Au sommaire :
Références
NOR : ESRS2316646A
ELI : https://www.legifrance.gouv.fr/eli/arrete/2023/7/11/ESRS2316646A/jo/texte
Source : JORF n°0168 du 22 juillet 2023, texte n° 15
En-tête
La ministre de l’enseignement supérieur et de la recherche et la ministre déléguée auprès du ministre de la santé et de la prévention, chargée de l’organisation territoriale et des professions de santé,
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ;
Vu le code de la santé publique, notamment son article R. 1261-32 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ;
Vu l’avis de la Commission nationale de l’informatique et des libertés en date du 27 avril 2023,
Arrêtent :
Article 1
En application de l’article R. 1261-32 du code de la santé publique susvisé, les établissements autorisés, en vertu de l’article L. 1261-1 du même code, à recevoir des dons de corps à des fins d’enseignement médical et de recherche mettent en œuvre, sous leur responsabilité, un traitement de données à caractère personnel dans les conditions définies par le présent arrêté.
Ce traitement est mis en œuvre pour répondre à une obligation légale au sens du c du 1 de l’article 6 du règlement (UE) du 27 avril 2016 susvisé.
Article 2
Ce traitement a pour finalités de permettre à l’établissement autorisé :
1° La remise à la personne qui a formulé une demande de renseignements du document d’information prévu au II de l’article R. 1261-1 du code de la santé publique ;
2° Le recueil du consentement du donneur et, le cas échéant, de la révocation de son consentement, dans les conditions prévues au III de l’article R. 1261-1 du même code ;
3° La délivrance d’une carte de donneur à la personne qui consent à faire don de son corps après son décès ;
4° L’enregistrement des choix du donneur concernant la personne référente, la restitution de son corps ou de ses cendres, sa préférence sur le type d’opération funéraire, son opposition éventuelle à l’invitation de la personne référente, de la famille ou des proches à la cérémonie du souvenir et l’inscription mémorielle ;
5° La remise, le cas échéant, lors de la déclaration de décès, d’un exemplaire du document d’information à la personne référente, à la famille ou aux proches ;
6° Le suivi des opérations de transport et d’accueil du corps ou l’organisation de son transfert vers un autre établissement autorisé ;
7° L’attribution d’un numéro identifiant unique au corps dès son arrivée, l’attribution d’un numéro identifiant unique aux pièces anatomiques en cas de segmentation du corps, la restitution de l’identité du corps en vue des opérations funéraires ou de la restitution du corps ou des cendres ;
8° L’information de la personne référente, de la famille ou des proches sur la date des opérations funéraires, la possibilité de demander la restitution du corps ou des cendres et l’enregistrement de leurs choix sur ces questions ;
9° En l’absence de personne référente désignée, l’enregistrement de la demande de restitution du corps ou des cendres émanant de la famille ou des proches ;
10° L’organisation des opérations funéraires ou l’organisation de la restitution du corps ou des cendres ;
11° L’organisation de la cérémonie du souvenir et l’hommage aux donneurs ;
12° L’élaboration du rapport d’activité ;
13° L’organisation et le contrôle des activités de l’établissement autorisé ;
14° L’organisation des activités d’enseignement et de recherche en fonction des caractéristiques des corps accueillis.
