(Demande d’autorisation n° 999305)
La Commission nationale de l'informatique et des libertés,
Saisie par le Centre hospitalier universitaire de Limoges d’une demande d’autorisation concernant un registre général des cancers en région Limousin ;
Vu la convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu le règlement (UE) 2016/679 du parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données) ;
Vu le code de la santé publique ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 44-3° et 66-III ;
Vu le décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;
Vu le dossier et ses compléments, et notamment l’analyse d’impact relative à la protection des données ;
Sur la proposition de Mme Valérie Peugeot, commissaire, et après avoir entendu les observations de Mme Nacima BELKACEM, commissaire du Gouvernement,
Formule les observations suivantes :
Sur le responsable du traitement
Le Centre hospitalier universitaire de Limoges (le CHU de Limoges)
Sur la base légale et la finalité du traitement
Le CHU de Limoges met en œuvre un registre général des cancers en région Limousin.
Ce registre permet un recueil exhaustif des cas de cancers chez les personnes résidant en Haute-Vienne. Les données ainsi regroupées sont utilisées à des fins de surveillance épidémiologique et seront à terme utilisées à des fins de recherche en santé.
Le traitement a pour base légale l’exercice d’une mission d’intérêt public, au sens de l’article 6-1-e du Règlement européen sur la protection des données (ci-après RGPD).
La Commission considère que la finalité du traitement est déterminée, explicite et légitime, conformément aux dispositions de l’article 5-1-b du RGPD.
Elle estime qu’il y a lieu de faire application des dispositions de l’article 44-3° et 66-III et suivants de la loi du 6 janvier 1978 modifiée, qui soumettent à autorisation les traitements comportant des données relatives à la santé et justifiés, comme en l’espèce, par l’intérêt public.
La Commission rappelle que les traitements de données de santé à caractère personnel qui seront mis en œuvre, à des fins de recherche dans le domaine de la santé, à partir des données contenues dans l’entrepôt sont des traitements distincts qui doivent faire l’objet de formalités propres au titre des articles 72 et suivants de la loi Informatique et Libertés.
Sur les données traitées
Le registre regroupe les données d’ordre administratif et médical produites par différentes sources d’information, tels que les départements d’information médicale des établissements publics et privés, les caisses d’assurance maladie, les laboratoires d’anatomie pathologique notamment.
Les catégories de données à caractère personnel traitées concernant les patients sont les suivantes :
les données d’identification des patients : les nom, prénom, date de naissance et lieu de naissance, le genre, l’adresse au moment du diagnostic ;
les données de santé des patients en lien avec la pathologie tumorale : les antécédents, l’histoire de la maladie, le diagnostic de la tumeur et ses caractéristiques spécifiques (date de diagnostic, localisation, morphologie, grade de différenciation, comportement tumoral et extension), les résultats des examens complémentaires permettant d’identifier la base du diagnostic, le siège de la tumeur et sa morphologie (prélèvements de liquides biologiques ou d’organes, examens d’imagerie) ;
le statut vital et la date de décès.
Les nom et prénom des médecins traitants des patients sont également recueillis le cas échéant.
La Commission considère que les données dont le traitement est envisagé sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités du traitement, conformément aux dispositions de l’article 5-1-c du RGPD.
Sur les destinataires
La Commission prend acte de ce que seul le personnel du registre accède aux données nominatives. Toute transmission hors du registre intervient sous forme anonymisée.
Des données anonymes sont envoyées à la base nationale des registres de cancers pour les estimations régionales et nationales. Elles peuvent également être mises à la disposition d’équipes de recherche partenaires du registre.
Sur l’information et les droits des personnes
Les patients sont informés du traitement de leurs données au sein du registre et de leurs droits par la remise d’une notice d’information par leur médecin traitant ou le médecin les prenant en charge au sein de l’établissement de santé.
Une information est également effectuée par la Caisse d’assurance maladie dans le courrier de notification de prise en charge à 100 % au titre d’une affection longue durée.
Les droits des personnes concernées s’exercent auprès du médecin responsable du registre.
