M. le président. Sur les articles du texte élaboré par la commission mixte paritaire, je ne suis saisi d’aucun amendement.

Quelqu’un demande-t-il la parole sur l’un de ces articles ?...

Le vote est réservé.

Personne ne demande la parole pour explication de vote sur l’ensemble du texte ?...

Conformément à l’article 42, alinéa 12, du règlement, je mets aux voix l’ensemble du projet de loi d’actualisation du droit des outre-mer dans la rédaction résultant du texte élaboré par la commission mixte paritaire.

(Le projet de loi est adopté.)

M. le président. Mes chers collègues, avant d’aborder le point suivant de l’ordre du jour, nous allons interrompre nos travaux pour quelques instants.

La séance est suspendue.

(La séance, suspendue à onze heures quarante, est reprise à onze heures quarante-cinq.)

M. le président. La séance est reprise.

Article 26 quater (début)
Dossier législatif : projet de loi d'actualisation du droit des outre-mer
 

5

Article 46 ter (supprimé) (interruption de la discussion)
Dossier législatif : projet de loi de modernisation de notre système de santé
Article 47 (début)

Modernisation de notre système de santé

Suite de la discussion en procédure accélérée d’un projet de loi dans le texte de la commission

M. le président. L’ordre du jour appelle la suite de la discussion du projet de loi, adopté par l’Assemblée nationale après engagement de la procédure accélérée, de modernisation de notre système de santé (projet n° 406, texte de la commission n° 654, rapport n° 653 [tomes I et II], avis nos 627 et 628).

Nous poursuivons l’examen du texte de la commission.

TITRE IV (suite)

RENFORCER L’EFFICACITÉ DES POLITIQUES PUBLIQUESET LA DÉMOCRATIE SANITAIRE

M. le président. Dans la discussion des articles, nous en sommes parvenus, au sein du titre IV, au chapitre V.

chapitre V

Créer les conditions d’un accès ouvert aux données de santé

Discussion générale
Dossier législatif : projet de loi de modernisation de notre système de santé
Article 47 (interruption de la discussion)

Article 47

I. – Le livre IV de la première partie du code de la santé publique est complété par un titre VI ainsi rédigé :

« Titre VI

« MISE À DISPOSITION DES DONNÉES DE SANTÉ

« CHAPITRE PRÉLIMINAIRE

« Principes relatifs à la mise à disposition des données de santé

« Art. L. 1460-1. – Les données de santé à caractère personnel recueillies à titre obligatoire et destinées aux services ou aux établissements publics de l’État ou des collectivités territoriales ou aux organismes de sécurité sociale peuvent faire l’objet de traitements à des fins de recherches, d’études ou d’évaluations présentant un caractère d’intérêt public, dans le respect de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Les traitements réalisés à cette fin ne peuvent avoir ni pour objet, ni pour effet de porter atteinte à la vie privée des personnes concernées. Ils ne doivent en aucun cas avoir pour fin l’identification directe ou indirecte de ces personnes.

« Les citoyens, les usagers du système de santé, les professionnels de santé, les établissements de santé et leurs organisations représentatives ainsi que les organismes participant au financement de la couverture contre le risque maladie ou réalisant des recherches, des études ou des évaluations à des fins de santé publique, les services de l’État, les institutions publiques compétentes en matière de santé et les organismes de presse ont accès aux données mentionnées au premier alinéa dans les conditions définies par la loi n° 78-17 du 6 janvier 1978 précitée.

« CHAPITRE IER

« Système national des données de santé

« Art. L. 1461-1. – I. – Le système national des données de santé rassemble et met à disposition :

« 1° Les données issues des systèmes d’information mentionnés à l’article L. 6113-7 du présent code ;

« 2° Les données du système national d’information interrégimes de l’assurance maladie mentionné à l’article L. 161-28-1 du code de la sécurité sociale ;

« 3° Les données de la statistique nationale sur les causes de décès mentionnée à l’article L. 2223-42 du code général des collectivités territoriales ;

« 4° Les données médico-sociales du système d’information mentionné à l’article L. 247-2 du code de l’action sociale et des familles ;

« 5° Un échantillon représentatif des données de remboursement par bénéficiaire transmises par des organismes d’assurance maladie complémentaire et défini en concertation avec leurs représentants.

