L’informatisation des données de santé et la législation Informatique et Libertés

Formation Collectif Interassociatif Sur la Santé de Bretagne

30 mars 2010

M. Jean MASSOT

CNIL

Commissaire en charge du secteur de la santé

La CNIL: statut et compositionLa CNIL: statut et composition

• une autorité administrative indépendante composée de une autorité administrative indépendante composée de 17 membres (hauts magistrats, parlementaires, conseillers 17 membres (hauts magistrats, parlementaires, conseillers économiques et sociaux, personnalités qualifiées)économiques et sociaux, personnalités qualifiées)

• un président élu par ses pairs : actuellement Alex Türk, un président élu par ses pairs : actuellement Alex Türk, sénateur du Nordsénateur du Nord

• L’absence de contrôle financier préalable des dépensesL’absence de contrôle financier préalable des dépenses• L’établissement de son règlement intérieurL’établissement de son règlement intérieur• les membres de la CNIL ne reçoivent d’instruction

d’aucune autorité.• budget: de l’ordre de 13 millions d’euros, services : 140 budget: de l’ordre de 13 millions d’euros, services : 140

personnes.personnes.

Une dimension résolument européenneUne dimension résolument européenne

La convention européenne du 28 janvier La convention européenne du 28 janvier 1981 du Conseil de l’Europe1981 du Conseil de l’Europe

La directive européenne du 24 octobre 1995 La directive européenne du 24 octobre 1995 relative à la protection des personnes relative à la protection des personnes physiques à l’égard du traitement des physiques à l’égard du traitement des données à caractère personneldonnées à caractère personnel

La CNIL: de nouvelles missions, des pouvoirs de contrôle renforcés

Un contrôle allégé sur la création des fichiersUn contrôle allégé sur la création des fichiers Un renforcement des pouvoirs de contrôle sur place et sur Un renforcement des pouvoirs de contrôle sur place et sur

pièces (pièces (270 contrôles en 2009, 11 agents). De nouveaux pouvoirs de sanctions administratives et De nouveaux pouvoirs de sanctions administratives et

pécuniairespécuniaires Une mission de conseil et d’information élargie: avis sur la Une mission de conseil et d’information élargie: avis sur la

conformité à la loi des projets de règles professionnelles et sur conformité à la loi des projets de règles professionnelles et sur les produits tendant à la protection des données ou à les produits tendant à la protection des données ou à l’anonymisation des données; délivrance de labels . l’anonymisation des données; délivrance de labels .

L’institution du correspondant à la protection des donnéesL’institution du correspondant à la protection des données

Ce qu’il faut savoir sur la loi informatique et libertés

• Le champ d’application de la loi Informatique et Libertés : les notions clés

• Les principes fondamentaux applicables aux traitements : les 5 règles d’or

• Déclarer son fichier à la CNIL

Le champ d’application de la loi Le champ d’application de la loi Informatique et Libertés : Informatique et Libertés : Les notions clésLes notions clés

Trois notions clés commandent l’application de la loi :- la donnée à caractère personnel- le fichier et le traitement de données- le responsable du traitement

La donnée à caractère personnelLa donnée à caractère personnel

– Toute information relative à une personne identifiée ou susceptible de l’être.

– Identification directe (le nom) ou indirecte, notamment par référence à un numéro d’identification (le plus célèbre est le numéro de sécurité sociale), un élément biométrique ou un ou plusieurs éléments qui lui sont propres. Appréciation au cas par cas :- n° d'ordre renvoyant à une liste nominative même établie sur papier, ou détenue par un tiers,- prélèvement biologique identifiant, - identification par recoupement de données qui prises séparément ne permettent pas d’identifier un individu.

– La prise en compte par la loi des méthodes d’anonymisation des données (suivi épidémiologique du sida PMSI, SNIIRAM, codage des actes pour l’assurance maladie complémentaire...)

