Intervention de Franck Von Lennep

Merci, monsieur le président. La DREES a été chargée par Mme la ministre de la santé et des affaires sociales de piloter le projet de Système national des données de santé (SNDS). Nous avons à cette fin constitué une mission « Accès aux données de santé », qui est dirigée par Mme Mylène Girard qui m'accompagne aujourd'hui. Cette mission comprend quatre personnes, alors que ce sont des problèmes que nous n'abordions pas du tout il y a quelques années : cela marque, je crois, la volonté de l'État de se donner les moyens de mener à bien ce projet.

Nous avons installé un comité de pilotage stratégique du SNDS. Il rassemble les directions du ministère de la santé et les producteurs de données de santé, et se réunit trois à quatre fois par an. Il fixe les grandes lignes du projet et rend des arbitrages. Cette nouveauté – le Système national d'information inter-régimes de l'assurance maladie (SNIIRAM) n'était pas gouverné de cette façon – répond vraiment à un besoin, ce que la Cour des comptes avait d'ailleurs souligné.

D'autres comités se mettent également en place.

La DREES a également préparé les décrets d'application de l'article 193. Il y aura principalement trois décrets en Conseil d'État, pris après avis de la Commission nationale de l'informatique et des libertés (CNIL) – je laisse de côté un quatrième décret qui portera sur l'identifiant national de santé.

L'un de ces trois décrets sera rédigé ultérieurement, car il n'est pas nécessaire à court terme.

Un autre définit les données qui composent le SNDS et les institutions exerçant une mission de service public qui disposeront d'un accès permanent, c'est-à-dire qu'elles ne relèveront pas du droit commun de l'autorisation par la CNIL. Pour ces accès permanents, différents critères seront définis – périmètre et profondeur des données, type de variables qui pourront être croisées.

Le troisième modifie le décret relatif à la CNIL pour préciser les modalités de constitution et de saisine du comité d'expertise pour les recherches, les études et les évaluations dans le domaine de la santé (CEREES). Notre objectif est que la procédure et les délais soient aussi bien définis que possible : si les dossiers sont bien instruits en amont, la CNIL pourra prendre sa décision rapidement.

Ces deux derniers décrets ont donné lieu à une délibération de la CNIL au mois d'octobre dernier ; ils ont été examinés récemment en section sociale du Conseil d'État. Ils devraient être publiés dans les prochaines semaines – nous visons une publication au mois de janvier.

Parallèlement, d'autres textes sont nécessaires, en particulier un arrêté sur le référentiel de sécurité. Ce sera la validation juridique d'un travail de plusieurs mois mené en 2016 avec les producteurs de données et des spécialistes de la sécurité – notamment l'Agence nationale de la sécurité des systèmes d'information (ANSSI) et le haut fonctionnaire de défense et de sécurité du ministère – et en lien avec les services de la CNIL. Le référentiel de sécurité a été soumis à la CNIL, qui l'examinera en début d'année prochaine. Il est très attendu des producteurs de données, puisqu'il est indispensable à la mise en oeuvre technique du SNDS. Bien sûr, dans la mesure où nous les avons associés à notre travail, ils ne le découvriront pas tout à fait.

Le calendrier court jusqu'en 2019, avec différentes étapes d'ici là. Certains problèmes doivent être réglés dès l'ouverture du SNDS.