Prochaine réunion des Tricoteuses (Dans 6 jours) — mardi 17 mars 2026 à 12h00

Décret n°2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

TITRE II : DES FORMALITÉS PRÉALABLES À LA MISE EN OEUVRE DES TRAITEMENTS DE DONNÉES À CARACTÈRE PERSONNEL
- Chapitre IV : Dispositions particulières relatives aux demandes d'autorisation de traitements de données à caractère personnel ayant pour fin la recherche dans le domaine de la santé
  - Section 2 : Dispositions particulières relatives aux demandes d'autorisation de traitements de données à caractère personnel ayant pour fin la recherche, les études et les évaluations dans le domaine de la santé

Sous-section 3 : Composition et fonctionnement du comité d'audit du système national des données de santé

Article 32-1 consolidé du samedi 4 août 2018, abrogé le samedi 1 juin 2019

Le comité d'audit prévu à l'article 65 de la loi du 6 janvier 1978 susvisée est présidé par le haut fonctionnaire de défense et de sécurité des ministères chargés des affaires sociales qui peut déléguer cette fonction au fonctionnaire de sécurité des systèmes d'information des ministères chargés des affaires sociales et de la santé.
Le comité d'audit est composé :
1° Du directeur de la recherche, des études, de l'évaluation et des statistiques ou son représentant ;
2° Du délégué à la stratégie des systèmes d'information de santé ou son représentant ;
3° Du directeur de la Caisse nationale d'assurance maladie, responsable du traitement du système national des données de santé, ou son représentant ;
4° Du directeur de l'Agence technique de l'information sur l'hospitalisation ou son représentant ;
5° Du directeur de l'Institut national de la santé et de la recherche médicale ou son représentant ;
6° Du directeur de la Caisse nationale de solidarité pour l'autonomie ou son représentant ;
7° De représentants des organismes d'assurance maladie complémentaire ;
8° Du président de l'Institut national des données de santé ou son représentant ;
9° D'une personne représentant les acteurs privés du domaine de la santé ;
10° D'une personnalité qualifiée.
Les personnes mentionnées aux 7°, 9° et 10° sont désignées par arrêté du ministre chargé des affaires sociales et de la santé, sur proposition du président du comité d'audit.
Le président de la Commission nationale de l'informatique et des libertés ou son représentant assiste au comité d'audit en tant qu'observateur.
Le comité d'audit se réunit au moins deux fois par an sur convocation de son président.
Sur la base des orientations arrêtées par le comité d'audit, son président décide des audits à réaliser chaque année sur l'ensemble des systèmes réunissant, organisant ou mettant à disposition tout ou partie des données du système national des données de santé à des fins de recherche, d'étude ou d'évaluation et sur les systèmes composant le système national des données de santé.
La stratégie d'audit ainsi que la programmation des audits sont transmises par le président du comité d'audit au président de la Commission nationale de l'informatique et des libertés.

Article 32-2 consolidé du samedi 4 août 2018, abrogé le samedi 1 juin 2019

Article 32-3 consolidé du samedi 4 août 2018, abrogé le samedi 1 juin 2019

Le président du comité d'audit envoie une notification à l'entité auditée pour l'avertir de l'audit. Cette notification rappelle notamment l'objet de la mission, l'identité des auditeurs, la procédure d'audit, le droit d'opposition à l'audit de l'entité auditée qui peut s'exercer à tout moment ainsi que les délais et les voies de recours de l'entité auditée.
Si l'entité auditée fait état de son droit d'opposition à l'audit, les auditeurs alertent aussitôt le président du comité d'audit qui en informe sans délai le président de la Commission nationale de l'informatique et des libertés.
Les auditeurs ont accès de 8 heures à 20 heures, pour l'exercice de leurs missions, aux lieux, locaux, enceintes, installations ou établissements servant à la mise en œuvre des traitements de données à caractère personnel, à l'exclusion des parties de ceux-ci affectés au domicile privé.
Pour l'exercice de leurs missions, les auditeurs peuvent demander communication de tous documents, quel qu'en soit le support, et en prendre copie. Ils peuvent recueillir, notamment sur place ou sur convocation, tout renseignement et toute justification utiles. Les auditeurs peuvent accéder, dans des conditions préservant la confidentialité à l'égard des tiers, aux programmes informatiques et aux données, ainsi qu'en demander la transcription par tout traitement approprié dans des documents directement utilisables pour les besoins de l'audit.
Les auditeurs peuvent procéder à toute constatation utile. Les auditeurs peuvent notamment, à partir d'un service de communication au public en ligne, consulter les données librement accessibles ou rendues accessibles. Les auditeurs peuvent retranscrire les données par tout traitement approprié dans des documents directement utilisables pour les besoins de l'audit.
En cas de difficultés lors de l'audit, l'entité auditée peut saisir le président du comité d'audit afin qu'il s'assure de la conformité du comportement du prestataire et de ses auditeurs aux exigences découlant de la loi du 6 janvier 1978 susvisée, du présent décret, de la charte d'audit mentionnée à l'article 32-2 et des clauses du marché public sur le fondement duquel ils interviennent.

Article 32-4 consolidé du samedi 4 août 2018, abrogé le samedi 1 juin 2019

L'audit donne lieu à un rapport qui est transmis, pour contradiction, à l'entité auditée. Ce rapport rappelle l'objet de la mission, les membres de celle-ci, les personnes rencontrées, le cas échéant leurs déclarations, les demandes formulées par les auditeurs ainsi que les éventuelles difficultés rencontrées. Les manquements et dysfonctionnements constatés par les auditeurs à la loi du 6 janvier 1978 susvisée et aux dispositions du code de la santé publique relatives au système national des données de santé sont consignés dans ces rapports ainsi que les recommandations en découlant.
Le rapport est signé par les auditeurs. Il est envoyé, après validation par le président du comité d'audit, par ce dernier par lettre recommandée avec accusé de réception à l'entité auditée.
Lorsque l'audit conduit à l'accès à des données médicales individuelles, le médecin désigné par le prestataire consigne dans un rapport les vérifications qu'il a faites sans faire état des données médicales individuelles auxquelles il a eu accès. Le rapport, après validation par le président du comité d'audit, est transmis par ce dernier par lettre recommandée avec accusé de réception à l'entité contrôlée.
L'entité auditée dispose d'un délai d'un mois pour répondre à compter de la réception des rapports. Ses réponses doivent comporter un plan d'action et un calendrier de mise en œuvre de ses actions.
Au vu des réponses de l'entité auditée, de son plan d'action et de son calendrier de mise en œuvre, les auditeurs formalisent des rapports définitifs. Ces rapports définitifs sont signés par les auditeurs et le président du comité d'audit, après validation par ce dernier. Ils sont envoyés aux entités auditées par lettre recommandée avec accusé de réception par le président du comité d'audit.
Les rapports définitifs sont systématiquement transmis au président de la Commission nationale de l'informatique et des libertés, et à tous les corps de contrôle qui en font la demande.
L'intégralité des pièces justificatives sont transmises par les auditeurs au président du comité d'audit.

Article 32-5 consolidé du samedi 4 août 2018, abrogé le samedi 1 juin 2019

Article 32-6 consolidé du samedi 4 août 2018, abrogé le samedi 1 juin 2019