• fichier : tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés ;

• traitement : toute opération ou tout ensemble d’opérations portant sur de telles données, quelque soit le procédé utiliséTout le processus de traitement des données, de la collecte, y compris sur support papier, à la conservation, l’archivage et le cas échéant, la destruction des données

Exemples : Constitution de fichiers, de bases de données, toute procédure de télétransmission d’information quel que soit le moyen de télécommunication (réseaux, cartes Vitale, Internet)

Le traitement de données à caractère Le traitement de données à caractère personnelpersonnel

– Enjeux • les obligations prévues par la loi reposent sur lui• Il encourt les sanctions pénales en cas de non-respect• Son lieu d’établissement constitue le premier critère de la loi applicable

(installation stable sur le territoire français ou recours à des moyens de traitement situés sur ce territoire)

– Critères de déterminationLa personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens, sauf désignation expresse par les dispositions législatives ou réglementaires relatives au traitement.

– Mise en œuvre de la notion parfois délicate• les réseaux de soins qui recourent à un hébergeur• Promoteurs et investigateurs d’une recherche

Le responsable de traitementLe responsable de traitement

Les conditions de licéité des traitements: Les conditions de licéité des traitements:

Les principes de la protection des donnéesLes principes de la protection des données

- Finalité du traitement : déterminée, explicite et légitime (art. 226.21 c. pénal); pas d’utilisation commerciale ou politique des fichiers administratifs (fichiers captifs)

- Pertinence des données: Les données traitées sont adéquates, pertinentes et non excessives au regard de la finalité poursuivie; un encadrement particulier pour les données « sensibles » 

- Durée de conservation limitée des données en adéquation avec la finalité poursuivie par le traitement,

- Collecte loyale des données: respect des droits des personnes: information, droits d’accès et d’opposition

-Obligation de sécurité: non divulgation et respect de l’intégrité des informations;

Les droits des personnes : une information renforcée (art 32 et 39)

• les personnes doivent être informées, lors du recueil, de l’enregistrement ou de la première communication des données:• de l’identité du responsable du traitement;• de la finalité du traitement• du caractère obligatoire ou facultatif des réponses et des conséquences

d’un défaut de réponse;• des destinataires des données,• de leurs droits: droit d’accès et de rectification, droit de s’opposer

sous certaines conditions à l’informatisation de ses données;• le cas échéant, des transferts de données vers des pays hors UE.

• elles peuvent, à leur demande, être informées sur les données enregistrées et l’origine de celles-ci.

L’obligation de sécurité des données

Respect de l’intégrité et de la confidentialité des données : empêcher que les données soient déformées, endommagées ou que des tiers non autorisés y aient accès.

• Une obligation qui pèse sur le responsable du traitement. • Les mesures de sécurité physique et logique doivent être adaptées

à la nature des données et aux risques présentés par le traitement • Accès à l’application

– Existence d’un tableau des habilitations – Carte de professionnel de santé ou à défaut, login/mot de passe– Journalisation des connexions

• Transfert des données : chiffrement des données et/ ou du transport

• Consécration des recommandations de la CNIL par le décret « confidentialité » du 15 mai 2007.

Le traitement particulier des données Le traitement particulier des données de santéde santé

La donnée de santé : une donnée sensible (article 8)

• Le Principe de l’interdiction de leur traitementIl est interdit (…) de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celui-ci.

Des exceptions qui permettent leur traitement

Le consentement exprès de la personne, sauf dans le cas où la loi prévoit qu’il ne suffit pas

Les traitements mis en œuvre par des médecins ou des biologistes et qui sont nécessaires aux fins de la médecine préventive, des diagnostics médicaux, de l’administration de soins ou de traitements, ou de la gestion de services de santé

La recherche dans le domaine de la santé L’intérêt public Les traitements de données à caractère personnel qui font

l’objet à bref délai d’un procédé d’anonymisation

Déclarer son fichier à la CNILDéclarer son fichier à la CNIL

Les nouvelles formalités préalables : vers une simplification

• La traduction d’un nouvel esprit inspiré de la directive européenne

• La loi consacre un recentrage d’un contrôle a priori, à un contrôle a posteriori.

