Délibération 2017-285 du 26 octobre 2017

Commission Nationale de l'Informatique et des Libertés
Délibération n°2017-285 du 26 octobre 2017
Délibération n° 2017-285 du 26 octobre 2017 autorisant la société OpenHealth Company à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la constitution d’un entrepôt de données à caractère personnel à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé. N° 2034001
Etat: VIGUEUR

La Commission nationale de l'informatique et des libertés,

Saisie par la société OpenHealth Company d’une demande d’autorisation concernant un traitement automatisé de données à caractère personnel ayant pour finalité la constitution d’un entrepôt de données à caractère personnel, comprenant notamment des données de santé, à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé ;

Vu la convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu les articles L. 1461-1 et suivants du code de la santé publique ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment son chapitre IX et ses articles 8-IV et 25-I-1° ;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Après avoir entendu Mme Valérie PEUGEOT, commissaire, en son rapport, et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,

La Commission nationale de l’informatique et des libertés a été saisie par la société OpenHealth Company (ci-après OHC ) d’une demande d’autorisation relative à la constitution d’un entrepôt de données comprenant notamment des données de santé à caractère personnel à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé.

OHC est spécialisée dans le recueil, le traitement et l’analyse de données de santé, ainsi que dans la mise en œuvre de systèmes d’informations de santé. La société a obtenu, le 4 août dernier, l’agrément pour héberger des données de santé.

La Commission relève qu’OHC met en œuvre, à la date du dépôt de la demande d’autorisation, un traitement ne comportant pas de données à caractère personnel, qui concerne la totalité des ventes des produits commercialisés par plusieurs milliers de pharmacies d’officines.

Ces données, selon OHC, ne contiendraient que des noms de produits, des quantités et des prix. Ces données anonymes de ventes permettraient la réalisation d’études, y compris pharmaco-épidémiologiques, sur la base d’un nombre de dispensations et non d’un nombre de patients.

Cet entrepôt est constitué à partir des données issues des pharmacies d’officine, réparties sur l’ensemble du territoire national, ayant un lien contractuel avec OHC. Cet entrepôt est alimenté, soit directement soit indirectement par l’intermédiaire d’un tiers, par les données des pharmacies d’officines par l’intermédiaire des logiciels de gestion d’officine (LGO) de celles-ci. Selon OHC, aucune rémunération n’est versée aux pharmacies ; celles-ci peuvent disposer gratuitement, en retour, d’informations relatives aux volumes de vente de groupements de pharmacie.

Aujourd’hui, la société OHC souhaite compléter ces informations par des données à caractère personnel permettant de chaîner celles-ci afin de constituer un entrepôt de données à caractère personnel dans le but de mener des recherches, des études ou évaluations dans le domaine de la santé.

Afin de mettre en œuvre ce traitement, OHC a déposé auprès de la Commission une demande d’autorisation fondée sur les articles 8-IV et 25-I-1° de la loi n° 78-17 du 6 janvier 1978 modifiée (ci-après loi informatique et libertés ou loi ) relatifs aux traitements de données à caractère personnel dites sensibles justifiés par l’intérêt public.

Sur la finalité du traitement et son caractère d’intérêt public

La constitution de l’entrepôt de données de santé à caractère personnel décrit ci-dessus a, selon le dossier du demandeur, vocation à permettre de mener des études non interventionnelles liées au bon usage des médicaments ou d’évaluer les politiques publiques dans le domaine (études sur l’efficacité, l’efficience et l’utilisation d’un produit pharmaceutique, études sur le respect des restrictions de prescriptions ou dispensations en fonction du patient ou de l’existence de maladies associées détectées par la prise concomitante d’autres médicaments, études sur le respect des séquences thérapeutiques entre produits de première et deuxième intention, ou encore études sur l’effet d’une restriction de prescription ou au contraire d’une recommandation temporaire d’utilisation d’un produit).

La Commission considère que la finalité du traitement présentée est déterminée, explicite et légitime, conformément aux dispositions de l’article 6-2° de la loi.

Concernant l’exigence, posée par la loi, de l’existence d’un intérêt public afin de traiter des données à caractère personnel de santé en dehors des activités de soins ou du consentement des personnes concernées, la Commission relève que la satisfaction de l’intérêt public n’est pas réservée aux seules personnes publiques.

Au cas présent, certaines des finalités telles que présentées par la société OHC s’inscrivent dans les actions liées à la pharmacovigilance – tant au bénéfice des acteurs privés que des acteurs publics – ou sont susceptibles de permettre, par une exploitation facilitée de données collectées à J-1, d’éclairer les pouvoirs publics dans leur prise de décision en matière de politique de santé (évolution d’une épidémie, modifications de la consommation d’un médicament, etc.).

Ainsi, la Commission considère que la constitution de cet entrepôt de données issues des pharmacies d’officines à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé, présente un intérêt public.

La Commission tient à rappeler que les utilisations futures des données contenues dans cet entrepôt s’inscrivent dans le cadre des dispositions du chapitre IX de la loi qui, lui aussi, impose que chaque demande de recherche, étude ou évaluation réponde à une exigence d’intérêt public.

Ainsi, la Commission estime que l’utilisation des données contenues dans le traitement qui sera mis en œuvre par OHC ne saurait, par analogie aux finalités interdites d’utilisation du système national des données de santé (SNDS), être exploitées à des fins de promotion des produits de santé en direction des professionnels de santé ou d’établissements de santé ou à des fins d’exclusion de garanties des contrats d’assurance et de modification de cotisations ou primes d’assurance d'un individu ou d'un groupe d'individus présentant un même risque.

Afin de garantir le caractère d’intérêt public des utilisations à venir des données, OHC a décidé de mettre en place un comité ad hoc chargé d’examiner les projets de recherche ou d’étude des futurs clients de la société au regard de l’intérêt public. Ce comité, placé sous la responsabilité du futur délégué à la protection des données de la société, sera composé notamment de personnes qualifiées, externes à la société ; ses décisions seront contraignantes, consultables en cas de contrôle et feront l’objet d’un rapport annuel communicable à la Commission.

Sur la nature des données traitées

Les données suivantes seront collectées :

  • concernant le client de la pharmacie : un identifiant unique propre à chaque pharmacie, aléatoire et non signifiant, son âge, son sexe et les dispensations de produits de santé le concernant avec le contenu de ces dispensations ;
  • concernant les pharmacies : les données d’identification de la pharmacie (raison sociale et adresse, qui peuvent indirectement révéler des informations sur l’identité du titulaire de la pharmacie).

La Commission considère que les données traitées sont adéquates, pertinentes et non excessives au regard de la finalité poursuivie, conformément aux dispositions de l’article 6-3° de la loi.

Sur le dispositif envisagé et le procédé de pseudonymisation des données

Dans une première étape, les données pertinentes seront envoyées par le pharmacien d’officine volontaire à OHC, soit directement par son LGO, soit indirectement par l’intermédiaire d’un organisme concentrateur technique (OCT).

Au sein de la pharmacie, le LGO génèrera, par des algorithmes qui lui sont propres, des identifiants client aléatoires et non signifiants qui ne permettent pas le suivi d’un même client dans différentes pharmacies (une même personne aura un identifiant différent dans deux pharmacies) mais qui est constant au sein d’une même pharmacie.

OHC effectuera, dès réception des flux, une seconde pseudonymisation des identifiants des patients par un procédé de hachage à clé secrète utilisant SHA512 et une clé secrète de 512 bits.

Les données accompagnées de l’identifiant final seront ensuite stockées par OHC sur un serveur au sein de leur environnement agréé hébergeur de données de santé (HDS).

La Commission recommande qu’en cas de compromission avérée des clés, et à défaut tous les cinq ans, celles-ci soient modifiées.

S’agissant de l’algorithme utilisé pour générer les clés, les audits réguliers prévus par OHC dans le cadre de son agrément HDS vérifieront sa robustesse. En cas de compromission de l’algorithme, celui-ci devra être modifié.

En l’état actuel de la technique, et au vu des mesures de sécurité mises en places par ailleurs, la Commission estime que le procédé de pseudonymisation prévu va dans le sens des recommandations poussées par le Règlement européen sur la protection des données personnelles (RGPD) en réduisant les possibilités de ré-identification des personnes dont les données sont traitées au strict nécessaire dans ce contexte.

Sur la durée de conservation des données

La Commission prend tout d’abord acte de ce qu’aucune donnée ne sera conservée et archivée chez les OCT participant au dispositif projeté.

Le responsable de traitement souhaite conserver les données pour une durée de dix ans afin de pouvoir réaliser des analyses sur de longues périodes, dont l’utilité est avérée en matière de consommation de médicaments.

La Commission considère que cette durée de conservation des données n’excède pas la durée nécessaire à la finalité pour laquelle elles sont collectées et traitées, conformément aux dispositions de l’article 6-5° de la loi.

Sur les destinataires des données

Les clients visés par la société OHC sont principalement les industriels du secteur de la santé ou les pouvoirs publics (par exemple, la Haute autorité de santé, l’Agence nationale de sécurité du médicament et des produits de santé, la Direction générale de la santé, etc.).

La Commission relève que les clients d’OHC ne seront pas destinataires de données individuelles relatives aux clients des pharmacies. Seule OHC sera en mesure d’analyser ces données et n’envisage une communication de résultats que sous deux formes :

  • la réponse scientifique à la question ou aux questions posées par le client ; ou
  • la transmission de données brutes relatives à des comptages statistiques, avec un agrégat minimum de 50 personnes.

La Commission considère que les catégories de destinataires et les modalités de communication des résultats n’appellent pas d’observation.

