DELIBERATION n°2016-333 du 10 novembre 2016

Commission Nationale de l'Informatique et des Libertés
DELIBERATION n°2016-333 du 10 novembre 2016
Délibération n° 2016-333 du 10 novembre 2016 autorisant le Commissariat à l’énergie atomique et aux énergies alternatives à mettre en œuvre un traitement automatisé de données à caractère personnel dénommé Centre d’étude et de recherche national dédié au traitement des images cérébrales « CATI ».
Etat: VIGUEUR

(demande d’autorisation n° 1810590)
La Commission nationale de l'informatique et des libertés,
Saisie par le Commissariat à l’énergie atomique et aux énergies alternatives d’une demande d’autorisation concernant un traitement automatisé de données à caractère personnel dénommé Centre d’études et de recherche national dédié au traitement des images cérébrales « CATI » ;
Vu la convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code de la santé publique ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 8-IV et 25-I-1° ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;
Vu le plan Alzheimer 2008-2012 (mesure n°28) et le plan Maladie Neurodégénérative 2014-2019 (mesure n°77) ;
Après avoir entendu Mme Valérie PEUGEOT, commissaire, en son rapport, et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,
Formule les observations suivantes :
La fondation Alzheimer, fondation de coopération scientifique à but non lucratif reconnue d’utilité publique, a confié au Commissariat à l’énergie atomique et aux énergies alternatives (le « CEA »), établissement public à caractère industriel et commercial, la création d’un centre d’étude et de recherche national dédié au traitement automatisé des images cérébrales (dénommé le « CATI ») destiné à réaliser des examens d’imagerie dans le cadre de programmes de recherche clinique et thérapeutique sur la maladie d’Alzheimer et les maladies apparentées.
Le CATI s’inscrit dans le cadre des objectifs poursuivis par le plan Alzheimer 2008-2012 et le plan Maladie Neurodégénérative (dénommé plan MND) 2014-2019.
Il propose une plateforme nationale dédiée aux études de neuroimageries permettant de disposer d’un réseau harmonisé d’images de cerveaux en vue d’améliorer le diagnostic des maladies neurodégénératives et la prise en charge des patients.
A cet effet, le CEA envisage de mettre en œuvre une base de données nationale d’imagerie comprenant des données collectées dans le cadre de recherches menées dans le domaine de la santé sur les maladies neurodégénératives dont la maladie d’Alzheimer.
C’est dans ce contexte que la Commission a été saisie d’une demande d’autorisation présentée par le CEA.
Sur la finalité :
La finalité du traitement consiste d’une part à centraliser au sein d’une base de données nationale les images cérébrales des patients issues de la cohorte « Memento » et de recherches biomédicales menées par des organismes publics ou privés portant sur les maladies neurodégénératives (dont la maladie d’Alzheimer) et de permettre, d’autre part, la mise à disposition de la base de données ainsi constituée à travers une plateforme à des organismes tiers dans le cadre de recherches menées par eux, sous réserve de l’accomplissement des formalités préalables auprès de la CNIL.
Le dossier soumis à la Commission précise que les projets de recherches effectués ultérieurement porteront exclusivement sur les maladies neurodégénératives (dont la maladie d’Alzheimer).
La Commission estime que la finalité du traitement est déterminée, explicite et légitime au sens de l’article 6 de la loi du 6 janvier 1978 modifiée (ci-après loi « Informatique et Libertés »).
S’agissant d’un traitement de données de santé justifié par un intérêt de santé publique, la Commission considère qu’il y a lieu de faire application des dispositions prévues aux articles 8-IV et 25-I-1° de la loi Informatique et Libertés.
Sur les catégories de données à caractère personnel traitées :
Les données collectées sont issues des bases de données de la cohorte « Memento » et des recherches biomédicales menées par des laboratoires de recherche publics et privés.
Les catégories de données traitées par le CATI sont le code identifiant du patient utilisé dans le cadre de la recherche biomédicale sans mention des nom et prénom, le sexe du patient, son âge au moment de la réalisation de l’examen, ses images cérébrales et les données cliniques y afférentes telles que les comptes rendus, les réponses au questionnaire, les scores aux tests cognitifs et psychomoteurs, les antécédents familiaux, la pathologie dont il est atteint.
Le dossier soumis à la Commission précise qu’aucune donnée directement identifiante ne sera traitée par le CATI. Seules des données à caractère personnel indirectement identifiantes (pseudononymisées) de patients ayant accepté de participer à ces recherches sont traitées dans le cadre de la présente demande d’autorisation.
A cet égard, la Commission prend acte de ce que la table de correspondance entre l’identité réelle du patient et l’identifiant codé est conservée exclusivement par le médecin investigateur.
Un code aléatoire est généré et remplace le code identifiant dès lors que les données sont mises à la disposition d’autres chercheurs.
Des données relatives aux chercheurs sont également traitées. Il s’agit de données d’identification et de connexion lorsqu’ils se connectent à la plateforme utilisée pour accéder aux données des projets de recherche.
La Commission estime que les données traitées sont adéquates, pertinentes et non excessives au regard de la finalité poursuivie, conformément aux dispositions de l’article 6-3°de la loi Informatique et Libertés.
Sur la durée de conservation des données :
Le dossier soumis à la Commission précise que les données de santé indirectement identifiantes des sujets participant aux recherches sont conservées pendant la durée de réalisation de ces recherches.
La table de correspondance entre le code identifiant du sujet et le code aléatoire généré par le CATI est supprimée à l’issue du traitement par le CATI des données de l’étude. Au-delà de cette période, le CEA s’engage à ne conserver que des données anonymes.
Les données de connexion sont conservées pendant six mois.
La Commission en prend acte.
Sur les destinataires des données :
Les destinataires des données collectées sont :