• Conséquence : Contrôle allégé de la CNIL sur la création des fichiers par le biais des formalités préalables. Seuls les traitements considérés « à risque » sont soumis à son contrôle préalable.

• Simplification des formalités déclaratives pour les autres traitements.  

La déclaration normale : régime de droit commun

LLes fichiers de gestion administrative et médicale es fichiers de gestion administrative et médicale mis en œuvre à l’hôpital dès lors qu’ils sont mis en œuvre à l’hôpital dès lors qu’ils sont nécessaires pour établir des diagnostics médicaux, nécessaires pour établir des diagnostics médicaux, administrer des soins ou des traitements, gérer des administrer des soins ou des traitements, gérer des services de santé ou mettre en œuvre des actions services de santé ou mettre en œuvre des actions de médecine préventive.de médecine préventive.La déclaration doit être complétée d’une La déclaration doit être complétée d’une

description des mesures de sécurité mise en description des mesures de sécurité mise en oeuvre pour garantir la confidentialité des oeuvre pour garantir la confidentialité des donnéesdonnées

Les normes simplifiées pour les traitements exempts de risques

La norme simplifiée n° 50 : les cabinets médicaux et paramédicaux

La norme simplifiée n° 52 : les pharmacies La norme simplifiée n° 53 : les laboratoires La norme simplifiée n° 54 : les centres d’optique

- un champ d’application défini- des règles de sécurité et d’information précisées :

la CPS et la politique de confidentialité- l’interdiction de toute exploitation à des fins

commerciales

Les régimes d’autorisationLes régimes d’autorisation

La prise en compte de l’intérêt public

Les réseaux de soins Le dossier médical personnel

Un instrument de coordination des soins dans l’intérêt du patient Le dossier pharmaceutique

Un outil professionnel visant à lutter contre les interactions médicamenteuses à l’usage des pharmaciens

Le web médecin La pharmacovigilance : autorisation unique adoptée le 10 janvier 2008

La question de l’identifiant national de santé

Création d’un identifiant national de santé Fondement juridique

– La loi du 13 août 2004 portant réforme de l’assurance maladie, art. 5– Article L.1111-8-1 du Code de la santé publique, issu de la loi du 30 janvier 2007

Nécessité fonctionnelle– Garantir contre les doublons et collisions– Faciliter les échanges et le partage de données de santé en permettant de rattacher ces données

à un même individu– Qualités requises de l’identifiant : fiabilité, unicité, pérennité

Conclusions du groupe de travail du 20 février 2007•

La sécurité des données de santé : une priorité renforcée

Le décret confidentialité • L’article L. 1110-4 du CSP et le décret du 15 mai 2007

impose l’utilisation de la CPS– pour tout accès aux données de santé y compris au sein

d’une même structure de soins – pour la conservation des données médicales sur support

informatique– pour leur transmission électronique entre professionnel,

sans distinction du mode d’exercice du professionnel• Le décret prévoit la création de référentiels sécurité pris

après avis de la CNIL. Un référentiel pour les établissements publics de santé est actuellement en cours d’élaboration

L’encadrement de l’activité d’hébergement de données de santé

• L'article L. 1111-8 du CSP issu de la loi du 4 mars 2002 relative aux droits des malades autorise et donne un cadre juridique à l’hébergement de données de santé.

• Les conditions de l’agrément ont été fixées par le décret n°2006-6 du 4 janvier 2006 qui organise la procédure d’agrément et fixe le contenu du dossier qui doit être fourni à l’appui de la demande. Cet agrément est délivré par le ministre chargé de la Santé, qui se prononce après avis de la CNIL et du Comité d’agrément créé auprès de lui.