« II. – Dans le cadre d’orientations générales définies par l’État, en concertation avec les organismes responsables des systèmes d’information et des données mentionnés au I, la Caisse nationale de l’assurance maladie des travailleurs salariés réunit et organise l’ensemble des données qui constituent le système national des données de santé mentionné au même I. Elle est responsable du traitement.

« La méthode d’appariement des données mentionnées au 5° dudit I avec les données correspondantes du système national des données de santé est élaborée en concertation avec les représentants des organismes qui transmettent les données concernées.

« III. – Le système national des données de santé a pour finalité la mise à disposition des données, dans les conditions définies aux articles L. 1461-2 et L. 1461-3, pour contribuer :

« 1° À l’information sur la santé ainsi que sur l’offre de soins, la prise en charge médico-sociale et leur qualité ;

« 2° À la définition, à la mise en œuvre et à l’évaluation des politiques de santé et de protection sociale ;

« 3° À la connaissance des dépenses de santé, des dépenses de l’assurance maladie et des dépenses médico-sociales ;

« 4° À l’information des professionnels, des structures et des établissements de santé ou médico-sociaux sur leur activité ;

« 5° À la surveillance, à la veille et à la sécurité sanitaires ;

« 6° À la recherche, aux études, à l’évaluation et à l’innovation dans les domaines de la santé et de la prise en charge médico-sociale.

« IV. – Pour le système national des données de santé et pour les traitements utilisant des données à caractère personnel issues de ce système :

« 1° Aucune décision ne peut être prise à l’encontre d’une personne physique identifiée sur le fondement des données la concernant et figurant dans l’un de ces traitements ;

« 2° Les personnes responsables de ces traitements, ainsi que celles les mettant en œuvre ou autorisées à accéder aux données à caractère personnel qui en sont issues sont soumises au secret professionnel dans les conditions et sous les peines prévues à l’article 226-13 du code pénal ;

« 3° L’accès aux données s’effectue dans des conditions assurant la confidentialité et l’intégrité des données et la traçabilité des accès et des autres traitements, conformément à un référentiel défini par arrêté des ministres chargés de la santé, de la sécurité sociale et du numérique, pris après avis de la Commission nationale de l’informatique et des libertés ;

« 4° Les données individuelles du système national des données de santé sont conservées pour une durée maximale de vingt ans, sans préjudice de l’application du deuxième alinéa de l’article 36 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

« V. – Les données du système national des données de santé ne peuvent être traitées pour l’une des finalités suivantes :

« 1° La promotion commerciale de tout produit, bien ou service en direction des professionnels de santé, d’établissements de santé ou d’usagers du système de santé ;

« 2° Le refus du bénéfice d’un droit ou d’un service, ainsi que l’exclusion de garanties des contrats d’assurance et la modification de cotisations ou de primes d’assurance à raison du risque que présente un individu ou un groupe d’individus.

« Art. L. 1461-2. – Les données du système national des données de santé qui font l’objet d’une mise à la disposition du public sont traitées pour prendre la forme de statistiques agrégées ou de données individuelles constituées de telle sorte que l’identification, directe ou indirecte, des personnes concernées y est impossible. Ces données sont mises à disposition gratuitement. La réutilisation de ces données ne peut avoir ni pour objet, ni pour effet d’identifier les personnes concernées.

« Par dérogation au premier alinéa du présent article, les données relatives à l’activité des professionnels de santé publiées par les organismes gestionnaires des régimes obligatoires de base de l’assurance maladie, en application de l’article L. 162-1-11 du code de la sécurité sociale, sont réutilisées dans les conditions mentionnées à l’article 12 et au second alinéa de l’article 13 de la loi n° 78-753 du 17 juillet 1978 portant diverses mesures d’amélioration des relations entre l’administration et le public et diverses dispositions d’ordre administratif, social et fiscal.

« Art. L. 1461-3. – I. – Un accès aux données à caractère personnel du système national des données de santé ne peut être autorisé que pour permettre des traitements :

« 1° Soit à des fins de recherche, d’étude ou d’évaluation contribuant à une finalité mentionnée au III de l’article L. 1461-1 et répondant à un motif d’intérêt public ;

« 2° Soit nécessaires à l’accomplissement des missions des services de l’État, des établissements publics ou des organismes chargés d’une mission de service public compétents, dans les conditions définies au III du présent article.

