Responsable du traitement

La société IQVIA Opérations France, société par actions simplifiée à associé unique.

Sur la finalité

La société IQVIA Opérations France souhaite mettre en œuvre un entrepôt de données EMR ( electronic medical records ) permettant de mener des études sur l’évaluation et l’analyse des pratiques de soins en médecine générale.

Cette base sera alimentée par des données à caractère personnel regroupées dans deux bases préexistantes comportant les données longitudinales extraites des dossiers médicaux de logiciels de médecins généralistes en France :

• la base disease analyzer (DA) comprend des données issues de logiciels de médecins ayant signé des contrats avec IQVIA Opérations France dans le cadre de son réseau Médical 21 ;
• la base longitudinal patient data (LPD) anciennement appelée observatoire THALES comprend des données collectées par la société Cegedim Health Data dans une base de données appelée THIN et transmises à IQVIA Opérations France dans le cadre d’un contrat de fourniture de services.

Le traitement envisagé a pour finalité de constituer un entrepôt de données à caractère personnel comprenant notamment des données de santé.

Ce dernier vise à permettre la réalisation, dans le domaine de la recherche, des activités suivantes :

• estimation de la prévalence des maladies ;
• analyse de la prise en charge des patients en fonction de leurs pathologies ;
• analyse des caractéristiques socio-démographiques et médicales des patients en fonction des pathologies ;
• évaluation de la bonne utilisation des médicaments ;
• analyse des disparités démographiques, régionales et des profils de prise en charge des médecins ;
• suivi de cohortes de patients et surveillance de la survenue d’événements secondaires, le cas échéant indésirables ;
• mesure de la consommation de soins ;
• évaluation du parcours de soins en ville dans son intégralité, et sa valorisation économique.

La Commission considère que la finalité du traitement est déterminée, explicite et légitime, conformément aux dispositions de l’article 5-1-b du RGPD.

La Commission estime qu’il y a lieu de faire application des dispositions de l’article 44-3° et 66-III de la loi du 6°janvier 1978 modifiée, qui soumettent à son autorisation les traitements comportant des données relatives à la santé et justifiés, comme en l’espèce, par l’intérêt public.

Le traitement a pour base légale l’intérêt légitime, au sens de l’article 6-1-f du RGPD, du responsable de traitement, des fins de recherche scientifique, en application de l’article 9-2-j du RGPD.

La Commission tient à rappeler que les utilisations futures des données contenues dans cet entrepôt s’inscriront dans le cadre des dispositions des articles 66 et 72 et suivants de la loi informatique et libertés , qui imposent que chaque projet de recherche, étude ou évaluation soit justifié par l’intérêt public et devra faire l’objet de formalités propres. Ainsi, la Commission estime que les données contenues dans le traitement qui sera mis en œuvre par la société IQVIA Opérations France ne sauraient, par analogie avec les finalités interdites d’utilisation du système national des données de santé (SNDS), être exploitées à des fins de promotion des produits de santé en direction des professionnels de santé ou d’établissements de santé, ou à des fins d’exclusion de garanties des contrats d’assurance et de modification de cotisations ou primes d’assurance d’un individu ou d’un groupe d’individus présentant un même risque. De même, la Commission rappelle l’interdiction de constituer et d’utiliser, à des fins de prospection ou de promotion commerciales, des fichiers composés à partir des données issues directement ou indirectement des prescriptions médicales, dès lors que ces fichiers permettent d’identifier directement ou indirectement le prescripteur (article L.°4113-7 du code de la santé publique).

La Commission relève que le responsable de traitement a mis en place un dispositif de gouvernance de l’entrepôt EMR afin de maîtriser l’exploitation qui en sera faite dans le parfait respect des finalités déclarées et de l’intérêt public. Il est composé de deux comités :

• le comité opérationnel de la gouvernance des données s’assure de la bonne utilisation des données de l’entrepôt EMR, contrôle les projets d’étude et peut saisir le Comité stratégique auquel il transmet un bilan régulier des demandes qu’il examine ;
• le comité stratégique de la gouvernance des données, approuve la politique de gouvernance des données proposée par le comité opérationnel et définit la stratégie d’IQVIA Opérations France dans ce domaine.

