DELIBERATION n°2017-347 du 21 DECEMBRE 2017

Commission Nationale de l'Informatique et des Libertés
DELIBERATION n°2017-347 du 21 DECEMBRE 2017
Délibération n° 2017-347 du 21 décembre 2017 autorisant la société IQVIA Opérations France à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la constitution d’un entrepôt de données à caractère personnel en oncologie à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé(Demande d’autorisation n° 2107243)
Etat: VIGUEUR

La Commission nationale de l'informatique et des libertés,

Saisie par la société IQVIA Opérations France d’une demande d’autorisation sur le fondement de l’intérêt public au sens de l’article 8 IV de la loi concernant un traitement automatisé de données à caractère personnel ayant pour finalité la constitution d’un entrepôt de données à caractère personnel en oncologie, à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé ;

Vu la convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu le code de la santé publique, notamment son article L. 1461- et suivants ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment son chapitre IX et ses articles 8-IV et 25-I-1°;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu le dossier et ses compléments ;

Sur la proposition de Mme Valérie PEUGEOT, commissaire, et après avoir entendu les observations de Mme Nacima BELKACEM, commissaire du Gouvernement,

Formule les observations suivantes :

Responsable du traitement

La société IQVIA Opérations France (ci-après, « IQVIA »), société par actions simplifiée à associé unique, issue de la fusion des sociétés IMS Health dont le cœur de métier historique est la fourniture de données actualisées régulièrement sur les volumes de médicaments vendus en pharmacie et Quintiles, spécialisée dans les études et le conseil pour les industries du médicament et les acteurs de la santé.

Sur la finalité

IQVIA est à l’initiative de la création d’un réseau de données en oncologie, dont l’objectif est de décrire les usages de médicaments anticancéreux en pratique clinique en Europe, en se dotant d’un entrepôt de données dédié à l’oncologie et d’une plateforme dénommée « Co-Track » dédiée à son exploitation.

Cet entrepôt est constitué à partir des données en oncologie des établissements et services de santé, répartis sur le territoire français et européen, membres du réseau. Il est alimenté par des données issues des systèmes d’information des établissements et services de santé ayant un lien contractuel avec IQVIA. Selon IQVIA, hormis le versement d’une indemnité exclusivement destinée à couvrir les investissements et les dépenses effectués par l’établissement pour le déploiement du dispositif, aucune rémunération n’est versée aux établissements et services de santé ; ceux-ci disposent gratuitement, en retour, des analyses produites.

La constitution de l’entrepôt de données de santé à caractère personnel a vocation à permettre de mener des études portant sur l’évaluation et l’analyse des pratiques et activités de soins actuelles en oncologie.

Plus précisément, pourront être réalisées des études longitudinales sur la prise en charge thérapeutique d’un patient ou d’un groupe de patients en oncologie, sur l’utilisation effective en temps réel des produits d’oncologie et leur modalité de prescription, sur l’accès aux soins et aux traitements innovants, sur l’observance ou compliance aux bonnes pratiques et traitements de référence par les praticiens membres du réseau, sur des analyses comparatives de l’usage des traitements anti-cancéreux dans le cadre d’autorisations temporaires d’utilisation (ATU) ou après autorisation de mise sur le marché (AMM) des produits, des analyses de patients (« screening ») pour améliorer la conception et le recrutement des essais cliniques et accélérer l’identification des patients qui pourraient bénéficier d’essais cliniques, sur le pilotage médical visant à optimiser l’organisation des soins, sur des évaluations et analyses médico-économiques.

La Commission considère que la finalité du traitement présentée est déterminée, explicite et légitime, conformément aux dispositions de l’article 6-2° de la loi.

Concernant l’exigence, posée par l’article 8-IV de la loi, de l’existence d’un intérêt public afin de traiter des données à caractère personnel de santé en dehors des activités de soins ou du consentement des personnes concernées, la Commission relève que la satisfaction de l’intérêt public n’est pas réservée aux seules personnes publiques.

