La Commission nationale de l’informatique et des libertés,

Saisie par la Société française de cardiologie d’une demande d’autorisation concernant un traitement automatisé de données à caractère personnel ayant pour finalité la constitution d’un entrepôt de données de santé dénommé Cardiohub ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (RGPD) ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (loi informatique et libertés ), notamment ses articles 44-3° et 66-III ;

Après avoir entendu le rapport de M^me Valérie PEUGEOT, commissaire, et les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,

Formule les observations suivantes :

Sur le responsable de traitement :

La Société française de cardiologie (SFC) est une société savante créée en 1937 et régie par la loi du 1^er juillet 1901. Elle est mobilisée pour faire avancer la recherche contre les maladies cardiovasculaires.

Dans le cadre de la constitution de l’entrepôt Cardiohub , la SFC définit les axes de recherche, sélectionne les projets proposés en son sein et assure le financement de l’entrepôt.

Sur le responsable de la mise en œuvre :

La société Clinityx est notamment chargée de la mise en œuvre technique de l’entrepôt et de la gestion des données après leur collecte ; elle intervient en qualité de sous-traitant de la SFC.

Sur la finalité du traitement, sa licéité et les conditions permettant de traiter des données concernant la santé :

La SFC souhaite constituer un entrepôt de données de santé afin de réaliser des recherches sur les pathologies cardiaques.

Cet entrepôt sera alimenté par des données à caractère personnel issues :

• du registre Mitragister ;
• du Système national des données de santé (SNDS) pour les personnes incluses dans le registre Mitragister.

La Commission considère que la finalité du traitement est déterminée, explicite et légitime, conformément aux dispositions de l’article 5-1-b) du règlement général sur la protection des données (RGPD).

Le traitement mis en œuvre par la SFC est nécessaire à l’exécution de la mission d’intérêt public dont elle est investie. Ce traitement est, à ce titre, licite au regard de l’article 6-1-e) du RGPD et remplit une condition permettant le traitement des données concernant la santé au regard de l’article 9-2-i) du RGPD.

La mise en place de cette base de données nécessite un appariement entre des données du SNDS historique et des données issues du registre Mitragister. Cette base s’apparente à un entrepôt de données, soumis aux dispositions de l’article 44-3° et 66-III de la loi du 6 janvier 1978 modifiée, qui prévoient une autorisation pour les traitements comportant des données relatives à la santé et justifiés, comme en l’espèce, par l’intérêt public.

Les données contenues dans cet entrepôt ne sauraient, conformément au principe des finalités interdites d’utilisation du système national des données de santé (SNDS), être exploitées à des fins de promotion des produits de santé en direction des professionnels de santé ou d’établissements de santé, ou à des fins d’exclusion de garanties des contrats d’assurance et de modification de cotisations ou primes d’assurance d’un individu ou d’un groupe d’individus présentant un même risque. De même, la Commission rappelle l’interdiction de constituer et d’utiliser, à des fins de prospection ou de promotion commerciales, des fichiers composés à partir des données issues directement ou indirectement des prescriptions médicales, dès lors que ces fichiers permettent d’identifier directement ou indirectement le prescripteur (article L.4113-7 du code de la santé publique).

La Commission rappelle que les utilisations futures des données contenues dans cet entrepôt s’inscriront dans le cadre des dispositions des articles 66 et 72 et suivants de la loi informatique et libertés , qui imposent que chaque projet de recherche, étude ou évaluation soit justifié par l’intérêt public et devra faire l’objet de formalités propres.

Sur la gouvernance de l’entrepôt :

La SFC a mis en place un dispositif de gouvernance de l’entrepôt Cardiohub composé :

• d’une commission des registres, en charge de :
  
  • la proposition des orientations stratégiques,
  • la détermination du périmètre des données pertinentes,
• du comité scientifique de Mitragister en charge de :
  
  • la détermination de ses orientations spécifiques,
  • l’élaboration du formulaire électronique de données devant être recueillies,
  • la réévaluation de la pertinence des données collectées,
  • la validation des projets de recherche visant à réutiliser les données en se fondant sur leur originalité, leur faisabilité, leur pertinence scientifique et stratégique, la validité de la méthodologie au regard des objectifs définis, l’éthique et le caractère d’intérêt public. Le comité vérifie l’impossibilité du ciblage de patients ou de prescripteurs au regard du plan d’analyse statistique soumis,
  • conseiller les chercheurs et porteurs de projet afin de favoriser des collaborations entre experts,
• du comité de pilotage opérationnel de Mitragister, en charge de la gestion de la collecte des données auprès des centres et de la communication vers ceux-ci.