La Commission relève qu’un parcours de validation des analyses permet, sous certaines conditions, de saisir le Comité opérationnel puis le comité stratégique. La Commission demande à ce que la saisine du comité opérationnel soit systématique.

La Commission relève également qu’IQVIA Opérations France dispose d’une politique de prévention des conflits d’intérêts et de la corruption, s’appliquant aux membres des comités susmentionnés.

En outre, la Commission prend acte :

• de l’engagement d’IQVIA Opérations France de publier chaque année une synthèse des types d’analyses produites depuis les données de l’entrepôt dans le rapport annuel adressé à la Commission ainsi que sur le site web d’IQVIA Opérations France mentionné dans la note d’information destinée aux personnes concernées ;
• de l’engagement d’IQVIA Opérations France de communiquer à la Commission un rapport annuel sur le fonctionnement de l’entrepôt de données et sur les études et projets de recherche réalisés depuis celui-ci.

La Commission suggère, à des fins de transparence, la publication d’un résumé et des résultats de chaque projet de recherche, d’étude ou d’évaluation réalisé sur les données de l’entrepôt sur le site web d’IQVIA Opérations France mentionné dans la note d’information destinée aux personnes concernées.

La Commission souligne que les exigences de transparence prévues par l’article L. 1461-3 du code de la santé publique s’ajouteront dans le cas où des données de l’entrepôt EMR seraient appariées avec celles du système national des données de santé.

Sur les données traitées

Les données relatives aux patients :

• données d’identification : code patient aléatoire propre à chaque cabinet médical, année de naissance, sexe, situation matrimoniale, nombre d’enfants, catégorie socio-professionnelle ;
• données de santé issues de la consultation médicale réalisée par le médecin :
  
  • date de visite, évènements, diagnostics, symptômes, allergies, facteurs de risques,
  • poids, taille, IMC, pression artérielle, pouls,
  • échelles et score de sévérité des maladies,
  • prescriptions médicamenteuses (date, molécule, nom du médicament, classe ATC, dosage, durée de la prescription, posologie, nombre de boîtes prescrites,
  • prescription de vaccins,
  • prescriptions d’examens complémentaires (biologiques et radiologiques),
  • résultats d’analyses biologiques,
  • adressage aux spécialistes,
  • prescription de soins paramédicaux,
  • dates d’arrêts de travail,
  • ALD médicale.

Les données relatives aux professionnels de santé et aux utilisateurs :

• données d’identification : code médecin, année de naissance, sexe, département ;
• vie professionnelle : année de thèse, spécialité du médecin, secteur 1 ou 2, mode d’exercice particulier.

La Commission considère que les données dont le traitement est envisagé sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités du traitement, conformément aux dispositions de l’article 5-1-c du RGPD.

Sur les destinataires

Les données pseudonymisées figurant dans l’entrepôt peuvent être transmises à des fins de recherche, étude et évaluation :

• au personnel habilité de la société IQVIA Opérations France ;
• au personnel autorisé de certaines filiales d’IQVIA Opérations France.

Ces destinataires auront accès aux données dans la limite de celles strictement nécessaires et pertinentes au regard de leurs fonctions et missions. La Commission rappelle que cet accès devra s’effectuer dans le strict respect de la confidentialité des données.

La Commission relève que des données pseudonymisées à l’aide de mesures supplémentaires par rapport à celles de l’entrepôt peuvent être transmises :

• aux partenaires scientifiques, dans le cadre de projets de recherche, étude ou évaluation ultérieurs ;
• à l’agence européenne des médicaments (European Medicines Agency, EMA) dans le cadre d’un contrat de partenariat.