Au cas présent, certaines des finalités, telles que présentées par la société IQVIA, visent à disposer d’une meilleure connaissance des traitements anti-cancéreux innovants. Selon la société, il s’agit, par une exploitation facilitée de données collectées en quasi temps réel, de permettre, tant au bénéfice des acteurs privés que des acteurs publics, des recherches dans le domaine médical (comme la veille et la réalisation d’études épidémiologiques, médico-économiques, d’observance, l’analyse de la pratique médicale actuelle en oncologie) ou d’éclairer les pouvoirs publics dans leur prise de décision en matière de politique de santé (modifications de la consommation d’un traitement anti-cancéreux, fixation de prix et accès aux traitements par les patients, etc.).

La Commission considère que la constitution de cet entrepôt de données issues des systèmes d’informations hospitaliers à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé, présente un intérêt public.

La Commission tient à rappeler que les utilisations futures des données contenues dans cet entrepôt s’inscrivent dans le cadre des dispositions du chapitre IX de la loi qui, lui aussi, impose que chaque demande de recherche, étude ou évaluation réponde à une exigence d’intérêt public. Ainsi, la Commission estime que l’utilisation des données contenues dans le traitement qui sera mis en œuvre par IQVIA ne saurait, par analogie aux finalités « interdites » d’utilisation du système national des données de santé (SNDS), être exploitées à des fins de promotion des produits de santé en direction des professionnels de santé ou d’établissements de santé ou à des fins d’exclusion de garanties des contrats d’assurance et de modification de cotisations ou primes d’assurance d'un individu ou d'un groupe d'individus présentant un même risque. De même, la Commission rappelle l’interdiction de constituer et d’utiliser, à des fins de prospection ou de promotion commerciales, des fichiers composés à partir des données issues directement ou indirectement des prescriptions médicales, dès lors que ces fichiers permettent d’identifier directement ou indirectement le prescripteur (article L. 4113-7 du code de la santé publique).

Afin de garantir le caractère d’intérêt public des utilisations à venir des données, IQVIA a décidé de mettre en place des comités scientifiques et éthiques, tant au niveau européen que national, chargés de définir un ensemble de règles auquel IQVIA devra se référer pour décider de la validité des projets de recherche ou d’étude demandés par les clients de la société au regard de l’intérêt public.

Un groupe de conseil est créé au niveau national, le « Country Advisory Group » (CAG) composé de personnes qualifiées, externes à la société, parmi lesquelles des membres d’associations de patients, qui dispose de la possibilité d’alerter le comité mis en place à l’échelon européen, le « Clinical and Analytical Steering Committee » (CASC), lorsqu’un projet de recherche ou d’étude ne lui parait pas conforme.

Le circuit de validation du projet de recherche, étude ou évaluation est le suivant : chaque projet est examiné par IQVIA au regard des règles qui auront été définies par le CASC puis transmis au représentant de la société IQVIA, siégeant au sein du CASC. Ce représentant, décisionnaire sur le projet, a notamment la possibilité de saisir le CASC avant de se prononcer. Dans tous les cas, le projet et la décision prise sur le projet par IQVIA est communiqué au CASC et au CAG compétent avec la possibilité pour le CASC de revenir sur une décision d’IQVIA qui ne lui paraitrait pas conforme. La Commission prend acte de ce mécanisme d’examen des projets mis en place et de ce que le représentant d’IQVIA au sein du CASC et du CAG est désigné pour assurer une mission de liaison entre ces comités et IQVIA et qu’il ne prendra pas part à leurs décisions.

Enfin, la Commission prend acte :

de ce que la publication des résultats des projets de recherche, d’étude ou d’évaluation sera examinée au cas par cas selon des modalités identiques à celles décrites ci-dessus ;

de l’engagement d’IQVIA de publier chaque année une synthèse des types d’analyses produites depuis les données de l’entrepôt ;

de l’engagement d’IQVIA de communiquer à la CNIL un rapport annuel sur le fonctionnement de l’entrepôt de données et les requêtes réalisées depuis celui-ci.

