Responsable de traitement

Le centre régional de coordination des dépistages des cancers en Occitanie (CRCDC-OC)

Avis du comité

Avis favorable du Comité d’expertise pour les recherches, les études et les évaluations dans le domaine de la santé du 24 octobre 2019.

Finalité et intérêt public du traitement

Étude portant sur l’évaluation de l’apport de l’utilisation d’une Intelligence Artificielle dans le programme de dépistage organisé du cancer du sein français.

La Commission estime, que ce traitement présente une finalité d’intérêt public, conformément à l’article 66-I de la loi « informatique et libertés ».

Elle relève en outre que le projet fait partie des lauréats de l’appel à projets lancé en 2019 par la Plateforme des données de santé (« projet pilote »).

Nature des données traitées, incluant des données issues du SNDS historique

La Commission relève qu’un appariement est envisagé entre la base de données du dépistage organisé du cancer du sein (DOCS) du Gard et de la Lozère et les données du système national des données de santé (SNDS).

Sur la base de données existante

L’extraction du jeu de données de la base du dépistage organisé du cancer du sein (DOCS) du Gard et de la Lozère portera sur les années 2004 à 2019.

Sur les données issues du SNDS, sous réserve de leur disponibilité

Le projet nécessite un accès aux données du SNIRAM-DCIR pour les années 2006 à 2019 du PMSI pour les années 2006 à 2019 et du CEPIDC pour les années 2006 à 2016.

Le traitement de ces données devra s’effectuer en conformité avec les dispositions des articles L. 1461-1 à L. 1461-7 du code de la santé publique.

Sur l’extraction et l’appariement des données

L’appariement entre la base du dépistage organisé du cancer du sein (DOCS) du Gard et de la Lozère et les données du SNDS est effectué selon une approche déterministe.

Le CRCDC-OC transmet via la procédure SAFE, le numéro d’inscription au répertoire des personnes physiques (NIR), la date de naissance, le sexe et l’identifiant d’accrochage des personnes concernées à la CNAM qui réalise l’extraction des données du SNDS.

La Commission relève qu’une table de correspondance entre l’identifiant patient et l’identifiant d’accrochage sera conservée par le CRCDC-OC sur l’infrastructure HDS d’Epiconcept, jusqu’à la dernière mise à jour des données du projet, puis sera supprimée.

Sur la concaténation finale de la base pseudonymisée

La Commission rappelle que ne devront être transférées dans l’espace de travail de la solution technique de la Plateforme des données de santé que les données strictement nécessaires et pertinentes pour la réalisation des analyses prévues dans le cadre de l’étude.

Les équipes de la Plateforme des données de santé ne seront en charge que de la concaténation des données reçues, ainsi que de la génération d’un numéro pseudonyme.

Sur l’information et les droits des personnes

La Commission relève qu’une partie des personnes concernées ne sera pas individuellement informée préalablement à la mise en œuvre du traitement ou dans les délais prévus à l’article 14-3-a du RGPD, mais le seront pendant la réalisation de l’étude, par l’envoi d’un courrier d’invitation aux femmes ciblées par le dépistage (74,6% des femmes de l’étude), auquel sera annexé une note d’information. Cet envoi sera réalisé par les Centres Régionaux de de Coordinations des Dépistages des Cancers Occitanie (CRCDC-OC), site du Gard et de la Lozère. L’invitation à réaliser un dépistage étant transmise tous les deux ans, l’ensemble de ces femmes sera informé avant la fin de l’étude.

En application de l’article 69 de la loi « informatique et libertés » modifiée et de l’article 14-5-b du RGPD, l’obligation d’information individuelle de la personne concernée peut faire l’objet d’exceptions dans l’hypothèse où la fourniture d’une telle information exigerait des efforts disproportionnés.

En pareils cas, conformément au Règlement général sur la protection des données, le responsable de traitement prend des mesures appropriées pour protéger les droits et libertés, ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles.

S’agissant des personnes qui ne seront pas informées individuellement (femmes n’étant plus ciblées par le dépistage), la Commission relève que des mesures appropriées pour protéger les droits et libertés, ainsi que les intérêts légitimes des personnes concernées seront mises en œuvre, notamment par :

• la diffusion sur le site web du responsable de traitement (CRCDC-OC) et sur le site web de la Plateforme des données de santé d’une information relative au projet de recherche;
• la diffusion d’une note d’information par voie d’affichage dans les cabinets de radiologie adhérents au programme ;
• la publication d’une note d’information dans un journal local.

La Commission rappelle que les différents supports d’information relatifs au projet de recherche devront comporter l’ensemble des mentions prévues par le Règlement général sur la protection des données.

Sur les modalités d’exercice des droits :

La Commission relève que les droits peuvent s’exercer de la manière suivante :

• par courrier auprès du CRCDC-OC, site du Gard et de la Lozère ;
• par courriel à l’adresse mail générique créée pour le projet et accessible sur le site web du CRCDC-OC et de la Plateforme des données de santé.
• lors de la réalisation de l’examen de dépistage.

Concernant les données issues du SNDS les demandes d’exercice des droits seront adressées à la CNAM.

La Commission relève que le responsable de traitement envisage de restreindre l’exercice des droits des personnes sur la base de données de l’étude en raison de la pseudonymisation des données et de la destruction de la table de correspondance.

La Commission rappelle que, conformément aux principes de transparence et de loyauté prévus par l’article 5 du RGPD et comme précisé dans les lignes directrices sur la transparence adoptées par le groupe de travail « Article 29 » le 29 novembre 2017, le responsable de traitement doit informer les personnes concernées de toute restriction spécifique applicable à ces droits. La Commission rappelle également que si les personnes concernées fournissent des informations complémentaires permettant leur ré-identification, un tel exercice devra être rendu possible conformément à l’article 11 du RGPD.