« Le responsable de tels traitements n’est autorisé à accéder aux données du système national des données de santé et à procéder à des appariements avec ces données que dans la mesure où ces actions sont rendues strictement nécessaires par les finalités de la recherche, de l’étude ou de l’évaluation ou par les missions de l’organisme concerné.

« Seules les personnes nommément désignées et habilitées à cet effet par le responsable du traitement, dans les conditions précisées dans le décret en Conseil d’État mentionné à l’article L. 1461-7, sont autorisées à accéder aux données du système national des données de santé.

« II – Les traitements à des fins de recherche, d’étude ou d’évaluation mentionnés au 1° du I sont autorisés selon la procédure définie au chapitre IX de la loi n° 78-17 du 6 janvier 1978 précitée.

« Les organismes à but lucratif et les organismes mentionnés aux 3°, 5° et 6° du B du I de l’article L. 612-2 du code monétaire et financier sont tenus :

« 1° Soit de démontrer que les modalités de mise en œuvre du traitement rendent impossible toute utilisation des données pour l’une des finalités mentionnées au V de l’article L. 1461-1. Les modalités techniques de mise à disposition desdites données doivent alors rendre impossible leur conservation ou leur enregistrement par l’organisme concerné ;

« 2° Soit de recourir à un laboratoire de recherche ou à un bureau d’études, publics ou privés, pour réaliser le traitement.

« Les responsables des laboratoires de recherche et des bureaux d’études présentent à la Commission nationale de l’informatique et des libertés un engagement de conformité à un référentiel incluant les critères d’expertise et d’indépendance, arrêté par le ministre chargé de la santé, pris après avis de la même commission.

« L’accès aux données est subordonné à l’engagement, par le demandeur, de communiquer au groupement d’intérêt public mentionné à l’article L. 1462-1 :

« a) Au début de la recherche, de l’étude ou de l’évaluation, l’autorisation de la Commission nationale de l’informatique et des libertés et une déclaration des intérêts du demandeur en rapport avec l’objet du traitement ;

« b) À la fin de la recherche, de l’étude ou de l’évaluation ou, le cas échéant, après sa publication la méthode et les résultats de l’analyse et les moyens d’en évaluer la validité.

« Le groupement d’intérêt public mentionné à l’article L. 1462-1 publie l’autorisation de la Commission nationale de l’informatique et des libertés, la déclaration des intérêts, les résultats et la méthode.

« III. – Le décret mentionné à l’article L. 1461-7 fixe la liste des services de l’État, des établissements publics ou des organismes chargés d’une mission de service public autorisés à traiter des données à caractère personnel du système national des données de santé pour les besoins de leurs missions. Ce décret précise, pour chacun de ces services, établissements ou organismes, l’étendue de cette autorisation, les conditions d’accès aux données et celles de la gestion des accès.

« Art. L. 1461-4. – (Supprimé)

« Art. L. 1461-5. – I. – Le système national des données de santé ne contient ni les noms et prénoms des personnes, ni leur numéro d’inscription au répertoire national d’identification des personnes physiques, ni leur adresse. Les numéros d’identification des professionnels de santé sont conservés et gérés séparément des autres données.

« II. – Un décret en Conseil d’État, pris après avis de la Commission nationale de l’informatique et des libertés, détermine les données à caractère personnel qui, en raison du risque d’identification directe des personnes concernées, sont confiées à un organisme distinct du responsable du système national des données de santé et des responsables des traitements.

« Cet organisme est seul habilité à détenir le dispositif de correspondance permettant de réidentifier les personnes à partir des données du système national des données de santé. Il assure la sécurité de ce dispositif.

« III. – La Commission nationale de l’informatique et des libertés peut autoriser l’accès aux données détenues par l’organisme mentionné au II du présent article, dans les conditions prévues par la loi n° 78-17 du 6 janvier 1978 précitée, quand il est nécessaire :

« 1° Pour avertir une personne d’un risque sanitaire grave auquel elle est exposée ou pour lui proposer de participer à une recherche ;

« 2° Pour la réalisation d’un traitement à des fins de recherche, d’étude ou d’évaluation si le recours à ces données est nécessaire, sans solution alternative, à la finalité du traitement et proportionné aux résultats attendus.

