(Demande d’autorisation n° 918036)

La Commission nationale de l’informatique et des libertés,

Saisie par l’Institut national de la santé et de la recherche médicale (INSERM) d’une demande de modification du traitement ayant pour finalité une étude portant sur les bénéfices et risques associés aux différentes modalités de prise en charge thérapeutique des hépatites B et C ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données) ;

Vu le code de la santé publique, notamment ses articles L. 1121-1 et suivants ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 22, 61 et suivants ;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu la décision DR-2013-611 du 10 janvier 2014 autorisant l’Institut national de la santé et de la recherche médicale – Agence Nationale de la recherche sur le sida et les hépatites (INSERM-ANRS) à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur les bénéfices et risques associés aux différentes modalités de prise en charge thérapeutique des hépatites B et C (n° 912636) ;

Vu l’avis du 6 septembre 2012 du Comité consultatif sur le traitement de l’information en matière de recherche dans le domaine de la santé relatif à l’étude ANRS CO22 HEPATHER ;

Vu les avis successifs du Comité de protection des personnes Ile de France III relatifs à l’étude ANRS CO22 HEPATHER ;

Vu l’avis du 18 janvier 2018 du Comité d’expertise pour les recherches, les études et les évaluations dans le domaine de la santé (CEREES) relatif à l’appariement des données de la cohorte HEPATHER avec les données pertinentes du SNDS ;

Après avoir entendu M^me Valérie PEUGEOT, commissaire, en son rapport, et M^me Nacima BELKACEM, commissaire du Gouvernement, en ses observations ;

Formule les observations suivantes :

L’INSERM est un établissement public à caractère scientifique et technologique, spécialisé dans la recherche médicale.

Dans le cadre de sa mission, l’INSERM a mis en œuvre une recherche multicentrique comportant un recueil prospectif de données et la constitution d’une collection d’échantillons biologiques humains. Cette recherche, dont la durée totale prévisionnelle est de 10 ans, prévoit l’inclusion de patients atteints d’hépatite B et/ou C dans une cohorte. L’objectif principal de la recherche est d’améliorer les connaissances sur les hépatites virales et la prise en charge des patients atteints de ces pathologies, notamment de mesurer les bénéfices et les risques associés aux différentes modalités de prise en charge thérapeutique des hépatites B et C et d’identifier les déterminants individuels, virologiques, environnementaux et sociaux intervenant dans la réponse au traitement thérapeutique.

La cohorte est constituée de 25 000 patients, issus de 32 centres d’hépatologie, dont 15 000 infectés par le virus de l’hépatite C (VHC) et 10 000 infectés par le virus de l’hépatite B (VHB). Ces patients font l’objet d’un suivi actif pendant 7 à 8 ans suivant leur date d’inclusion.

La constitution de cette cohorte « HEPATHER » a été autorisée par la Commission le 10 janvier 2014, sur le fondement des articles 54 et suivants de la loi du 6 janvier 1978 modifiée (DR-2013-611, Demande d’autorisation n° 912636), après avis favorable du Comité consultatif sur le traitement de l’information en matière de recherche dans le domaine de la santé (CCTIRS).

Il était spécifié dans la demande d’autorisation initiale transmise à la Commission que le recueil de données relatives à la santé et à l’accès aux soins des patients volontaires auprès de l’assurance maladie était indispensable pour améliorer le suivi de ces patients en vie réelle, et qu’il donnerait lieu à une demande d’autorisation ultérieure spécifique auprès de la Commission.

L’INSERM souhaite aujourd’hui enrichir les données de la cohorte « HEPATHER » avec les données du système national des données de santé (SNDS), en procédant à leur rapprochement au moyen du numéro d’identification au répertoire national des personnes physiques (NIR) des personnes concernées.

Ce traitement, nécessaire à l’exécution d’une mission d’intérêt public, relève de l’article 6-1-e du Règlement général sur la protection des données (RGPD).

L’INSERM a saisi la Commission d’une demande d’autorisation sur le fondement des articles 61 et suivants de la loi « Informatique & Libertés ».

Sur la finalité du traitement :

L’objectif principal de l’étude menée à partir des données de la cohorte est de mesurer les bénéfices et les risques associés aux différentes modalités de prise en charge thérapeutique des hépatites B et C et d’identifier les déterminants individuels, virologiques, environnementaux et sociaux intervenant dans la réponse au traitement thérapeutique.

Les objectifs secondaires sont regroupés en quatre thématiques : thérapeutique, virologique, anatomo-pathologique/physiopathologique et santé publique.

L’étude vise ainsi à permettre aux autorités sanitaires nationales d’asseoir les politiques de santé publique sur une évaluation solide de l’accès, de l’utilisation, de l’efficacité et de la sécurité des antiviraux, dont la dispensation a été généralisée au niveau national pour les patients atteints d’hépatites C depuis janvier 2017, et de promouvoir les stratégies de soins les plus adaptées aux caractéristiques des patients.

La Commission considère que cette finalité, qui présente un caractère d’intérêt public, est déterminée, explicite et légitime au sens de l’article 5-1-b du Règlement général sur la protection des données.

Sur la nature des données traitées :

La modification envisagée porte notamment sur la nature des données traitées. Ainsi, l’INSERM souhaite procéder à un rapprochement des données de la cohorte HEPATHER avec des données issues du SNDS.

Un tel rapprochement, qui nécessite un traitement du NIR, permettrait de compléter et valider les données déjà collectées dans le cadre de la cohorte « HEPATHER » grâce au recueil de données relatives à la consommation de soins. A cet égard, l’INSERM indique que le traitement de données du SNDS permettra la mise en œuvre d’une surveillance renforcée des effets indésirables des traitements, indispensable pour l’évaluation de la politique de santé.

Le rapprochement des données de la cohorte « HEPATHER » avec les données du SNDS, concernera les bases du Système national d’information inter-régimes de l’Assurance maladie (SNIIRAM), du Programme de médicalisation des systèmes d’information (PMSI) et du Centre d’épidémiologie sur les causes médicales décès (CépiDc) restituées sous forme de données individuelles des bénéficiaires (DCIR).

Les données extraites relatives aux participants volontaires à la cohorte concerneront une période s’étendant du 1er janvier de l’année d’inclusion des sujets dans la cohorte (1er janvier 2012 pour les premiers inclus) jusqu’au 31 décembre de l’année de la fin de la recherche (2022, en l’absence de prolongation de la cohorte) pour tous les autres sujets volontaires.

En plus des données dont le recueil a déjà été autorisé pour la mise en œuvre de la recherche, les données individuelles de santé et de consommation médicale du SNDS nécessaire sont les suivantes :

les données relatives à la consommation de soins en établissements de santé : dates de soins et date de remboursement, motif médical d’hospitalisation, actes pratiqués, durée du séjour, mode de sortie et codes des pathologies et diagnostic principaux, associés ou reliés, actes techniques réalisés par les professionnels de santé dont examens biologiques ou dispositifs médicaux ;

les données relatives à la consommation de soins de ville, aux actes médicaux, aux actes de biologie, aux dispositifs médicaux et médicaments ;

les données relatives à la situation sociale en relation avec les modalités de prise en charge de la maladie, dont : l’indication de la couverture sociale et de l’affiliation éventuelle à la couverture maladie universelle ; le diagnostic éventuel d’affections de longue durée ;

le statut vital et les causes de décès.

Par ailleurs, s’agissant du traitement du NIR, ce dernier sera recomposé par la CNAVTS, intervenant en qualité de tiers de confiance, à partir des données identifiantes (nom, prénoms, sexe, date et lieu de naissance) des patients de la cohorte qui lui seront transmises par l’INSERM et dont la collecte a été autorisée dans le cadre de la précédente décision de la Commission. Toutefois, dans le respect du principe de minimisation des données, la CNAM ne doit pas avoir accès à ces traits d’identité durant ce processus de rapprochement.

Sous cette réserve, la Commission considère que ces données sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles seront traitées, conformément aux dispositions de l’article 5-1-c du Règlement général sur la protection des données.

Sur la durée de conservation des données :

La fin de la recherche est prévue en 2022. L’INSERM a demandé que les données de la cohorte, incluant les données de suivi passif des personnes issues du SNDS, puissent être conservées jusqu’en 2025.

La Commission prend par ailleurs acte que la conservation du NIR par le tiers de confiance sera temporaire et que la durée en sera donc limitée à celle nécessaire à l’exercice de ses missions.

La Commission considère que ces durées et modalités de conservation des données sont proportionnelles aux finalités poursuivies, conformément aux dispositions de l’article 5-1-e du Règlement général sur la protection des données (RGPD).

Sur les destinataires des données :

Les données sont accessibles à différents destinataires en fonction de leurs missions et de leurs habilitations :

Centres ANRS CO22 – HEPATHER (services hospitaliers participants à la cohorte) : nom de naissance et d’usage ; prénoms ; commune et département de naissance ; date de naissance ; identifiant HEPATHER ; données médicales (CRF) ; trois premières lettres des nom et prénom (CRF).

Développeurs équipe 2 – UMR-S 1136 : date de naissance ; sexe ; identifiant HEPATHER ; données médicales (CRF) ; trois premières lettres des nom et prénom (CRF).

Chercheurs équipe 2 – UMR-S 1136 : date de naissance ; identifiant HEPATHER ; identifiant HEPATHER-SNDS ; données médicales (CRF) ; données du SNDS.

Responsable équipe 6 – UMR-S 1136 : nom de naissance et d’usage ; prénoms ; sexe ; commune et département de naissance ; date de naissance ; identifiant HEPATHER ; identifiant HEPATHER-SNDS ; trois premières lettres des nom et prénom (CRF).

CNAVTS : nom de naissance et d’usage, prénoms ; commune et département de naissance ; date de naissance ; identifiant HEPATHER-SNDS ; NIR.

CNAM : nom, prénoms, sexe, date et lieu de naissance ; identifiant HEPATHER–SNDS ; NIR ; données du SNDS.

Comme indiqué précédemment, dans le respect du principe de minimisation des données, la CNAM ne doit pas avoir accès aux traits d’identité durant le processus de rapprochement.

Sous cette réserve, la Commission estime que ces destinataires n’appellent pas d’observation.

Sur l’information des personnes et les modalités d’exercice des droits :

Lors du recrutement initial, les personnes concernées ont été individuellement informées par le biais d’une notice d’information assortie d’un formulaire de recueil du consentement des personnes volontaires remis à l’occasion de leur inclusion dans l’étude lors d’une visite de routine.

Cette notice comporte des informations relatives à l’identité du responsable du traitement, aux objectifs et aux modalités de mise en œuvre de l’enquête et aux conditions d’exercice des droits des participants à l’étude.

Les personnes y sont clairement informées du caractère volontaire et facultatif de l’étude et de l’absence de conséquence d’un refus d’y participer. Elles y sont également informées de la possibilité de mettre fin à leur participation à tout moment. La note d’information précise les modalités d’exercice des droits et notamment, les droits d’accès et de rectification des données.

La Commission relève qu’une mention spécifique a déjà été incluse à l’époque, concernant le rapprochement des données individuelles de l’enquête avec celles issues du Système national d’information inter-régime de l’assurance maladie (SNIIRAM) géré par la Caisse Nationale de l’assurance Maladie (CNAM), afin d’obtenir des informations sur la consommation médicale des participants à l’étude.

La Commission relève par ailleurs, que le formulaire de recueil de consentement proposé aux personnes lors de leur inclusion dans l’étude leur a permis d’accepter ou de refuser le traitement des données à caractère personnel les concernant, grâce à un système de cases à cocher qui comporte une rubrique spécifique portant sur le recueil de données les concernant auprès du SNIIRAM, des registres de santé et du RNIPP. Les personnes concernées ont donc eu la possibilité de refuser spécifiquement la transmission des données de l’Assurance maladie et néanmoins de participer à l’étude.

Le formulaire de recueil du consentement des personnes volontaires, notamment au recueil de données les concernant auprès de l’assurance maladie, a reçu l’approbation du CCTIRS et du CPP d’Ile de France III.

La Commission prend acte que les patients ont été informés du recueil de données médico-administratives les concernant ainsi que de leur NIR et ont ainsi pu consentir, sans que ce choix affecte leur participation à l’étude, au traitement de ces données. Elle considère que la collecte de telles données demeure loyale et transparente à l’égard des personnes concernées

Néanmoins, compte tenu de l’entrée en application du RGPD, la Commission relève cependant que la note d’information ne comporte par l’ensemble des mentions prévues par l’article 13 du règlement général sur la protection des données.

Cependant, l’INSERM justifie que la fourniture de telles informations exigerait des efforts disproportionnés, notamment au regard du nombre de personnes (25 000 personnes) déjà incluses dans la cohorte, conformément aux dispositions de l’article 14-5-b du Règlement général sur la protection des données. La Commission relève que l’INSERM s’engage à fournir les compléments d’information aux personnes concernées. D’une part au moyen d’une note d’information spécifique qui sera publiée sur son site web et, d’autre part, en distribuant cette note d’information mise à jour aux 32 centres d’hépatologie, afin qu’elle soit remise aux patients lors de visites de suivi au sein du centre. Concernant les patients guéris (1 500 à ce jour), ces derniers ne font plus l’objet d’une visite de suivi mais d’un appel téléphonique de suivi. Lors de cet appel de suivi, les patients guéris seront informés par les centres d’hépatologie de la mise à jour de la note d’information sur le site de l’INSERM.

La Commission estime que ces modalités d’information des personnes concernées sont satisfaisantes.

La personne concernée peut exercer ses droits auprès du médecin en charge de l’étude. Les coordonnées de l’investigateur principal de l’étude figurent sur le formulaire de recueil de consentement dont un duplicata est remis au patient.

La Commission estime que ces modalités d’exercice des droits sont satisfaisantes.

Sur la sécurité des données et la traçabilité des actions :

La Commission prend acte que les données sont échangées entre des serveurs sécurisés, sous forme de fichiers chiffrés avec des algorithmes et des procédures de gestion de clés conformes à l’annexe B1 du Référentiel général de sécurité (RGS).

La Commission prend acte que le traitement nécessite le recours à la CNAVTS comme tiers de confiance et le recours à la CNAM pour réaliser l’extraction des données du SNDS concernant les patients inclus dans la cohorte HEPATHER.

Dans l’attente du rapprochement final des données de la cohorte et des données du SNDS, les tables de correspondance sont conservées chiffrées par le responsable de l’équipe 6 sur un support mobile, lui-même stocké dans un coffre-fort accessible uniquement par une personne habilitée. Elles sont détruites une fois le rapprochement réalisé.

Afin de traiter les données issues du SNDS, la Commission prend acte que l’INSERM a réalisé une analyse d’impact relative à la protection des données ainsi qu’un plan de mise en conformité au référentiel de sécurité applicable au Système national de santé fixé par l’arrêté du 22 mars 2017. De même, la Commission relève que des audits réguliers du système d’information sont prévus et réalisés par un organisme indépendant.

Un poste informatique est dédié à l’analyse simultanée des données du SNDS et des données de la cohorte. Des mesures sont mises en place afin d’assurer le cloisonnement de ce poste.

Des profils d’habilitations sont prévus afin de gérer les accès aux données en tant que de besoin. Le personnel habilité est sensibilisé et une charte informatique est signée.

En outre, l’accès aux locaux est restreint aux moyens de portes verrouillées contrôlées par clé électronique. Un câble de sécurité est prévu pour assurer la sécurité physique du matériel et les données sont chiffrées avec des algorithmes à l’état de l’art.

Chaque utilisateur dispose d’un identifiant qui lui est propre. Une authentification forte est imposée par l’utilisation d’un certificat personnel. S’agissant des modalités de conservation des mots, la Commission rappelle que celle-ci doit être conforme à la délibération n° 2017-012 portant adoption d’une recommandation relative aux mots de passe.

Une journalisation des opérations de consultation, création et de modification des données est prévue. La Commission recommande de réaliser un contrôle automatique des traces afin de détecter les comportements anormaux. Compte tenu de la nature du traitement et des risques pour la vie privée des personnes en cas de détournement ou d’atteinte à la sécurité du traitement, la Commission recommande que les traces d’accès aux données soient conservées pendant une année.

Sous réserve des précédentes observations, les mesures de sécurité décrites par le responsable de traitement sont conformes à l’exigence de sécurité des articles 5-1-f et 32 du Règlement général sur la protection des données.

La Commission rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.

Dans ces conditions, la Commission autorise l’Institut national de la santé et de la recherche médicale (INSERM) à modifier le traitement de données à caractère personnel ayant pour finalité une étude portant sur les bénéfices et risques associés aux différentes modalités de prise en charge thérapeutique des hépatites B et C.

La Présidente

I. FALQUE-PIERROTIN