Article 3
Sont enregistrées dans le traitement mentionné à l’article 2 les catégories de données à caractère personnel et les informations suivantes :
1° Données relatives à la personne qui formule une demande de renseignement :
a) Données d’identité : nom, prénom ;
b) Coordonnées : adresse postale ou électronique ;
2° Données relatives au donneur :
a) Données d’identité : nom, prénom, sexe, date de naissance ;
b) Coordonnées : adresse postale, adresse électronique, téléphone ;
c) Données relatives au consentement : déclaration manuscrite datée et signée, numéro de carte de donneur, le cas échéant révocation du consentement ;
d) Données relatives aux choix du donneur concernant la personne référente, la restitution de son corps ou de ses cendres, sa préférence sur le type d’opération funéraire, son opposition éventuelle à l’invitation de la personne référente, de la famille ou des proches à la cérémonie du souvenir et l’inscription mémorielle ;
e) Données relatives à la santé du donneur : informations médicales qu’il consent, conformément au a du 2 de l’article 9 du règlement (UE) du 27 avril 2016 susvisé, à porter à la connaissance de la structure d’accueil des corps au moment de la déclaration ou ultérieurement ;
f) Données relatives au décès : date de décès, extrait de certificat de décès ;
g) Données relatives à l’accueil ou au transfert du corps : date d’accueil du corps, décision de refus d’accueillir le corps, décision de transfert, nom de l’établissement auquel le corps est transféré, date de transfert ;
h) Données d’identification : numéro unique attribué au corps, numéro unique attribué aux pièces anatomiques en cas de segmentation du corps ;
i) Données relatives à l’utilisation du corps du donneur : projets de formation ou de recherche, durée de conservation du corps ou des pièces anatomiques en cas de dépassement de la durée règlementaire, prévu au III de l’article R. 1261-18, date de sortie du corps de la structure d’accueil dans le cadre d’un projet de formation ou de recherche au sein d’une entité distincte de la structure d’accueil de l’établissement autorisé, entité bénéficiaire, date de retour prévue, décision de suspension ou d’interdiction d’accès au corps en application du dernier alinéa du IV de l’article R. 1261-21, le cas échéant impossibilité de restauration du corps ;
j) Données relatives aux opérations funéraires ou à la restitution du corps ou des cendres : type d’opération funéraire retenu par l’établissement, le cas échéant impossibilité de restitution du corps en application du premier alinéa du IV de l’article R. 1261-18, date de sortie du corps en vue des opérations funéraires, date de réalisation des opérations funéraires, date de sortie du corps de l’établissement auquel le corps a été transféré vers l’établissement qui a délivré la carte, date d’accueil du corps par l’établissement ayant délivré la carte en vue de la restitution du corps ou des cendres, date de restitution du corps ou des cendres ;
3° Données relatives à la personne désignée comme référente par le donneur
a) Données d’identité : nom, prénom ;
b) Coordonnées : adresse postale, adresse électronique, téléphone ;
c) Date de réception du document d’information ;
d) Données relatives au choix de demander la restitution du corps ou des cendres, à la préférence sur le type d’opération funéraire souhaité, à la cérémonie du souvenir, coordonnées de l’opérateur de pompes funèbres choisi par la personne référente ;
e) Date d’information de la date de la cérémonie du souvenir ;
4° Données relatives à la famille et aux proches du donneur :
a) Données d’identité : nom, prénom, lien avec le donneur ;
b) Coordonnées : adresse postale, adresse électronique, téléphone ;
c) Date de réception du document d’information ;
d) Données relatives au choix de demander la restitution du corps ou des cendres, à la préférence sur le type d’opération funéraire, à la cérémonie du souvenir, coordonnées de l’opérateur de pompes funèbres choisi par la famille ou les proches, la date de la demande ;
e) Date d’information de la date de la cérémonie du souvenir ;
5° Données relatives aux personnels (responsable de la structure d’accueil des corps, personnels habilités, personnels techniques de la structure d’accueil des corps, personnels concernés par les activités d’enseignement médical et de recherche, personnels titulaires d’une autorisation expresse délivrée par le responsable de la structure d’accueil des corps) : nom, prénom, qualité, service d’affectation, adresse électronique professionnelle, téléphone professionnel ;
6° Données relatives aux entités distinctes de l’établissement autorisé : nom du responsable du projet de formation ou de recherche, prénom, qualité, adresse électronique professionnelle.
Article 4
I. – Les données à caractère personnel et informations mentionnées au 1° de l’article 3 sont conservées pendant un délai d’un an à compter de l’envoi du document d’information.