« Art. L. 1461-6. – L’accès aux données de santé autres que celles mentionnées à l’article L. 1461-2 est gratuit pour :

« 1° Les recherches, les études ou les évaluations demandées par l’autorité publique ;

« 2° Les recherches réalisées exclusivement pour les besoins de services publics administratifs.

« Art. L. 1461-6-1. – Pour les finalités de recherche, d’étude ou d’évaluation, la mise à disposition des données des composantes du système national des données de santé mentionnées aux 1° à 5° de l’article L. 1461-1 est régie par le présent chapitre.

« Art. L. 1461-7. – Un décret en Conseil d’État, pris après avis de la Commission nationale de l’informatique et des libertés :

« 1° Désigne les organismes chargés de gérer la mise à disposition effective des données du système national des données de santé et détermine leurs responsabilités respectives ;

« 2° Dresse la liste des catégories de données réunies au sein du système national des données de santé et des modalités d’alimentation du système national des données de santé, y compris par les organismes d’assurance maladie complémentaire ;

« 3° (Supprimé)

« 4° Fixe, dans les limites prévues au III de l’article L. 1461-3, la liste des services, des établissements ou des organismes bénéficiant de l’autorisation mentionnée au même III ;

« 4° bis Fixe les conditions de désignation et d’habilitation des personnels autorisés à accéder au système national des données de santé ;

« 5° Fixe les conditions de gestion et de conservation séparées des données permettant une identification directe des personnes en application de l’article L. 1461-5 et détermine l’organisme à qui sont confiées ces données ;

« 6° (nouveau) Détermine les modalités selon lesquelles les organismes mentionnés au présent 1° garantissent à toute personne qui leur en fait la demande, en application de l’article 38 de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, que ses données de santé à caractère personnel ne seront pas mises à disposition dans le cadre du 1° du I de l’article L. 1461-3 du présent code.

« CHAPITRE II

« Institut national des données de santé

« Art. L. 1462-1. – Un groupement d’intérêt public, dénommé : “Institut national des données de santé”, est constitué entre l’État, des organismes assurant une représentation des malades et des usagers du système de santé, des producteurs de données de santé et des utilisateurs publics et privés de données de santé, y compris des organismes de recherche en santé.

« Il est notamment chargé :

« 1° De veiller à la qualité des données de santé et aux conditions générales de leur mise à disposition, garantissant leur sécurité et facilitant leur utilisation dans le respect de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

« 2° D’assurer le secrétariat unique mentionné à l’article 54 de la même loi ;

« 3° D’émettre un avis sur le caractère d’intérêt public que présente une recherche, une étude ou une évaluation, dans les conditions prévues au même article 54 ;

« 4° De faciliter la mise à disposition d’échantillons ou de jeux de données agrégées mentionnées au IV bis dudit article 54, dans des conditions préalablement homologuées par la Commission nationale de l’informatique et des libertés ;

« 5° De contribuer à l’expression des besoins en matière de données anonymes et de résultats statistiques, en vue de leur mise à la disposition du public.

« Il publie chaque année un rapport à l’attention du Parlement.

« Art. L. 1462-2. – (Supprimé) »

bis (Non modifié). – Au premier alinéa du I de l’article L. 1451-1 du même code, après la référence : « L. 1431-1, », est insérée la référence : « L. 1462-1, ».

II (Non modifié). – L’article L. 161-28-1 du code de la sécurité sociale est ainsi modifié :

1° Après le 3°, il est inséré un 4° ainsi rédigé :

« 4° À la constitution du système national des données de santé, mentionné à l’article L. 1461-1 du code de la santé publique. » ;

2° Au dernier alinéa, les mots : « l’anonymat » sont remplacés par les mots : « la vie privée ».

III (Non modifié). – L’article L. 161-29 du code de la sécurité sociale est ainsi modifié :

1° L’avant-dernier alinéa est ainsi rédigé :

« Le personnel des organismes d’assurance maladie est soumis au secret professionnel dans les conditions et sous les peines prévues à l’article 226-13 du code pénal. » ;

2° Au dernier alinéa, les mots : « après consultation du comité national paritaire de l’information médicale visé à l’article L. 161-30 et » sont supprimés.

