.
En outre, le ministère a précisé que :



- pour permettre l'accès d'un professionnel, la personne lui remettra un code d'accès dont la durée de validité sera limitée. Ce code d'accès sera généré par la personne via son ENS. La Commission invite le ministère à prévoir une modalité alternative de génération du code d'accès dans la mesure où toute la population cible ne dispose pas d'un accès fréquent aux outils numériques ;
- l'accès et l'identité du professionnel concerné seront notifiés à la personne ;
- concernant l'accès au DMP uniquement, les règles d'accès et la matrice d'habilitation des professionnels, personne physique ou morale, actuellement en place, seront conservées.



Sur l'accès à l'ENS d'une personne mineure et le secret des informations les concernant
Le ministère a précisé que seul l'un des titulaires de l'autorité parentale pourra accéder à l'ENS d'une personne mineure et que la personne mineure ne disposera pas d'un accès à son ENS.
Des réflexions sont en cours pour permettre l'accès à chacun des titulaires de l'autorité parentale. En tout état de cause, elle rappelle la nécessité de prévoir l'accès de chacun des titulaires de l'autorité parentale dès le commencement de la phase pilote de l'ENS dans la mesure où, en vertu de l'article 372 du code civil, l'autorité parentale s'exerce en commun.
Concernant l'absence d'accès de la personne mineure, le ministère l'a justifié par le fait qu'il relève de la responsabilité des titulaires de l'autorité parentale d'associer leur enfant aux décisions qui le concernent, selon son âge et son degré de maturité, en application de l'article 371-1 du code civil.
La Commission regrette qu'aucun accès de la personne mineure, quel que soit son âge, à son ENS, ne soit prévu et rappelle qu'en vertu de l'article L. 1111-2 du CSP, les personnes mineures ont le droit de disposer des informations relatives à leur santé et de participer à la prise de décision les concernant d'une manière adaptée à leur degré de maturité.
Par ailleurs, le RGPD et la loi « informatique et libertés » renforcent l'information et les droits des personnes mineures s'agissant des traitements de données à caractère personnel les concernant et, plus particulièrement, sur leur droit à consentir à un tel traitement en ce qui concerne l'offre directe de services. Notamment la Commission souligne que, selon l'article 45 de la loi « informatique et libertés », une personne mineure peut, à compter de l'âge de quinze ans, consentir seule à un traitement de ses données.
Par conséquent, la Commission estime que la personne mineure disposant de sa propre carte Vitale doit pouvoir accéder directement à son ENS et consentir à l'accès de services, outils ou professionnels. Elle demande que cet accès et ses nécessaires implications en termes d'autorisation d'accès soient prévus lors du démarrage de la phase pilote de l'ENS.
En outre, elle s'interroge sur les conséquences de cette absence d'accès dans les hypothèses où la personne mineure sollicite le secret des informations la concernant, dans les conditions prévues aux articles L. 1111-5, L. 1111-5-1, L. 2212-7 et L. 6211-3-1 du CSP.
Le projet d'article R. 1111-30 prévoit que la personne mineure peut demander le secret des informations concernant l'un des actes visés aux articles L. 1111-5, L. 1111-5-1, L. 2212-7 et L. 6211-3-1 du CSP dans un ou plusieurs éléments de son ENS. La Commission rappelle que l'accès par les titulaires de l'autorité parentale aux informations couvertes par le secret devra, en outre, respecter les conditions prévues à l'article L. 1111-7 du CSP.
Il ressort, toutefois, des échanges avec le ministère que le masquage des données ne concernera que les données du DMP et les données de remboursement liées à ces actes. La Commission alerte le ministère sur le fait que des informations relatives à des données de santé couvertes par la demande de secret du mineur pourraient être présentes dans d'autres composantes de l'ENS (messagerie sécurisée, agenda, etc.) et l'invite à prévoir un mécanisme de masquage similaire pour toutes les composantes de l'ENS.
Sur les notifications des traces d'accès
Le projet d'article R. 1111-37 prévoit que le titulaire est informé de chaque accès d'un professionnel à son ENS.
Il ressort des échanges avec le ministère que la personne sera également informée de toute alimentation de son DMP ou de la réception d'un message via la messagerie sécurisée. La Commission prend acte de ce que le ministère s'est engagé à :



- notifier tout accès, ajout, modification ou suppression des données conservées sur l'ENS de la personne, pour les personnes ayant procédé à l'activation de leur ENS ou ne s'étant pas opposée à cette création disposant d'une adresse électronique reconnue ;
- adresser, par voie postale, un résumé des évènements qui se sont produits au cours des douze derniers mois aux personnes n'ayant pas procédé à l'activation de leur ENS.



Par conséquent, la Commission invite le ministère à modifier le projet d'article R. 1111-37 du CSP afin de préciser, d'une part, que la personne est informée de manière régulière des évènements intervenus sur son espace et, d'autre part, qu'un résumé des évènements intervenus au cours des douze derniers mois lui est communiqué.
Sur l'ajout de catégories de professionnels visées à l'article R. 1110-2 du code de la santé publique
Le projet d'article 3 vise à compléter l'article R. 1110-2 du CSP de plusieurs catégories de professionnels autorisées à échanger ou partager des informations relatives à la même personne prise en charge. La Commission s'interroge néanmoins sur la possibilité pour ce projet de décret pris en application des dispositions du V de l'article L. 1111-13-1 du CSP d'étendre les catégories de professionnels autorisées à partager et échanger des informations couvertes par le secret.
Ces catégories de professionnels interviennent dans la prise en charge de la personne à des fins de prévention, de coordination ou de continuité des soins.
La Commission rappelle que l'échange ou le partage d'informations couvertes par le secret médical devront, en tout état de cause, être réalisés sous réserve du respect des conditions prévues aux articles L. 1110-4, L. 1110-12 et R. 1110-1 et suivants du CSP.
Concernant plus particulièrement les services de médecine scolaire, le projet n'apporte pas de précision concernant les catégories de professionnels, susceptibles d'être autorisés à échanger ou partager des informations relatives à une personne prise en charge notamment s'agissant des catégories autres que celles visées à l'article D. 541-2 du code de l'éducation, et pouvant renvoyer à des non-professionnels de santé. La Commission estime que seuls les professionnels de santé mentionnés à la quatrième partie du CSP exerçant au sein d'un service de médecine scolaire pourront être autorisés à échanger ou partager des informations relatives à la santé des élèves. La Commission prend acte de l'engagement du ministère de modifier le projet en ce sens.
Sur la gestion des risques et les mesures de sécurité
La Commission estime que l'ENS est un projet structurant concernant les modalités d'accès aux données de santé de l'ensemble des personnes affiliées à un régime obligatoire d'assurance maladie ou résidant en France ; à ce titre, la sécurité en est une composante majeure et indissociable, tant sur le plan technique que fonctionnel.
En l'absence d'informations concernant la mise en œuvre du traitement envisagé et la sécurité des données traitées, la Commission n'est pas en mesure de vérifier la conformité du traitement au RGPD. Elle prend acte de ce que le ministère a prévu de lui adresser des demandes de conseil sur ces questions.
La Commission prend également acte de ce que l'AIPD qui lui sera transmise sera mise à jour au fur et à mesure de l'avancement du projet, et souhaite en être destinataire avant chaque jalon de déploiement. En particulier, elle souligne que l'AIPD devra lui parvenir avant la mise en œuvre de la première phase pilote impliquant des données réelles, prévue à l'été 2021.

La présidente,


M.-L. Denis