• L. 30 janvier 2007 : Suspension pendant deux ans de la procédure d’agrément des hébergeurs

• Fin de la suspension à compter du 2 février 2009• Les premiers hébergeurs viennent d’être agréés.

DMP /DP/ Web-médecin : concurrence ou

convergence ? • DMP : dossier du patient, permettra aux professionnels de santé

désignés par lui, d’avoir accès à toute information médicale relative à ce patient pouvant être utile à la coordination des soins. Une réflexion est en cours sur la stratégie à adopter pour la poursuite de ce projet qui est en cours de relance.

• Le dossier pharmaceutique (DP) permettra aux pharmaciens d’avoir accès à l’historique des médicaments délivrés à une même personne dans l’ensemble des officines au cours des quatre derniers mois, afin d’éviter les interactions médicamenteuses.

• Le DP, conduit et financé par l’Ordre des pharmaciens, est en cours de déploiement après avoir été expérimenté.

• Le « Web médecin » (ou historique des remboursements) permettra aux médecins conventionnés d’avoir accès, à l’occasion d’une consultation médicale, à l’historique des soins, médicaments et examens remboursés au patient au cours des douze derniers mois.

• Le « Web médecin », mis en place par l’assurance maladie, est en cours de déploiement après avoir été expérimenté.

27

Création du dossier médical personnel

• Création par la loi du 13 août 2004 portant réforme de l’assurance maladie (CSS, art.L. 161-36-1)

– Attribution à chaque bénéficiaire de l'assurance maladie d'un DMP comportant les données recueillies ou produites à l’occasion des activités de prévention, de diagnostic ou de soins.

– Permet aux professionnels de santé choisis par le patient de connaître les soins qui lui ont été dispensés pour assurer une meilleure prise en charge médicale

• Mise en œuvre du DMP conduite par le GIP-DMP.

• Le DMP a fait l’objet d’un « audit » (mission d’inspection IGS, IGF et CGTI) et est en cours de relance

28

Particularité du DMP : le « dossier du patient »

• Modes d’accès au DMP sous son contrôle

– Accès direct du patient à son DMP via internet depuis son ordinateur

– Désignation nominative par le patient des professionnels de santé habilités à accéder à son DMP (« cercle de confiance »)

• Contenu sous son contrôle

– Droit de masquage des informations aux professionnels de santé et, initialement, « masquage de ce masquage ».

29

Expérimentation du DMP • Préalable jugé indispensable par la CNIL au lancement des expérimentations :

– Encadrement des transmissions d’informations sur internet La CNIL a pu se prononcer sur la première version du décret « confidentialité »

– Encadrement de l’activité d’hébergement de données de santéCadre réglementaire fixé par le décret 4 janvier 2006.

• Agrément des six hébergeurs : Délibérations du 21 mars 2006• Autorisation du lancement des expérimentations conduites de juin à décembre

2006 dans treize régions et dix-sept sites pilotes : Délibération du 30 mai 2006

• Contrôles effectués par la CNIL auprès de l’ensemble des acteurs de l’expérimentations

– Courte durée de l’expérimentation qui ne permettait pas de mesurer son fonctionnement effectif – Niveaux de sécurité disparates et insuffisants en particulier dans les établissements de santé

30

Un cadre juridique inachevé

• Une partie du cadre juridique nécessaire au déploiement du DMP reste à définir.