IV. – (Supprimé)

V (Non modifié). – L’article L. 2223-42 du code général des collectivités territoriales est ainsi modifié :

1° Le deuxième alinéa est ainsi modifié :

a) La première phrase est complétée par les mots : « et qui ont accès aux données relatives aux causes médicales de décès pour l’accomplissement de leurs missions » ;

b) À la seconde phrase, après le mot : « fixe », sont insérés les mots : « le périmètre des accès ainsi que » ;

2° Après le 2°, sont insérés des 3° à 5° ainsi rédigés :

« 3° Pour les recherches, les études ou les évaluations dans le domaine de la santé, dans les conditions fixées à l’article L. 1461-3 du code de la santé publique ;

« 4° Pour alimenter le système national des données de santé défini à l’article L. 1461-1 du même code ;

« 5° Pour l’établissement de statistiques dans le cadre de l’article 7 bis de la loi n° 51-711 du 7 juin 1951 sur l’obligation, la coordination et le secret en matière de statistiques, à l’Institut national de la statistique et des études économiques ou aux services statistiques du ministre chargé de la santé. Ces données doivent être traitées séparément des données individuelles d’état civil détenues par l’Institut national de la statistique et des études économiques. »

VI (Non modifié). – L’article L. 1435-6 du code de la santé publique est ainsi rédigé :

« Art. L. 1435-6. – L’agence régionale de santé a accès aux données nécessaires à l’exercice de ses missions contenues dans les systèmes d’information des établissements de santé et des établissements et services médico-sociaux ainsi que, dans les conditions prévues à l’article L. 1461-2, aux données des organismes d’assurance maladie et de la Caisse nationale de solidarité pour l’autonomie. Elle a également accès, dans les conditions définies au III de l’article L. 1461-3, aux données du système national des données de santé.

« L’agence régionale de santé est tenue informée par les organismes situés dans son ressort de tout projet concernant l’organisation et le fonctionnement de leurs systèmes d’information. Le directeur général de l’agence détermine, en fonction de la situation sanitaire, pour chaque établissement, service et organisme, les données utiles que celui-ci doit transmettre de façon régulière, notamment les disponibilités en lits et places. Le directeur général de l’agence décide également de la fréquence de mise à jour et de transmission des données issues des établissements de soins et des établissements et services médico-sociaux.

« Les agents de l’agence régionale de santé n’ont accès aux données de santé à caractère personnel que si elles sont strictement nécessaires à l’accomplissement de leurs missions. Ils sont tenus au secret professionnel. Lorsque ces données sont utilisées à des fins d’étude, elles ne comportent ni le nom, ni le numéro d’inscription au répertoire national d’identification des personnes physiques et des précautions sont prises pour assurer la traçabilité des accès, dans le respect de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. »

VII. – L’article L. 1111-8-1 du code de la santé publique est ainsi rédigé :

« Art. L. 1111-8-1. – I. – Le numéro d’inscription au répertoire national d’identification des personnes physiques est utilisé comme identifiant de santé des personnes pour leur prise en charge à des fins sanitaires et médico-sociales, dans les conditions prévues à l’article L. 1110-4.

« Un décret en Conseil d’État, pris après avis de la Commission nationale de l’informatique et des libertés, précise les modalités d’utilisation de cet identifiant, notamment afin d’en empêcher l’utilisation à des fins autres que sanitaires et médico-sociales.

« Les dispositions de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés prescrivant une procédure particulière d’autorisation à raison de l’utilisation du numéro d’inscription au répertoire national d’identification des personnes physiques dans un traitement de données personnelles ne sont pas applicables aux traitements qui utilisent ce numéro exclusivement dans les conditions prévues au présent I.

« II. – Par dérogation au I, le traitement de l’identifiant de santé peut être autorisé à des fins de recherche dans le domaine de la santé, dans les conditions prévues au chapitre IX de la loi n° 78-17 du 6 janvier 1978 précitée. »

VIII. – La loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés est ainsi modifiée :

1° A À la seconde phrase du 2° de l’article 6, les références : « aux chapitres IX et X » sont remplacées par la référence : « au chapitre IX » ;

1° L’article 8 est ainsi modifié :

a) Au 8° du II, après le mot : « recherche », sont insérés les mots : « , aux études et évaluations » ;

b) À la seconde phrase du III, les mots : « des chapitres IX et X » sont remplacés par les mots : « du chapitre IX » ;

c) Au IV, après les mots : « conditions prévues », est insérée la référence : « au IV de l’article 25, » ;

d) Il est ajouté un V ainsi rédigé :

