Responsable du traitement

Créée en 2011, la société Pierre Karam Conseil Santé (la société PKCS) est une société spécialisée dans l’analyse de données médico-économiques. Elle a notamment développé un outil destiné à analyser l’activité, la performance, le positionnement des établissements à partir des données du programme de médicalisation des systèmes d’information (ci-après PMSI ).

Sur l’opportunité du recours à la décision unique

Les activités de la société PKCS impliquent la mise en œuvre annuelle d’environ cent-trente traitements de données du PMSI.

Les traitements décrits relèvent du régime de l’autorisation de traitement à des fins de recherche, d’étude ou d’évaluation.

La Commission a estimé opportun, au vu des éléments présentés dans le dossier de demande, d’autoriser la mise en œuvre de ces traitements sur le fondement des dispositions des articles 66 IV, 72 et suivants de la loi n° 78-17 du 6 janvier 1978 modifiée (ci-après loi informatique et libertés ), dans le cadre d’une décision unique.

Sur l’application des dispositions liées au SNDS

Les données du PMSI étant issues d’une des bases composant le Système national des données de santé (ci-après SNDS ), la Commission rappelle que l’ensemble des dispositions législatives et réglementaires relatives au SNDS est applicable en l’espèce, et notamment l’interdiction d’utiliser ces données pour les finalités décrites à l’article L. 1461-1 V du code la santé publique.

Sur la licéité des traitements et les conditions permettant de traiter des données concernant la santé

Les traitements mis en œuvre par la société PKCS s’inscrivent dans le cadre de son activité commerciale.

Ils sont nécessaires aux fins des intérêts légitimes poursuivis par le responsable de traitement, prenant en considération le caractère très indirectement identifiant des données et des garanties, notamment en termes de droits des personnes, prévues par les textes encadrant la mise à disposition des données du SNDS.

Ces traitements sont, à ce titre, licites au regard de l’article 6, paragraphe 1 point f) du Règlement général sur la protection des données (ci-après RGPD ).

En outre, la Commission estime que ces traitements, nécessaires à des fins de recherche scientifique, remplissent la condition prévue à l’article 9 paragraphe 2 point j) du RGPD permettant de traiter des données concernant la santé.

Sur la finalité des traitements et leur caractère d’intérêt public

Les traitements nécessitant un accès aux données du PMSI ont pour finalité la réalisation d’études destinées à la construction d’indicateurs d’activité, de positionnement, de parcours, d’efficience, de pertinence et de projection d’activité des établissements de santé.

Ces indicateurs ont pour objet de permettre aux établissements de répondre aux besoins de santé, d’améliorer leurs performances, de faire évoluer leurs pratiques, de décrire leur organisation et leur activité, de comprendre les coopérations entre les différents établissements ainsi que d’anticiper les évolutions futures.

La Commission considère que la finalité des traitements est déterminée, explicite et légitime, conformément à l’article 5 paragraphe 1 point b) du RGPD.

Par ailleurs, elle estime que les traitements présentent une finalité d’intérêt public, conformément à l’article 66 I de la loi informatique et libertés .

Enfin, la Commission prend acte que les utilisateurs de l’outil développé par la société PKCS s’engagent, via les conditions générales d’utilisation, à ne pas poursuivre de finalités interdites à partir des indicateurs agrégés de données du PMSI mis à leur disposition.

Sur les catégories de données traitées

La Commission rappelle que le responsable de traitement ne doit traiter, pour chacun des traitements mis en œuvre dans le cadre de la présente décision unique, que les données strictement nécessaires et pertinentes au regard des objectifs des traitements.

Les données concernant les activités suivantes sont nécessaires à la réalisation de ces études :

• médecine, chirurgie, obstétrique et odontologie (MCO) ;
• soins de suite et de réadaptation (SSR).

Les traitements inclus dans le cadre de la décision unique portent sur les données nationales du PMSI des années 2013 à 2021, sous réserve qu’elles soient diffusables par l’ATIH.

La Commission rappelle que, conformément à l’article 30 du RGPD, le responsable de traitement devra tenir à jour, au sein du registre des activités de traitement, la liste des traitements mis en œuvre dans le cadre de la présente décision unique. Par ailleurs, le caractère adéquat, pertinent et limité à ce qui est nécessaire au regard des finalités pour lesquelles les données sont traitées, la zone géographique concernée et la profondeur historique des données consultées devront être justifiés dans ce registre pour chaque traitement mis en œuvre dans le cadre cette décision unique.

Sur la durée de conservation des données

Les données à caractère personnel du PMSI ne peuvent faire l’objet d’une conservation en dehors de la plateforme du Centre d’accès sécurisé aux données (ci-après CASD ) par le responsable de traitement, leur exportation étant interdite. Seuls des résultats anonymes peuvent en être exportés.

La durée d’accès aux données dans la plateforme sécurisée doit être limitée à la durée nécessaire à la mise en œuvre des traitements, qui ne saurait être supérieure à trois ans, à compter de l’accès effectif aux données.

Sur la publication des résultats

La Commission rappelle que, lorsque le résultat du traitement de données est rendu public, l’identification directe ou indirecte des personnes concernées doit être impossible, conformément à l’article 68 de la loi informatique et libertés .

Les résultats des études réalisées dans le cadre de la présente décision unique pourront notamment être adressés aux agences régionales de santé, au Comité interministériel de performance et de la modernisation de l’offre de soins, aux établissements publics et privés de santé, aux groupements hospitaliers de territoire ainsi qu’à des cabinets de conseil.

