DELIBERATION n°2019-124 du 10 OCTOBRE 2019

Commission Nationale de l'Informatique et des Libertés
DELIBERATION n°2019-124 du 10 OCTOBRE 2019
Délibération n° 2019-124 du 10 octobre 2019 autorisant le Centre hospitalier universitaire Grenoble Alpes à mettre en œuvre un traitement de données à caractère personnel ayant pour finalité un entrepôt de données de santé dénommé « CHUGA-EDS »
Etat: VIGUEUR

(Demande d’autorisation n° 2210263)

La Commission nationale de l'informatique et des libertés,

Saisie par le Centre hospitalier universitaire Grenoble Alpes d’une demande d’autorisation concernant un entrepôt de données de santé dénommé « CHUGA-EDS » ;

Vu la convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données) ;

Vu le code de la santé publique ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 44-3° et 66-III ;

Vu le décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu le dossier et ses compléments, et notamment l’analyse d’impact relative à la protection des données ;

Sur la proposition de Mme Valérie Peugeot, commissaire, et après avoir entendu les observations de Mme Nacima BELKACEM, commissaire du Gouvernement,

Formule les observations suivantes :

Sur le responsable du traitement

Le Centre hospitalier universitaire Grenoble Alpes (CHUGA)

Sur la finalité et la base légale du traitement

Le CHUGA souhaite constituer un entrepôt de données de santé dénommé CHUGA-EDS.

Cet entrepôt regroupera les données produites lors de la prise en charge des patients par le CHUGA à des fins :

de recherche dans le domaine de la santé effectuée par les professionnels du CHUGA et ses partenaires extérieurs ;

d’amélioration de la prise en charge des patients dans l’établissement ;

de pilotage de l’établissement.

Le dossier précise qu’à l’instar du Système national des données de santé (SNDS) les données issues du CHUGA-EDS ne seront pas exploitées à des fins de promotion des produits de santé pour les professionnels de santé ou d’établissements de santé ou à des fins d’exclusion de garanties des contrats d’assurance et de modification de cotisations ou primes d’assurance d’un individu ou d’un groupe d’individus présentant un même risque. La Commission en prend acte.

La Commission relève qu’une gouvernance spécifique est prévue pour l’entrepôt. Un comité d’orientation des projets, assisté d’un comité scientifique et d’un comité éthique et déontologique, est en charge d’examiner les demandes d’accès aux données de l’entrepôt. La Commission prend acte que le comité éthique et déontologique comprendra notamment au moins une personnalité extérieure impliquée dans l’éthique en santé.

Le traitement a pour base légale l’exercice d’une mission d’intérêt public, au sens de l’article 6-1-e du Règlement européen sur la protection des données (ci-après RGPD).

La Commission considère que la finalité du traitement est déterminée, explicite et légitime, conformément aux dispositions de l’article 5-1-b du RGPD.

Elle estime qu’il y a lieu de faire application des dispositions de l’article 44-3° et 66-III de la loi du 6 janvier 1978 modifiée, qui soumettent à autorisation les traitements comportant des données relatives à la santé et justifiés, comme en l’espèce, par l’intérêt public.

La Commission rappelle que les traitements de données de santé à caractère personnel qui seront mis en œuvre, à des fins de recherche dans le domaine de la santé, à partir des données contenues dans l’entrepôt sont des traitements distincts qui doivent faire l’objet de formalités propres au titre des articles 72 et suivants de la loi Informatique et Libertés.

Sur les données traitées

L’entrepôt regroupera les données produites dans le cadre de la prise en charge des patients par le CHUGA. Il s’agit de données de soins, de données administratives et de données générées par le fonctionnement du CHUGA.

Plus précisément, s’agissant des patients, les données suivantes sont recueillies :

des données d’identification (nom, prénom, adresse, date et lieu de naissance, identifiant interne du patient, sexe, nationalité, coordonnées [numéro de téléphone, email], affiliation mutuelle et/ou assurance privée) ;

des données relatives à la situation familiale, professionnelle, aux habitudes de vie, appréciations sur les difficultés sociales des personnes, vie sexuelle ;

des données de santé (y compris des informations d’ordre biologique, physiologique et pathologique d’ordre à influencer la réaction du patient à sa prise en charge médicale) et des données génétiques liées à des prélèvements biologiques ;

des données relatives au statut vital (date de décès, cause médicale du décès si la personne est décédée au CHUGA) ;

des données médico-administratives issues du PMSI.

