Le référentiel de sécurité applicable au SNDS actualisé

Selon la loi de modernisation de notre système de santé, les accès aux données du Système national des données de santé (SNDS) s’effectuent dans « des conditions assurant la confidentialité et l’intégrité des données et la traçabilité des accès et des autres traitements ». Le référentiel précise ces conditions avec les règles de sécurité que tout système utilisant des données du SNDS se doit de mettre en place. La version de mars 2017 a été mise à jour par un arrêté du 6 mai 2024.

Élargissement du SNDS

La loi relative à l’organisation et à la transformation du système de santé de 2019 a élargi le champ des données du SNDS et les finalités d’usage pour faciliter le recueil, le rassemblement et la mise à disposition des données de santé dans des conditions de sécurité indispensables. Un nouvel acteur de mise à disposition des données voyait alors le jour sous la forme du groupement d’intérêt public « Plateforme des données de santé », qui reprenait les missions de l’Institut national des données de santé. 

Le présent référentiel intègre ces évolutions législatives. Il s’applique au SNDS central pour l’alimentation, l’hébergement, la transmission, y compris entre les gestionnaires de système du SNDS central, et la mise à disposition des données. Il s’applique aussi à l’ensemble des systèmes fils pour l’hébergement, la transmission et la mise à disposition des données. Concernant les autres systèmes du SNDS, il s’applique, s’il y a mise à disposition de données du SNDS, à cette mise à disposition dès lors qu’elle est faite à un tiers pour des finalités du SNDS ainsi qu’à l’hébergement des données mises à disposition ou, s’il y a transmission de données SNDS, à cette transmission pour des finalités SNDS.

En revanche, ces exigences ne s’appliquent pas aux autres systèmes contenant des données du SNDS, utilisées pour leurs propres finalités et non mises à disposition à des tiers. De même, pour les données anonymes, les exigences du référentiel ne sont pas applicables. Ce référentiel n’a pas vocation à définir les méthodes d’anonymisation ou de qualification du caractère anonyme de ces données.

Mise en conformité des SI existants

Les systèmes d’information nouvellement créés doivent être en conformité avec le référentiel dès leur création. Les systèmes d’information existants soumis à la précédente version devront être mis en accord avec le nouveau référentiel dans les deux ans. Les gestionnaires des systèmes d’information ont six mois pour établir un plan d’actions de mise en conformité avec les mesures à prendre dans l’immédiat, puis à court et à moyen terme. Ils doivent également mener une analyse de risques et mettre en place des actions garantissant la confidentialité et l’intégrité des données ainsi que la traçabilité des accès et des traitements de ces données, afin d’assurer la protection des données et le respect de la vie privée des personnes concernées.