  • Les personnes habilitées par le promoteur de l’étude à accéder aux données des sujets ayant participé à la recherche initiale ;
  • Les chercheurs dans le cadre d’un projet de recherche spécifique portant sur les maladies neurodégénératives.

Le dossier précise la procédure d’accès aux données du CATI pour les équipes des recherches initiales et pour les chercheurs dans le cadre de projets de recherches ultérieurs.
Les données du CATI sont organisées en banques de données correspondant à un projet de recherche ayant fait appel aux services du CATI.
Pour chaque banque de données, les droits d’accès sont attribués par un administrateur du CATI à un chercheur identifié, pour un ou des projets de recherches préalablement validés par le promoteur de l’étude responsable de la banque de données.
Le promoteur de l’étude désigne un chercheur en charge de l’administration de la banque de données. L’administrateur de la banque de données s’inscrit sur la plateforme CATI et accède à une interface d’administration lui permettant de gérer les droits d’accès à la banque de données.
Les demandes d’accès aux données sont effectuées via la plateforme CATI.
Le chercheur crée un compte personnel lui permettant de déposer des demandes d’accès aux données pour des projets de recherche en attente de validation et de gérer les projets de recherche en cours. Ce compte personnel est créé en complétant un formulaire en ligne. La création de ce compte requiert la validation d’un administrateur du CATI.
La demande d’accès aux données se fait en renseignant un formulaire dédié, accessible depuis le compte personnel du chercheur, présentant les objectifs du projet de recherche, sa durée, l’institut de recherche concerné, le lieu de réalisation de la recherche, la ou les banque(s) de données nécessaires au projet.
Les demandes d’accès aux données sont instruites par la personne désignée par le promoteur de l’étude comme administrateur de la banque de données. Elle valide ou rejette la demande du chercheur au regard de considérations éthiques et légales.
Toute demande d’accès aux données sera tracée, instruite et validée par le promoteur de l’étude par l’intermédiaire de l’administrateur qu’il aura désigné à cet effet.
Le CATI formalisera, sous la forme d’une convention, un engagement avec les administrateurs des banques de données aux termes duquel ceux-ci s’engagent à procéder à un examen scientifique et éthique de la demande d’accès visant à s’assurer que les données demandées sont pertinentes et non excessives au regard de l’objectif de l’étude.
De même, le CATI formalisera avec les chercheurs lors du dépôt d’une demande d’accès aux données un engagement visant à garantir la sécurité des données fournies et à ne pas les divulguer à des tiers.
La Commission estime que cet engagement devra mentionner l’utilisation exclusive des données pour les objectifs scientifiques exposés dans la demande, le fait de ne pas chercher à identifier les personnes incluses dans les banques de données et de n’effectuer aucun appariement avec d’autres sources de données sans autorisation préalable.
Sur les droits des personnes :
Sur l’information des personnes
Dès lors que les données proviennent de bases de données déjà constituées pour les besoins de programmes de recherches menées, les dispositions de l’article 32-III de la loi Informatique et Libertés s’appliquent.
Le dossier précise que l’information des personnes délivrée aux participants par l’investigateur de la recherche initiale comprendra, outre l’information spécifique de l’article 57 de la loi Informatique et Libertés, une mention d’information spécifique correspondant au traitement des données à caractère personnel mis en œuvre par le CEA via le CATI et à leur réutilisation dans le cadre de projets de recherches ultérieurs relatifs aux maladies neurodégénératives.
Il sera, par ailleurs, précisé les modalités selon lesquelles le participant pourra demander à l’investigateur initial une information plus précise concernant les projets de recherches ayant accès à ses données.
A cette information individuelle s’ajoutera une information collective des recherches effectuées avec les données conservées par le CATI diffusée sur le site web du CATI.
Sur les droits d'accès, de rectification et d'opposition des personnes
Les droits d’accès, de rectification et d’opposition des patients s’exercent auprès du service Neurospin du CEA et par l’intermédiaire de l’investigateur qui dispose seul de la table de correspondance entre l’identité réelle et l’identité codée.
Sur la sécurité des données et la traçabilité des actions :

