DELIBERATION n°2015-344 du 6 octobre 2015

Délibération n° 2015-344 du 6 octobre 2015 autorisant l’Institut de veille sanitaire (InVS) à mettre en œuvre un traitement de surveillance des infections à VIH et au sida par un dispositif dématérialisé de déclaration obligatoire dénommé « e-DO »

(Demande d’autorisation n° 1818160)
La Commission nationale de l'informatique et des libertés,
Saisie par l’Institut de veille sanitaire d’une demande d’autorisation concernant un traitement de surveillance des infections à VIH et au sida par un dispositif dématérialisé de déclaration obligatoire dénommé « e-DO »;
Vu la convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code de la santé publique, notamment ses articles L. 3113-1, R. 3113-1 et suivants et D. 3113-7;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 8-IV et 25-I-1° ;
Vu les délibérations de la CNIL n° 00-045 du 3 octobre 2000, n° 02-020 du 21 mars 2002, n° 02-082 du 19 novembre 2002 et n° 2006-258 du 5 décembre 2006 ;
Après avoir entendu M. Alexandre LINDEN, commissaire, en son rapport, et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Formule les observations suivantes :
La Commission a été saisie d’une demande d’autorisation présentée par l’Institut de veille sanitaire (InVS) concernant un dispositif de télédéclaration des infections à VIH et au sida dénommé « e-DO ».
Les dispositions de l’article L. 3113-1 du code de la santé publique (CSP) prévoient que les maladies nécessitant une intervention urgente locale, nationale ou internationale et les maladies dont la surveillance est nécessaire à la conduite et à l’évaluation de la politique de santé publique, font l’objet d’une transmission obligatoire de données individuelles à l’autorité sanitaire par les médecins et les responsables des services et laboratoires de biologie médicale publics et privés.
Le VIH/sida figure sur la liste des maladies à déclaration obligatoire qui, relevant des dispositions précitées, font l’objet d’une notification obligatoire à l’autorité sanitaire selon des modalités de transmission définies par les articles R. 3113-1 et suivants du CSP. Ces dispositions énumèrent les informations devant figurer sur la fiche de notification des données individuelles et, en particulier, le « numéro d’anonymat » établi par codage informatique irréversible à partir des éléments d’identification de la personne.
Par délibération n° 02-082 du 19 novembre 2002, la Commission a autorisé l’InVS à mettre en place l’application informatique destinée à la surveillance épidémiologique nationale des maladies infectieuses à déclaration obligatoire dont le VIH/sida.
Le dispositif de notification et de surveillance épidémiologique actuel repose sur une fiche de notification au format papier transférée par télécopie ou courrier postal à l’Agence régionale de santé (ARS) par le déclarant, information ensuite restituée par les soins de l’ARS à l’InVS et saisie dans l’application informatique selon une procédure de double anonymisation permettant de garantir l’anonymat des personnes concernées conformément à l’article L. 3113-1 du CSP.
L’InVS souhaite dématérialiser la procédure par la mise en place d’un traitement intitulé « e-DO » et à cette occasion actualiser le contenu des fiches de notification.
La Commission est saisie, parallèlement à la demande d’autorisation de l’InVS, d’une demande d’avis sur un projet d’arrêté de la ministre des affaires sociales, de la santé et des droits des femmes portant modification de l’annexe 29 figurant dans l’arrêté du 22 août 2011 relatif à la notification obligatoire des maladies infectieuses et autres maladies mentionnées à l’article D. 3111-7 du CSP parmi lesquelles figure le VIH/sida.
Le projet de dématérialisation concerne également les dispositifs complémentaires à la déclaration obligatoire permettant une surveillance virologique volontaire des infections VIH ainsi qu’une surveillance de l’activité de dépistage du VIH (dénommé LaboVIH) depuis des données agrégées.
Sur la finalité et la formalité applicable au traitement :
La dématérialisation de la déclaration vise, d’une part, à simplifier le processus de notification actuellement mis en œuvre sur support papier, et d’autre part, à améliorer l’adhésion des professionnels de santé afin d’augmenter le nombre de déclaration et de raccourcir leur délai.
La Commission estime que la finalité du traitement est déterminée, explicite et légitime au sens de l’article 6 de la loi 6 janvier 1978 modifiée (ci après loi Informatique et Libertés).
S’agissant d’un traitement de données de santé justifiées par un intérêt de santé publique, la Commission estime qu’il y a lieu de faire application des dispositions prévues aux articles 8-IV et 25-I-1° de la loi Informatique et Libertés.
Sur les catégories de données à caractère personnel traitées :
Les informations qui doivent figurer sur la fiche de notification des données individuelles sont énumérées à l’article R. 3113-2 du CSP. Ces dispositions posent également l’exigence d’un « numéro d’anonymat » établi par codage informatique à partir des éléments d’identité de la personne.
Ces dispositions renvoient, par ailleurs, à un arrêté du ministre chargé de la santé, pris après avis de la Commission nationale de l’informatique et des libertés, le soin de fixer, pour chaque maladie à déclaration obligatoire, les informations destinées à la surveillance épidémiologique et en particulier, les données cliniques, biologiques et sociodémographiques que les médecins déclarants ou, en cas de diagnostic biologique, les biologistes réalisant la sérologie, portent sur la fiche de notification.
En ce qui concerne l’infection par le VIH/sida, l’arrêté du 22 août 2011 relatif à la notification obligatoire des maladies infectieuses et autres maladies mentionnées à l’article D. 3113-7 du CSP détaille en son annexe 29 la liste des informations que doivent contenir les fiches de notification.
Ces fiches de notification font l’objet d’une actualisation à l’occasion de la mise en œuvre du projet de dématérialisation des notifications de cas de VIH quel qu’en soit le stade.
La Commission prend acte de ce que les variables supplémentaires portent sur les informations suivantes :

  • le motif de réalisation de la sérologie, qui comprendra l’information selon laquelle la sérologie confirme un test rapide d’orientation diagnostique (TROD) positif et/ou un auto-test positif ;
  • le statut et la date de décès éventuel pour toute déclaration d’une personne infectée par le VIH ;
  • la prise d’une prophylaxie pré-exposition (PrEP) dès lors que l’Agence nationale de sécurité du médicament (ANSM) aura publié une recommandation temporaire d’utilisation à ce sujet.

La nature de ces informations n’appelle pas d’observations particulières de la part de la Commission. Toutefois, la Commission considère que, dans la mesure où l’article R. 3113-2 du CSP prévoit qu’un arrêté fixe les données cliniques, biologiques et sociodémographiques devant figurer sur la fiche de notification, la collecte des données supplémentaires précitées ne pourra débuter qu’une fois ledit arrêté publié.
Sur la durée de conservation des données :
La durée de conservation des données est identique à celle fixée dans le cadre du traitement déjà existant.
La table de correspondance entre le « numéro d’anonymat » et les données d’identification de la personne est conservée par le médecin pendant douze mois en application de l’article R. 3113-3 du CSP.
La Commission prend acte de ce qu’au terme de ce délai de douze mois, la table de correspondance est détruite, l’InVS procédant de son côté à la suppression des coordonnées du prescripteur et à celles du responsable du service de biologie ou du laboratoire conformément aux dispositions de l’article R. 3113-3, dernier alinéa, du CSP.
L’InVS envisage de conserver les données de la surveillance épidémiologique expurgées de toute donnée d’identification et du « numéro d’anonymat », pendant une durée de quatre-vingt-dix ans.
La Commission estime cette durée proportionnée aux finalités poursuivies dans la mesure où la surveillance épidémiologique du VIH/sida nécessite de pouvoir apprécier l’évolution de l’infection tant au niveau du cas individuel déclaré (de l’infection au sida jusqu’au décès, le cas échéant) qu’au niveau collectif sur l’ensemble des déclarations effectuées. Toutefois, la Commission considère qu’une réévaluation des risques d’identification devra être réalisée par l’InVS dès lors que de nouvelles variables seraient collectées.
Sur les destinataires des données :
La Commission prend acte de ce que le projet de dématérialisation ne modifie pas les destinataires du traitement actuellement autorisé.
Ont accès aux données strictement nécessaires à l’exercice de leur fonction les acteurs de la déclaration obligatoire et de la surveillance virologique, c’est-à-dire des professionnels de santé déclarants (il s’agit des biologistes et des médecins prescripteurs de la sérologie ayant donné lieu à un diagnostic d’infection par le VIH ou prenant en charge une personne dont la séropositivité vient d’être découverte ou ayant diagnostiqué un sida), des agents habilités des Agences régionales de santé (ARS) du lieu d’exercice du médecin, des agents habilités de l’InVS et du centre national de référence (CNR) dans le cadre de la surveillance virologique.
L’application « e-DO » permet aux biologistes et médecins de créer des comptes afin de permettre aux personnels nommément désignés, placés sous leur autorité et soumis au secret professionnel, de compléter et d’envoyer les déclarations. Lors de l’instruction, il a été précisé aux services de la CNIL que ce personnel n’aurait en aucun cas accès, dans l’application e-DO, aux données directement identifiantes des personnes ayant fait l’objet de la déclaration.