La Commission recommande vivement que ces comités de gouvernance soient notamment composés de membres qualifiés en matière de traitements de données du SNDS.

Sur la nature des données traitées :

Les données issues de Mitragister sont des données cliniques d’hospitalisation collectées durant deux ans à compter de l’hospitalisation de la personne concernée :

• données administratives d’identification :

• nom et prénom,
• numéro de téléphone,
• coordonnées postales,
• coordonnées électroniques.

• données de santé :
  
  • critères d’inclusion
  • données démographiques : date de naissance, sexe, poids, taille,
  • données de mode de vie (célibataire, isolé, activités professionnelles),
  • antécédents médicaux et facteurs de risques cardiaques,
  • caractéristiques cliniques de la cardiopathie étudiée,
  • comptes-rendus d’examens d’imagerie cardiaque,
  • comptes-rendus des examens complémentaires,
  • données de qualité de vie,
  • données d’examens biologiques,
  • données de prises en charge,
  • données de suivi hospitalier,
  • données de suivi (comptes rendus des examens complémentaires),
  • données de sortie.

Les données du registre Mitragister seront appariées avec les données du SNDS portant sur les deux années précédant l’hospitalisation de la personne concernée et jusqu’à dix ans après sa prise en charge et provenant :

• du Système national d’information inter-régimes de l’Assurance maladie (SNIIRAM) s’agissant notamment des consultations des médecins généralistes, cardiologues et des traitements médicaux ;
• du Programme de médicalisation des systèmes d’information (PMSI) s’agissant des évènements, des hospitalisations et des ré-interventions pendant le suivi ;
• du Centre d’épidémiologie sur les causes médicales de décès (CépiDC) s’agissant du statut vital des participants.

La Commission relève que les données du SNIIRAM, du PMSI et du CépiDc des années 2014 à 2032 alimenteront l’entrepôt Cardiohub aux fins de mise en œuvre du suivi passif des personnes concernées.

Les données administratives d’identification collectées à des fins de suivi et d’appariement sont conservées de manière cloisonnée et conservées par un tiers de confiance distinct.

La Commission considère que les données dont le traitement est envisagé sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités du traitement, conformément aux dispositions de l’article 5-1-c du RGPD.

Sur le circuit des données collectées dans Cardiohub :

Lors de l’inclusion d’une personne dans le registre Mitragister, un numéro de cohorte est généré individuellement. Les médecins investigateurs (cardiologues) remplissent un formulaire électronique structuré (eCRF) afin d’y indiquer les données relatives à l’hospitalisation de la personne concernée. Afin de permettre la collecte de données spécifiques, telles que des images d’échographie, un suivi des personnes concernées est effectué par les personnes habilitées au sein de la SFC ou par le médecin investigateur, soumises au secret professionnel et sensibilisées à la confidentialité des données collectées. Les personnes habilitées collectent les informations transmises dans des formulaires électroniques.

Sur l’appariement des données de Mitragister et du SNDS dans le cadre de Cardiohub :

Préalablement à la demande d’extraction des données du SNDS adressée à la Caisse nationale d’assurance maladie (CNAM), la SFC génère aléatoirement un identifiant spécifique projet (ISP). L’appariement est indirect : Clinityx produit un fichier d’appariement contenant les variables communes à Mitragister et au SNDS ainsi que l’ISP et le transmet de manière sécurisée à la CNAM. La Commission en prend acte.

Sur la durée de conservation des données :

Les données de santé des patients issues des différentes sources seront conservées en base active pendant une durée de quinze ans à compter de l’inclusion de la personne concernée dans Mitragister.

Les données administratives d’identification seront conservées pendant une durée de dix ans à compter de l’inclusion des personnes concernées dans Mitragister.

