Remarques liminaires

Les projets mis en œuvre dans le cadre de l’article 51 de la loi n° 2017-1836 de financement de la sécurité sociale pour 2018 (ci-après LFSS 2018 ) constituent des expérimentations dérogatoires à certaines dispositions du code de la sécurité sociale (CSS) et du code de la santé publique (CSP) relatives aux modes d’organisation et de financement, dans les secteurs sanitaire, médico-social et de prévention (ci-après expérimentations de l’article 51 ). Leur but est de permettre l’émergence d’organisations de soins innovantes en s’appuyant sur le développement de nouveaux modes de rémunération des professionnels de santé.

Le décret n° 2018-125 du 21 février 2018 relatif au cadre d’expérimentations pour l’innovation dans le système de santé en précise l’organisation générale. Les dispositions de l’article L. 162-31-1 du CSS prévoient la mise en œuvre d’une évaluation systématique des expérimentations de l’article 51. La Commission relève qu’à ce jour, plus de 120 expérimentations (d’une durée allant de trois à cinq ans) ont débuté et que plusieurs dizaines d’autres sont en cours d’instruction par les instances nationales et régionales compétentes.

La demande d’autorisation dont elle est saisie vise à encadrer certains traitements mis en œuvre dans le cadre de l’évaluation de ces expérimentations.

La Commission rappelle que les traitements mis en œuvre dans le cadre des expérimentations de l’article 51 constituent des traitements distincts qui doivent, le cas échéant, faire l’objet de formalités propres conformément aux dispositions de la section 3 du chapitre III du titre 2 de la loi informatique et libertés .

Responsables de traitement

La Caisse nationale de l’assurance maladie (CNAM) et le ministère de la santé et de la prévention (direction de la recherche, des études, de l’évaluation et des statistiques) déterminent conjointement les finalités et les moyens des traitements mis en œuvre à des fins d’évaluation des expérimentations de l’article 51.

A ce titre, ils devront définir de manière transparente leurs obligations respectives conformément aux dispositions de l’article 26 du règlement général sur la protection des données (RGPD).

Sous-traitants

La Commission relève que les évaluations seront réalisées par des sous-traitants de la CNAM et de la DREES.

Elle relève également que les évaluations impliquant un traitement de données du Système national des données de santé (SNDS) seront mises en œuvre par un organisme se conformant aux critères de confidentialité, d’expertise et d’indépendance pour les laboratoires de recherche et bureaux d’études prévus par l’arrêté du 17 juillet 2017.

Le traitement des données par chacun de ces sous-traitants devra être régi par un contrat ou un acte juridique conformément à l’article 28 du RGPD.

Sur l’opportunité du recours au mécanisme de la décision unique

La réalisation de ces évaluations implique la mise en œuvre par la CNAM et la DREES de plus d’une centaine de traitements de données à caractère personnel présentant des caractéristiques similaires :

• une même finalité : l’évaluation systématique de nouvelles formes d’organisation et de rémunération des soins entrant dans le champ de l’article 51 de la LFSS 2018 ;
• la nature des données collectées (des données d’identification, des données concernant la santé, ainsi que des données relatives aux caractéristiques sociodémographiques) selon des circuits standardisés ;
• les mêmes catégories de destinataires.

La Commission relève que quatre types de traitements sont susceptibles d’être mis en œuvre en fonction des spécificités de ces évaluations :

• cas n° 1 : l’évaluation nécessite d’apparier les données recueillies dans le cadre de l’expérimentation avec les données du SNDS et cet appariement peut être réalisé grâce au numéro d’inscription au répertoire national d’identification des personnes physiques (NIR) collecté lors de l’expérimentation ;
• cas n° 2 : l’évaluation ne nécessite pas d’apparier les données de l’expérimentation avec les données du SNDS mais le NIR a été collecté dans le cadre de l’expérimentation afin d’apparier toutes les données recueillies dans le cadre de l’expérimentation ;
• cas n° 3 : l’évaluation nécessite d’apparier les données recueillies dans le cadre de l’expérimentation avec les données du SNDS et cet appariement ne peut être réalisé grâce au NIR car celui-ci n’a pas été collecté ;
• cas n° 4 : l’évaluation ne nécessite pas d’apparier les données de l’expérimentation avec les données du SNDS et le NIR n’a pas été collecté dans le cadre de l’expérimentation.