Ainsi, seules les personnes habilitées, dans la limite de leurs attributions respectives et dans la stricte mesure nécessaire à l’accomplissement de leur mission, ont accès aux données de santé à caractère personnel.
Sur l’information des personnes :
Une note d’information destinée aux personnes concernées par la déclaration obligatoire leur est remise par le médecin lors de l’annonce du diagnostic ou au moment qu’il jugera, en conscience, le plus opportun.
Une note d’information spécifique à la surveillance virologique de l’infection à VIH est également remise aux personnes concernées.
La Commission estime ces mesures d’information satisfaisantes au regard des dispositions prévues à l’article 32 de la loi Informatique et Libertés.
Sur les droits d'accès, de rectification et d'opposition des personnes :
Les droits d’accès et de rectification s’exercent auprès du département des maladies infectieuses de l’InVS par l’intermédiaire du médecin qui a procédé à la notification et uniquement pendant le délai de douze mois après que le médecin ait transmis la fiche de notification. Passé ce délai, la correspondance est supprimée ne permettant pas l’exercice des ces droits.
La déclaration du VIH/sida étant obligatoire et découlant d’une obligation légale, le droit d’opposition prévu à l’article 38 de la loi Informatique et Libertés ne s’applique pas.
Sur la sécurité des données et la traçabilité des actions :
L’application web « e-DO » est hébergée au sein du système d’information de l’InVS.
La Commission relève que différentes mesures de sécurité visant à assurer la confidentialité, l’intégrité et la disponibilité des données sont mises en œuvre au sein de ce réseau (cloisonnement bas niveau, filtrage applicatif, lutte contre les logiciels malveillants, hébergements physiques redondés, sauvegardes délocalisées, développement des applications à partir de jeux de données anonymisées, effacement sécurisé des données en cas de mise au rebut de matériel, architecture spécifique et dédiée d’enregistrement des traces fonctionnelles).
En particulier, la Commission prend acte de ce que les professionnels de santé accédant à l’application s’authentifient exclusivement de manière forte via leur carte de professionnel de santé (CPS). Les listes de révocation associées aux certificats déployés dans ces cartes sont régulièrement récupérées auprès de l’Agence des systèmes d’information partagés de santé (l’ASIP Santé).
De plus, la Commission relève que des mesures techniques spécifiques de protection de l’identité des patients sont mises en œuvre (hache de l’identifiant transmis par le médecin, cloisonné par maladie à déclaration obligatoire)..
Les mesures de sécurité décrites par le responsable de traitement sont donc conformes à l’exigence de sécurité prévues par l’article 34 de la loi du 6 janvier 1978 modifiée.
La Commission rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.
Dans ces conditions, la Commission autorise l’InVS à mettre en œuvre un traitement de surveillance des infections à VIH et au sida par le dispositif dématérialisé de déclaration obligatoire dénommé « e-DO ».
La Présidente
I. FALQUE-PIERROTIN

Retourner en haut de la page