Le guide de la Commission Nationale de l’Informatique et des Libertés sur l’appariement de données avec le SNDS utilisant le NIR

L’autorité administrative indépendante chargée de veiller à la protection des données personnelles des Français, a publié récemment un guide portant sur l’appariement des données personnelles avec un système national de données de santé.

Un système qui utilise en particulier le numéro d’inscription au répertoire encore appeler le numéro de sécurité sociale. Le guide a été publié depuis le 8 janvier dernier.

L’objectif de l’autorité administrative est « d’aider les chercheurs désirant travailler avec les données du SNDS à mettre en œuvre un circuit d’appariement conforme aux exigences de sécurité » et « accompagner les responsables de traitement ». La Commission Nationale de l’Informatique et des libertés décrit le guide comme un document qui « présente les circuits [de circulation du NIR] les plus classiques, conformes aux obligations légales et validés » par la commission. De ce fait, il devra contenir « les critères devant conduire à recourir à un tiers indépendant afin de cloisonner les données d’appariement [et ainsi d’éviter que le responsable de traitement ne dispose de données identifiants], ainsi que les critères permettant de s’assurer de l’indépendance de ce tiers » comme l’explique l’autorité administrative.

L’indépendance mis en évidence ici concernant morceau demande et dépendance économique, mais aussi l’indépendance juridique. Par ailleurs la personne tierce concernée ne doit pas être dans une situation dans laquelle il serait dans un certain conflit, d’intérêt, car c’est de ça qu’il s’agit, avec les responsables du traitement.

« Les traitements prévoyant l’usage du NIR comme identifiant pivot pour réaliser des appariements déterministes de données de santé avec le SNDS nécessitent une attention particulière » a expliqué la Commission Nationale de l’Informatique et des libertés. L’autorité administrative a par ce fait « identifié plusieurs écueils fréquents dans le cadre du traitement des demandes d’autorisation » qui lui ont envoyé « une circulation inutile du NIR et/ou des données de santé ». De plus, « le recours superflu à un tiers alors que le NIR est déjà connu du responsable de traitement ou du centre investigateur qui participe au projet de recherche » ou bien « l’implication d’une entité faisant en réalité partie du même organisme que le responsable de traitement et ne pouvant donc pas être considérée comme un ‘tiers’. ».

En définitive, le guide fourni par l’agence est de faire en sorte que la collecte de données ainsi que leur traitement dans un grand ensemble soient totalement conformité avec les règles produites dans le règlement général des données personnelles. Le nouveau guide est beaucoup plus à l’attention des organisations de santé ainsi que tout organisme ayant un intérêt quelconque ou pas ce type de collecte de données. Pour ce qui concerne dans les sanctions rien n’a été prévu dans le guide fourni par la Commission nationale de la Liberté. C’est qui en effet légitime en ce sens que c’est un guide. Mais pour cet ensemble est organisé et bien évidemment encadré par des règles qui sont présentes dans la RGPD.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage