Délibération 2018-289 du 12 septembre 2018

Commission Nationale de l'Informatique et des Libertés
Délibération n°2018-289 du 12 septembre 2018
Délibération n° 2018-289 du 12 juillet 2018 autorisant la société IQVIA Opérations France à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la constitution d’un entrepôt de données à caractère personnel à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé, dénommé base de données LRX (n° 2120812)
Etat: VIGUEUR

La Commission nationale de l'informatique et des libertés,

Saisie par la société IQVIA Opérations France d’une demande d’autorisation concernant un traitement automatisé de données à caractère personnel ayant pour finalité la constitution d’un entrepôt de données à caractère personnel, comprenant notamment des données de santé, à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé, dénommé base de données LRX ;

Vu la convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE ;

Vu les articles L. 1461-1 et suivants du code de la santé publique ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 8-II-8°, 22 et 53 et suivants ;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Après avoir entendu Mme Valérie PEUGEOT, commissaire, en son rapport, et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,

Formule les observations suivantes :

La Commission nationale de l’informatique et des libertés a été saisie par la société IQVIA Opérations France (ci-après IQVIA ) d’une demande d’autorisation relative à la constitution d’un entrepôt de données comprenant notamment des données de santé à caractère personnel, à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé, dénommé base de données LRX , à l’appui de laquelle une analyse d’impact relative à la protection des données a été produite.

La société IQVIA, société par actions simplifiée à associé unique, est issue de la fusion des sociétés IMS Health, dont le cœur de métier historique est la fourniture de données actualisées régulièrement sur les volumes de médicaments vendus en pharmacie, et Quintiles, spécialisée dans les études et le conseil pour les industries du médicament et les acteurs de la santé.

Afin de mettre en œuvre ce traitement, IQVIA a déposé auprès de la Commission une demande d’autorisation fondée sur les articles 8-IV et 25-I-1° de la loi n° 78-17 du 6 janvier 1978 modifiée (ci-après loi informatique et libertés ou loi ) relatifs aux traitements de données à caractère personnel dites sensibles justifiés par l’intérêt public alors en vigueur lors de la saisine.

Sur la base légale du traitement, ses finalités et son caractère d’intérêt public

La base légale du traitement retenue est celle des intérêts légitimes poursuivis par le responsable du traitement en application de l’article 6-1- f du Règlement général sur la protection des données (RGPD).

La constitution de l’entrepôt de données de santé à caractère personnel a vocation à permettre de mener des études non interventionnelles visant à l’évaluation de la bonne utilisation du médicament en vie réelle, l’analyse scientifique et statistique des phénomènes liés à la persistance, la conformité, le respect des prescriptions et des contre-indications.

La Commission considère que la finalité du traitement présentée est déterminée, explicite et légitime, conformément aux dispositions de l’article 5-1-b du RGPD.

Concernant l’exigence, posée par la loi, de l’existence d’un intérêt public afin de traiter des données à caractère personnel de santé en dehors des activités de soins ou du consentement des personnes concernées, la Commission relève que la poursuite de l’intérêt public n’est pas réservée aux seules personnes publiques.

Au cas présent, certaines des finalités telles que présentées par la société IQVIA sont susceptibles de permettre, par une exploitation facilitée de données collectées à J +1, d’éclairer les acteurs privés comme publics sur le bon usage des médicaments, l’identification des interactions médicamenteuses, la prise en charge des patients, l’observance des traitements.

Ainsi, la Commission considère que la constitution de cet entrepôt de données issues des pharmacies d’officine à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé, présente un intérêt public.

La Commission rappelle que les utilisations futures des données contenues dans cet entrepôt s’inscrivent dans le cadre des dispositions de la section 2 du chapitre IX de la loi qui, elles aussi, imposent que chaque demande de recherche, étude ou évaluation réponde à une exigence d’intérêt public.

Ainsi, la Commission estime que l’utilisation des données contenues dans le traitement qui sera mis en œuvre par IQVIA ne saurait, par analogie aux finalités interdites d’utilisation du Système national des données de santé (SNDS), être exploitée à des fins :

  • de promotion des produits de santé en direction des professionnels de santé ou d’établissements de santé ;
  • ou à des fins d’exclusion de garanties des contrats d’assurance et de modification de cotisations ou primes d’assurance d'un individu ou d'un groupe d'individus présentant un même risque.

Afin de garantir le caractère d’intérêt public des utilisations à venir des données, la Commission relève qu’IQVIA prévoit la mise en place une gouvernance reposant sur deux comités ad hoc, un comité opérationnel de la gouvernance des données et un comité stratégique, tous deux chargés d’examiner les projets de recherche ou d’étude des futurs clients de la société au regard de l’intérêt public selon une procédure de validation reposant sur une grille d’analyse préétablie.

La grille d’analyse comprend des informations relatives à la finalité de l’étude, au contexte de la demande, à l’auteur de la demande, à la granularité des informations sollicitées et aux destinataires finaux et permet de vérifier si le projet de recherche ou d’étude revêt un intérêt public. Elle est complétée par le personnel habilité d’IQVIA chargé de la mise en œuvre d’une analyse et peut être auditée à tout moment par le Comité stratégique. En cas de doute sur l’existence d’un intérêt public, le Comité opérationnel est saisi pour statuer sur la question de l’intérêt public. Il peut à son tour saisir le Comité stratégique qui se prononce en dernier recours.

La Commission demande que la grille d’analyse soit complétée par la mention des finalités interdites d’utilisation du SNDS, qui s’applique par analogie à la base de données LRX.

La Commission prend acte qu’IQVIA s’engage à publier annuellement une synthèse globale des types d’analyses effectuées depuis les données de la base de données LRX, certaines d’entre elles pouvant être publiées sous réserve de l’accord de leur client. La Commission accueille favorablement la proposition d’IQVIA de lui faire parvenir un rapport annuel dressant le bilan du fonctionnement de la base de données LRX et des requêtes réalisées.

Sur la nature des données traitées

Les données suivantes seront collectées :

  • concernant le client de la pharmacie : le NIR, l’année de naissance, le prénom et le sexe, des données dites de délivrance , constituées de données de santé relatives aux dispensations de produits de santé le concernant avec le contenu de ces dispensations ;
  • concernant les prescripteurs : les données d’identification du prescripteur (code RPPS ou Adeli), la spécialité et la zone géographique du prescripteur, le code de l’établissement ;
  • concernant le pharmacien partenaire : le code et la zone géographique de la pharmacie partenaire.

La Commission considère que les données traitées sont adéquates, pertinentes et non excessives au regard de la finalité poursuivie, conformément aux dispositions de l’article 5-1-c du RGPD.

Sur le dispositif envisagé et le procédé de pseudonymisation des données

La première étape du traitement des données est réalisée au sein de l’officine elle-même.

Elle consiste à calculer l’INS-C à partir des données d’identification des patients et de leur NIR. Une fois l’INS-C calculé, celui-ci est haché au moyen de l’algorithme SHA-256.

Les identifiants ainsi obtenus associés aux données de dispensation de produits de santé sont ensuite transmis chiffrés par courrier électronique à un tiers de confiance. Celui-ci réalise une nouvelle opération de hachage des données au moyen d’une clé secrète.

Les données ainsi obtenues sont ensuite transmises à un second tiers de confiance également hébergeur de données de santé. Celui-ci va chiffrer les identifiants générés par le premier tiers de confiance au moyen de l’algorithme AES et d’une clé de 256 bits, puis remplacer les identifiants ainsi obtenus par des identifiants aléatoires stockés dans une table de correspondance. Les identifiants aléatoires sont ensuite transmis à IQVIA avec les données de dispensation des produits de santé. En cas de compromission, ou tous les trois ans, la clé de chiffrement sera renouvelée.

En l’état actuel de la technique, et au vu des mesures de sécurité mises en places par ailleurs, la Commission estime que le procédé de pseudonymisation prévu va dans le sens des recommandations poussées par le RGPD en réduisant les possibilités de ré-identification des personnes dont les données sont traitées au strict nécessaire dans ce contexte.

La Commission rappelle toutefois que la pseudonymisation ne constitue qu’une mesure de sécurité visant à réduire les risques pour les personnes concernées, et n’exonère en rien le responsable de traitement de ses obligations.

Sur la durée de conservation des données

Le responsable de traitement souhaite conserver les données des patients, des prescripteurs et des pharmaciens pour une durée de dix ans afin de pouvoir réaliser des analyses sur de longues périodes, dont l’utilité est avérée en matière de consommation de médicaments.

La Commission considère que cette durée de conservation des données n’excède pas la durée nécessaire à la finalité pour laquelle elles sont collectées et traitées, conformément aux dispositions de l’article 5-1-e du RGPD.

Sur les destinataires des données

Ont accès aux données de la base de données LRX le personnel habilité d’IQVIA et les sociétés sous-traitantes d’IQVIA.

Des partenaires scientifiques tels que l’INSERM pourront également accéder à la base de données LRX pour réaliser des projets d’études soumis aux formalités de la CNIL. Cet accès sera réservé aux personnes nommément désignées depuis un poste de travail dédié situé dans les locaux d’IQVIA et sous réserve du respect d’un engagement de confidentialité.

Les clients visés par la société IQVIA sont principalement les industriels du secteur de la santé ou les pouvoirs publics (par exemple, la Haute Autorité de Santé, l’Agence Régionale d’Ile-de-France, etc.).

La Commission relève que les clients d’IQVIA ne seront pas destinataires de données individuelles relatives aux clients des pharmacies.

La Commission considère que les catégories de destinataires et les modalités de communication des résultats n’appellent pas d’observation.

Elle attire toutefois l’attention du responsable de traitement sur les obligations qui lui incombent en matière de confidentialité des données et rappelle qu’il doit :

  • respecter et faire respecter le secret des informations par toutes les personnes susceptibles de travailler sur ces données ;
  • ne pas rétrocéder ou divulguer à des tiers les informations individuelles fournies sous quelque forme que ce soit ;
  • ne pas procéder à des rapprochements, interconnexions, mises en relation, appariements avec tout fichier de données directement ou indirectement nominatives ou toute information susceptible de révéler l’identité d’une personne et/ou son état de santé ;
  • ne pas utiliser de façon détournée les informations collectées, notamment à des fins de recherche ou d’identification des personnes.

Sur l'information et les droits des personnes

Les pharmaciens d’officine seront chargés, contractuellement, d’informer individuellement leurs clients du traitement des données les concernant, ainsi que de permettre l’exercice des droits d’accès, de rectification et d’opposition qui leur sont reconnus.

Il est prévu que les personnes soient informées individuellement par la remise d’une notice d’information. Cette information sera complétée par un document affiché au sein de la pharmacie d’officine ou diffusé sur son site web.

La Commission demande que ces mentions soient complétées afin de recouvrir l’ensemble des informations prévues aux articles 12 et 14 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016.

La Commission prend acte de ce que le droit d’opposition s’exerce auprès des pharmacies d’officine partenaires. Le pharmacien muni d’un code barre indique dans son outil que la personne a exercé son droit d’opposition de façon à ce que ses données n’alimentent pas l’entrepôt de données. L’ensemble des données est supprimé y compris celles déjà collectées dans l’hypothèse de l’exercice du droit d’opposition en cours de traitement.

Les pharmaciens partenaires seront informés individuellement par IQVIA via leur espace personnel dans l’outil et un courriel que leur adresse IQVIA.

La Commission demande que ces mentions soient complétées afin de recouvrir l’ensemble des informations prévues aux articles 12 et 13 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016. Les droits des pharmaciens s’exerceront auprès de la direction juridique d’IQVIA.

La Commission prend acte de ce que IQVIA précise ne pas être en capacité d’informer individuellement les prescripteurs dont le code RPPS, ou à défaut le code Adeli, est collecté, dans la mesure où elle ne dispose pas des coordonnées de ces derniers, sauf à collecter des données supplémentaires (telle que l’adresse courriel et/ou postale du prescripteur) dont la société n’a pas besoin pour la constitution de la base de données LRX et les traitements ultérieurs.

Les prescripteurs seront informés par voie d’affichage diffusé au sein des pharmacies partenaires qui les renverra vers le site web d’IQVIA pour une information plus complète. La Commission demande que l’information soit en tout point conforme aux dispositions 12 et 14 du RGPD quel que soit le support envisagé. Elle demande également que l’information soit diffusée plus largement, au moyen d’autres supports, afin de garantir le respect du droit à l’information des personnes concernées.

Les prescripteurs exerceront leurs droits auprès d’IQVIA.

Sur la sécurité des données et la traçabilité des actions

La Commission relève que la société IQVIA s’appuie, entre autres, sur une architecture qui a obtenu un agrément HDS.

Les échanges de données seront réalisés via des canaux de communication chiffrés et assurant l’authentification de la source et de la destination : les données transmises par les officines sont transmises par courriels chiffrés, et les données transmises par les tiers de confiance sont chiffrées via le protocole SFTP.

Des profils d'habilitation sont prévus afin de gérer les accès aux données en tant que de besoin. La Commission prend acte de ce que les habilitations sont revues tous les 6 mois et qu’un processus de désactivation des comptes utilisateurs a été mis en place afin de gérer les changements d’affectation et les départs des personnes habilitées.

Concernant l’authentification des utilisateurs, la Commission prend acte de ce que le responsable de traitement a mis en place une politique d’authentification définissant les modalités d’authentification des différents types de personnes habilitées. La Commission constate que les règles mises en place sont conformes à la délibération n° 2017-012 du 19 janvier 2017 portant adoption d'une recommandation relative aux mots de passe.

Une journalisation des connexions à l’application ainsi que des opérations de consultation, création, modification et suppression réalisées dans le traitement sera réalisée. Une analyse des traces régulière devrait être effectuée. La Commission recommande, à cet égard, que ce contrôle des traces soit effectué de manière automatique, afin de détecter les comportements anormaux et lever des alertes.

La Commission prend acte de ce que le responsable de traitement s’est engagé à conserver les journaux pendant une durée de six mois.

Les interventions de maintenance feront l'objet d'une traçabilité et sont effectuées en présence d’un informaticien de l’entreprise. Des procédures ont été mises en place pour assurer la confidentialité des données contenues sur les supports de stockage envoyés en maintenance.

Des mesures sont prévues pour assurer la sécurité du réseau, notamment par la mise en œuvre d’une compartimentation de celui-ci.

Concernant l’analyse d’impact relative à la protection des données réalisée par la société, la Commission demande qu’elle soit complétée, avant la mise en œuvre du traitement, par une analyse des sources de risques, des biens essentiels et des biens supports et que des scenarii de risques précis et détaillés soient identifiés et estimés en termes de vraisemblance et de gravité.

Sous réserve des précédentes observations, les mesures de sécurité décrites par le responsable de traitement sont conformes à l’état de l’art. La Commission rappelle toutefois que le responsable de traitement doit s’assurer de façon continue que les mesures de sécurité mises en place permettent de garantir que les risques sur les personnes restent à un niveau acceptable.

La Commission rappelle que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.

Dans ces conditions, la Commission autorise la société IQVIA Opérations France à mettre en œuvre un traitement de données à caractère personnel ayant pour finalité la constitution d’un entrepôt de données à caractère personnel à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé, issues des données des pharmacies d’officine.

Enfin, elle rappelle que les traitements de données de santé à caractère personnel qui seront mis en œuvre ultérieurement à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé sont des traitements distincts qui doivent faire l’objet, par la société IQVIA, de formalités propres prévues au chapitre IX section 2 de la loi.

La Présidente

I. FALQUE-PIERROTIN




Nature de la délibération: AUTORISATION
Date de la publication sur legifrance: 5 octobre 2018