Les traitements décrits relevant du régime prévu par les dispositions des articles 66 et 72 et suivants de la loi n° 78-17 du 6 janvier 1978 modifiée (ci-après loi informatique et libertés ), la Commission estime opportun, au vu des éléments présentés dans le dossier de demande, de faire application des dispositions de l’article 66 IV, qui lui permettent, par décision unique, de délivrer à un même demandeur une autorisation pour des traitements répondant à une même finalité, portant sur des catégories de données identiques et ayant des catégories de destinataires identiques.

Sur la gouvernance du dispositif d’évaluation

Le pilotage du dispositif d’évaluation des expérimentations de l’article 51 a été confié à une cellule d’évaluation composée de la CNAM et de la DREES.

Cette cellule, dénommée CELEVAL est chargée :

• de sélectionner les évaluateurs, de leur attribuer des évaluations et de s’assurer de la bonne exécution du marché de l’évaluation ;
• de s’assurer de la qualité des travaux réalisés par les évaluateurs.

La Commission relève qu’a également été mise en place par la CNAM et la DREES une cellule chargée de vérifier la conformité à la présente décision unique des traitements mis en œuvre à des fins d’évaluation des expérimentations de l’article 51. La vérification de cette conformité sera opérée au moyen d’une procédure standardisée décrite dans le dossier de demande. En l’absence de conformité du projet de traitement au cadre prévu par la présente décision unique, celui-ci devra faire l’objet d’une demande d’autorisation.

Sur l’application des dispositions liées au SNDS

La Commission rappelle que l’ensemble des dispositions législatives et réglementaires relatives au SNDS est applicable lorsque l’évaluation impliquera un traitement des données du SNDS, et notamment l’interdiction d’utiliser ces données pour les finalités décrites à l’article L. 1461-1 V du CSP.

Sur la licéité des traitements

Les traitements mis en œuvre par la CNAM et la DREES sont nécessaires à l’exécution de la mission d’intérêt public dont elles sont investies.

Ces traitements sont, à ce titre, licites au regard de l’article 6.1.e RGPD.

Sur la finalité des traitements et leur caractère d’intérêt public

Les traitements mis en œuvre par la CNAM et la DREES ont pour finalité l’évaluation des expérimentations de l’article 51 afin :

• d’apprécier la réussite des expérimentations à l’aune de plusieurs critères (la faisabilité et l’opérationnalité du dispositif expérimental, son efficacité et son efficience ainsi que sa reproductibilité) afin, le cas échéant, de donner une suite à ces dernières ;
• d’aider à construire de nouveaux modèles d’organisation et de financement des soins.

La Commission considère, d’une part, que la finalité des traitements est déterminée, explicite et légitime, conformément à l’article 5.1.b du RGPD et, d’autre part, qu’elle présente un intérêt public, conformément à l’article 66 I de la loi informatique et libertés .

Sur les catégories de données traitées

En fonction des caractéristiques du traitement mis en œuvre au cours de l’expérimentation, plusieurs catégories de sources de données sont susceptibles d’être traitées dans le cadre des évaluations :

• les données produites à des fins de suivi des patients, de monitorage du dispositif ou de facturation issues de systèmes d’information mis en place dans le cadre de l’expérimentation, des systèmes d’information des agences régionales de santé et/ou de la plateforme de facturation des prises en charge ;
• les données donnant lieu à un recueil ad hoc dans le cadre de l’évaluation, exclusivement à des fins d’évaluation ;
• les données du SNDS.

Selon les cas, les données suivantes sont susceptibles d’être traitées dans le cadre des évaluations des expérimentations :

• les données administratives d’identification des personnes ayant participé à l’expérimentation (données nominatives, date de naissance complète, NIR) aux fins d’appariement des données recueillies dans le cadre de l’expérimentation avec les données du SNDS ;
• les données nominatives et les coordonnées des personnes ayant participé à l’expérimentation ainsi que, le cas échéant, celles de leurs proches aux fins de réalisation d’entretiens ;
• l’orientation sexuelle des personnes ayant participé à l’expérimentation, uniquement lorsque celle-ci est relative à la prise en charge de maladies sexuellement transmissibles.

