La Commission nationale de l’informatique et des libertés (Cnil) a publié un guide pratique sur l’appariement de données avec le système national des données de santé (SNDS) utilisant le NIR (numéro d’inscription au répertoire ou numéro de sécurité sociale), a-t-elle fait savoir sur son site internet le 8 janvier.
La Cnil souhaite « aider les chercheurs désirant travailler avec les données du SNDS à mettre en oeuvre un circuit d’appariement conforme aux exigences de sécurité » et « accompagner les responsables de traitement ».
Ce guide « présente les circuits [de circulation du NIR] les plus classiques, conformes aux obligations légales et validés » par la commission.
Il contient également « les critères devant conduire à recourir à un tiers indépendant afin de cloisonner les données d’appariement [et ainsi d’éviter que le responsable de traitement ne dispose de données identifiantes], ainsi que les critères permettant de s’assurer de l’indépendance de ce tiers ».
Cette indépendance doit être juridique et économique vis-à-vis du responsable du traitement, est-il indiqué dans le guide. Le tiers ne doit pas non plus se trouver « en situation de conflit d’intérêt vis-à-vis du responsable de traitement ».
« Les traitements prévoyant l’usage du NIR comme identifiant pivot pour réaliser des appariements déterministes de données de santé avec le SNDS nécessitent une attention particulière », a expliqué la Cnil.
Elle a identifié « plusieurs écueils fréquents dans le cadre du traitement des demandes d’autorisation » qui lui sont adressées, « une circulation inutile du NIR et/ou des données de santé », « le recours superflu à un tiers alors que le NIR est déjà connu du responsable de traitement ou du centre investigateur qui participe au projet de recherche » ou « l’implication d’une entité faisant en réalité partie du même organisme que le responsable de traitement et ne pouvant donc pas être considérée comme un ‘tiers’. »
