Skip to main content
Please wait...

 Database index

Legislation

France, Health Data Hub

Full reference
Act n° 2019-774 du 24 juillet 2019 relative à l'organisation et à la transformation du système de santé (Act on the organization and transformation of the healthcare system)
Legislator/regulator
French Parliament
Institutional level
National level
Number
2019-774
Date
Type of Source
National legislation
Source national detail
Primary legislation
Stage of drafting
Approved
Territorial scope
National
Life cycle of the instrument
- Draft 13 January 2019 (Projet de loi)
- Adopted 24 July 2019
- Modified by LOI n°2021-1018 du 2 août 2021 to strengthen health prevention at the workplace- art. 17 (VD)
Project area
AI and health
Law area
Privacy / data protection
Medical devices

Summary of the law

1.    Integration of clinical health data into the Data Health National System (SNDS). This is in addition to Health Insurance data, hospital data, medical causes of death, data relating to disability, and a representative sample of reimbursement, data from complementary health insurance organisations. 
The SNDS now includes data from medical treatment when the procedures are reimbursed by social security, data relating to loss of autonomy, personal data from health surveys, data collected during compulsory medical check-ups and screening, data collected by maternal and child protection services and health data collected during occupational medicine information and prevention visits. Act no. 2021-1040 of 5 August 2021 on health crisis management made it possible to integrate the data collected by the Covid information systems into the SNDS.

2. The purposes of the SNDS have been extended: the SNDS contributes to ... health surveillance, monitoring and safety; research, studies, evaluation and innovation in the fields of health [...]" (Public Health Code (CSP), art. L. 1461-1, III).  Access to personal data in the SNDS may only be authorised for processing that either contributes to one of these purposes and is in the public interest, or is necessary for the performance of the tasks of the relevant State services, public establishments or bodies entrusted with a public service mission, under conditions to be specified by decree. (See Decree  n° 2021-848 which designates the data controllers and defines their role and duties.)

3. Simplify the procedure for accessing SNDS data to encourage the development of artificial intelligence. The National Institute for Health Data has been replaced by a health data platform - the Health Data Hub - which remains a public interest group made up of the State, representatives of patients and users of the health system, producers of health data and public and private users of health data. Its missions have been modernised, since in addition to collecting, organising and making available SNDS data and informing patients and promoting their rights, the  Health Data Hub will be able to act as a subcontractor for a data controller (CSP, art. L. 1462-1, 6°). 

Specific provision(s) regarding AI and health
Article L1461-1 Public Health code
I.-Le système national des données de santé rassemble et met à disposition :
1° Les données issues des systèmes d'information mentionnés à l'article L. 6113-7 du présent code ;
2° Les données du système national d'information interrégimes de l'assurance maladie mentionné à l'article L. 161-28-1 du code de la sécurité sociale ;
3° Les données sur les causes de décès mentionnées à l'article L. 2223-42 du code général des collectivités territoriales ;
4° Les données médico-sociales du système d'information mentionné à l'article L. 247-2 du code de l'action sociale et des familles ;
5° Un échantillon représentatif des données de remboursement par bénéficiaire transmises par des organismes d'assurance maladie complémentaire et défini en concertation avec leurs représentants ;
6° Les données destinées aux professionnels et organismes de santé recueillies à l'occasion des activités mentionnées au I de l'article L. 1111-8 du présent code donnant lieu à la prise en charge des frais de santé en matière de maladie ou de maternité mentionnée à l'article L. 160-1 du code de la sécurité sociale et à la prise en charge des prestations mentionnées à l'article L. 431-1 du même code en matière d'accidents du travail et de maladies professionnelles ;

7° Les données relatives à la perte d'autonomie, évaluée à l'aide de la grille mentionnée à l'article L. 232-2 du code de l'action sociale et des familles, lorsque ces données sont appariées avec les données mentionnées aux 1° à 6° du présent I ;

8° Les données à caractère personnel des enquêtes dans le domaine de la santé, lorsque ces données sont appariées avec des données mentionnées aux 1° à 6° ;