« V. – Les jeux de données issues des traitements comportant des données de santé à caractère personnel mentionnées au I du présent article ne peuvent être mis à la disposition du public qu’après avoir fait l’objet d’une anonymisation complète et irréversible des données personnelles qu’ils contiennent, rendant impossible l’identification, directe ou indirecte, des personnes concernées. La Commission nationale de l’informatique et des libertés peut homologuer et publier des méthodologies générales ou des procédés d’anonymisation auxquels le responsable du traitement se conforme préalablement à la mise à disposition de ces données ou jeux de données. À défaut, la mise à la disposition du public de ces données est subordonnée à l’autorisation de la même Commission, qui se prononce dans les conditions prévues à l’article 25 de la présente loi. » ;

1° bis Le dixième alinéa de l’article 15 est supprimé ;

2° L’article 25 est complété par un IV ainsi rédigé :

« IV. – Par dérogation au III, lorsque la Commission nationale de l’informatique et des libertés est saisie d’une demande d’autorisation d’un traitement de données de santé à caractère personnel mis en œuvre par les organismes ou les services chargés d’une mission de service public figurant sur une liste fixée par arrêté des ministres chargés de la santé et de la sécurité sociale, pris après avis de la commission, afin de répondre, en cas de situation d’urgence, à une alerte sanitaire, au sens de l’article L. 1413-2 du code de la santé publique, elle se prononce dans un délai de quarante-huit heures. Lorsqu’elle ne s’est pas prononcée dans ce délai, l’autorisation est réputée accordée.

« Les conditions dans lesquelles ces traitements peuvent utiliser le numéro d’inscription au répertoire national d’identification des personnes physiques sont définies par décret en Conseil d’État, pris après avis de la Commission nationale de l’informatique et des libertés. » ;

3° L’article 27 est complété par un IV ainsi rédigé :

« IV. – Le 1° des I et II du présent article ne sont pas applicables :

« 1° Aux traitements à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé, sauf ceux mis en œuvre par les organismes mentionnés au deuxième alinéa du II de l’article L. 1461-3 du code de la santé publique, qui sont soumis au chapitre IX ;

« 2° Aux traitements mis en œuvre afin de répondre à une alerte sanitaire en cas de situation d’urgence, qui sont soumis au IV de l’article 25. » ;

4° Le chapitre IX est ainsi modifié :

a) Après le mot : « personnel », la fin de l’intitulé est ainsi rédigée : « à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé » ;

b) Les articles 53 et 54 sont ainsi rédigés :

« Art. 53. – Les traitements automatisés de données à caractère personnel à des finalités de recherche ou les études dans le domaine de la santé ainsi que l’évaluation ou l’analyse des pratiques ou des activités de soins ou de prévention sont soumis à la présente loi, à l’exception des articles 23 et 24, du I de l’article 25 et des articles 26, 32 et 38.

« Toutefois, le présent chapitre n’est pas applicable :

« 1° Aux traitements de données à caractère personnel ayant pour fin le suivi thérapeutique ou médical individuel des patients ;

« 2° Aux traitements permettant d’effectuer des études à partir des données recueillies en application du 1° lorsque ces études sont réalisées par les personnels assurant ce suivi et destinées à leur usage exclusif ;

« 3° Aux traitements effectués à des fins de remboursement ou de contrôle par les organismes chargés de la gestion d’un régime de base d’assurance maladie ;

« 4° Aux traitements effectués au sein des établissements de santé par les médecins responsables de l’information médicale, dans les conditions prévues au deuxième alinéa de l’article L. 6113-7 du code de la santé publique ;

« 5° Aux traitements effectués par les agences régionales de santé, par l’État et par la personne publique désignée par lui en application du premier alinéa de l’article L. 6113-8 du même code, dans le cadre défini au même article ;

« 6° Aux traitements mis en œuvre par les organismes ou les services chargés d’une mission de service public figurant sur une liste fixée par arrêté des ministres chargés de la santé et de la sécurité sociale, pris après avis de la Commission nationale de l’informatique et des libertés, afin de répondre à une alerte sanitaire, dans les conditions prévues au IV de l’article 25.

« Art. 54. – I. – Les traitements de données à caractère personnel ayant une finalité d’intérêt public de recherche, d’étude ou d’évaluation dans le domaine de la santé sont autorisés par la Commission nationale de l’informatique et des libertés, dans le respect des principes définis par la présente loi et en fonction de l’intérêt public que la recherche, l’étude ou l’évaluation présente.

