Code de la santé publique
Article R1461-7
II.-Les règles de la gestion sécurisée du système national des données de santé, définies dans un référentiel de sécurité arrêté par les ministres chargés de la santé, de la sécurité sociale et du numérique après avis de la Commission nationale de l'informatique et des libertés sont établies dans le respect des principes suivants :
1° Pseudonymisation :
a) Les bases de données relevant du système national des données de santé ne comportent aucune donnée directement identifiante : ni le nom ni le prénom ni l'adresse ni le numéro d'inscription au Répertoire national d'identification des personnes physiques des personnes. Un pseudonyme, constitué d'un code non signifiant obtenu par un procédé cryptographique irréversible du numéro d'inscription au Répertoire national d'identification des personnes physiques, est associé aux données se rapportant à chaque personne. La mise à disposition s'effectue au moyen d'un pseudonyme différent pour chacune des bases de données rendue accessible à chacun des responsables de traitement ;
b) Le procédé cryptographique irréversible mentionné ci-dessus est utilisé pour constituer les bases de données relevant du système national des données de santé et pour apparier les données extraites du système national des données de santé et des données relatives à des bénéficiaires de l'assurance maladie figurant dans d'autres systèmes. Cette procédure est organisée de sorte que nul ne puisse disposer à la fois de l'identité des personnes, notamment de leur numéro d'inscription au Répertoire national d'identification des personnes physiques, d'une part, et du pseudonyme mentionné au I du présent article, d'autre part. Les personnes intervenant dans cette procédure sont tenues au secret professionnel ;
2° Traçabilité :
Les modalités de conservation et d'utilisation des données permettent d'en contrôler les usages et de fournir des preuves en cas d'usage non autorisé.