9° Les données recueillies lors des visites médicales et de dépistage obligatoires prévues à l'article L. 541-1 du code de l'éducation ;

10° Les données recueillies par les services de protection maternelle et infantile dans le cadre de leurs missions définies à l'article L. 2111-1 du présent code ;

11° Les données issues des dossiers médicaux en santé au travail prévus à l'article L. 4624-8 du code du travail.
II.-Le système national des données de santé est mis en œuvre dans le cadre d'orientations générales définies par l'Etat, en concertation avec les organismes responsables des systèmes d'information et des données mentionnés au I du présent article.

Les responsables ou les catégories de responsables des traitements du système national des données de santé et leurs rôles respectifs sont définis par décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés. Les responsables de ces traitements sont nominativement désignés par arrêté.
La méthode d'appariement des données mentionnées au 5° dudit I avec les données correspondantes du système national des données de santé est élaborée en concertation avec les représentants des organismes qui transmettent les données concernées.
III.-Le système national des données de santé a pour finalité la mise à disposition des données, dans les conditions définies aux articles L. 1461-2 et L. 1461-3, pour contribuer :
1° A l'information sur la santé ainsi que sur l'offre de soins, la prise en charge médico-sociale et leur qualité ;
2° A la définition, à la mise en œuvre et à l'évaluation des politiques de santé et de protection sociale ;
3° A la connaissance des dépenses de santé, des dépenses d'assurance maladie et des dépenses médico-sociales ;
4° A l'information des professionnels, des structures et des établissements de santé ou médico-sociaux sur leur activité;
5° A la surveillance, à la veille et à la sécurité sanitaires ;
6° A la recherche, aux études, à l'évaluation et à l'innovation dans les domaines de la santé et de la prise en charge médico-sociale.
IV.-Pour le système national des données de santé et pour les traitements utilisant des données à caractère personnel issues de ce système :
1° Aucune décision ne peut être prise à l'encontre d'une personne physique identifiée sur le fondement des données la concernant et figurant dans l'un de ces traitements ;
2° Les personnes responsables de ces traitements, ainsi que celles les mettant en œuvre ou autorisées à accéder aux données à caractère personnel qui en sont issues, sont soumises au secret professionnel dans les conditions et sous les peines prévues à l'article 226-13 du code pénal ;
3° L'accès aux données s'effectue dans des conditions assurant la confidentialité et l'intégrité des données et la traçabilité des accès et des autres traitements, conformément à un référentiel défini par arrêté des ministres chargés de la santé, de la sécurité sociale et du numérique, pris après avis de la Commission nationale de l'informatique et des libertés ;
4° Les données individuelles du système national des données de santé sont conservées pour une durée maximale de vingt ans, sans préjudice de l'application du premier alinéa de l'article 78 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
V.-Les données du système national des données de santé ne peuvent être traitées pour l'une des finalités suivantes :
1° La promotion des produits mentionnés au II de l'article L. 5311-1 en direction des professionnels de santé ou d'établissements de santé ;
2° L'exclusion de garanties des contrats d'assurance et la modification de cotisations ou de primes d'assurance d'un individu ou d'un groupe d'individus présentant un même risque.