  • Les profils d’habilitation

Le dossier soumis à la Commission indique que des profils d’habilitation sont prévus en fonction du rôle des intervenants.
Pour chaque banque de données, les droits d'accès sont attribués par un administrateur du CATI, sur demande de chercheurs identifiés, pour un ou des projets de recherche validés par le promoteur de l’étude responsable de la banque de données.
Trois types de profils fonctionnels sont prévus, un profil utilisateur accordé à tout chercheur qui participe à une étude biomédicale dont l’analyse des données est confiée au CATI, un profil contributeur accordé aux personnes membres du CATI qui détiennent un compte informatique au CEA ou à l’Institut du cerveau et de la moelle épinière (ICM) et pour les besoins d’une étude, un profil administrateur de banque de données accordé par le promoteur de l’étude pour gérer les droits d’accès à la banque de donnée concernée.
La Commission n’ayant pas d’information sur le profil administrateur informatique, elle rappelle que celui-ci ne doit avoir accès qu’aux informations strictement nécessaires.

  • Le contrôle d’accès

Le contrôle d’accès est opéré par l’utilisation d’un identifiant et d’un mot de passe d’une longueur minimale de huit caractères, composé de trois types de caractères distincts (lettres, chiffres, caractères spéciaux), modifié tous les six mois au moins. Le mot de passe est modifié dès la première connexion.
A cet égard, la Commission recommande pour les administrateurs informatiques l’utilisation de mots de passe d’une longueur minimale de dix caractères, composés de trois types de caractères distincts, modifiés dès la première connexion. Par ailleurs, les mots de passe ne doivent pas être conservés en clair dans un fichier ou une base de données.

  • Traçabilité

Les accès et opérations effectuées sur l’application sont tracés. Ces traces sont conservées pendant une durée de six mois.
L’architecture de journalisation permet de conserver une trace des événements de sécurité et le moment où ils ont eu lieu.
Une analyse des traces automatique est effectuée afin de répondre aux comportements suspects. Une analyse humaine est effectuée en cas d'incident.
Les personnes tracées doivent en être informées, des mentions d’information seront préparées à cet effet.

  • Echanges de données

Les échanges de données sur Internet sont protégés par la mise en œuvre du protocole HTTPS dans sa dernière version.
Les données sont transmises sur CD-ROM lorsque les centres d’acquisition ne sont pas en mesure d’utiliser le flux d’entrée automatique vers le CATI. Les CD-ROM sont alors envoyés par courrier au CATI.
Les données étant directement enregistrées sur CD-ROM par les machines d’acquisition, le chiffrement des données n’a pu être mis en place par le responsable de traitement. Cependant, les données enregistrées sur le CD-ROM sont pseudonymisées. Le code identifiant du sujet est transmis par le promoteur séparément ou non du CD-ROM.
Pour rappel, la Commission recommande le chiffrement systématique des données de santé lorsque celles-ci sont transférées. Dans le contexte particulier du CATI, le chiffrement de ces données impliquerait leur manipulation par des personnes non autorisées à les traiter pour les copier sur un ordinateur, les chiffrer et les graver sur un nouveau CD-ROM. Les données enregistrées ne comportant aucune donnée directement identifiantes autre que le code identifiant et aux conditions que 1) le code identifiant du sujet, qui est signifiant, soit transmis par le promoteur séparément et que 2) les CD-ROM soient envoyés par courrier suivi, la Commission considère le dispositif comme acceptable.

  • Conservation des données

Les données sont hébergées et sauvegardées quotidiennement sur des serveurs dans deux bâtiments distincts. Ces locaux font l’objet de mesures de sécurité physique afin d’assurer un accès restreint au sein d'une zone avec contrôle d'accès par badge.
Le contenu des sauvegardes n'est accessible qu'en lecture seule. La redondance et la détection des problèmes d'intégrité des supports sont intégrées au matériel. Une équipe est dédiée à la gestion des problèmes matériels ou logiciels détectés sur ces supports.
Pour le transfert des données entre la machine d’acquisition des images (IRM, scanner) et le serveur CATI, une vérification d’intégrité est effectuée par un test MD5. Il a été rappelé au responsable de traitement que cette fonction ne correspond plus à l’état de l’art et ainsi ne permet de détecter que les modifications accidentelles.
Une fois réceptionnée, l’intégrité des données et des métadonnées est contrôlée par une étape de contrôle qualité, faisant intervenir du personnel et un logiciel dédié. Au cours de cette étape, les données sont vérifiées, analysées et visualisées pour leur associer des informations sur leur qualité.
Sous réserve des observations précédentes, les mesures de sécurité décrites par le responsable de traitement sont conformes à l’exigence de sécurité prévue par l’article 34 de la loi Informatique et Libertés.
La Commission rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.
Dans ces conditions, la Commission autorise le CEA à mettre en œuvre un traitement automatisé de données à caractère personnel dénommé Centre d’étude et de recherche national dédié au traitement des images cérébrales « CATI ».
La présidente
Isabelle FALQUE-PIERROTIN




Nature de la délibération: Autorisation
Date de la publication sur legifrance: 9 février 2017