Responsable du traitement

L’Assistance Publique – Hôpitaux de Marseille (AP-HM)

Sur la finalité et l’intérêt public du traitement

Le traitement a pour finalité la mise en œuvre d’une étude visant à évaluer l’impact d’une alternative à l’incarcération par le logement et le suivi intensif pour des personnes sans logement, vivant avec des troubles psychiatriques sévères et déférées en comparution immédiate, en comparaison des services sanitaires, sociaux et judiciaires existants.

Ce traitement nécessite l’accès aux données du Programme de médicalisation des systèmes d’information (PMSI), du Système national d’information inter-régimes de l’Assurance maladie (SNIIRAM) et du Centre d’épidémiologie sur les causes médicales de Décès (CépiDc), composantes du Système national des données de santé (SNDS), pour les années 2021 à 2025.

Plus précisément, cette étude vise à l’évaluation de l’efficacité de l’intervention évaluée sur les critères suivants :

• la baisse de la récidive à 18 mois ;
• la baisse du recours au système de soins à 18 mois ;
• l’amélioration de l’état de santé physique et mental à 18 mois ;
• la stabilité dans un logement indépendant à 18 mois ;
• la preuve de l’efficience économique de l’intervention (analyse médico-économique).

La Commission considère que la finalité du traitement est déterminée, explicite et légitime, conformément aux dispositions de l’article 5-1-b du R èglement général sur la protection des données (RGPD) et que le traitement présente une finalité d’intérêt public, conformément à l’article 66-I de la loi du 6 janvier 1978 (ci-après, loi « Informatique et Libertés » modifiée ).

Elle relève en outre que le projet s’inscrit dans le cadre d’un contrat à impact social coordonné par l’association médicale de solidarité internationale Médecins du monde et dont le protocole d’engagement a été signé dès 2017 avec le ministère des affaires sociales et de la santé, le ministère de la justice, le ministère du logement et de l’habitat durable, le secrétaire d’Etat chargé de l’enseignement supérieur et de la recherche et le secrétaire d’Etat chargé du commerce, de l’artisanat, de la consommation et de l’économie sociale et solidaire.

La Commission relève également que l’AP-HM fait partie d’un consortium de recherche coordonné par l’association Médecins du monde, dont l’accord détermine les rôles et responsabilités de chacun de ses membres. A cet égard, elle relève que l’AP-HM y est identifiée comme promoteur de la recherche.

En outre, la direction de l’administration pénitentiaire (DAP) du ministère de la justice, signataire de l’accord cadre, a adressé une lettre à la Commission en date du 18 juin 2021 dans laquelle elle reconnaît l’AP-HM comme responsable de traitement du projet de recherche.

Sur la licéité du traitement

Le traitement mis en œuvre par l’AP-HM a vocation à fournir des éléments de réflexion aux pouvoirs publics concernant la prise en charge des personnes sans logement, vivant avec des troubles psychiatriques sévères et déférées en comparution immédiate, de manière à améliorer leur santé et à développer des alternatives à l’incarcération, et est nécessaire à l’exécution d’une mission d’intérêt public dont est investi le responsable de traitement.

Le traitement envisagé est donc licite au sens de l’article 6-1-e) du RGPD. En outre, la Commission estime que ce traitement, nécessaire à des fins de recherche scientifique, remplit la condition prévue à l’article 9-2-j) du RGPD permettant de traiter des données concernant la santé.

La Commission estime qu’il y a lieu de faire application des dispositions des articles 44-3°, 66-III et 72 et suivants de la loi Informatique et Libertés modifiée, qui soumettent à son autorisation les traitements à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé et justifiés, comme en l’espèce, par l’intérêt public.

Sur les points de non-conformité à la méthodologie de référence

La Commission prend acte de ce que le dossier de demande mentionne que le traitement envisagé est conforme aux dispositions de la méthodologie de référence MR-001, à l’exception de la nature des données collectées et de l’accès aux données du SNDS.

En dehors de ces exceptions, ce traitement devra respecter le cadre prévu par la méthodologie de référence MR-001.

Sur les données traitées

Sur la collecte de données directement identifiantes :

La collecte des nom, prénoms et date de naissance est nécessaire à des fins de récupération du numéro d’écrou auprès de la direction interrégionale des services pénitentiaires (DISP), d’appariement aux données du SNDS et pour le suivi des personnes concernées, qui en sont informées.

La Commission rappelle que les données directement identifiantes doivent être traitées et transmises de façon séparée des données de santé et être enregistrées dans une base de données distincte. En outre, seul un nombre strictement limité de personnes habilitées et soumises au secret professionnel pourra accéder aux données directement identifiantes.

Sur la collecte des données à caractère personnel relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes :

La collecte de données relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes a été scientifiquement justifiée dans le dossier de demande.