Article 65 Loi informatique et libertés (mod. Loi n° 2019-774, art. 43)
Les traitements contenant des données concernant la santé des personnes sont soumis, outre à celles du règlement (UE) 2016/679 du 27 avril 2016, aux dispositions de la présente section, à l'exception des catégories de traitements suivantes :
1° Les traitements relevant du 1° de l'article 44 de la présente loi et des a et c à f du 2 de l'article 9 du règlement (UE) 2016/679 du 27 avril 2016 ;
2° Les traitements permettant d'effectuer des études à partir des données recueillies en application du 1° de l'article 44 de la présente loi lorsque ces études sont réalisées par les personnels assurant ce suivi et destinées à leur usage exclusif ;
3° Les traitements mis en œuvre pour l'exercice de leurs missions par les organismes chargés de la gestion d'un régime de base d'assurance maladie ainsi que la prise en charge des prestations par les organismes d'assurance maladie complémentaire ;
4° Les traitements effectués au sein des établissements de santé par les médecins responsables de l'information médicale, dans les conditions prévues au deuxième alinéa de l'article L. 6113-7 du code de la santé publique ;
5° Les traitements effectués par les agences régionales de santé, par l'Etat et par la personne publique qu'il désigne en application du premier alinéa de l'article L. 6113-8 du même code, dans le cadre défini au même article L. 6113-8 ;
6° Les traitements mis en œuvre par l'Etat aux fins de conception, de suivi ou d'évaluation des politiques publiques dans le domaine de la santé ainsi que ceux réalisés aux fins de collecte, d'exploitation et de diffusion des statistiques dans ce domaine.

Article 66 Loi informatique et libertés (mod. Loi n° 2019-774, art. 41(V))
I.-Les traitements relevant de la présente section ne peuvent être mis en œuvre qu'en considération de la finalité d'intérêt public qu'ils présentent. La garantie de normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux constitue une finalité d'intérêt public.
II.-Des référentiels et règlements types, au sens des b et c du 2° du I de l'article 8, s'appliquant aux traitements relevant de la présente section sont établis par la Commission nationale de l'informatique et des libertés, en concertation avec la plateforme des données de santé mentionnée à l'article L. 1462-1 du code de la santé publique et des organismes publics et privés représentatifs des acteurs concernés.
Les traitements conformes à ces référentiels peuvent être mis en œuvre à la condition que leurs responsables adressent préalablement à la Commission nationale de l'informatique et des libertés une déclaration attestant de cette conformité.
Ces référentiels peuvent également porter sur la description et les garanties de procédure permettant la mise à disposition en vue de leur traitement de jeux de données de santé présentant un faible risque d'impact sur la vie privée.
III.-Les traitements mentionnés au I qui ne sont pas conformes à un référentiel mentionné au II ne peuvent être mis en œuvre qu'après autorisation de la Commission nationale de l'informatique et des libertés. La demande d'autorisation est présentée dans les formes prévues à l'article 33.
IV.-La Commission nationale de l'informatique et des libertés peut, par décision unique, délivrer à un même demandeur une autorisation pour des traitements répondant à une même finalité, portant sur des catégories de données identiques et ayant des catégories de destinataires identiques.
V.-La Commission nationale de l'informatique et des libertés se prononce dans un délai de deux mois à compter de la réception de la demande. Toutefois, ce délai peut être prolongé une fois pour la même durée sur décision motivée de son président ou lorsque le comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé est saisi en application du second alinéa de l'article 72.
Lorsque la Commission nationale de l'informatique et des libertés ne s'est pas prononcée dans ces délais, la demande d'autorisation est réputée acceptée. Cette disposition n'est toutefois pas applicable si l'autorisation fait l'objet d'un avis préalable en application de la sous-section 2 de la présente section et que l'avis ou les avis rendus ne sont pas expressément favorables.
Personal scope of the instrument
Public Authorities, Individuals, Legal Persons
Material scope of the instrument

The Law aims to encourage the development of AI Health applications

AI system(s) involved
  • Specific intended purpose AI
Initiative
  • Government
Fundamental rights involved
  • Right to data protection
  • Right to health
  • Right to informed consent
Principles expressly applied
  • Non-discrimination

Other notes

One of the Health Data Hub's missions is to support AI project developers. Several projects have been already identified. They must comply with a reference methodology or be authorised by the CNIL. When examining these authorisation requests, the CNIL checks that the planned data processing complies with all the obligations set out in the RGPD and the Data Protection Act (Loi Informatique et Liberté), as well as in other legislation, such as the Public Health Code. These obligations cover both legal and technical aspects.

Case author
Fabienne Jault-Seseke
Professor
University of Versailles Saint Quentin-en-Yvelines