S’agissant du personnel du CHUGA, les données suivantes sont recueillies :

des données d’identification : nom, prénom, numéro RPPS, code Adeli, matricule, sexe, l’année de naissance, numéro de téléphone, e-mail, métier/profession, historique des affectations aux services.

S’y ajoutent enfin des données issues du fonctionnement du CHUGA (telles que les données de la stérilisation ou de la restauration par exemple).

La Commission considère que les données dont le traitement est envisagé sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités du traitement, conformément aux dispositions de l’article 5-1-c du RGPD.

Sur les destinataires

Les membres de l’équipe de soins, telle que définie par les dispositions de l’article L. 1110-12 du code de la santé publique, auront accès à l’ensemble des données contenues dans l’entrepôt concernant les patients qu’ils prennent en charge.

Les professionnels membres du département d’information médicale (DIM) auront accès aux données dans le cadre de leurs missions.

Les partenaires extérieurs (tels que les établissements de santé, instituts de recherche, universités et industriels) n’appartenant pas à l’équipe de soins auront accès aux données de l’entrepôt, dans la limite des données strictement nécessaires et pertinentes au regard des objectifs du projet de recherche, de leurs fonctions et du mandat donné par le promoteur. La Commission rappelle que cet accès devra s’effectuer dans le strict respect de la confidentialité des données.

La Commission considère que les catégories de destinataires n’appellent pas d’observation.

Sur l’information et les droits des personnes

S’agissant des patients admis antérieurement à la constitution de l’entrepôt :

La Commission relève que compte tenu du nombre de personnes concernées (1 500 000), de l’ancienneté d’une partie des données (le CHUGA indique dans son dossier disposer de 1% d’adresses courriel et de 39% de numéros de téléphone portable valides) et du coût financier que représenterait une information par la voie postale, le CHUGA estime qu’informer individuellement l’ensemble des personnes concernées exigerait un effort disproportionné.

En application de l'article 14-5-b du RGPD et de l’article 69 alinéa premier de la loi informatique et libertés, l'obligation d'information individuelle de la personne concernée peut faire l'objet d'exceptions dans l'hypothèse où la fourniture d'une telle information se révèle impossible, exigerait des efforts disproportionnés ou compromettrait gravement la réalisation des objectifs du traitement. En pareils cas, conformément au RGPD, le responsable de traitement prend des mesures appropriées pour protéger les droits et libertés, ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles. En l'espèce, la Commission relève qu'il sera fait exception au principe d'information individuelle des personnes s’agissant des patients dont les données ont été recueillies préalablement à la présente autorisation et que des mesures appropriées seront mises en œuvre pour les patients pour lesquels le CHUGA ne dispose pas de coordonnées fiables, notamment au moyen de la diffusion sur son site internet et dans les salles d’attente de l’établissement d’une information collective relative à l’entrepôt. Cette information collective sera par ailleurs relayée via les réseaux sociaux, les médias régionaux et communiqué de presse et lors de manifestions publiques ayant lieu au CHUGA.

S’agissant des patients admis postérieurement à la constitution de l’entrepôt :

La Commission relève qu’ils seront informés individuellement de la façon suivante en fonction du mode de prise en charge du patient :

par la remise de la fiche de circulation distribuée à tous les patients venus en consultation au niveau des bornes d’accueil ;

par la remise du livret d’accueil et du bulletin de situation de sortie à tous les patients hospitalisés ;

par la diffusion d’une information sur la plateforme en ligne de dialogue entre le patient et l’établissement « MyCHUGA ».

Le CHUGA prévoit en outre une information collective via une diffusion sur son site internet, l’affichage de note d’information dans les salles d’attente de l’établissement et le recours à des campagnes d’information (sur les réseaux sociaux, les médias régionaux, communiqué de presse et lors de manifestations publiques au sein du CHUGA).

S’agissant du personnel du CHUGA :

Le personnel sera informé individuellement via l’intranet de l’établissement et une newsletter accompagnant la remise de la fiche de paie.

Les droits des personnes concernées s’exercent auprès du délégué à la protection des données.

La Commission demande que les supports d’information soient complétés afin de contenir l’ensemble des mentions prévues par les articles 13 et 14 du RGPD.

Sous réserve de la prise en compte de ces observations, la Commission considère que ces modalités d’information et d’exercice des droits sont satisfaisantes au regard des dispositions du RGPD et de la loi « informatique et libertés ».