Elle attire toutefois l’attention du responsable de traitement sur les obligations qui lui incombent en matière de confidentialité des données et rappelle qu’il doit :

  • respecter et faire respecter le secret des informations par toutes les personnes susceptibles de travailler sur ces données ;
  • ne pas rétrocéder ou divulguer à des tiers les informations individuelles fournies sous quelque forme que ce soit ;
  • ne pas procéder à des rapprochements, interconnexions, mises en relation, appariements avec tout fichier de données directement ou indirectement nominatives ou toute information susceptible de révéler l’identité d’une personne et/ou son état de santé ;
  • ne pas utiliser de façon détournée les informations collectées, notamment à des fins de recherche ou d’identification des personnes.

Sur l'information et les droits des personnes

Les pharmaciens d’officines seront chargés, contractuellement, d’informer leurs clients du traitement des données les concernant, ainsi que de permettre l’exercice des droits d’accès, de rectification et d’opposition qui leur sont reconnus.

Il est prévu que les personnes soient informées par un document affiché dans la pharmacie d’officine de l’identité du responsable de traitement, de sa finalité, des destinataires des informations et des modalités d’exercice de leurs droits.

La Commission demande que ces mentions soient complétées afin de recouvrir l’ensemble des informations prévues à l’article 32 de la loi, notamment concernant la durée de conservation des données.

Le responsable de traitement doit prendre les mesures nécessaires, notamment en s'assurant de leur effectivité, auprès de ses partenaires afin que les personnes concernées puissent exercer leur droit d’opposition directement dans chaque pharmacie avant toute transmission de leurs données.

Sur la sécurité des données et la traçabilité des actions

La Commission relève que la société OHC s’appuie, entre autres, sur une architecture qui a obtenu un agrément HDS.

Dans ce cadre, un audit de sécurité régulier des systèmes est mis en place par OHC.

La Commission estime que cette mesure permet de s’assurer que la sécurité des plateformes utilisées est conforme à l’état de l’art et, le cas échéant, de définir un plan d’actions correctives à mettre en œuvre.

Les échanges de données seront réalisés via des canaux de communication chiffrés et assurant l’authentification de la source et de la destination.

Des profils d'habilitation sont prévus afin de gérer les accès aux données en tant que de besoin.

La Commission rappelle l’importance de supprimer les permissions d'accès pour tout utilisateur n'étant plus habilité et d’effectuer régulièrement une revue globale des habilitations.

Concernant l’authentification des utilisateurs, celle-ci sera effectuée via un identifiant et un mot de passe d’au moins huit caractères, exigeant une complexité minimale ainsi qu’un renouvellement tous les 42 jours au plus et en ne pouvant répéter les 24 derniers mots de passe.

À cet égard, la Commission a élaboré une délibération 2017-012 du 19 janvier 2017 portant adoption d'une recommandation relative aux mots de passe. Elle relève ainsi que la mise en place de la politique de mots de passe élaborée par le responsable de traitement nécessite une mise à jour afin de maintenir sa conformité aux recommandations de la CNIL.

Sans information sur ce point, la Commission rappelle que les mots de passe ne doivent pas être stockés en clair et qu’elle recommande d’utiliser une fonction de hachage à clé secrète ou d’ajouter un sel avant de hacher les mots de passe.

Une journalisation des opérations de consultation, création, modification et suppression du traitement sera réalisée. Une analyse des traces régulière devrait être effectuée. La Commission recommande, à cet égard, que ce contrôle des traces soit effectué de manière automatique, afin de détecter les comportements anormaux et lever des alertes.

La Commission rappelle que la durée de conservation des journaux ne devrait pas excéder six mois en l’absence de contrainte spécifique.

Des sauvegardes régulières seront réalisées et stockées, chiffrées, avec un algorithme à l’état de l’art.

Les interventions de maintenance feront l'objet d'une traçabilité et sont effectuées en présence d’un informaticien de l’entreprise. Aucun support de stockage ayant contenu des données confidentielles ne sortira de l’entreprise sans avoir été physiquement détruit.

Des mesures sont prévues pour assurer la sécurité du réseau notamment par la mise en œuvre d’une compartimentation de celui-ci et par des systèmes de détection d’intrusion.

Enfin, le traitement a fait l'objet d'une étude des risques sur la vie privée des personnes concernées et des mesures ont été déterminées pour les traiter de manière proportionnée.

Sous réserve des précédentes observations, les mesures de sécurité décrites par le responsable de traitement sont conformes à l’exigence de sécurité prévue par l’article 34 de la loi.

La Commission rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.

Dans ces conditions, la Commission autorise la société OpenHealth Company à mettre en œuvre un traitement de données à caractère personnel ayant pour finalité la constitution d’un entrepôt de données à caractère personnel à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé, issues des données des pharmacies d’officines.

Elle rappelle que les traitements de données de santé à caractère personnel qui seront mis en œuvre ultérieurement à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé sont des traitements distincts qui doivent faire l’objet, par la société OHC, de formalités propres prévues au chapitre IX de la loi.

La Présidente

I. FALQUE-PIERROTIN




Nature de la délibération: AUTORISATION
Date de la publication sur legifrance: 30 novembre 2017