« II. – La Commission nationale de l’informatique et des libertés prend sa décision après avis :

« 1° Du comité compétent de protection des personnes mentionné à l’article L. 1123-6 du code de la santé publique, pour les demandes d’autorisation relatives aux recherches impliquant la personne humaine mentionnées à l’article L. 1121-1 du même code ;

« 2° Du comité d’expertise pour les recherches, les études et les évaluations dans le domaine de la santé, pour les demandes d’autorisation relatives à des études ou à des évaluations, ainsi qu’à des recherches n’impliquant pas la personne humaine, au sens du 1° du présent II.

« Le comité d’expertise est composé de personnes choisies en raison de leur compétence, dans une pluralité de disciplines. Un décret en Conseil d’État, pris après avis de la Commission nationale de l’informatique et des libertés, précise la composition du comité et définit ses règles de fonctionnement. Il peut prévoir l’existence de plusieurs sections au sein du comité, compétentes en fonction de la nature ou de la finalité du traitement.

« Selon le cas, le comité d’expertise ou le comité compétent de protection des personnes émet, dans un délai d’un mois à compter de sa saisine, un avis sur la méthodologie retenue, sur la nécessité du recours à des données à caractère personnel et sur la pertinence de celles-ci par rapport à la finalité du traitement et, s’il y a lieu, sur la qualité scientifique du projet. Le cas échéant, le comité recommande aux demandeurs des modifications de leur projet afin de le mettre en conformité avec la présente loi. À défaut d’avis du comité dans le délai d’un mois, l’avis est réputé favorable. En cas d’urgence, ce délai peut être ramené à quinze jours.

« Dans des conditions définies par décret en Conseil d’État, l’Institut national des données de santé, prévu à l’article L. 1462-1 du code de la santé publique, peut être saisi sur le caractère d’intérêt public que présente la recherche, l’étude ou l’évaluation justifiant la demande de traitement par la Commission nationale de l’informatique et des libertés ou le ministre chargé de la santé ; il peut également évoquer le cas de sa propre initiative. Dans tous les cas, il rend un avis dans un délai d’un mois à compter de sa saisine.

« Les dossiers présentés dans le cadre du présent chapitre, à l’exclusion des recherches mentionnées aux 1° et 2° de l’article L. 1121-1 du code de la santé publique et à l’exclusion des recherches mentionnées au 3° du même article portant sur des produits mentionnés à l’article L. 5311-1 du même code, sont déposés auprès d’un secrétariat unique, qui assure leur orientation vers les instances compétentes.

« III. – Pour chaque demande, la Commission nationale de l’informatique et des libertés vérifie les garanties présentées par le demandeur pour l’application des présentes dispositions et la conformité de sa demande à ses missions ou à son objet social. Si le demandeur n’apporte pas d’éléments suffisants pour attester la nécessité de disposer de certaines informations parmi l’ensemble des données à caractère personnel dont le traitement est envisagé, la commission peut interdire la communication de ces informations par l’organisme qui les détient et n’autoriser le traitement que pour ces données réduites.

« La commission statue sur la durée de conservation des données nécessaires au traitement et apprécie les dispositions prises pour assurer leur sécurité et la garantie des secrets protégés par la loi.

« IV. – Pour les catégories les plus usuelles de traitements automatisés de données de santé à caractère personnel à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé, la Commission nationale de l’informatique et des libertés peut homologuer et publier des méthodologies de référence destinées à simplifier la procédure d’examen. Celles-ci sont établies en concertation avec le comité d’expertise et des organismes publics et privés représentatifs des acteurs concernés.

« IV bis. – Des jeux de données agrégées ou des échantillons, issus des traitements des données de santé à caractère personnel pour des finalités et dans des conditions reconnues conformes à la présente loi par la Commission nationale de l’informatique et des libertés, peuvent faire l’objet d’une mise à disposition, dans des conditions préalablement homologuées par la commission garantissant qu’aucune identification directe ou indirecte des personnes concernées ne soit possible, sans que l’autorisation prévue au I du présent article soit requise.