Sur les mesures de sécurité

La Commission prend note de la réalisation par le CHUGA d’une étude d’impact sur la protection des données ayant permis de construire et de démontrer la mise en œuvre des principes de protection de la vie privée dans la constitution de l’entrepôt.

La constitution de l’entrepôt est réalisée par le versement puis l’organisation et le nettoyage des données liées à la prise en charge des patients du CHUGA (données issues d’actions de soin, données administratives et données générées par le fonctionnement du CHUGA).

Dans la base de l’entrepôt, les données directement identifiantes (nom, prénom, adresse, date de naissance du patient) sont cloisonnées et ne sont manipulables de manière courante que par les personnels chargés d’importer les données et d’administrer l’entrepôt. Les autres données de santé seront pseudonymisées grâce à un identifiant généré par une procédure de hachage à clé secrète.

S’agissant des accès à l’entrepôt pour des projets de recherche, la Commission observe que ceux-ci sont délivrés par un comité d’orientation participant de la gouvernance de l’entrepôt. A la suite du dépôt d’une demande et de sa validation, les administrateurs de l’entrepôt préparent les données qui seront mises à disposition des requérants.

La Commission relève qu’il conviendra de s’assurer que chaque jeu de données ainsi créé dispose d’une durée d’utilisation préalablement définie et strictement limitée aux besoins du projet concerné.

La Commission prend note que les modalités d’accès par les utilisateurs aux données préparées par les administrateurs seront définies ultérieurement. A ce sujet, elle rappelle la nécessité de mettre en œuvre des conditions de sécurité effectives, de haut niveau et de nature à garantir la confidentialité des données pour la mise à disposition de fichiers.

Ces conditions doivent reposer sur des moyens permettant d'assurer l’authentification des destinataires, la confidentialité et l’intégrité des transmissions ainsi qu’une gestion des habilitations permettant d’attribuer aux destinataires le droit d'accéder aux seules données qui leur sont nécessaires.

La Commission prend note que différents profils d’habilitation sont prévus pour permettre de préparer et d’effectuer l’extraction des données de l’entrepôt, cela afin de gérer les accès aux données en tant que besoin, avec la combinaison de quatre droits indépendants :

accès aux données structurées dé-identifiées ;

accès à l’outil de recherche textuelle ;

accès direct aux données non structurées ;

accès aux données structurées directement identifiantes.

Les droits d’accès à l’entrepôt sont ouverts aux personnes mandatées par un projet de recherche, pour un temps limité et en fonction des données strictement nécessaires au regard du protocole et du principe de minimisation des données.

Les permissions d'accès sont supprimées pour tout utilisateur n'étant plus habilité et clôturées automatiquement à l’expiration de la période d’habilitation. En outre, le Comité d’orientation effectue un contrôle périodique de l’ensemble des habilitations.

La Commission observe qu’une politique d’authentification forte est mise en œuvre, reposant sur un identifiant individuel et un mot de passe conforme à la délibération de la Commission n°2017-012 du 19 janvier 2017, ainsi que sur l’utilisation d’une carte de professionnel de santé (CPS).

La Commission note qu’en fonction des demandes de mise à disposition qui seront effectuées, les données pourront faire l’objet de différents types de pré-traitements. Conformément au protocole de chaque projet de recherche, elles pourront ainsi être agrégées, pseudonymisées ou anonymisées.

A cet égard, la Commission prend acte qu’un comité d’export, composé d’un médecin et de deux ingénieurs, assistés de deux opérationnels sans lien avec les projets concernés, aura la charge de contrôler préalablement les données destinées à être exportées, en vérifiant notamment, conformément à l’état de l’art en la matière :

le nombre minimal de patients acceptables dans un jeu de données ;

l'attribution d’un identifiant patient différent pour chaque export (sauf dans le cas particulier d’un suivi de cohorte, où une table de correspondance sera conservée pour assurer le chaînage entre les exports) ;

le maintien du secret concernant le pseudonyme interne au CHUGA-EDS et sa clé de génération, qui ne seront jamais exportés ni exposés ;

l’utilisation d’outils adaptés et à l’état de l’art pour la pseudonymisation de données non structurées.

Le comité d’export assurera également, par une veille scientifique et des échanges avec les autres EDS, le développement de règles d’export et de bonnes pratiques, ainsi que la qualification et l’implémentation d’outils spécifiques qui seront mis à disposition par l’EDS.