Ces jeux de données auront ainsi fait l’objet d’une évaluation du risque de ré-identification à l’aide d’une modélisation de la menace au regard de leur nature et du contexte de sécurité dans lequel ils seront utilisés, puis d’une dé-identification adaptée au contexte précis de leur diffusion, selon une méthodologie ayant fait l’objet de plusieurs publications et opérée par un logiciel dédié. L’évaluation des risques sera revue tous les 18 mois.

En outre, la Commission relève qu’aucune donnée figurant dans l’entrepôt EMR ne sera accessible aux partenaires commerciaux d’IQVIA Opérations France.

À cet égard, la Commission rappelle que la pseudonymisation, même renforcée, ne constitue qu’une mesure de sécurité visant à réduire les risques pour les personnes concernées et n’exonère en rien les différents acteurs de leurs obligations liées à la protection des données personnelles.

Toute communication de données à d’autres catégories de destinataires devra faire l’objet de formalités auprès de la Commission afin de modifier la présente autorisation.

Sur l’information et le droit d’accès

La Commission rappelle que les personnes concernées devront être individuellement informées du traitement et que les différents supports d’information devront comporter l’ensemble des mentions prévues par les dispositions du RGPD.

S’agissant des professionnels de santé alimentant le flux DA :

Les médecins alimentant le flux de données disease analyser sont informés via des clauses contractuelles dédiées dans le contrat établi avec la société IQVIA Opérations France.

Les droits d’accès, de rectification et d’opposition des professionnels de santé s’exercent par courriel auprès de la société IQVIA Opérations France, à une adresse électronique dédiée.

S’agissant des professionnels de santé alimentant le flux LPD :

La Commission rappelle qu’il appartient à IQVIA Opérations France, en sa qualité de responsable de traitement, de transmettre à Cegedim Health Data une note d’information à destination des professionnels de santé conforme aux dispositions du RGPD et de s’assurer que cette information leur sera remise.

IQVIA Opérations France devra également prévoir les modalités d’exercice des droits de ces professionnels de santé.

S’agissant des patients dont les données sont issues du flux DA :

La société IQVIA Opérations France remettra à chaque médecin partenaire alimentant le flux de données DA des notices d’information imprimées à communiquer à chaque patient. Cette information vient en sus de l’information générale qui sera affichée par les médecins dans leurs locaux, fournie également par IQVIA Opérations France et qui mettra en avant la possibilité pour les personnes concernées d’exercer leur droit d’opposition.

Un QR code ainsi qu’un lien renvoyant vers un site web permettant à chaque patient d’accéder, avant la consultation, à une note d’information sur leur téléphone mobile seront affichés sur ces posters.

La CNIL prend acte que la note d’information destinée aux patients des médecins du réseau DA renvoie à un site web sur lequel les notes d’information de chaque étude réalisée sur la base des données du présent entrepôt seront publiées avant leur mise en œuvre. Le lien mentionné dans la fiche d’information doit renvoyer à la page sur laquelle les études réutilisant les données de l’entrepôt sont mentionnées et non vers une page d’accueil.

La CNIL demande que ce site soit mis à jour avant chaque début d’étude. A l’issue de chaque étude, IQVIA Opérations France devra publier un résumé de l’étude ainsi que les liens vers les publications liées à l’étude.

La Commission prend acte que les droits d’accès, de rectification et d’opposition du patient s’exerceront auprès du médecin utilisant le logiciel métier et participant à la prise en charge de la personne concernée ou du médecin hébergeur de la société IQVIA Opérations France.

A cet égard, elle relève que le médecin peut matérialiser l’opposition du patient au traitement de ses données dans l’entrepôt au moyen d’une case à cocher.

La Commission rappelle donc qu’une procédure opérationnelle sécurisée doit être mise en place afin d’assurer la levée du pseudonymat et la bonne ré-identification des personnes concernées dans le respect de la confidentialité des données traitées. A cette fin, elle rappelle que des mesures similaires à celles prévues pour l’exercice des droits dans le cadre du traitement IQVIA Oncologie (délibération n° 2017-347 du 21 décembre 2017) pourraient être mises en place.

S’agissant des patients dont les données sont issues du flux LPD :

La Commission prend acte qu’IQVIA Opérations France, n’ayant pas de contact direct avec les professionnels transmettant des données dans le cadre du flux LPD, a transmis à Cegedim Health Data une note d’information à destination des patients. Il appartient à Cegedim Health Data de transmettre l’information aux professionnels de santé afin de garantir que les patients soient correctement informés préalablement au traitement de données qui les concernent, conformément à l’article 14 du RGPD.

S’agissant de la réutilisation des données à des fins de recherche

La Commission rappelle que l’information relative à la constitution de l’entrepôt ne peut se substituer à l’information individuelle préalable prévue par les dispositions du RGPD et de la loi informatique et libertés , qui devra être réalisée pour chaque traitement de données réalisé à partir des données de l’entrepôt.

Sur les mesures de sécurité

La collecte des données est effectuée auprès des médecins partenaires de la société IQVIA Opérations France (environ 5000) à partir de leurs logiciels de gestion des patients, via les éditeurs de ces logiciels, selon deux cas de figure :

• le logiciel installé chez le médecin partenaire transmet les données, avec un identifiant pseudonymisé et sur un canal de communication chiffré, vers un concentrateur de flux opéré par l’éditeur du logiciel ;
• le logiciel du médecin est proposé en service cloud , auquel cas les données sont déjà hébergées chez l’éditeur.

La Commission prend acte que les identifiants pseudonymisés des patients seront propres à chaque cabinet médical, sans chaînage d’un patient entre plusieurs cabinets, et que les données collectées seront généralisées au mois et à l’année de naissance du patient.

Ensuite, après chiffrement, les données seront transmises par les différents éditeurs vers le Hub EMR de la société IQVIA Opérations France (concentrateur des données issues des différentes sources), sur un canal de communication lui-même chiffré avec un certificat spécifique. Les clés de chiffrement seront renouvelées régulièrement et protégées par mot de passe.

La Commission rappelle au responsable de traitement qu’il lui incombe de s’assurer, par des moyens contractuels et des audits techniques, que tous les éditeurs – en tant que sous-traitants au titre du RGPD – respectent les procédures qu’il a définies pour une transmission sécurisée des données de bout en bout, du stockage sur le poste du médecin jusqu’au dépôt sur le Hub EMR.

Le Hub EMR résidera dans une base chiffrée chez un hébergeur agréé ou certifié pour l’hébergement de données de santé (HDS) relevant exclusivement des juridictions de l’Union européenne. Ces données seront hébergées en France et feront l’objet d’une pseudonymisation renforcée dès réception, avec génération de nouveaux identifiants patients et médecins, généralisation à l’année de naissance, suppression du lieu de visite et désensibilisation des zones de texte libre.

Enfin, les données seront chiffrées et transmises par le Hub EMR sur un canal de communication chiffré vers l’entrepôt EMR hébergé dans les locaux de la société IQVIA Opérations France. Les données propres aux médecins seront également versées dans la base de données GISM de la société IQVIA Opérations France pour la gestion des panels et la gestion de la relation commerciale avec les médecins partenaires, qui constitue un traitement distinct de l’entrepôt EMR.

Le système sera cloisonné : les accès aux données de l’entrepôt EMR interviennent dans une zone spécifique du réseau d’IQVIA Opérations France, les gestionnaires de panels de médecins n’auront pas accès aux données patients, et les analystes et attachés de recherche clinique autorisés et habilités qui auront accès aux données des patients n’auront pas accès à l’identifiant d’origine du médecin.