Sur les données traitées

Les données suivantes seront collectées :

concernant le patient de l’établissement partenaire : un identifiant unique autre que le numéro d’inscription au registre (NIR) permettant de suivre un même patient pris en charge au sein d’un ou plusieurs établissements, composé à partir des nom, prénom, date de naissance, code postal de résidence et sexe de la personne, des informations relatives au diagnostic, au plan de traitement, à la dispensation et administration du traitement, à la fin du traitement et des informations concernant l’établissement de santé (le numéro FINESS et l’adresse) ;

concernant le prescripteur de l’établissement partenaire :

le numéro d’identification dans le répertoire partagé des professionnels de santé (RPPS), le mode et type d’exercice, la spécialité médicale, l’identifiant de l’établissement de santé et localisation géographique, date de prescription et de modification de prescription le cas échéant ;

concernant l’utilisateur de la plateforme désigné par l’établissement partenaire : l’adresse de courrier électronique.

La Commission considère que les données traitées sont adéquates, pertinentes et non excessives au regard de la finalité poursuivie, conformément aux dispositions de l’article 6-3° de la loi.

Sur les destinataires

Les clients visés par la société IQVIA sont principalement les établissements et services de santé partenaires, les industriels du secteur de la santé et, le cas échéant, les pouvoirs publics.

La Commission relève que les clients d’IQVIA ne seront pas destinataires de données individuelles relatives aux patients des établissements de santé ou des services de santé. Les études fournies par le responsable de traitement à des tiers ne contiendront que des données rendues parfaitement anonymes au sens de l’avis n°05/2014 sur les techniques d’anonymisation adoptés par le groupe de l’Article 29 (G 29) le 10 avril 2014.

La Commission considère que les catégories de destinataires et les modalités de communication des résultats n’appellent pas d’observation.

Elle attire toutefois l’attention du responsable de traitement sur les obligations qui lui incombent en matière de confidentialité des données et rappelle qu’il doit :

respecter et faire respecter le secret des informations par toutes les personnes susceptibles de travailler sur ces données ;

ne pas rétrocéder ou divulguer à des tiers les informations individuelles fournies sous quelque forme que ce soit ;

ne pas procéder à des rapprochements, interconnexions, mises en relation, appariements avec tout fichier de données directement ou indirectement nominatives ou toute information susceptible de révéler l’identité d’une personne et/ou son état de santé ;

ne pas utiliser de façon détournée les informations collectées, notamment à des fins de recherche ou d’identification des personnes ;

garantir la confidentialité de toutes les données transmises à des tiers, ce qui nécessite la mise en place de mesures de chiffrement à l’état de l’art.

Sur l’information et les droits des personnes

Les établissements de santé et services de santé seront chargés, contractuellement, d’informer leurs patients du traitement des données les concernant, ainsi que de permettre l’exercice des droits d’accès, de rectification et d’opposition qui leur sont reconnus.

La Commission rappelle que le responsable de traitement doit prendre les mesures nécessaires, notamment en s’assurant de leur effectivité, auprès de ses partenaires afin que les personnes concernées puissent exercer leur droit d’opposition directement dans chaque établissement et service de santé avant toute transmission des données.

Il est prévu que les personnes soient informées individuellement par la remise à chacun des patients concernés d’une note d’information et par l’affichage d’un document dans la salle d’accueil, d’attente ou sur le site internet de l’établissement de l’identité du responsable de traitement, de sa finalité, des destinataires des informations et des modalités d’exercice de leurs droits. Cette information interviendra lors de l’admission du patient et préalablement à la mise en œuvre du traitement.

La Commission prend acte que l’exercice des droits d’accès, de rectification et d’opposition du patient s’exercera auprès du professionnel de santé, de l’établissement de santé ou du service de santé en charge de leur suivi thérapeutique ou du médecin hébergeur.

Les établissements de santé et services de santé seront également chargés d’informer les prescripteurs du traitement des données les concernant via le document d’inscription à la plateforme et la remise d’une notice d’information par l’établissement au sein duquel ils exercent.

L’exercice de leur droit d’accès, de rectification et d’opposition se fera auprès de leur chef de services ou chef de pôle.

Enfin, les utilisateurs sont informés du traitement de leur donnée via le formulaire de collecte en ligne lorsqu’ils se connectent à la plateforme et les conditions générales d’utilisation de la plateforme. Ils exercent leur droit d’accès, de rectification et d’opposition auprès de la direction juridique de la société IQVIA.

