La Commission nationale de l’informatique et des libertés,

Saisie par les sociétés Docaposte, AstraZeneca et Impact Healthcare d’une demande d’autorisation concernant un traitement automatisé de données à caractère personnel ayant pour finalité la constitution d’un entrepôt de données de santé dénommé Plateforme Agoria Santé ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (RGPD) ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (loi informatique et libertés ), notamment ses articles 44-3° et 66 ;

Après avoir entendu le rapport de M^me Valérie PEUGEOT, commissaire, et les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement ;

Sur les responsables de traitement :

Plusieurs organismes interviennent en qualité de responsables conjoints de traitement dans le cadre de la constitution de l’entrepôt dénommé Plateforme Agoria Santé :

• la société AstraZeneca France, filiale du groupe pharmaceutique international AstraZeneca, qui produit et commercialise des produits mentionnés au II de l’article L. 5311-1 du code de la santé publique (CSP) ;
• la société Impact Healthcare ;
• la société Docaposte BPO, filiale numérique du groupe La Poste, qui est chargée de l’hébergement des données contenues dans l’entrepôt et s’est vue, à ce titre, qualifiée de tiers de confiance .

Ces trois sociétés, réunies en consortium ne disposant pas de la personnalité juridique, définissent conjointement la finalité et les moyens du traitement mis en œuvre dans le cadre de la constitution de la plateforme Agoria Santé , en qualité de responsables conjoints, au sens de l’article 26 du Règlement général sur la protection des données (RGPD). A ce titre, ils devront définir de manière transparente leurs obligations respectives dans le cadre du contrat de consortium qui les lie.

La modification de la composition du consortium constituerait une modification substantielle du traitement de données et nécessiterait le dépôt d’une demande de modification d’autorisation.

Sur la finalité du traitement, sa licéité et les conditions permettant de traiter des données concernant la santé :

Les responsables conjoints de traitement souhaitent constituer un entrepôt de données de santé afin de permettre la réalisation de recherches, d’études ou d’évaluations dans le domaine de la santé destinés notamment à :

• décrire des conditions d’utilisation des produits de santé en pratique courante dans le cadre du parcours de soins ;
• mesurer l’efficacité et les risques liés à l’utilisation d’une thérapeutique (médicament, dispositif médical, solution digitale, etc.) ;
• mesurer l’impact organisationnel d’un produit de santé ;
• mesurer la consommation de ressources et la performance médico-économique d’une thérapeutique en vie réelle.

Cet entrepôt de données est soumis aux dispositions de l’article 44-3° et 66-III de la loi du 6 janvier 1978 modifiée, qui prévoient une autorisation pour les traitements comportant des données relatives à la santé et justifiés, comme en l’espèce, par l’intérêt public

Cet entrepôt sera, dans un premier temps, alimenté par des données à caractère personnel issues :

• des dossiers médicaux des patients bénéficiant de médicaments dispensés dans le cadre de trois autorisations d’accès précoces exploitées par la société AstraZeneca France ;
• du Système national des données de santé (SNDS) pour les personnes incluses dans ces cohortes.

La finalité du traitement est déterminée, explicite et légitime, conformément aux dispositions de l’article 5-1-b) du RGPD.

Le traitement mis en œuvre par les responsables conjoints de traitement est nécessaire aux fins des intérêts légitimes qu’ils poursuivent. Ce traitement est, à ce titre, licite au regard de l’article 6-1-f) du RGPD et remplit une condition permettant le traitement des données concernant la santé au regard des dispositions des articles 9-2-j) du RGPD et 44-3 de la loi informatique et libertés .

La constitution de la plateforme Agoria Santé nécessite un appariement entre des données du SNDS et des trois traitements issus des protocoles d’utilisation thérapeutique et de recueil de données.

Les données contenues dans cet entrepôt ne sauraient, conformément aux dispositions de l’article L. 1461-1 du CSP, être exploitées à des fins de promotion des produits de santé en direction des professionnels de santé ou d’établissements de santé, ou à des fins d’exclusion de garanties des contrats d’assurance et de modification de cotisations ou primes d’assurance d’un individu ou d’un groupe d’individus présentant un même risque (finalités interdites d’utilisation du SNDS)

De même, la Commission rappelle l’interdiction de constituer et d’utiliser, à des fins de prospection ou de promotion commerciales, des fichiers composés à partir des données issues directement ou indirectement des prescriptions médicales, dès lors que ces fichiers permettent d’identifier directement ou indirectement le prescripteur (article L. 4113-7 du code de la santé publique).

S’agissant de la constitution de la plateforme Agoria santé , le contrat conclu entre les trois responsables conjoints de traitement prévoit que :

• le statut de membre du consortium ne confère aucun droit à l’accès aux données du SNDS contenues dans l’entrepôt ;
• seul le membre du consortium désigné comme tiers de confiance (la société Docaposte) dispose d’un accès aux données du SNDS dans le respect des missions qui lui sont confiées.

S’agissant de la réutilisation à des fins de recherches, d’études ou d’évaluations dans le domaine de la santé, la Commission relève qu’un contrat sera systématiquement conclu avec chaque organisme (ci-après les porteurs de projets ), que celui-ci soit membre ou non du consortium, souhaitant traiter les données contenues au sein de la plateforme Agoria à des fins de recherches, d’études ou d’évaluations dans le domaine de la santé.

Le projet de contrat prévoit le recours systématique à un laboratoire de recherche ou à un bureau d’études pour mettre en œuvre le traitement de données lorsque le porteur de projet produit ou commercialise des produits mentionnés au II de l’article L. 5311-1 du CSP ou est mentionné au 1° du A et aux 1°, 2°, 3°, 5° et 6° du B du I de l’article L. 612-2 du code monétaire et financier ou est un intermédiaire d’assurance mentionné à l’article L. 511-1 du code des assurances.

Enfin, les utilisations futures des données contenues dans cet entrepôt s’inscriront dans le cadre des dispositions des articles 66 et 72 et suivants de la loi informatique et libertés , qui imposent que chaque projet de recherche, étude ou évaluation soit justifié par l’intérêt public et fasse l’objet de formalités propres.

Sur la gouvernance de l’entrepôt :

Le consortium Agoria Santé a mis en place un dispositif de gouvernance de la plateforme Agoria Santé composé :

• d’un comité de pilotage chargé de prendre les décisions stratégiques relatives à la direction globale de l’entrepôt, qui peut notamment statuer sur :
  • l’avancement du programme Agoria (dans lequel s’inscrit le déploiement de la plateforme Agoria santé ) ;
  • l’orientation stratégique et scientifique du programme, le cas échéant sur proposition du comité de surveillance ;
  • le budget du consortium ;
  • l’entrée d’un nouveau membre dans le consortium ;
  • l’exclusion d’un membre ;
  • le principe et le contenu des publications et communications relatives au programme Agoria Santé ;
• d’un comité opérationnel mettant en œuvre les objectifs et décisions prises par le comité de pilotage, chargé notamment de :
  
  • coordonner la conduite des projets permettant l’application des orientations stratégiques et scientifiques du programme Agoria Santé définies par le comité de pilotage en tenant compte des avis et recommandations du comité de surveillance ;
  • tenir une feuille de route générale du programme mise à jour à chaque réunion du comité opérationnel ;
• d’un comité éthique et scientifique disposant d’un rôle consultatif, dont les missions sont notamment de :
  
  • proposer des modifications du programme au comité de pilotage ;
  • produire des avis sur les orientations scientifiques, éthiques et techniques décidées par le comité de pilotage ;
  • éclairer le comité de pilotage sur d’éventuelles difficultés rencontrées dans l’accomplissement du programme ;
  • arbitrer, le cas échéant, s’agissant des questions liées à la licéité des traitements envisagés par les porteurs de projets lorsqu’ils sont producteurs de produits de santé ou assureurs en santé et en particulier vérifier que les projets ne poursuivent pas l’une des finalités interdites visées par le V de l’article L. 1461-1 du CSP pour l’accès aux données du SNDS.

Ces comités de gouvernance sont notamment composés de membres qualifiés en matière de traitements de données du SNDS.

Sur la nature des données traitées :

Les données de la plateforme Agoria Santé sont issues de trois traitements de données personnelles recueillies dans le cadre de protocoles d’utilisation thérapeutique et de recueil de données d’accès précoce (PUT-RD), placés sous la responsabilité de la société AstraZeneca :

• de données issues du programme d’accès précoce Forxiga 10 mg dans l’indication de maladie rénale chronique chez l’adulte :
  
  • données administratives d’identification : numéro identifiant patient assigné dans le cadre de l’accès précoce ;
  • données de santé :
    
    • données démographiques : date de naissance, sexe, poids, taille ;
    • diagnostic et état du patient : date du diagnostic de la maladie rénale (mois/année), étiologie de la maladie rénale ;
    • traitements antérieurs, comorbidité ;
    • données d’examens biologiques ;
    • données relatives au traitement : posologie, durée, traitements concomitants et/ou soins de support, interruption ;
    • données relatives au suivi des effets indésirables, motifs d’arrêt du traitement.
• PUT-RD de données issues du programme d’accès précoce Lynparza 100 mg et Lynparza 150 mg dans le traitement adjuvant des patients adultes atteints d’un cancer du sein précoce à haut risque HER2-négatif présentant une mutation BRCA et qui ont précédemment été traités par chimiothérapie néoadjuvante ou adjuvante :
  
  • données administratives d’identification : numéro identifiant patient assigné dans le cadre de l’accès précoce ;
  • données de santé :
    
    • données démographiques : date de naissance, sexe, poids, taille ;
    • diagnostic et état du patient : date de diagnostic initial du cancer du sein, stade actuel, classification TNM au stade actuel et au diagnostic, type de cancer du sein, histologie, statut ECOG actuel, mutation des gènes BRCA ½ ;
    • données relatives à la procréation : méthode de contraception efficace chez la femme en âge de procréer, test de grossesse, partenaire en âge de procréer ;
    • traitements antérieurs, comorbidité ;
    • données d’examen biologique ;
    • données relatives au traitement thérapeutique : posologie, durée, traitements concomitants et/ou soins de support, interruption ;
  • données relatives au suivi des effets indésirables, motifs d’arrêt du traitement.
  • données issues de l’auto-questionnaire patient de qualité de vie.
• PUT-RD de données issues du programme d’accès précoce Tixagévimab 150 mg et Cilgavimab 150 mg en prophylaxie pré-exposition de la COVID-19 chez les patients âgés de douze ans et plus :
  
  • données administratives d’identification : numéro identifiant patient assigné dans le cadre de l’accès précoce ;
  • données de santé :
    
    • données démographiques : date de naissance, sexe, poids, taille ;
    • diagnostic et état du patient : statut virologique à l’inclusion (Test RT-qPCR nasopharyngé de diagnostic de l’infection à SARS-CoV-2), statut immunologique à l’inclusion (taux d’anticorps anti-S) ;
    • traitements antérieurs (antécédents de vaccination contre la COVID-19 et antécédents de traitement par une association d’anticorps monoclonaux), comorbidités (facteurs de risque de développer une forme grave de la COVID-19 et antécédents médicaux) ;
    • données d’examens biologiques : sérologie quantitative (recherche d’anticorps, recherche d’une infection au SARS-CoV-2, test virologique de détection du SARS-CoV-2, séquençage de la souche virale et recherche de mutations), en cas de test virologique SARS-CoV-2 positif depuis la dernière visite : symptomatologie de la COVID-19, oxygénothérapie, hospitalisation, autres traitements utilisés dans la prise en charge de la COVID-19, unité de soins intensifs/réanimation ;
    • données de survie ;
    • données de tolérance ;
    • suivi des effets indésirables/situation particulières dont grossesse.

L’identifiant patient présent dans les données source est remplacé par un nouvel identifiant généré aléatoirement lors de leur intégration dans la plateforme Agoria Santé . La Commission recommande que ce nouvel identifiant soit généré par une fonction de hachage cryptographique résistante aux attaques par force brute ou par un générateur de nombres pseudo-aléatoires cryptographiquement sûr.

Sur l’appariement des données des trois cohortes d’accès précoce et des données du SNDS dans le cadre de la plateforme Agoria Santé :

Les données de la plateforme Agoria Santé seront appariées avec certaines données du SNDS portant sur les personnes participant aux trois cohortes d’accès précoce concernées, et provenant :

• du Système national d’information inter-régimes de l’Assurance maladie (SNIIRAM) ;
• du Programme de médicalisation des systèmes d’information (PMSI) ;
• du Centre d’épidémiologie sur les causes médicales de décès (CépiDC) ;
• de la base de données relative au dépistage des cas de covid-19, dénommée SI-DEP ;
• de la base de données relative aux vaccinations contre la covid-19, dénommée Vaccin-covid .

Les données du SNIIRAM, du PMSI et du CépiDc des années 2017 à 2027 mises à dispositions par la Caisse nationale de l’assurance maladie (CNAM) alimenteront la plateforme Agoria Santé aux fins de mise en œuvre du suivi passif des personnes concernées.

Les responsables conjoints de traitement souhaitent également enrichir la plateforme Agoria Santé avec certaines données des bases SI-DEP et Vaccin-COVID collectées dès leur constitution et jusqu’à l’année 2027. Ces données ne pourront être mises à disposition que sous réserve, d’une part, que les dispositions législatives et règlementaires applicables à ces traitements le permettent et, d’autre part, qu’elles soient diffusables par la CNAM.

Les responsables conjoints de traitement ont transmis, à l’appui de leur demande, plusieurs expressions de besoins SNDS précisant, pour chaque cohorte d’accès précoce, les données du SNDS ayant vocation à alimenter la plateforme Agoria santé .

L’appariement sera réalisé de manière probabiliste et itérative à l’aide de variables communes (par exemple, l’année de naissance, le sexe, la date de soins, le code FINESS du lieu de prise en charge).

Seules les variables communes d’appariement seront transmises à la CNAM en vue de l’extraction des données du SNDS. La Commission recommande, afin de limiter les risques de réidentification indirecte, de ne pas utiliser dans cet envoi l’identifiant interne de la plateforme Agoria Santé et de le remplacer par un identifiant aléatoire temporaire, dont la table de correspondance sera séparée logiquement des données de l’entrepôt.

Les données dont le traitement est envisagé sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités du traitement, conformément aux dispositions de l’article 5-1-c du RGPD.

Sur la durée de conservation des données :

Les données seront conservées en base active pendant une durée de dix ans. Au-delà, les données seront anonymisées ou supprimées.

Ces durées de conservation des données n’excèdent pas les durées nécessaires aux finalités pour lesquelles elles sont collectées et traitées, conformément aux dispositions de l’article 5-1-e) du RGPD.

Sur les accédants et les destinataires des données :

Seule la société Docaposte (en sa qualité de membre tiers de confiance du consortium) et les personnes habilitées par elle ont accès aux données dans le cadre de la mise en œuvre de ce traitement. Elle tient à jour des documents indiquant la ou les personnes compétentes en son sein pour délivrer l’habilitation à accéder aux données, la liste des personnes habilitées à accéder à ces données, leurs profils d’accès respectifs et les modalités d’attribution, de gestion et de contrôle des habilitations.

Ces catégories de personnes sont soumises au secret professionnel dans les conditions définies par les articles 226-13 et 226-14 du code pénal.

La qualification des personnes habilitées et leurs droits d’accès doivent être régulièrement réévalués, conformément aux modalités décrites dans la procédure d’habilitation établie par la société Docaposte.

Tout changement de membre tiers de confiance constituerait une modification substantielle du traitement de données compte tenu de sa qualité de gestionnaire du système fils du SNDS.

Des établissements de santé, des instituts ou des centres de recherche, des groupements de coopération sanitaire, des groupements d’intérêt public, des fabricants de produits de santé (médicaments, dispositifs médicaux, etc.), des fabricants de cosmétiques, des groupement de pharmacies ou de sociétés accompagnant les acteurs de la santé pourront, après l’accord des comités de gouvernance de la plateforme Agoria santé et l’accomplissement des formalités préalables prévues par la loi informatique et libertés , mettre en œuvre des projets de recherche à partir des données de l’entrepôt.

Sur l’information des personnes :

Les trois cohortes d’accès précoce étant placées sous la responsabilité d’AstraZeneca, les personnes concernées seront individuellement informées par cette dernière du traitement des données les concernant dans le cadre de la constitution de la plateforme Agoria Santé . Cette note d’information devra être complétée afin de comporter l’ensemble des mentions prévues par l’article 14 du RGPD.

Un portail de transparence sur lequel la note d’information relative à la constitution de l’entrepôt, ainsi que sur les différentes notes d’information relatives aux futures recherches réalisées à partir des données de l’entrepôt sera disponible sur un site web dédié à la plateforme Agoria santé . Les résultats de ces projets de recherche seront publiés sur ce portail de transparence.

L’article L. 1461-3 du CSP subordonne l’accès aux données du SNDS et de ses composantes à la communication à la Plateforme des données de santé (PDS) de plusieurs éléments par les responsables de traitement, avant et après les études. Les projets de recherche, d’étude ou d’évaluation réalisés à partir des données de la plateforme Agoria Santé devront être enregistrés au sein du répertoire public de la PDS. La Commission recommande que l’entrepôt soit également inscrit au répertoire public de la PDS.

La Commission demande enfin que lui soit communiqué tous les trois ans un rapport sur le fonctionnement de l’entrepôt et sur les recherches réalisées à partir des données qu’il contient.

Ces modalités sont conformes au principe de transparence et aux exigences d’information prévues par les articles 12 et suivants du RGPD.

Sur les droits des personnes concernées :

L’ensemble des droits des personnes concernées s’exercent auprès du délégué à la protection des données du consortium Agoria Santé.

En cas d’exercice du droit d’opposition, les données de la personne concernée n’alimenteront pas l’entrepôt ou seront, le cas échéant, supprimées.

Sur l’absence de transfert de données et le recours à un sous-traitant exclusivement soumis aux lois et juridictions de l’Union européenne :

La mise en place de cet entrepôt n’entraîne pas le transfert de données à caractère personnel, directement ou indirectement identifiantes, hors de l’Union européenne.

Par ailleurs, les données de santé sont stockées au sein d’un hébergeur certifié pour l’hébergement de données de santé, localisé en France et exclusivement soumis aux lois et aux juridictions de l’Union européenne.

Sur la sécurité des données et la traçabilité des actions :

Le responsable de traitement a réalisé et transmis à l’appui de la demande d’autorisation une analyse d’impact relative à la protection des données spécifique à la création de la plateforme Agoria Santé , ainsi qu’une analyse de risque sur la sécurité des systèmes d’information.

Une homologation a été réalisée par l’autorité d’homologation le 29 avril 2022 conformément à l’arrêté du 22 mars 2017 relatif au référentiel de sécurité applicable au Système national des données de santé. La Commission prend acte qu’une nouvelle commission d’homologation est prévue le 30 mai 2022 pour tenir compte de l’actualisation de l’analyse de risques et du plan de traitement associé, suite aux dernières évolutions liées à la construction de l’entrepôt.

A cet égard, la Commission recommande que la mise en place des outils et procédures de protection des secrets cryptographiques, de journalisation technique et de traçabilité des actions, et de détection et de gestion des incidents, soit finalisée avant la mise en œuvre du traitement.

Les données de santé seront stockées auprès d’un hébergeur certifié pour l’hébergement de données de santé. Les données seront chiffrées au repos et en transit vers des systèmes externes, en respectant les recommandations de l’Agence nationale de la sécurité des systèmes d’information.

Des mesures techniques et organisationnelles seront mises en œuvre afin de cloisonner les différents jeux de données. L’entrepôt contenant les données sources provenant des cohortes et du SNDS ne sera accessible que par la société Docaposte, en sa qualité d’hébergeur des données de la plateforme Agoria Santé . Les accès administrateurs seront sécurisés et tracés au travers d’un bastion d’administration.

La société Docaposte sera également la seule à avoir accès à l’espace de préparation des données extraites de l’entrepôt pour être mises à disposition d’un projet de recherche. Lors de la phase de préparation, les données seront standardisées, normalisées et à nouveau pseudonymisées, voire anonymisées.

Les données seront ensuite versées dans un espace de travail propre à chaque projet de recherche, auquel seul le responsable de traitement (ou, le cas échéant, le laboratoire de recherche ou le bureau d’études) aura accès, isolé des autres espaces par des solutions de conteneurisation logicielle. Cet espace de travail contiendra ainsi les seules données nécessaires au projet, avec un identifiant généré aléatoirement qui sera spécifique à chaque projet. A cet égard, la Commission recommande l’utilisation d’un générateur de nombres pseudo-aléatoires cryptographiquement sûr.

Les mécanismes de gestion du cycle de vie des données seront automatisés, afin de gérer les durées de conservation des données sources (données des cohortes et du SNDS) et des données des espaces projets. Les systèmes de purge seront automatisés et un suivi des durées de conservation par base source sera mis à disposition dans le catalogue de services.

Les mesures de sécurité décrites répondent aux exigences prévues par les articles 5,1, f) et 32 du RGPD compte tenu des risques identifiés par les responsables conjoints de traitement. Il appartiendra à ces derniers de procéder à une réévaluation régulière des risques pour les personnes concernées et une mise à jour, le cas échéant, de ces mesures de sécurité.

Dans ces conditions, la Commission autorise le consortium AGORIA SANTE composé des sociétés Docaposte, AstraZeneca et Impact Healthcare, à mettre en œuvre un traitement de données à caractère personnel ayant pour finalité la constitution d’un entrepôt de données de santé dénommé plateforme Agoria santé pour une durée de dix ans .

La Présidente

Marie-Laure DENIS