La société IQVIA Opérations France mettra également en œuvre des mesures de sécurité de portée générale : les différents répertoires de transit et de traitement temporaire des données, dont ceux sur le Hub EMR, seront purgés immédiatement après chaque opération ; tous les transferts de données internes se feront sur un réseau totalement privé ; les sauvegardes seront stockées dans des zones réseau à accès restreint ; les accès distants et autres transferts se feront par réseau privé virtuel (VPN) – avec interdiction d’utiliser des supports de stockage mobiles – et tous les transferts de données seront tracés ; par ailleurs, les locaux hébergeant l’entrepôt EMR sont protégés par un contrôle d’accès par badge individuel et des équipements de surveillance et d’alarme.

La Commission relève que, pour pallier une défaillance technique de l’entrepôt EMR, les données envoyées par le Hub EMR vers l’entrepôt seront conservées sur le Hub avec la même durée que celles de l’entrepôt, afin de pouvoir relancer les traitements d’importation. A cet égard, elle recommande de protéger ces données avec le même niveau de sécurité que celles de l’entrepôt.

L’ensemble des comptes administrateurs et utilisateurs qui seront dûment habilités à accéder aux données non agrégées du Hub EMR et de l’entrepôt EMR fera l’objet d’une authentification forte (identifiant et mot de passe couplés à un token générant un mot de passe à usage unique).

Tous les comptes d’accès seront nominatifs et les habilitations seront soumises à l’approbation du comité adéquat selon le niveau demandé, de la direction des Ressources humaines et du gestionnaire des habilitations. En outre, les accès aux données de l’entrepôt par des tiers (par exemple, partenaires scientifiques) se feront uniquement depuis les locaux et matériels d’IQVIA Opérations France, avec des comptes spécifiquement créés pour ces accès.

La Commission recommande de conclure avec tous les collaborateurs et tiers accédant aux données patients de l’entrepôt un engagement de confidentialité ou tout autre type de stipulations contractuelles équivalentes.

Les habilitations seront revues et mises à jour tous les six mois pour les profils d’habilitations permanents et tous les mois pour les profils d’habilitations temporaires. En outre, une procédure de désactivation de compte sera mise en place afin de gérer les modifications d’habilitation en cours d’année et les départs éventuels des collaborateurs autorisés à accéder aux données.

Des données statistiques agrégées sur un minimum de 10 patients seront également produites.

Les accès à l’entrepôt seront tracés et les traces seront conservées en lecture seule pendant une durée de six mois puis seront supprimées.

Les exports seront journalisés et surveillés pour repérer les cas d’utilisation ou d’exportation anormales de données depuis les serveurs de la société IQVIA Opérations France.

A cet égard, la Commission recommande de mettre en œuvre une analyse automatique des données exportées.

La Commission prend acte du déploiement d’un système permettant de tracer l’ensemble des actions sur l’entrepôt, d’exporter l’ensemble des traces vers un collecteur sécurisé et de les analyser automatiquement afin de générer un tableau de bord et des alertes à destination de l’équipe d’exploitation de la plateforme et du comité de gouvernance des données. Ce dernier décidera des plans d’actions adaptés, les suivra dans la durée, et tiendra le délégué à la protection des données informé des éventuelles violations et de leur résolution. Une procédure spécifique a également déjà été communiquée aux personnels de la société IQVIA Opérations France pour traiter les violations de données en impliquant directement le délégué à la protection des données de cette dernière.

Sur les transferts de données

La Commission prend acte que la mise en place de cet entrepôt n’entraîne pas le transfert de données à caractère personnel, directement ou indirectement identifiantes, hors de l’Union européenne.

Sur les autres caractéristiques du traitement

Les données seront conservées en base active pendant une durée de dix ans. Au-delà, les données seront anonymisées ou supprimées. A cet égard, la Commission prend acte que cette opération fera l’objet d’une automatisation.

La Commission considère que cette durée de conservation des données n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées, conformément aux dispositions de l’article 5-1-e du RGPD.