Concernant l’équipe de chercheurs, utilisateurs de l’espace projet de la Plateforme des données de santé :

Les utilisateurs de l’espace projet sont informés de la gestion de leurs comptes et de la traçabilité de leurs activités sur la Plateforme des données de santé lors de la lecture et de la signature des conditions générales d’utilisation (CGU). Ces CGU détaillent les modalités d’exercice des droits relatifs à leurs données à caractère personnel.

Mesures de sécurité

(articles 5-1-f et 32 du Règlement général sur la protection des données)

La Commission relève que la sécurité des données de l’espace projet dédié au projet « DEEP-PISTE » dépend essentiellement de la solution technique de la Plateforme des données de santé, qui a fait l’objet d’une analyse globale des risques et des impacts sur la vie privée, suivie d’une homologation le 14 mai 2020 selon le référentiel de sécurité du SNDS pour une durée d’un an incluant une réunion de suivi sous une durée de six mois, qui a eu lieu le 20 novembre 2020.

Plus spécifiquement, une analyse d’impact relative à la protection des données a été transmise à la Commission concernant la solution technique de la Plateforme des données de santé, qui correspond à une bulle sécurisée SNDS et qui hébergera à ce titre le projet « DEEP-PISTE ».

Également, le responsable de traitement a réalisé et transmis à l’appui de la demande d’autorisation une analyse d’impact relative à la protection des données spécifique au projet « DEEP-PISTE » et intégrant les éléments fournis par la Plateforme des données de santé pour sa solution technique 0.9. Une homologation de l’espace projet a ainsi été réalisée par le responsable de traitement le 06 novembre 2020, pour une durée de trois ans sous réserve de la mise en œuvre du plan d’action qu’il a défini.

La Commission relève que les données seront pseudonymisées avec des identifiants propres aux phases d’extraction, d’appariement et de mise à disposition sur l’espace projet, et que les transferts de données seront chiffrés.

La Commission prend acte que la répartition des rôles et responsabilités entre le responsable de traitement et la Plateforme des données de santé, concernant notamment la sensibilisation des utilisateurs du projet, la surveillance des traces ainsi que la gestion des alertes et des incidents est formalisée par une convention. La Commission rappelle que cette convention doit être conforme à l’article 28 du Règlement général sur la protection des données.

En particulier, la Commission relève que le responsable de traitement assurera la surveillance de l’utilisation de l’espace projet à partir des indicateurs fournis par la Plateforme des données de santé, et qu’il mettra en œuvre des mesures de sensibilisation de ses utilisateurs, des procédures de gestion des identités et des habilitations, et des moyens de contrôle des exports de données hors de l’espace projet.

Les données exportées feront l’objet de contrôles et d’audits, manuels ou automatiques, par les opérateurs spécialisés de la Plateforme des données de santé. A cet égard, la Commission rappelle que le responsable de traitement doit réaliser une analyse permettant de démontrer que ses processus d’anonymisation respectent les trois critères définis par l’avis n°05/2014 sur les techniques d’anonymisation adoptés par le groupe de l’Article 29 (G29) le 10 avril 2014. A défaut, si ces trois critères ne peuvent être réunis, une étude des risques de ré-identification doit être menée.

Hébergement des données sur la solution technique de la Plateforme des données de santé et absence de transfert en dehors de l’Union européenne

La présente décision ne vaut pas autorisation de transfert de données en dehors de l’Union européenne.

La Commission relève que le responsable de traitement envisage le recours aux services d’hébergement d’un prestataire soumis au droit américain, la solution technique de la Plateforme des données de santé étant hébergée par Microsoft (solution AZURE). La Commission estime que le recours à un prestataire soumis au droit américain n’est possible, eu égard à l’arrêt C-311/18 rendu par la CJUE le 16 juillet 2020 et à l’ordonnance n°444937 du Conseil d’Etat du 13 octobre 2020, que si certaines garanties sont apportées. Après instruction, elle estime que des garanties ont, en l’espèce, été apportées.

Durée d’accès aux données

La Commission relève que le responsable de traitement sollicite un accès aux données pendant cinq ans à compter de leur mise à disposition.

Elle rappelle que les décisions d’homologation devront être renouvelées, le cas échéant, avant l’expiration du délai, si le projet est toujours en cours.

Publication des résultats

La Commission relève que le responsable de traitement envisage une diffusion des résultats dans des revues nationales ou internationales.

Elle rappelle que, lorsque le résultat du traitement de données est rendu public, l’identification directe ou indirecte des personnes concernées doit être impossible, conformément à l’article 68 de la loi « informatique et libertés ».

Observations complémentaires

La Commission relève qu’en tant que projet pilote, il est envisagé d’inscrire la base constituée dans le cadre de l’étude au catalogue de la Plateforme des données de santé en vue de la mise à disposition ultérieure des données qu’elle contient.

Elle rappelle que cette inscription au catalogue ne pourra être effective qu’après l’entrée en vigueur des dispositions réglementaires encadrant la mise en œuvre du SNDS et sous réserve que la Commission l’autorise.

Enfin, la Commission rappelle que la présente autorisation est délivrée sous réserve de la conformité du traitement envisagé aux dispositions règlementaires relatives au SNDS (décret et arrêté notamment) qui seront prochainement publiées pour faire application des dispositions de la loi n° 2019-774 du 24 juillet 2019 relative à l’organisation et à la transformation du système de santé.