Nous nous posons une question dans le cadre des accès permanents (CHU).
Dans le cadre d’une collaboration avec un personnel Universitaire (non hospitalier), nous souhaiterions pouvoir utiliser des données du SNDS pour une finalité d’intérêt public / scientifique.
L’accès aux données du SNDS serait assurée par un personnel affilié CHU et formé au SNDS.
Le personnel Universitaire apporterait une expertise cartographique avec exploitation de données issues du SNDS, sur des données agrégées (non individuelles et non identifiantes).
Nous avons un doute quant au fait que nous puissions utiliser l’accès permanent dans ce cadre qui nécessite peut être le dépôt d’un projet avec circuit CESREES / CNIL ?
Je reste disponible si besoin de plus amples informations.
L’accès permanent est une procédure réglementaire permettant à des organismes listés par décret, d’accéder aux données de la base principale du SDNS sans formalité préalable pour répondre aux besoins de leurs missions. C’est le décret du 9 juin 2021 qui précise les organismes bénéficiaires. Parmi eux figurent les équipes de recherche des CHU. Parmi les obligations associées à cet accès figurent notamment, le fait que l’accès ne peut être utilisé que dans le strict cadre des missions de service public de chaque bénéficiaire et les accès ne sont pas cessibles à des tiers (exemple : un CHU ne peut pas utiliser son accès pour réaliser une étude dans le cadre d’une prestation). Néanmoins, et avec l’accord de l’autorité d’enregistrement de l’organisme, il peut être envisagé qu’une personne ne faisant pas partie de ses équipes de recherche soit habilitée à utiliser cet accès pour conduire une étude. Cette personne serait donc habilitée et accéderait aux données du titre de l’équipe de recherche du CHU visé. Cette délégation d’accès se ferait sous la responsabilité de l’organisme et ne pourrait être délivrée que pour la réalisation d’études portées strictement par l’organisme en question.
Quelles sont les références (décret SNDS, CSP, référentiel sécurité, CGU ?) sur lesquelles l’on peut s’appuyer pour la rédaction d’une convention entre l’organisme responsable de traitement (avec accès permanent) et l’organisme réalisant le traitement (sans accès permanent, mais avec personnel formé SNDS) ?
Si je comprends bien une délégation d’accès est possible, toutefois ce n’est pas ce que nous envisagions.
Nous envisagions (si possible) de réaliser un traitement de données dans le SNDS, par un utilisateur CHU avec accès permanent, afin de cartographier une problématique de santé. Cette étape permettrait de constituer une base de résultats agrégés (nb de cas par commune ou agrégation de communes en cas de nombres trop petits, < 10 par ex.).
Cette base agrégée serait ensuite mise en relation avec des indicateurs géographiques (type Fdep, autres données socio-économiques ou d’expositions environnementales etc, typiquement des données qui ne sont pas des données de santé, et disponibles en open data). Cette étape serait réalisée par le personnel universitaire (donc non affilié CHU).
La finalité représente un intérêt commun Hospitalo-Universitaire et du coup je me demande si j’interprète bien vos propos, car au sens strict, l’intérêt de l’étude n’est pas uniquement hospitalier (ie. de l’organisme qui bénéficie des accès permanents).
Pour autant, un chercheur avec une double affiliation H-U sortirait-il du cadre de par sa double casquette ?!
La réponse d’Alice est plus adaptée dans le cas où le personnel universitaire accéderait à des données à l’échelle individuelle, via l’accès permanent du CHU.
Dans son fonctionnement, le projet que vous présentez est similaire à des cas que nous avons rencontré sur des projets de l’AAP GD4H.
Il y a deux étapes :
Un traitement de données, couvert réglementairement par votre accès permanent à la BP du SNDS, qui vise à produire des indicateurs agrégés (et donc anonymes)
Un croisement d’indicateurs agrégés avec d’autres données avec le code commune. Les données agrégés étant anonymes, elles sortent du champ de la législation relative à la protection des données, en particulier du RGPD au niveau européen et de la LIL au niveau français
Il n’y a pas de problème à ce qu’un personnel universitaire travaille sur l’étape 2.En revanche le premier traitement doit entre fait par un personnel du CHU et doit bien préciser la finalité du chaînage final même s’il est fait par un autre car c’est la raison pour laquelle les indicateurs sont créés en premier lieu.