Sur les mesures de sécurité

Les données de santé transmises par les établissements de soin feront l’objet d’un mécanisme de pseudonymisation réalisé en deux étapes : les données d’identification (noms, prénoms, date de naissance, sexe, code postal, identifiant du patient au sein de l’établissement) feront l’objet d’un hachage avec clé secrète avant leur transmission au responsable de traitement.

Cette clé secrète sera maitrisée et gérée par l’établissement de soin ou par un tiers de confiance.

Dès leur réception par le responsable de traitement, les données feront l’objet d’une deuxième étape de pseudonymisation visant à dégrader les données reçues afin de limiter les risques de ré-identification des personnes. Ce séquencement permet de garantir que le responsable de traitement n’aura jamais accès aux données brutes.

Les données pseudonymisées résultant de ce mécanisme seront conservées dans une base de données chiffrées qui servira à réaliser les études.

L'ensemble des données de santé à caractère personnel traitées sont hébergées auprès d’un hébergeur agréé dans les conditions du décret n°2006-6 du 4 janvier 2006.

Le responsable de traitement a mis en œuvre une politique de mot de passe conforme à la délibération n° 2017-012 du 19 janvier 2017 portant adoption d'une recommandation relative aux mots de passe : les personnes en charge de la gestion, de la maintenance et de l’exploitation des données utiliseront un mécanisme d’authentification forte. Par ailleurs, les accès aux bases de données contenant des données à caractère personnel seront soumis à une gestion des habilitations fine permettant de déterminer les données et les actions accessibles aux personnes habilitées.

Une journalisation des opérations de consultation, création et modification des données est mise en place. La durée de conservation des journaux de 6 mois est conforme aux préconisations de la Commission.

Les données provenant des établissements de soin seront échangées via des canaux de communication chiffrés et assurant l’authentification de la source et du destinataire.

Concernant l’usage du protocole HTTPS, celui-ci sera utilisé dans des conditions de sécurité conforme à l’état de l’art permettant de garantir la confidentialité des données transmises.

Les autres mesures de sécurité apparaissent conformes à l’état de l’art et n’appellent pas de remarques particulières de la Commission ; elles devront toutefois faire l’objet d’une mise à jour régulière afin de tenir compte de l’évolution des risques.

Enfin, la Commission recommande très fortement au responsable de traitement de réaliser une étude d’impact sur la vie privée des personnes concernées, afin de maitriser les risques présentés par le traitement pour la vie privée de ces personnes, et rappelle que ces études d’impacts devront obligatoirement être réalisées pour tous les traitements susceptibles de présenter des risques pour les droits et libertés des personnes concernées à compter de l’application du règlement général sur la protection des données.

Sur les autres caractéristiques du traitement

Le responsable de traitement souhaite conserver les données ayant fait l’objet du processus de pseudonymisation en deux étapes pour une durée de dix ans afin de pouvoir réaliser des analyses sur de longues périodes, dont l’utilité est avérée en matière de traitements anti-cancéreux.

Il souhaite par ailleurs conserver les données ayant subi la première étape du processus de pseudonymisation pour une durée maximale de 3 mois afin de pouvoir détecter d’éventuels dysfonctionnement du processus de pseudonymisation lors de l’intégration initiale d’un établissement de santé, puis à l’issue de l’intégration de l’établissement, ces données seront conservées pour une durée maximale de 30 jours.

La Commission considère que ces durées de conservation des données n’excèdent pas les durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées, conformément aux dispositions de l’article 6-5° de la loi.

Autorise, conformément à la présente délibération, la société IQVIA Opérations France à mettre en œuvre le traitement décrit ci-dessus, et rappelle que les traitements de données à caractère personnel qui seront mis en œuvre ultérieurement à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé sont des traitements distincts qui doivent faire l’objet, par la société IQVIA Opérations France, de formalités propres prévues au chapitre IX de la loi.

Pour la Présidente Le Vice-Président délégué

Marie-France MAZARS




Nature de la délibération: Autorisation
Date de la publication sur legifrance: 6 février 2018