Sous réserve que ces données soient communicables et transmises dans le respect des dispositions qui leur sont spécialement applicables, l’AP-HM sera destinataire des données collectées auprès de :

• la DISP : numéro d’écrou ;
• la direction des affaires criminelles et des grâces (DACG) :
  
  • nombre de défèrements devant magistrat et peine prononcée ou aménagement de peine requis ;
  • nombre d’arrestations/gardes à vue ;
  • nombre de comparutions immédiates ;
  • nombre d’incarcérations.
• la DAP :
  • dates d’entrée et de sortie ;
  • jugement en attente ou condamnation ;
  • nombre d’incidents et de sanctions disciplinaires ;
  • nombre et durée de séjours en quartier isolement, de séjours en quartier disciplinaire ;
  • nombre d’extractions judiciaires et médicales ;
  • niveau de surveillance des extractions ;
  • nombre de transfèrements ;
  • nombre de séjours en hôpital de jour et date d’entrée et de sortie ;
  • nombre de séjours en unité hospitalière sécurisée interrégionale (UHSI) et dates d’entrée et de sortie ;
  • nombre de séjours en unité hospitalière spécialement aménagée (UHSA) et dates d’entrée et de sortie.

La Commission relève que l’AP-HM, en tant que personne morale gérant un service public et agissant dans le cadre de ses attributions légales (article L. 6112-1 code de la santé publique – CSP), est fondée à collecter des données relatives aux condamnations pénales, aux infractions ou aux mesures de sûretés connexes conformément à l’article 10 du RGPD et à l’article 46-1 de la loi Informatique et Libertés modifiée.

En outre, elle relève que le contrat à impact social et son annexe A, dont le ministère de la justice est signataire, précisent que les données d’infraction seront collectées par l’AP-HM en tant que promoteur de la recherche auprès des participants à la recherche ainsi qu’auprès de l’administration pénitentiaire et du tribunal judiciaire de Marseille.

Sur les autres données collectées :

L’AP-HM collectera également des données auprès de partenaires proposant des solutions de logement et des personnes concernées dans le cadre d’entretiens semi-directifs et au moyen de questionnaires.

La Commission relève que les questionnaires comportent une majorité de questions fermées (cases à cocher dans un tableur) et quelques champs libres. Elle recommande de limiter autant que possible le recours aux zones commentaires ou zones blocs notes susceptibles de contenir des données non pertinentes. Lorsqu’un choix multiple est nécessaire, il doit être proposé au moyen de menus déroulants proposant des informations et appréciations objectives.

La Commission relève que des enregistrements audios pourront être réalisés lors des entretiens semi-directifs et que le consentement des personnes sera préalablement recueilli.

Sur les données du SNDS :

Composantes concernées : SNIIRAM, PMSI, CépiDc

Années concernées : 2021 à 2025, sous réserve de leur disponibilité.

Modalités de consultation : portail de la Caisse nationale d’assurance maladie (CNAM).

Les données du SNIIRAM, du PMSI et du CépiDc étant issues de bases composant le SNDS, l’ensemble des dispositions législatives et réglementaires relatives au SNDS est applicable en l’espèce (articles L. 1461-1 à L. 1461-7 du CSP), notamment :

• l’interdiction d’utiliser ces données pour les finalités décrites à l’article L. 1461-1 V du CSP ;
• le respect du référentiel de sécurité applicable au SNDS prévu par l’arrêté du 22 mars 2017.

Sous ces réserves, la Commission considère que les données traitées sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités du traitement, conformément aux dispositions de l’article 5-1-c) du RGPD.

Sur l’information et les droits des personnes

Conformément à l’article 69 de la loi Informatique et Libertés modifiée et aux articles 13 et 14 du RGPD, les personnes auprès desquelles sont recueillies des données à caractère personnel ou à propos desquelles de telles données sont transmises doivent être destinataires d’une information individuelle.

Tous les participants recevront une note d’information individuelle qui devra être complétée avant le début de la recherche afin qu’elle comporte l’ensemble des mentions prévues par le RGPD.

La Commission relève que le consentement des personnes en vue de leur participation à l’étude sera recueilli conformément à l’article L. 1122-1-1 du CSP et qu’en cas de retrait de ce consentement, qui pourra intervenir à tout moment, la suppression des données s’effectuera dans un délai maximal de quinze jours après la demande.

Les personnes concernées pourront exercer leurs droits auprès du délégué à la protection des données de l’AP-HM.

La Commission estime que ces modalités d’information et d’exercice des droits des personnes sont satisfaisantes au regard des dispositions du RGPD et de la loi Informatique et Libertés modifiée.

Sur les mesures de sécurité

En premier lieu, la Commission prend note de la réalisation par le responsable de traitement d’une analyse d’impact relative à la protection des données ( AIPD ).

Les données administratives et de santé n’étant pas issues du SNDS seront localisées au sein des serveurs internes à l’AP-HM, situés dans un périmètre certifié hébergeur de données de santé (HDS) et ISO 27001.

Concernant les données administratives, incluant des données directement identifiantes, une table de correspondance sera créée, protégée par des conteneurs chiffrés reposant sur un algorithme de chiffrement à l’état de l’art et ne permettant un accès qu’aux seuls utilisateurs habilités.

Cette table de correspondance sera supprimée une fois l’appariement final des données réalisé.