• La CNIL devra se prononcer sur :– Le projet de décret fixant le contenu et modalités d’accès

aux informations figurant dans le DMP;– Le projet de décret relatif à l’identifiant national de santé

(article L.1111-8-1 du Code de la santé publique issu de la loi du 30 janvier 2007)

– Le projet d’arrêté définissant les référentiels applicables à la conservation sur support informatique et à la transmission des données de santé par voie électronique

Grand axes du programme de relance du Grand axes du programme de relance du DMPDMP

• Concevoir le DMP dans un approche globale des systèmes d’information de santé

• Réforme de la gouvernance : la création de l’ASIP Santé et de l’ANAP

• Suppression des sanctions financières en cas de non-ouverture d’un DMP

• Recentrage sur le caractère professionnel du dossier • Reprise des expérimentations et adoption d’un

calendrier de déploiement plus réaliste par cycles

32

Le DP : un outil professionnel au service du pharmacien

Création du dossier pharmaceutique• Institué par la loi du 30 janvier 2007 ratifiant l’ordonnance du 26 août 2005

relative à l’organisation de certaines professions de santé (CSS, art.L. 161-36-4-2)

– Permet aux pharmaciens d’avoir accès à l’historique des médicaments délivrés à une même personnes dans l’ensemble des officines au cours des 4 derniers mois, pour éviter les interactions médicamenteuses.

– Ouverture d’un DP facultative et possibilité de le supprimer à tout moment et dans l’officine de son choix.

• Mise en œuvre sous la responsabilité du CNOP et financé par les pharmaciens

• Sa mise en œuvre devait être concomitante au DMP qu’il est appelé à alimenter, mais compte tenu du retard pris par le DMP, lancement du DP de façon autonome.

33

La CNIL a autorisé la généralisation du DP après en avoir validé les déploiements

successifs • Le 15 mai 2007, elle a autorisé le lancement de l’expérimentation du dossier

pharmaceutique auprès de pharmaciens volontaires, dans six départements (Doubs, Meurthe-et-Moselle, Nièvre, Pas-de-Calais, Rhône, et Seine-Maritime) et pendant une durée de six mois.

• Le 14 février 2008, sur la base d’un bilan d’étape produit par le CNOP et de contrôles diligentés dans plusieurs officines, elle a autorisé l’extension géographique et la prolongation de l’expérimentation dans des conditions identiques de mise en œuvre.

• Le 17 juillet 2008, elle s’est prononcée sur le projet de décret en Conseil d’Etat qui fixe le cadre réglementaire du dossier pharmaceutique.

• Le 2 décembre 2008, elle a autorisé la généralisation du dispositif, au vu du bilan des résultats de l’expérimentation qui lui ont été communiqués à sa demande. Le dossier pharmaceutique sera opérationnel d’ici deux ans dans les 23 000 pharmacies françaises.

34

Le contenu du DP

 • les nom, prénom, nom de naissance, sexe, date de naissance, n° de série de la

carte vitale de la personne concernée,• l’identification du pharmacien et de l’officine• celles relatives aux médicaments délivrés avec ou sans ordonnance au cours des

4 derniers mois (nom du médicament, quantités, dates de délivrance).• Le patient est identifié par un numéro de dossier pharmaceutique (NDP) calculé

automatiquement par le logiciel d’officine à partir des données d’identification de la carte vitale.

35

Accès par les pharmaciens aux données contenues dans le DP

• Les pharmaciens d’officine ont seuls vocation à consulter et alimenter le dossier pharmaceutique.

• Accès à l’historique des dispensations limité aux quatre derniers mois.

– Connaissance de la liste exhaustive des médicaments délivrés au patient, qu’ils soient soumis ou non à remboursement, qu’ils aient été prescrits ou procèdent d’une automédication.

– Pas d’accès aux coordonnées des officines dispensatrices, aux médecins prescripteurs et au prix des médicaments

36

Les droits des patients  

• Caractère facultatif du DPL’ouverture d’un dossier pharmaceutique est facultative. Et si le patient l’a acceptée, il peut demander sa suppression à tout moment dans l’officine de son choix..

• Droit d’accès du patientS’exerce auprès de tout pharmacien d’officine sur présentation de sa carte vitale. Remise en main propre du DP imprimé sur papier portant sur le contenu du DP.

