Ont été publiées au Journal officiel, deux nouvelles méthodologies de référence adoptées par la Commission nationale de l’informatique et des libertés (CNIL) : les MR-007 et MR-008 qui simplifient l’accès à la base du SNDS.
La MR-007 vise les traitements de données de la base du SNDS mis en œuvre à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé par les organismes agissant dans leur mission d’intérêt public, tandis que la MR-008 vise les mêmes traitements lorsque les organismes agissent dans le cadre de leurs intérêts légitimes.
Les responsables de traitement concernés par la MR-007 seront le plus souvent des organismes publics et ceux concernés par la MR-008 des organismes privés. Au titre des organismes privés, sont exclus les sociétés d’assurance et les mutuelles.
Les sous-traitants sélectionnés par les responsables de traitement sont soit des établissements de santé, soit des fédérations hospitalières.
Dans le cadre de la MR-008, le responsable de traitement n’aura pas accès aux données du SNDS et devra recourir à un laboratoire de recherche ou un bureau d’études indépendant. Cette obligation ne s’appliquera pas lorsque le laboratoire de recherche ou le bureau d’études indépendant agira en tant que responsable de traitement.
Les mesures de sécurité prévues devront être conformes au référentiel de sécurité applicable au SNDS.
Ces nouvelles méthodologies prévoient la transmission d’un bilan tous les trois ans à la CNIL, visant à synthétiser les usages observés de la méthodologie en question. Par ailleurs, les autres méthodologies de référence sont en cours de révision par la CNIL, notamment les MR-001 et MR-003 relatives aux recherches impliquant la personne humaine ou encore la MR-004 pour les recherches n’impliquant pas la personne humaine par exemple pour la réutilisation des données de santé.