« V. – La Commission peut, par décision unique, délivrer à un même demandeur une autorisation pour des traitements répondant à une même finalité, portant sur des catégories de données identiques et ayant des catégories de destinataires identiques. » ;

c) L’article 55 est ainsi modifié :

– le deuxième alinéa est ainsi rédigé :

« Lorsque ces données permettent l’identification des personnes, leur transmission doit être effectuée dans des conditions de nature à garantir leur confidentialité. La Commission nationale de l’informatique et des libertés peut adopter des recommandations ou des référentiels sur les procédés techniques à mettre en œuvre. » ;

– à la première phrase de l’avant-dernier alinéa, les mots : « de la recherche » sont supprimés ;

d) L’article 57 est ainsi modifié :

– au début du premier alinéa, est ajoutée la mention : « I. – » ;

– le dernier alinéa est supprimé ;

– sont ajoutés des II et III ainsi rédigés :

« II. – Lorsque les données à caractère personnel ont été initialement recueillies pour un autre objet que la recherche, l’étude ou l’évaluation, il peut être dérogé, sous réserve du III, à l’obligation d’information définie au I :

« 1° Pour les traitements nécessaires à la conservation de ces données à des fins historiques, statistiques ou scientifiques, dans les conditions prévues au livre II du code du patrimoine ;

« 2° Pour la réutilisation de ces données à des fins statistiques, dans les conditions prévues à l’article 7 bis de la loi n° 51-711 du 7 juin 1951 sur l’obligation, la coordination et le secret en matière de statistiques ;

« 3° Lorsque l’information individuelle se heurte à la difficulté de retrouver les personnes concernées ou représente des efforts disproportionnés par rapport à l’intérêt de la démarche.

« Les dérogations à l’obligation d’informer les personnes de l’utilisation de données les concernant à des fins de recherche, d’étude ou d’évaluation sont mentionnées dans le dossier de demande d’autorisation transmis à la Commission nationale de l’informatique et des libertés, qui statue sur ce point.

« III. – Quand la recherche, l’étude ou l’évaluation faisant l’objet de la demande utilise des données de santé à caractère personnel non directement identifiantes recueillies à titre obligatoire et destinées aux services ou aux établissements de l’État ou aux organismes de sécurité sociale, l’information des personnes concernées quant à la réutilisation possible de ces données, à des fins de recherche, d’étude ou d’évaluation est assurée selon des modalités définies par décret en Conseil d’État, pris après avis de la Commission nationale de l’informatique et des libertés. » ;

e) À l’article 61, les mots : « la Communauté » sont remplacés par les mots : « l’Union » et les mots : « ayant pour fin la recherche » sont remplacés par les mots : « à des fins de recherche, d’étude ou d’évaluation » ;

5° Le chapitre X est abrogé.

VIII bis (Non modifié). – L’article L. 225-1 du code de la recherche est ainsi modifié :

1° À la fin du premier alinéa, les mots : « , notamment par son article 54 ci-après reproduit : » sont supprimés ;

2° Les deuxième à dernier alinéas sont supprimés.

IX (Non modifié). – Le groupement d’intérêt public « Institut des données de santé », mentionné à l’article L. 161-36-5 du code de la sécurité sociale, dans sa rédaction antérieure à la présente loi, devient le groupement d’intérêt public « Institut national des données de santé », mentionné à l’article L. 1462-1 du code de la santé publique, à la date d’approbation de la convention constitutive de celui-ci. L’Institut national des données de santé se substitue à l’Institut des données de santé dans l’ensemble des droits et obligations de ce dernier.

(Non modifié).– Les organismes bénéficiant, à la date de la publication de la présente loi, d’un accès à tout ou partie du système national d’information interrégimes de l’assurance maladie mentionné à l’article L. 161-28-1 du code de la sécurité sociale conservent cet accès, dans les mêmes conditions, pendant une durée de trois ans à compter de cette publication.

XI (Non modifié). – Les autorisations délivrées par la Commission nationale de l’informatique et des libertés sur le fondement des chapitres IX et X de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dans leur rédaction antérieure à l’entrée en vigueur de la présente loi, demeurent applicables sauf modification de l’un des éléments mentionnés à l’article 30 de la même loi.

XII (Non modifié). – Les articles L. 161-30 et L. 161-36-5 du code de la sécurité sociale sont abrogés.

XIII (Non modifié). – L’article L. 5121-28 du code de la santé publique est abrogé.