Au-delà, les données seront anonymisées ou supprimées. A cet égard, la Commission prend acte que cette opération fera l’objet d’une automatisation.

La Commission considère que ces durées de conservation des données n’excèdent pas les durées nécessaires aux finalités pour lesquelles elles sont collectées et traitées, conformément aux dispositions de l’article 5-1-e) du RGPD.

Sur les destinataires des données de Cardiohub :

Des organismes de recherche académique, des autorités de santé, des fabricants de dispositifs médicaux, des associations de patients pourront, après l’accord des comités de gouvernance de l’entrepôt Cardiohub et l’accomplissement des formalités préalables prévues par la loi informatique et libertés , être destinataires des données de l’entrepôt afin de réaliser des projets de recherche.

Sur l’information des personnes :

Les personnes concernées seront individuellement informées du traitement des données les concernant dans le cadre de l’entrepôt Cardiohub par voie postale, électronique ou téléphonique.

Les personnes déjà incluses dans Mitragister avant la mise en œuvre de Cardiohub seront informées de l’évolution du traitement par la SFC à l’occasion de leur suivi à six mois, un ou deux ans.

Un portail de transparence sur lequel la note d’information relative à la constitution de l’entrepôt, ainsi que sur les différentes notes d’information relatives aux futures recherches menées sur l’entrepôt, sera disponible sur le site web de la SFC. La SFC devra communiquer aux établissements incluant des personnes dans Mitragister les notes d’information afin qu’ils les rendent disponibles sur leur propre site web.

La Commission prend acte de ce que la SFC s’engage à publier sur son site web le type de données disponibles au sein de son entrepôt ainsi qu’un résumé des recherches menées sur ces données. A des fins de transparence, le résumé et les résultats de chaque projet de recherche, d’étude ou d’évaluation réalisé sur les données de l’entrepôt seront publiés sur le portail de transparence de la SFC.

L’article L. 1461-3 du CSP subordonne l’accès aux données du SNDS et de ses composantes à la communication à la Plateforme des données de santé (PDS) de plusieurs éléments par les responsables de traitement, avant et après les études. Les projets de recherche, d’étude ou d’évaluation réalisés à partir des données de l’entrepôt Cardiohub devront être enregistrés au sein du répertoire public de la PDS. La Commission demande que l’entrepôt soit également inscrit au répertoire public de la Plateforme des données de santé.

La Commission demande enfin que lui soit communiqué tous les trois ans un rapport sur le fonctionnement de l’entrepôt et sur les recherches réalisées à partir des données qu’il contient.

La Commission considère que ces modalités sont conformes au principe de transparence et aux exigences d’information prévues par les articles 12 et suivants du RGPD.

Sur les droits des personnes concernées :

Les droits s’exercent auprès du délégué à la protection des données de la SFC.

En cas d’exercice du droit d’opposition, les données de la personne concernée ne seront plus utilisées à des fins de recherche dans le cadre de Cardiohub. Dans ce cas de figure, les données du SNDS relatives à la personne s’étant opposée ne seront pas collectées.

La Commission considère que les modalités d’exercice des droits des personnes concernées n’appellent pas d’autres observations.

Sur la sécurité des données et la traçabilité des actions :

L’infrastructure technique du responsable de la mise en œuvre de Cardiohub, utilisée pour l’hébergement de systèmes fils du SNDS a été analysée par la Commission à diverses reprises.

Le responsable de traitement a réalisé et transmis à l’appui de la demande d’autorisation une analyse d’impact relative à la protection des données spécifique à la création de l’entrepôt Cardiohub, ainsi qu’une analyse de risque sur la sécurité des systèmes d’information. Une homologation de la bulle sécurisée a de même été réalisée par l’autorité d’homologation le 21 avril 2021, conformément à l’arrêté du 22 mars 2017 relatif au référentiel de sécurité applicable au Système national des données de santé. Cette décision d’homologation n’est valable que jusqu’au 31 décembre 2022, sous réserve de la mise en œuvre du plan d’action que l’autorité d’homologation a défini. Elle devra donc être renouvelée avant l’expiration de ce délai, si le traitement est encore mis en œuvre.