La Commission demande que les supports d’information soient complétés afin de contenir l’ensemble des mentions prévues par les articles 13 et 14 du RGPD.
Sous réserve de la modification des documents d’information, la Commission considère que ces modalités d’information et d’exercice des droits sont satisfaisantes.
Sur les mesures de sécurité
L’équipe du registre est constituée de cinq personnes (un médecin, un gestionnaire des données et trois attachés de recherche). La base de données n’est visible et accessible qu’à cette équipe. Aucun sous-traitant n’a accès aux données ni à la base du registre. La Commission recommande qu’une revue globale des habilitations soit opérée régulièrement, lors des mouvements de personnels et au moins une fois par an.
Les membres de cette équipe ont signé une clause de confidentialité des données.
L’accès aux postes de travail nécessite un identifiant et un mot de passe ou une carte propre à chaque membre du personnel pour l’ouverture de sa session.
L’accès aux données du registre nécessite ensuite deux niveaux d’authentification : une première authentification pour accéder à l’environnement numérique du CHU, puis une seconde authentification pour accéder à la base du registre.
S’agissant de la complexité des mots de passe, la Commission rappelle que la politique mise en place doit être conforme à la délibération n° 2017-012 du 19 janvier 2017 portant adoption d’une recommandation relative aux mots de passe.
La Commission rappelle que les communications vers les serveurs et applications hébergeant le registre doivent être chiffrées et utiliser des protocoles et algorithmes cryptographiques à l’état de l’art, dans leurs dernières versions. La Commission recommande de même le chiffrement de la base du registre.
Les fichiers électroniques transmis à partir des différentes sources de données ou envoyés aux destinataires sont chiffrés avec des logiciels et algorithmes à l’état de l’art.
Une journalisation des connexions, des accès aux données et des actions des utilisateurs est mise en place. La Commission rappelle que les interventions de maintenance doivent faire l’objet de mesures de traçabilité.
L'accès physique au serveur hébergeant le registre est restreint au moyen de portes verrouillées contrôlées par un moyen d'authentification personnel.
Des sauvegardes régulières sont réalisées. Elles sont chiffrées et stockées dans un endroit garantissant leur sécurité et leur disponibilité. La Commission rappelle que celles-ci doivent être testées régulièrement afin de vérifier leur intégrité.
Un accès à des statistiques agrégées issues du programme de médicalisation des systèmes d’information (PMSI) est mis en place afin de vérifier l’exhaustivité des données du registre. La Commission rappelle que seules des données issues de processus d’anonymisation, de telle sorte que l’identification, directe ou indirecte, des personnes est impossible, peuvent faire l’objet d’une extraction. Pour se prévaloir de l’anonymat d’un jeu de données, le responsable de traitement doit réaliser une analyse permettant de démontrer que ses processus d’anonymisation respectent les trois critères définis par l’avis n° 05/2014 sur les techniques d’anonymisation adoptés par le groupe de l’Article 29 (G29) le 10 avril 2014. A défaut, si ces trois critères ne peuvent être réunis, une étude des risques de ré-identification doit être menée.
Sous réserve des précédentes observations, les mesures de sécurité décrites par le responsable de traitement sont conformes à l’exigence de sécurité prévue par les articles 5.1.f et 32 du RGPD.
La Commission rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques. À cet égard, elle rappelle qu’il conviendra d’apporter une attention spécifique à la réévaluation des mesures de sécurité dans le cadre de la mise à jour de l’analyse d’impact.
Sur la durée de conservation des données
Le CHU souhaite conserver les données du registre 20 ans à compter de la dernière notification reçue.
Il fait valoir la nécessité pour le registre de conserver l’historique médical et des antécédents du patient en termes de cancer afin de distinguer les récidives des nouveaux cas.
La Commission considère que cette durée de conservation des données n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées, conformément aux dispositions de l’article 5-1-e du RGPD.
Autorise, le Centre hospitalier universitaire de Limoges, conformément à la présente délibération, à mettre en œuvre le traitement mentionné.
Pour la Présidente La Vice-Présidente déléguéeSophie LAMBREMON