Concernant les données de santé n’étant pas issues du SNDS, ces données seront pseudonymisées et stockées dans un cahier d’observations électroniques hébergé par l’AP-HM. Ce système a fait l’objet d’une homologation RGS, incluant des audits et tests d’intrusion. Des mesures seront prévues pour assurer le cloisonnement réseau de ce système.

Les accès internes et externes à ces données seront réalisés via une authentification forte faisant intervenir deux facteurs d’authentification différents. Parmi ces facteurs d’authentification, les mots de passe utilisés seront conformes à la délibération n° 2017-012 du 19 janvier 2017 portant adoption d’une recommandation relative aux mots de passe.

Les sauvegardes de ces données seront chiffrées via des algorithmes à l’état de l’art. Un chiffrement en transit des données est également prévu, permettant de garantir la confidentialité des données échangées ainsi que l’authentification de la source et du destinataire.

Concernant les données d’infraction collectées auprès de la DACG et de la DAP ainsi que le numéro d’écrou collecté auprès de la DISP, le circuit des données a été conçu de manière à minimiser les données échangées et le nombre d’intermédiaires ayant accès aux données. Un numéro d’accrochage non signifiant sera attribué de façon aléatoire pour chaque patient et conservé dans une table de correspondance temporaire, stockée dans les mêmes conditions de sécurité que la table de correspondance principale, avec le numéro d’inclusion au sein du centre investigateur. Les transmissions de données provenant de l’AP-HM à destination de la DISP, la DACG et la DAP ne comprendront que ce numéro d’accrochage et le numéro d’écrou. La DISP, la DACG et la DACG utiliseront cet identifiant d’accrochage pour transmettre les données d’infraction à l’AP-HM en ne référençant que l’identifiant d’accrochage. Les fichiers transférés seront chiffrés par des algorithmes et protocoles à l’état de l’art.

Les données relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes seront stockées dans des conteneurs chiffrés localisés au sein des serveurs internes de l’AP-HM. Ces conteneurs ne seront accessibles qu’aux membres de l’équipe spécialement habilités. Ces données d’infraction feront l’objet d’un contrôle qualité qui ne s’effectuera que sur des données pseudonymisées et dans ces conteneurs chiffrés. Elles seront supprimées après transmission au portail sécurisé de la CNAM.

Les traces applicatives des systèmes mentionnés contenant des données de santé seront analysées par les membres de l’équipe et les administrateurs spécifiquement habilités. Les traces système et réseau seront analysées par l’équipe sécurité de l’AP-HM. Des dispositifs générant des alertes en cas de comportements anormaux seront mis en place et les alertes seront vérifiées par cette équipe sécurité.

En complément, un centre opérationnel de sécurité externe analysera les alertes de sécurité sur le parc de postes de travail. Des audits périodiques seront également effectués par l’équipe sécurité. Ces traces techniques et applicatives devront être conservées durant six mois minimum à un an maximum.

Les données individuelles de l’étude (dont les données d’infraction et de santé) seront appariées aux données du SNDS au sein du portail sécurisé mis à disposition par la CNAM selon un circuit de données par reconstitution du NIR opéré par la CNAV ou l’INSEE. Aucun numéro d’écrou ni d’autres données directement identifiantes ne sera importé dans ce portail.

Seules des données anonymes au sens de l’avis n° 05/2014 sur les techniques d’anonymisation adoptés par le groupe de l’Article 29 (G29) le 10 avril 2014 pourront faire l’objet d’une exportation hors de ce portail.

La Commission relève que plusieurs extractions des données appariées auront lieu afin de pouvoir réaliser un rendu annuel des indicateurs du contrat à impact social.

Concernant les données relatives aux entretiens semi-directifs, des mesures de sécurité techniques et organisationnelles seront mises en place lors du déroulement de ces entretiens : chiffrement du poste de travail et mise en place de conteneurs chiffrés spécifiques, utilisation de comptes nominatifs, suppression des données dès que possible, etc.

Sous réserve des précédentes observations, la Commission considère que les mesures de sécurité décrites par le responsable de traitement sont conformes à l’exigence de sécurité prévue par les articles 5-1-f et 32 du RGPD.

La Commission rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité et de l’AIPD au regard de la réévaluation régulière des risques.

Par ailleurs, le responsable de traitement devra être en mesure de justifier de leur conformité à tout moment.

Sur la durée d’accès aux données du SNDS

La Commission relève que le responsable de traitement sollicite un accès aux données pour une durée de sept ans à compter de leur mise à disposition sur le portail de la CNAM.

Sur les durées de conservation des données

Le numéro d’écrou, les données directement identifiantes ainsi que les données d’infractions seront conservés pour une durée de quatre ans et six mois, puis seront détruits.

Les autres données indirectement identifiantes seront conservées en base active pour une durée de sept ans, puis en archivage pour une durée de 15 ans.

La Commission considère que cette durée n’excède pas la durée nécessaire au regard de la finalité pour laquelle elles sont collectées et traitées, conformément aux dispositions de l’article 5-1-e) du RGPD.