En dehors de ces exceptions, seules les catégories de données visées par le § 2.2.3 de la délibération n° 2018-155 du 3 mai 2018 portant adoption de la méthodologie de référence MR-004 sont susceptibles d’être traitées dans le cadre des évaluations des expérimentations de l’article 51.

S’agissant des données du SNDS, la Commission relève que les données du SNIIRAM et du PMSI qui sont susceptibles d’être traitées dans le cadre des évaluations des expérimentations de l’article 51 portent sur une profondeur historique maximale de 2012 à 2027.

Elle relève également que la profondeur historique sollicitée sera variable en fonction des expérimentations et des évaluations :

• s’agissant des évaluations ne nécessitant pas d’accéder à des données du SNDS collectées avant le début de l’expérimentation, seules les données du SNDS collectées pendant la durée de l’expérimentation seront traitées ;
• s’agissant des évaluations nécessitant d’accéder aux données du SNDS collectées avant le début de l’expérimentation, en plus de celles collectées pendant l’expérimentation :
  
  • la majorité des évaluations nécessitera un accès aux données du SNDS recueillies durant les deux ou trois dernières années précédant le début de l’expérimentation ;
  • certaines évaluations pourront nécessiter un traitement des données du SNDS recueillies sept ans avant l’inclusion des personnes concernées dans l’expérimentation ou à la date index pour les cohortes témoins.

Conformément à l’article 30 du RGPD, les responsables conjoints de traitement devront tenir à jour, au sein de leur registre des activités de traitement, la liste des traitements mis en œuvre dans le cadre de la présente décision unique.

Par ailleurs, le caractère adéquat, pertinent et limité à ce qui est nécessaire au regard des finalités pour lesquelles les données sont traitées, la zone géographique concernée et la profondeur historique des données consultées devront être justifiés dans ce registre pour chaque traitement mis en œuvre dans le cadre cette décision unique.

Sur la durée de conservation des données

En fonction des caractéristiques des évaluations :

• les données administratives d’identification (données nominatives des participants, coordonnées, NIR) et les tables de correspondance seront détruites six mois après la fin de l’expérimentation ;
• en cas de réalisation d’une enquête dans le cadre de l’expérimentation, les données nominatives et les coordonnées seront détruites six mois après la fin de l’enquête lorsqu’il n’est pas prévu de la renouveler ou six mois après la fin de l’expérimentation lorsqu’un renouvellement est prévu ;
• la durée d’accès aux données du SNDS devra être limitée à la durée nécessaire à la mise en œuvre des traitements, qui ne saurait être supérieure à trois ans après la fin de chaque expérimentation.

Les autres données nécessaires à la mise en œuvre des évaluations seront conservées pendant trois ans après la fin de chaque expérimentation.

La Commission considère que ces durées de conservation des données n’excèdent pas les durées nécessaires aux finalités pour lesquelles elles sont collectées et traitées, conformément aux dispositions de l’article 5.1.e du RGPD.

Sur la publication des résultats

Lorsque le résultat du traitement de données est rendu public, l’identification directe ou indirecte des personnes concernées doit être impossible, conformément à l’article 68 de la loi informatique et libertés .

Sur les accédants et les catégories de destinataires des données

Seuls les responsables conjoints du traitement et les personnes habilitées par eux ont accès aux données dans le cadre de la présente décision unique. Ils tiennent à jour des documents indiquant la ou les personnes compétentes en leur sein pour délivrer l’habilitation à accéder aux données, la liste des personnes habilitées à accéder à ces données, leurs profils d’accès respectifs et les modalités d’attribution, de gestion et de contrôle des habilitations.

Ces catégories de personnes sont soumises au secret professionnel dans les conditions définies par les articles 226-13 et 226-14 du code pénal.

La qualification des personnes habilitées et leurs droits d’accès doivent être régulièrement réévalués, conformément aux modalités décrites dans la procédure d’habilitation établie par les responsables conjoints de traitement.

Sur l’information et les droits des personnes

S’agissant des patients perdus de vue ayant participé à l’expérimentation faisant l’objet d’une évaluation :

Sont considérés comme perdus de vue les patients dont le suivi a été interrompu au cours de l’expérimentation (qui ne se présentent plus aux réunions de suivi en présentiel ou en distanciel prévues dans le parcours défini dans le cahier des charges de l’expérimentation) et qui ne répondent plus aux sollicitations.

Pour ces patients, en application de l’article 14.5.b du RGPD et de l’article 69 de la loi informatique et libertés modifiée, l’obligation d’information individuelle de la personne concernée peut faire l’objet d’exceptions dans l’hypothèse où la fourniture d’une telle information se révèle impossible, exigerait des efforts disproportionnés ou compromettrait gravement la réalisation des objectifs du traitement.

En pareils cas, conformément au RGPD, les responsables conjoints de traitement prennent des mesures appropriées pour protéger les droits et libertés, ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles.

En l’espèce, la Commission prend acte de ce qu’il sera fait exception au principe d’information individuelle des personnes et que des mesures appropriées seront mises en œuvre, notamment par la diffusion, sur le site web dédié aux expérimentations de l’article 51 du ministère de la santé et de la prévention, d’une information relative au projet de recherche comportant l’ensemble des mentions prévues par l’article 14 du RGPD.

S’agissant des autres patients ayant participé à l’expérimentation faisant l’objet d’une évaluation :

Les patients majeurs recevront une note d’information individuelle à l’occasion de leur inclusion dans l’expérimentation, lors d’une visite de suivi ou par voie postale.

S’agissant des mineurs, ils recevront, ainsi que chacun des titulaires de l’exercice de l’autorité parentale, une note d’information individuelle.

Ces notes d’information ne seront adressées par voie électronique que lorsqu’elles ne comportent aucune information sur l’état de santé réel ou supposé des personnes ayant participé à l’expérimentation.

S’agissant des aidants, de la personne de confiance ou des proches des personnes ayant participé à des expérimentations :

La Commission relève que certaines évaluations pourront nécessiter la réalisation d’enquêtes ou d’entretiens auprès des aidants, de la personne de confiance ou des proches des personnes ayant participé à des expérimentations. Dans cette hypothèse, les proches recevront une note d’information individuelle.

Sur le rôle des acteurs et le principe de cloisonnement des données

Une analyse d’impact sur la protection des données a été réalisée et fournie à l’appui du dossier. Cette analyse, très complète, tient compte des recommandations de la Commission sur les circuits de pseudonymisation, ainsi que de ses préconisations sur la séparation des rôles et des accès aux données. La Commission salue le travail de conception réalisé par la CNAM dans ce domaine.

Afin de respecter le strict besoin d’en connaître et le principe de minimisation des données, les personnes ayant un accès aux données de santé n’auront pas accès aux données du projet issues du SNDS, ni à la table de correspondance entre les identifiants techniques des données du porteur de projet et les identifiants SNDS.

Chaque organisme intervenant dans la mise en œuvre de ces évaluations s’est ainsi vu assigner un rôle spécifique :

• les porteurs de projet et les producteurs de données de l’expérimentation collectent les données d’identification, de santé, et de rémunération (propres à l’évaluation). Ils envoient à un tiers de confiance dédié les données identifiantes des patients d’une expérimentation – traits d’identité, ainsi que, le cas échéant, dans les cas n° 1 et 3 en cas d’appariement déterministe, le NIR ou les informations permettant une reconstitution du NIR par la Caisse nationale d’assurance vieillesse (CNAV) ou les variables d’appariement en cas appariement probabiliste – associées à un identifiant technique. Par ailleurs, ils transmettent les données de santé, associées au même identifiant technique, à un tiers gestionnaire des données de santé ;
• la direction de la coordination de la gestion du risque (DCGDR) de la Caisse primaire d’assurance maladie (CPAM) d’Ille-et-Vilaine joue le rôle de tiers de confiance. Elle est destinataire des données identifiantes des patients d’une expérimentation, ainsi que de leurs identifiants techniques dans les différentes sources de données. Elle rapproche les données des différentes sources, grâce aux données identifiantes, et leur attribue un identifiant technique commun. Le cas échéant, notamment dans le cadre du cas n° 3, en cas d’appariement déterministe avec les données du SNDS, lorsque le NIR n’est pas disponible, elle récupère celui-ci auprès de la CNAV à partir des traits d’identité des personnes. Elle ne sera à aucun moment destinataire des autres données de l’évaluation (données cliniques, caractéristiques des individus, recours aux soins, etc.) ;
• la CPAM de Loire-Atlantique joue le rôle de gestionnaire des données de santé . Elle est destinataire des données de santé provenant des systèmes d’information du porteur de projet et de la plateforme de facturation de l’article 51. Elle ne sera à aucun moment destinataire des données identifiantes des patients et n’aura pas, le cas échéant, accès aux données extraites du SNDS pour ces patients ;
• dans les cas n° 1 et 3, l’équipe DEMEX de la CNAM joue le rôle de gestionnaire des données du SNDS . Elle reçoit du tiers de confiance les données identifiantes des patients de l’expérimentation (NIR pseudonymisé ou variables d’appariement) afin d’extraire les données SNDS correspondantes. Elle n’aura pas accès aux données de santé liées au projet ;
• l’évaluateur a accès aux données de santé d’un projet et, le cas échéant, aux données SNDS correspondantes, avec un identifiant spécifique commun généré lors de leur mise à disposition. Il n’aura pas accès aux données identifiantes des patients.

De même, la CNAM a défini des espaces dédiés pour recevoir et traiter les données de chaque projet sur son portail :

• un espace pour le lot n° 1, qui sera alimenté en lecture/écriture par le gestionnaire des données de santé et accessible en lecture pour l’évaluateur ;
• deux ou, en cas de traitement de données du SNDS, trois espaces pour le lot n° 2 :
  
  • un espace données de santé de l’expérimentation , qui sera alimenté en lecture/écriture par le gestionnaire des données de santé et accessible en lecture pour l’évaluateur ;
  • le cas échéant, un espace données SNDS , qui sera alimenté en lecture/écriture par le gestionnaire des données du SNDS et accessible en lecture pour l’évaluateur ;
  • un espace évaluateur accessible uniquement pour l’évaluateur, en lecture/écriture, afin qu’il puisse y créer ses propres indicateurs à partir des données de santé et, le cas échéant, de celles extraites du SNDS, et en faire l’analyse ; cet espace n’a pas vocation à stocker des données de santé, des données du SNDS ou des données appariées, et sa taille sera donc restreinte à 10 % de la somme des deux autres espaces.

Enfin, les identifiants des données sont également séparés :

• les porteurs de projet et les autres sources transmettent leur données en deux lots (données identifiantes d’une part, données de santé d’autre part) à deux destinataires distincts (tiers de confiance d’une part, gestionnaire des données de santé d’autre part), avec un identifiant technique généré spécifiquement pour relier les deux lots ;
• le tiers de confiance reçoit les données identifiantes des différentes sources d’un projet, les rapproche et leur attribue un identifiant de corrélation commun ; celui-ci est transmis au gestionnaire des données de santé en correspondance avec les identifiants techniques de chaque source ;
• le cas échéant, le tiers de confiance transmet au gestionnaire des données du SNDS les données identifiantes nécessaires à l’extraction des données du SNDS (NIR pseudonymisé ou variables d’appariement), accompagnées du même identifiant de corrélation qui sera le seul conservé dans l’extraction ;
• l’identifiant de corrélation sera remplacé, avant la mise à disposition des données de santé pour l’évaluateur, par un nouvel identifiant spécifique généré par le gestionnaire des données de santé ;
• le cas échéant, ce nouvel identifiant de mise à disposition sera partagé avec le gestionnaire des données du SNDS (dans un espace dédié aux deux gestionnaires des données ) afin que ce dernier puisse également remplacer l’identifiant de corrélation dans les données extraites du SNDS ; les deux jeux de données mis à disposition de l’évaluateur disposeront ainsi d’un même identifiant spécifique, permettant leur appariement pour une analyse conjointe.

S’agissant des personnes concernées qui ont exprimé leur opposition, le porteur de projet communiquera leurs données identifiantes au tiers de confiance, lequel transmettra au gestionnaire de données de santé la liste des identifiants de corrélation correspondants. Le gestionnaire de données de santé supprimera les données de santé correspondantes et retransmettra, le cas échéant, ces identifiants de corrélation au gestionnaire de données du SNDS pour que les données correspondantes ne soient pas extraites du SNDS.