• Droit d’opposition du patient- Le patient qui a ouvert un DP a la possibilité de s’opposer à la consultation de celui-ci. Cette consultation ne peut être effectuée qu’en sa présence puisqu’elle nécessite l’utilisation de sa carte Vitale. - Possibilité de s’opposer à l’alimentation de son dossier pharmaceutique si on ne souhaite pas qu’une information relative à un médicament y figure. Exercice du droit d’opposition signalé par la mention « dossier incomplet ». Possibilité d’exprimer son opposition par la non-remise de la carte Vitale, ce qui fait obstacle à l’indication du caractère incomplet du DP.

37

Mesures de sécurité qui entourent le dispositif

• Identification et l’authentification des pharmaciens au moyen de leur carte de professionnel de santé (CPS).

• Journalisation des accès et alimentations 

• Impossibilité pour l’hébergeur d’avoir accès au contenu des dossiers pharmaceutiques

• Chiffrement « fort » des transfert de données entre la base de l’hébergeur et les officines

• Chiffrement de la base de données chez l’hébergeur

La recherche dans le domaine de la santé La recherche dans le domaine de la santé (chapitre IX)(chapitre IX)

Une levée du secret professionnel possible sous certaines conditionsUne levée du secret professionnel possible sous certaines conditions Une procédure en deux temps : comité/CNILUne procédure en deux temps : comité/CNIL

Un avis consultatif du Comité rendu sur la pertinence scientifique du projet et la Un avis consultatif du Comité rendu sur la pertinence scientifique du projet et la nécessité de recourir à des données à caractère personnelnécessité de recourir à des données à caractère personnel

Une autorisation de la CNIL sur la conformité à l’ensemble des principes de la loi Une autorisation de la CNIL sur la conformité à l’ensemble des principes de la loi informatique et libertésinformatique et libertés

Des exigences strictes en matière de d’information et de sécuritéDes exigences strictes en matière de d’information et de sécurité L’information L’information individuelle individuelle doit se doubler d’une information dans les lieux de soins doit se doubler d’une information dans les lieux de soins L’examen des dérogations à l’obligation d’information: ni générales, ni absoluesL’examen des dérogations à l’obligation d’information: ni générales, ni absolues

Une procédure simplifiée de déclaration Une procédure simplifiée de déclaration pour les recherches biomédicales (MR001)pour les recherches biomédicales (MR001) • Pour les catégories usuelles de traitements de données indirectement nominatives, la

loi prévoit la possibilité d’homologuer et de publier des « méthodologies de référence » établies en concertation avec le CCTIRS et les organismes publics et privés représentatifs du milieu de la recherche (L. 6 janv. 1978, modifiée, art. 54, alinéa 4).

• Le 5 janvier 2006, la CNIL a ainsi adopté une méthodologie de référence en concertation avec le CCTIRS et le syndicat national de l’industrie pharmaceutique applicable aux recherches biomédicales portant sur les médicaments, dispositifs et produits, en vue de l’obtention d’une autorisation de mise sur le marché.

• Recherches conduites dans le cadre d’exigences législatives et réglementaires strictes (la loi Huriet-Sérusclat du 20 décembre1988 modifiée en 2004), selon des méthodologies standardisées et portant sur des données indirectement nominatives

• A condition d’entrer dans le champ de la MR001 et de satisfaire à l’ensemble des conditions ainsi définies, un seul engagement de conformité peut être adressé à la CNIL par une procédure de télédéclaration par Internet. Il est valable pour les études présentes et à venir.