Sur les catégories de destinataires des données

Seul le responsable du traitement et les personnes habilitées par lui ont accès aux données dans le cadre de la présente décision unique. Le responsable de traitement tient à jour des documents indiquant la ou les personnes compétentes en son sein pour délivrer l’habilitation à accéder aux données, la liste des personnes habilitées à accéder à ces données, leurs profils d’accès respectifs et les modalités d’attribution, de gestion et de contrôle des habilitations.

Ces catégories de personnes sont soumises au secret professionnel dans les conditions définies par les articles 226-13 et 226-14 du code pénal.

La qualification des personnes habilitées et leurs droits d’accès doivent être régulièrement réévalués, conformément aux modalités décrites dans la procédure d’habilitation établie par le responsable de traitement.

Sur l’information et les droits des personnes

L’information des personnes concernées, quant à la réutilisation possible de leurs données et aux modalités d’exercice de leurs droits, est assurée dans les conditions prévues à l’article R. 1461- 9 du code de la santé publique, ainsi que par une mention figurant sur le site internet du responsable du traitement, des organismes d’assurance maladie et sur des supports permettant de la porter à la connaissance des personnes, notamment des affiches dans les locaux ouverts au public ou des documents qui leur sont remis.

Les droits d’accès, de rectification et d’opposition s’exercent auprès du directeur de l’organisme gestionnaire du régime d’assurance maladie obligatoire auquel la personne est rattachée, conformément aux dispositions de l’article R. 1461-9 du code de la santé publique.

Sur la sécurité des données et la traçabilité des actions

La mise en œuvre de traitements de données à caractère personnel intervenant dans le cadre de l’étude s’effectue sous la responsabilité du responsable de traitement, y compris chez des tiers agissant pour son compte, dans le respect des dispositions des articles 24, 25, 28, 32 à 35 du RGPD ainsi que de l’arrêté du 22 mars 2017 relatif au référentiel de sécurité applicable au SNDS.

Les données seront mises à disposition auprès du responsable de traitement par l’intermédiaire du prestataire d’accès sécurisé désigné par l’ATIH, à savoir le CASD.

La Commission rappelle que seules des données issues de processus d’anonymisation, de telle sorte que l’identification, directe ou indirecte, des personnes est impossible, peuvent faire l’objet d’une extraction.

Pour se prévaloir de l’anonymat d’un jeu de données, le responsable de traitement doit réaliser une analyse permettant de démontrer que ses processus d’anonymisation respectent les trois critères définis par l’avis n°05/2014 sur les techniques d’anonymisation adoptés par le groupe de l’Article 29 (G29) le 10 avril 2014. À défaut, si ces trois critères ne peuvent être réunis, une étude des risques de réidentification doit être menée.

À cet égard, la Commission relève que les résultats concernant moins de dix séjours sont systématiquement exclus et ne seront pas rendus accessibles. Elle attire cependant l’attention du responsable de traitement sur le fait que la suppression des résultats contenant de petits effectifs peut ne pas être suffisante pour respecter les trois critères définis par l’avis n°05/2014 précité et qu’une analyse complète de ses processus d’anonymisation doit être menée, assortie d’une réévaluation régulière des risques de réidentification.

Sur le principe de transparence

La mise à disposition des données du SNDS et de ses composantes est conçue de façon à rendre compte de leur utilisation à la société civile. À cette fin, l’article L. 1461-3 du CSP subordonne l’accès aux données du SNDS et de ses composantes à la communication à la Plateforme des données de santé de plusieurs éléments par le responsable de traitement, avant et après les études.

Ainsi, le responsable de traitement s’engage à enregistrer auprès du répertoire public tenu par la Plateforme des données de santé l’ensemble des études réalisées dans le cadre de cette décision unique. Cet enregistrement, à effectuer par le responsable de traitement ou la personne agissant pour son compte, avant le début des traitements, s’accompagne de la transmission à la Plateforme des données de santé d’un dossier comportant :

• le protocole, incluant la justification de l’intérêt public, ainsi qu’un résumé, selon le modèle mis à disposition par la Plateforme des données de santé ;
• la déclaration d’intérêts du responsable du traitement, en rapport avec l’objet des traitements.

À la fin des études, la méthode et les résultats obtenus devront être communiqués à la Plateforme des données de santé en vue de leur publication. L’enregistrement des traitements et la transmission des résultats sont effectués conformément aux modalités définies par la Plateforme des données de santé.

Par ailleurs, la Commission prend acte de l’engagement de la société PKCS de mettre en œuvre des efforts de transparence supplémentaire vis-à-vis de la société civile à travers la publication annuelle sur son site internet de la liste des traitements mis en œuvre dans le cadre de la décision unique ainsi que la liste des communications et des publications réalisées.

La Commission rappelle également qu’à l’issue du délai de trois ans, un bilan contenant notamment la liste des analyses réalisées dans le cadre de la décision unique ainsi que la méthodologie suivie dans le cadre des analyses devra être adressé à la Commission.

Sur les audits externes

Le responsable de traitement devra réaliser en son sein un audit externe indépendant à l’expiration du délai de trois ans en vue de s’assurer du respect des principes portés par la loi, en particulier le respect des finalités interdites. Cet audit devra porter sur les finalités poursuivies et sur l’utilisation par le responsable de traitement des résultats des études réalisées. Un rapport d’audit devra être transmis au président du comité d’audit du SNDS prévu par la loi informatique et libertés .