II. – Les données à caractère personnel et informations mentionnées au 2° de l’article 3 sont conservées :
1° Pour les données mentionnées aux a et b, pour la déclaration mentionnée au c, pour les données mentionnées aux d à f, pour la date d’accueil du corps, la décision de transfert, le nom de l’établissement auquel le corps est transféré et la date de transfert mentionnés au g ainsi que pour les données mentionnées aux h à j, pendant un délai de 5 ans à compter de la date des opérations funéraires ou de la restitution du corps ou des cendres ;
2° Pour le numéro de la carte de donneur, pendant un délai de 5 ans à compter de la date des opérations funéraires ou de la restitution du corps ou des cendres. Au-delà de ce délai, ce numéro est rendu anonyme. Il ne peut être réutilisé.
III. – En cas de révocation du consentement au don du corps, les données sont supprimées à compter de l’enregistrement de la révocation. Le numéro de carte de donneur est rendu anonyme. Il ne peut être réutilisé.
IV. – Les données à caractère personnel et informations mentionnées aux 3° et 4° de l’article 3 sont conservées pendant un délai d’un an à compter de la date des opérations funéraires ou de la restitution du corps ou des cendres ou supprimées à la date fixée au VIII lorsque l’établissement n’est pas informé du décès du donneur.
V. – En cas de refus d’accueil d’un corps fondé sur les circonstances du décès ou l’état de conservation du corps, les données mentionnées aux 2° à 4° de l’article 3 sont conservées pendant un délai d’un an après le décès.
VI. – Les données à caractère personnel et informations mentionnées au 5° de l’article 3 sont conservées pendant un délai de 5 ans à compter, suivant le cas, de la fin des fonctions, de la fin de l’habilitation ou de l’autorisation ou de la fin du projet.
VII. – Les données à caractère personnel et informations mentionnées au 6° de l’article 3 sont conservées pendant un délai de 5 ans à compter de l’échéance de la convention prévue à l’article R. 1261-22.
VIII. – Les données correspondant à un donneur dont l’établissement n’aurait pas été informé du décès sont supprimées à la date à laquelle le donneur atteint l’âge théorique de cent-vingt ans. Le numéro de carte de donneur est rendu anonyme. Il ne peut être réutilisé.
Article 5
I. – Seuls ont accès, à raison de leurs attributions et dans la limite du besoin d’en connaître, aux données à caractère personnel enregistrées dans le présent traitement le responsable et les agents habilités de la structure d’accueil des corps d’un établissement autorisé en application du deuxième alinéa de l’article L. 1261-1. Les autres agents de la structure d’accueil des corps ont accès, si nécessaire, au seul numéro identifiant.
II. – Peuvent être destinataires des données à caractère personnel et informations enregistrées dans le présent traitement, à raison de leurs attributions et dans la limite du besoin d’en connaître :
1° Le responsable et les agents habilités de la structure d’accueil des corps auquel le corps est transféré en application du dernier alinéa du III de l’article R. 1261-1 ;
2° L’opérateur de pompes funèbres ;
3° Les agents de l’autorité de tutelle chargés du contrôle de l’établissement autorisé.
III. – La personne référente, la famille et les proches sont destinataires des choix du donneur mentionnés au 4° de l’article 2.
Article 6
Les droits d’accès, de rectification et de limitation, prévus aux articles 15, 16 et 18 du règlement (UE) du 27 avril 2016 susvisé, ainsi que le droit prévu à l’article 85 de la loi du 6 janvier 1978 susvisée, s’exercent auprès de l’établissement autorisé en application du deuxième alinéa de l’article L. 1261-1 auprès duquel la personne concernée a formulé une demande de renseignements ou, postérieurement à la déclaration, de l’établissement autorisé qui a délivré la carte de donneur.
