I.-Un accès aux données à caractère personnel du système national des données de santé ne peut être autorisé que pour permettre des traitements :

1° Soit contribuant à une finalité mentionnée au III de l'article L. 1461-1 et répondant à un motif d'intérêt public ;

2° Soit nécessaires à l'accomplissement des missions des services de l'Etat, des établissements publics ou des organismes chargés d'une mission de service public compétents, dans les conditions définies au III du présent article.

Le responsable de tels traitements n'est autorisé à accéder aux données du système national des données de santé et à procéder à des appariements avec ces données que dans la mesure où ces actions sont rendues strictement nécessaires par les finalités des traitements ou par les missions de l'organisme concerné.

Seules les personnes nommément désignées et habilitées à cet effet par le responsable du traitement, dans les conditions précisées par le décret en Conseil d'Etat mentionné à l'article L. 1461-7, sont autorisées à accéder aux données du système national des données de santé.

II.-Les traitements de données concernant la santé mentionnés au 1° du I du présent article sont autorisés selon les procédures définies à la section 3 du chapitre III du titre II de la loi n° 78-17 du 6 janvier 1978 précitée.

Les personnes produisant ou commercialisant des produits mentionnés au II de l'article L. 5311-1 du présent code ou les organismes mentionnés au 1° du A et aux 1°, 2°, 3°, 5° et 6° du B du I de l'article L. 612-2 du code monétaire et financier ainsi que les intermédiaires d'assurance mentionnés à l'article L. 511-1 du code des assurances sont tenus :

1° Soit de démontrer que les modalités de mise en œuvre du traitement rendent impossible toute utilisation des données pour l'une des finalités mentionnées au V de l'article L. 1461-1 ;

2° Soit de recourir à un laboratoire de recherche ou à un bureau d'études, publics ou privés, pour réaliser le traitement.

Les responsables des laboratoires de recherche et des bureaux d'études présentent à la Commission nationale de l'informatique et des libertés un engagement de conformité à un référentiel incluant les critères de confidentialité, d'expertise et d'indépendance, arrêté par le ministre chargé de la santé, pris après avis de la même commission.

L'accès aux données est subordonné :

a) Avant le début de la mise en œuvre du traitement, à la communication, par le demandeur, au groupement d'intérêt public mentionné à l'article L. 1462-1 de l'étude ou de l'évaluation de l'autorisation de la Commission nationale de l'informatique et des libertés, d'une déclaration des intérêts du demandeur en rapport avec l'objet du traitement et du protocole d'analyse, précisant notamment les moyens d'en évaluer la validité et les résultats ;

b) A l'engagement du demandeur de communiquer au groupement d'intérêt public mentionné au même article L. 1462-1, dans un délai raisonnable après la fin du traitement, de l'étude ou de l'évaluation, la méthode et, pour les traitements mentionnés à la sous-section 2 de la section 3 du chapitre III du titre II de la loi n° 78-17 du 6 janvier 1978 précitée, les résultats de l'analyse et les moyens d'en évaluer la validité.

Le groupement d'intérêt public mentionné audit article L. 1462-1 publie sans délai l'autorisation de la Commission nationale de l'informatique et des libertés, la déclaration des intérêts, puis les résultats et la méthode.

III.-Le décret en Conseil d'Etat mentionné à l'article L. 1461-7 fixe la liste des services de l'Etat, des établissements publics ou des organismes chargés d'une mission de service public autorisés à traiter des données à caractère personnel du système national des données de santé pour les besoins de leurs missions. Ce décret précise, pour chacun de ces services, établissements ou organismes, l'étendue de cette autorisation, les conditions d'accès aux données et celles de la gestion des accès.