L’évaluation des pratiques de soins L’évaluation des pratiques de soins l’autorisation (chapitre X)l’autorisation (chapitre X)

Réutilisation Réutilisation de données de santé de données de santé issues de bases déjà existantesissues de bases déjà existantes (fichiers des (fichiers des professionnels de santé libéraux, des systèmes d’information hospitaliers professionnels de santé libéraux, des systèmes d’information hospitaliers (PMSI), ou des systèmes d’information des caisses d’assurance maladie), à (PMSI), ou des systèmes d’information des caisses d’assurance maladie), à des fins d’évaluation des pratiques de soins et de préventiondes fins d’évaluation des pratiques de soins et de prévention : pas de contact : pas de contact avec les patientsavec les patients

Des conditions particulières : Des conditions particulières : appauvrissement des données d’identification (exclusion du nom, du prénom appauvrissement des données d’identification (exclusion du nom, du prénom

et du NIR)et du NIR)Un engagement de confidentialité particulier à l’étudeUn engagement de confidentialité particulier à l’étude

Des cas d’application très variés : de l’accès aux bases PMSI et aux données Des cas d’application très variés : de l’accès aux bases PMSI et aux données du SNIIRAM à la conduite d’études observationnellesdu SNIIRAM à la conduite d’études observationnelles

Une simplification appliquée aux traitements de pharmacovigilance

• La pharmacovigilance a pour objet la surveillance du risque d'effet indésirable résultant de l'utilisation des médicaments et produits à usage humain et implique des traitements qui s’imposent à tous les exploitants de médicaments, tenus de conserver des informations détaillées relatives à tous les effets indésirables survenus à l’intérieur et à l’extérieur de la Communauté européenne, ayant été portés à leur connaissance.

• Un intérêt public évident : la pharmacovigilance et les traitements de données personnelles associées, ainsi que l’échange international de ces données, au-delà de leur caractère obligatoire, présentent un intérêt majeur pour la santé publique et la prise en charge thérapeutique des patients par des médicaments en ce qu’ils permettent de partager toute nouvelle information relative à un potentiel effet indésirable d’un médicament quelque soit le lieu de sa survenue

La justification de l’adoption d’une autorisation unique

• Un encadrement législatif et réglementaire précis : Ces traitements sont bien définis, encadrés par le Code de la santé publique (art. R.5121-150 s.) et conduits selon des méthodes harmonisées au plan communautaire (Directive du 6 novembre 2001 relative aux médicaments à usage humain)

• Leur nombre est très important et a toujours engendré un flux soutenu de formalités préalables.

• La CNIL a, par décision du 10 janvier 2008 (AU13), en concertation avec les milieux professionnels concernés (Le LEEM), adopté une autorisation unique, applicable aux traitements mis en œuvre en matière de pharmacovigilance.

Quelques informations pratiques• La déclaration simplifiée de conformité à l’AU-13 doit être effectuée par

internet sur le site de la CNIL, rubrique « déclarer »

• La CNIL vous adresse un récépissé en 48 heures

• Les entreprises doivent effectuer cette déclaration de conformité dès lors que leur traitement de pharmacovigilance est conduit dans le respect de l’autorisation unique de façon à actualiser leur dispositif au regard des dispositions tant du code de la santé publique que de l’autorisation unique de la CNIL

• La présence d’un CIL au sein de l’entreprise ne dispense pas de l’accomplissement de cette déclaration simplifiée dans la mesure où le régime juridique applicable est celui de l’autorisation

L’anonymisation « à bref délai » : l’autorisation

Le recours à bref délai à un procédé d’anonymisation Le recours à bref délai à un procédé d’anonymisation reconnu conforme permet la communication de reconnu conforme permet la communication de donnéesdonnées

L’exemple de la transmission anonymes des données L’exemple de la transmission anonymes des données de santé issues des feuilles de soins électroniques vers de santé issues des feuilles de soins électroniques vers les assureurs complémentaires (expérimentations les assureurs complémentaires (expérimentations soumises à la CNIL)soumises à la CNIL)

COMMISSION NATIONALE DE L’INFORMATIQUE ET DES

LIBERTES

• Adresse

8 rue Vivienne CS 30223

75083 Paris Cedex 02

• TEL 01 53 73 22 22

• www.cnil.fr