Le droit à l’effacement et le droit d’opposition prévus respectivement aux articles 17 et 21 du règlement (UE) du 27 avril 2016 susvisé ne s’appliquent pas au présent traitement.
Pour les seules données médicales dont le traitement repose sur le consentement de la personne concernée et non sur le caractère nécessaire au respect d’une obligation légale, le donneur peut retirer à toute moment son consentement et demander l’effacement de ces données qu’il a souhaité porter à la connaissance de la structure d’accueil. La révocation du consentement au don du corps entraîne la suppression de l’ensemble des données, conformément aux III et IV de l’article 4 du présent arrêté.
Article 7
Des mesures techniques et organisationnelles sont mises en œuvre pour assurer la sécurité du traitement des données, empêcher toute utilisation détournée ou frauduleuse, notamment par des tiers non autorisés, et préserver leur intégrité.
Les règles de sécurité et organisationnelles figurent en annexe du présent arrêté.
Article 8
Dès l’accueil du corps, la structure d’accueil de l’établissement autorisé lui attribue un numéro identifiant pseudonyme unique créé de façon aléatoire. Ce numéro constitue le seul moyen d’identifier le corps pendant la durée de son utilisation. Il est distinct du numéro de la carte de donneur.
Le numéro identifiant est composé du numéro de l’unité administrative immatriculée de l’établissement autorisé, l’année de l’accueil du corps et l’ordre d’arrivée du corps.
Le registre mentionne le lien entre le numéro identifiant et le projet de formation de recherche.
En cas de recours à la segmentation, le numéro identifiant du corps est porté sur chaque pièce anatomique, complété par le numéro attribué à cette pièce. Les informations du registre sont complétées en conséquence.
Pour chaque sortie temporaire du corps en dehors de la structure d’accueil des corps, l’information est portée dans le registre en face du numéro identifiant. La date de sortie, l’entité bénéficiaire et la date de retour prévue sont mentionnées dans le registre.
Pour l’application du III de l’article R. 1261-18, lorsque la conservation du corps ou des pièces anatomiques excède la durée prévue par l’article R. 1261-5, le registre fait mention de cette information.
Lorsque la restauration du corps ou sa restitution sont impossibles du fait de l’utilisation du corps ou que la conservation de pièces anatomiques a été autorisée en application du IV de l’article R. 1261-18, le registre mentionne l’information correspondante.
Au-delà de la durée prévue au 1° du II de l’article 4, le numéro unique mentionné au h du 2° de l’article 3 est rendu anonyme, y compris dans les situations prévues au IV de l’article R. 1261-18, à compter de l’information des familles ou proches du donneur. Il ne peut être réutilisé.
Article 9
Le transfert de données à caractère personnel entre structures d’accueil des corps des établissements autorisés en application du deuxième alinéa de l’article L. 1261-1 est strictement limité au cas où le corps est acheminé vers un établissement autre que celui qui a délivré la carte en application du dernier alinéa du III de l’article R. 1261-1. Les données sont transférées de manière sécurisée. Elles sont conservées et supprimées selon les conditions et délais prévus par le présent arrêté.
Article 10
Le partage de données avec l’autorité ministérielle à des fins statistiques, budgétaires et de financement ne peut porter que sur des données anonymisées.
Article 11
La directrice générale de l’enseignement supérieur et de l’insertion professionnelle, la directrice générale de la recherche et de l’innovation, le directeur général de la santé et la directrice générale de l’offre de soins sont chargés, chacun en ce qui le concerne, de l’exécution du présent décret, qui sera publié au Journal officiel de la République française.
Annexe
Les mesures techniques et organisationnelles qui doivent être mises en œuvre pour assurer la sécurité du traitement des données, empêcher toute utilisation détournée ou frauduleuse des données, notamment par des tiers non autorisés, et préserver leur intégrité sont composées des règles de sécurité et organisationnelles suivantes.
Les informations sont collectées dans un système d’information conçu pour la mise en œuvre des finalités prévues par l’article 2.