Dans le cas particulier des enquêtes, les coordonnées de contacts des patients, professionnels ou autres acteurs, seront transmises à l’évaluateur par les porteurs de projet, via un circuit dédié, et les données seront conservées à part et supprimées dès l’enquête réalisée.

Les données d’enquêtes ne seront jamais appariées aux données de santé issues du système d’information du porteur ou du SNDS, mises à disposition sur le portail de la CNAM.

Sur la sécurité des données et la traçabilité des actions

Tous les échanges de données entre acteurs interviendront au moyen de plateformes sécurisées d’échange de fichiers ou des espaces de travail dédiés sur le portail de la CNAM. Le cas échéant, l’extraction des données du SNDS suivra le circuit habituel de pseudonymisation du NIR et de mise à disposition des données sur le portail de la CNAM. Les données, les canaux d’échanges et les postes de travail seront chiffrés.

Le tiers de confiance et le gestionnaire de données de santé travailleront sur des matériels informatiques dédiés et sécurisés par des mesures spécifiques. En cas de traitement de données du SNDS, le gestionnaire de données du SNDS et les évaluateurs travailleront dans des espaces dédiés du portail de la CNAM. Un profil d’habilitations spécifiques sera créé pour les personnes travaillant sur le projet Article 51 ; elles seules pourront en disposer, et elles ne pourront pas avoir d’autres habilitations sur les systèmes de l’assurance maladie. Les accès aux postes de travail et aux espaces de travail et d’échanges seront tracés.

Les évaluateurs qui auront accès aux données seront identifiés nominativement. Ils auront accès aux espaces projets mis à leur disposition sur le portail de la CNAM après avoir suivi des formations spécifiques et accepté les conditions générales d’utilisation du portail.

Les autres partenaires institutionnels (ministère, agences régionales de santé, Haute Autorité de santé) ne seront destinataires que de données statistiques agrégées sur les avancés de l’expérimentation.

Dans le cas des enquêtes menées par les évaluateurs, une séparation stricte de l’accès aux données identifiantes sera assurée : elles seront traitées dans un espace d’hébergement spécifique, avec une authentification forte nominative, par des équipes différentes de celles accédant aux données pseudonymisées de l’évaluation.

Enfin, le nom des espaces de stockage et des fichiers transmis ou traités ne fera en aucun cas référence à une pathologie ou au nom d’un projet (qui pourrait révéler une pathologie).

Sur le principe de transparence

L’encadrement de la mise à disposition des données du SNDS et de ses composantes est conçue de façon à permettre de rendre compte de leur utilisation au public.

A cette fin, l’article L. 1461-3 du CSP subordonne l’accès aux données du SNDS et de ses composantes à la communication à la Plateforme des données de santé (PDS) de plusieurs éléments par le responsable de traitement, avant et après les études.

Ainsi, le responsable de traitement s’engage à enregistrer auprès du répertoire public tenu par la PDS l’ensemble des études réalisées dans le cadre de cette décision unique. Cet enregistrement, à effectuer par le responsable de traitement ou la personne agissant pour son compte avant le début des traitements, s’accompagne de la transmission à la PDS d’un dossier comportant :

• le protocole, incluant la justification de l’intérêt public, ainsi qu’un résumé, selon le modèle mis à disposition par la PDS ;
• la déclaration d’intérêts du responsable de traitement, en rapport avec l’objet des traitements.

La Commission rappelle qu’à la fin des recherches, études ou évaluations, la méthode et les résultats obtenus devront être communiqués à la PDS en vue de leur publication. L’enregistrement des traitements et la transmission des résultats sont effectués conformément aux modalités définies par la PDS.

La Commission accueille favorablement la proposition de la CNAM et de la DREES de lui adresser, à l’issue d’un délai de trois ans, un bilan contenant notamment la liste des analyses réalisées dans le cadre de la décision unique, ainsi que la méthodologie suivie dans le cadre des analyses. Elle rappelle qu’un autre bilan devra lui être adressé à l’issue du délai de cinq ans.