Des mesures techniques et organisationnelles ont été prévues par le responsable de la mise en œuvre afin de cloisonner les différentes extractions du SNDS pouvant être stockées au sein de leur solution technique. Des environnements distincts fondés sur des solutions de conteneurisation logicielle sont notamment mis en œuvre afin d’empêcher toute fusion des données.

Les données de santé seront chiffrées au repos par des algorithmes à l’état de l’art au sein d’un hébergeur certifié pour l’hébergement de données de santé, localisé en France, et exclusivement soumis aux lois et aux juridictions de l’Union européenne. Ces données seront également chiffrées en transit. Les sauvegardes seront chiffrées au repos. Des espaces de projets distincts les uns des autres et de l’entrepôt lui-même, seront mis en place grâce à l’utilisation de solutions de conteneurisation logicielle et de systèmes de fichiers chiffrés pour les données de chaque étude. Des numéros pseudonymes uniques spécifiques à chaque espace de projet, reposant sur un générateur de nombres pseudo-aléatoires cryptographiquement sûr, seront de même mis en œuvre afin de réduire les risques de ré-identification des personnes concernées. En fin d’étude, l’espace de projet dédié sera clos et les données en seront supprimées.

Les données administratives seront cloisonnées physiquement des données de santé grâce à l’utilisation d’un hébergeur tiers de confiance distinct, certifié pour l’hébergement de données de santé, localisé en France et exclusivement soumis aux lois et aux juridictions de l’Union européenne. Ces données administratives seront chiffrées au repos et utiliseront des mécanismes similaires de cloisonnement à ceux mis en œuvre pour les données de santé. Les données administratives d’identification transiteront via des protocoles et algorithmes à l’état de l’art sur un réseau local virtuel dédié chez l’hébergeur principal afin d’effectuer des vérifications de sécurité et la génération de l’ ISP avant d’être transmises à l’hébergeur distinct. Aucune donnée administrative d’identification ne sera stockée chez l’hébergeur principal.

L’exportation de données hors de Cardiohub consistera exclusivement en des rapports statistiques pouvant contenir un ou des modèles ne permettant aucune ré-identification des personnes et transmis exclusivement aux responsables de traitement portant sur la réalisation de recherches ultérieures. A cette fin, un seuil minimal de onze individus sera retenu pour chaque agrégation. La Commission rappelle néanmoins que le responsable de traitement doit réaliser une analyse permettant de démontrer que ses processus d’anonymisation respectent les trois critères définis par l’avis n°05/2014 sur les techniques d’anonymisation adoptés par le groupe de l’Article 29 (G29) le 10 avril 2014. A défaut, si ces trois critères ne peuvent être réunis, une étude des risques de ré-identification doit être menée.

La saisie des données sera effectuée grâce à une application située au sein de Cardiohub. Une authentification multifacteur comportant un mot de passe conforme à la délibération n° 2017-012 du 19 janvier 2017 portant adoption d’une recommandation relative aux mots de passe, ou à toute autre mise à jour ultérieure de cette recommandation, est requise pour y accéder. L’accès aux données et à l’administration de Cardiohub pour les deux hébergeurs repose sur l’utilisation de réseaux privés virtuels chiffrés à l’état de l’art distincts ainsi que sur des mécanismes d’authentification multifacteur similaires. Des bastions d’administration permettent une traçabilité des connexions.

La Commission relève enfin que les traces techniques et fonctionnelles seront conservées pendant une durée conforme à ses préconisations et adossées à un mécanisme proactif de contrôle régulier.

Les mesures de sécurité décrites répondent aux exigences prévues par les articles 5,1, f) et 32 du Règlement général sur la protection des données compte tenu des risques identifiés par le responsable de traitement. Il appartiendra à ce dernier de procéder à une réévaluation régulière des risques pour les personnes concernées et une mise à jour, le cas échéant, de ces mesures de sécurité.

Dans ces conditions, la Commission autorise la Société française de cardiologie à mettre en œuvre un traitement de données à caractère personnel ayant pour finalité la constitution d’un entrepôt de données de santé dénommé Cardiohub pour une durée de dix ans .

La Présidente

Marie-Laure DENIS