Ce système d’information est sécurisé au moyen d’une technologie de chiffrement. Il garantit la confidentialité, l’intégrité et la traçabilité des informations par le contrôle des accès et l’enregistrement des accès de manière nominative. Pour ce faire, ces informations doivent être protégées au sein d’un conteneur associé à une clé de chiffrement/déchiffrement constitué par un logiciel qualifié par l’agence nationale de sécurité informatique.
Le chiffrement du conteneur doit présenter les garanties suivantes : il doit utiliser l’algorithme AES et la longueur de la clé doit être d’au moins 256 bits. Les secrets de chiffrement ne peuvent être accessibles que par les personnes dûment habilitées.
La procédure de gestion des informations doit permettre une traçabilité complète sur toutes les opérations effectuées en termes de saisie et de consultation.
Le système conserve également les informations liées aux opérations d’extraction de données pour les besoins prévus aux articles 9 et 10.
Les sauvegardes automatiques réalisées quotidiennement, et les informations extraites sont chiffrés dans les mêmes conditions. Les données sauvegardées sont protégées avec le même niveau de sécurité que les données stockées sur les serveurs d’exploitation. Les supports de sauvegarde sont stockés dans des endroits sûrs et différents du fichier initial.
Les opérations de collecte, de modification, de consultation, de communication et d’effacement des données à caractère personnel et des informations font l’objet d’un enregistrement. Les opérations enregistrées établissent l’identifiant de l’auteur, la date et l’heure de la connexion et de la déconnexion, la nature des actions effectuées sur les données. Ces informations sont conservées pendant six mois. Tout accès non autorisé, toute anomalie ou incident de sécurité est notifié au responsable du traitement.
Ces informations ne peuvent contenir aucune trace des données protégées par le présent arrêté.
Les informations ainsi enregistrées font l’objet d’une protection adaptée garantissant leur intégrité, disponibilité et confidentialité.
L’accès aux données n’est ouvert qu’aux agents spécialement habilités et pour les seules opérations qu’ils sont autorisés à effectuer. Les agents sont habilités dans les conditions de l’article 5. Chaque utilisateur dispose d’un identifiant propre. L’authentification est basée sur un mot de passe, respectant la recommandation de la CNIL (délibération n° 2022-100 du 21 juillet 2022) sur les règles de complexité des mots de passe et leur stockage. Les habilitations obsolètes sont supprimées dans les plus brefs délais.
Les accès au conteneur chiffré sont octroyés dans les conditions déterminées par le responsable de la sécurité informatique de l’établissement autorisé en application du deuxième alinéa de l’article L. 1261-1 du code de la santé publique. Il détermine les modalités de la politique de recouvrement et du stockage sécurisé des informations de recouvrement.
Un dispositif approprié limite les connexions à distance aux seuls postes de travail des agents habilités à accéder au système d’information.
En cas de transfert de données à caractère personnel entre structures d’accueil des corps des établissements autorisés dans le cadre de l’article 9 du présent arrêté, le centre d’accueil ayant délivré la carte de donneur chiffre les données et les transfère au sein du conteneur chiffré au centre d’accueil où est acheminé le corps. Le secret de chiffrement du conteneur transféré devra être communiqué à son destinataire par un canal de communication sécurisé différent.
Date et signature(s)
Fait le 11 juillet 2023.
La ministre de l’enseignement supérieur et de la recherche,
Pour la ministre et par délégation :
La directrice générale de l’enseignement supérieur et de l’insertion professionnelle,
A.-S. Barthez
La directrice générale de la recherche et de l’innovation,
C. Giry
La ministre déléguée auprès du ministre de la santé et de la prévention, chargée de l’organisation territoriale et des professions de santé,
Pour la ministre et par délégation :
Le directeur général de la santé,
G. Emery
La directrice générale de l’offre de soins,
M. Daudé