Sur ces sujets, la Commission rappelle que :

dans le cas de l’anonymisation : il conviendra de démontrer la conformité de la solution et des techniques d'anonymisation mises en œuvre, aux trois critères définis par l'avis du G29 n° 05/2014, et de la transmettre à la Commission ;

À défaut, si ces trois critères ne pouvaient être réunis, une étude des risques de ré-identification devra être menée.

Cette étude consiste à démontrer que les risques, liés à la publication du jeu de données, n'ont pas d'impact sur la vie privée et les libertés des personnes concernées ;

dans le cas de la pseudonymisation : les données manipulées ne doivent plus être attribuées à une personne précise sans avoir recours à des informations supplémentaires, ces informations supplémentaires devant être conservées séparément et soumises à des mesures techniques et organisationnelles adéquates. En particulier, la Commission rappelle la nécessité d’écarter toute donnée identifiante comme les prénom, nom, nom de jeune fille, adresse postale, adresse électronique, numéro de téléphone, date de naissance/décès, lieu de naissance/décès, numéro de visite, identifiant technique, etc ;

dans le cas de la pseudonymisation de documents non structurés (comme des comptes rendus médicaux par exemple) : une telle opération doit être effectuée avec vigilance, notamment si elle met en œuvre des outils automatisés et pour lesquels des erreurs sont susceptibles d’advenir.

Les actions des utilisateurs accédant à l’entrepôt font l’objet de mesures de traçabilité. En particulier, sont tracées les connexions à l’entrepôt (identifiants, date et heure) et les requêtes et opérations réalisées. Un contrôle des traces est réalisé à la fin de chaque période d’habilitation liée à un projet de recherche. La Commission recommande en outre de mettre en place un contrôle des traces de manière automatique, afin de détecter les comportements anormaux et de lever des alertes le cas échéant.

La Commission observe que l’entrepôt est accessible uniquement sur le réseau interne du CHUGA à partir d’une interface prévue à cet effet. L’accès est sécurisé au moyen du protocole HTTPS.

Celui-ci utilise des canaux de communication chiffrés et assure l’authentification de la source et du destinataire. Concernant le recours à ce protocole, la Commission recommande d’utiliser la version de TLS la plus à jour possible. De plus, des mesures sont prévues pour assurer le cloisonnement du traitement. Le réseau fait l’objet de mesures de filtrage ayant pour but de restreindre l’émission et la réception des flux réseau aux machines identifiées et autorisées.

La Commission note que les mises à jour des logiciels sont installées de manière régulière. Des mesures spécifiques sont prévues pour garantir la disponibilité des données et services. Une politique de lutte contre les maliciels est définie et des logiciels antivirus sont installés et régulièrement mis à jour sur tous les matériels prenant part au traitement. Enfin, une politique de maintenance des environnements informatiques est définie, assurant que des mesures appropriées relatives à la sécurité des données sont mises en œuvre. Les interventions de maintenance font ainsi l'objet d'une traçabilité.

Une politique de sauvegarde est mise en œuvre. Les sauvegardes sont testées régulièrement afin de vérifier leur intégrité.

Le transfert des sauvegardes est sécurisé. Elles sont stockées dans un endroit garantissant leur sécurité et leur disponibilité.

De plus, lors de la mise au rebut, le matériel remisé est nettoyé de toute donnée à caractère personnel. Les supports de stockage usagés ou en panne font l'objet d'une procédure de destruction ou d'effacement.

L'accès aux locaux hébergeant les équipements prenant part au traitement est restreint au moyen de portes verrouillées contrôlées par un moyen d'authentification personnel. Des mesures de détection et de protection contre les risques d'incendie, de dégâts des eaux et de perte d'alimentation électrique sont proposées.

Les mesures de sécurité décrites par le responsable de traitement sont conformes à l’exigence de sécurité prévue par les articles 5-1-f et 32 du RGPD. La Commission rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.

Sur la durée de conservation des données

Les données sont conservées dans l’entrepôt pendant vingt ans puis supprimées.

La Commission considère que cette durée de conservation des données n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées, conformément aux dispositions de l’article 5-1-e du RGPD.

Autorise, le Centre hospitalier universitaire Grenoble Alpes, conformément à la présente délibération, à mettre en œuvre le traitement mentionné.

Pour la PrésidenteLa Vice-Présidente déléguée

Sophie LAMBREMON




Nature de la délibération: Autorisation
Date de la publication sur legifrance: 5 novembre 2019