Responsables du traitement

Plusieurs organismes interviendront en qualité de responsables conjoints de traitement dans le cadre de la constitution de l’entrepôt dénommé UroCCR-Chain :

• d’une part, le Centre hospitalier universitaire de Bordeaux ;
• d’autre part, la société Clinityx, un bureau d’études qui réalise des recherches dans le domaine de la santé, notamment à partir des données du Système national des données de santé (SNDS).

Conformément à l’article 26 du règlement général sur la protection des données (RGPD), les responsables conjoints du traitement devront définir de manière transparente leurs obligations respectives.

Sous-traitants

Plusieurs sous-traitants interviendront dans la mise en œuvre de cet entrepôt. Le traitement des données par chacun de ces sous-traitants devra être régi par un contrat ou un acte juridique conformément à l’article 28 du RGPD.

Sur la finalité du traitement, sa licéité et les conditions permettant de traiter des données concernant la santé

L’entrepôt de données de santé UroCCR-Chain vise à permettre la réalisation d’études épidémiologiques, observationnelles ou translationnelles, à échelon national ou international, dans le domaine du cancer du rein, liées à :

• l’épidémiologie descriptive du cancer du rein ;
• la pharmaco-épidémiologie et l’observation des traitements ;
• la qualité de vie et les conséquences personnelles, familiales, professionnelles et sociales du cancer du rein ;
• la recherche de biomarqueurs diagnostiques et pronostiques ;
• la recherche de marqueurs prédicteurs de l’évolution de la maladie ;
• l’évaluation des pratiques de soins et des techniques de traitement.

Cet entrepôt de données est soumis aux dispositions des articles 44-3° et 66-III de la loi informatique et libertés , qui prévoient une autorisation pour les traitements comportant des données relatives à la santé et justifiés, comme en l’espèce, par l’intérêt public.

Il sera alimenté par des données à caractère personnel issues :

• de la base de données clinico-biologiques du réseau UroCCr ;
• du SNDS.

La Commission considère que la finalité du traitement est déterminée, explicite et légitime, conformément aux dispositions de l’article 5-1-b du RGPD.

Le traitement mis en œuvre par les responsables conjoints de traitement est nécessaire aux fins des intérêts légitimes qu’ils poursuivent. Ce traitement est, à ce titre, licite au regard de l’article 6-1-f du RGPD et remplit une condition permettant le traitement des données concernant la santé au regard des dispositions des articles 9-2-j du RGPD et 44-3° de la loi informatique et libertés .

Les données contenues dans cet entrepôt ne sauraient, conformément aux dispositions de l’article L. 1461-1 du code de la santé publique (CSP), être exploitées à des fins de promotion des produits de santé en direction des professionnels de santé ou d’établissements de santé, ou à des fins d’exclusion de garanties des contrats d’assurance et de modification de cotisations ou primes d’assurance d’un individu ou d’un groupe d’individus présentant un même risque. De même, la Commission rappelle l’interdiction de constituer et d’utiliser à des fins de prospection ou de promotion commerciales des fichiers composés à partir des données issues directement ou indirectement des prescriptions médicales, dès lors que ces fichiers permettent d’identifier directement ou indirectement le prescripteur (article L. 4113-7 du CSP).

Les utilisations futures des données contenues dans cet entrepôt s’inscriront dans le cadre des dispositions des articles 66 et 72 et suivants de la loi informatique et libertés , qui imposent que chaque projet de recherche, étude ou évaluation soit justifié par l’intérêt public. Ces traitements devront faire l’objet de formalités propres.

Sur les points de non-conformité au référentiel concerné

Le dossier de demande mentionne que le traitement envisagé est conforme aux dispositions du référentiel entrepôt de données dans le domaine de la santé , à l’exception :

• de la base légale du traitement ;
• de la nature des données traitées (appariement des données cliniques avec les données du SNDS) ;
• de la durée de conservation des données ;
• de certaines mesures de sécurité.

En dehors de ces points, qui font l’objet d’un examen spécifique dans la présente autorisation, ce traitement devra respecter le cadre prévu par le référentiel entrepôt de données dans le domaine de la santé .

Sur la gouvernance de l’entrepôt

Les responsables conjoints du traitement ont mis en place un dispositif de gouvernance de l’entrepôt UroCCR-Chain composé :

• d’un comité de pilotage, se réunissant une fois par trimestre, et qui est en charge de :
  
  • suivre l’avancement de l’exécution des opérations relatives à l’entrepôt ;
  • l’établissement et du suivi du calendrier et de ses éventuels ajustements ;
  • suivre et coordonner les actions ;
  • prendre des décisions sur les aspects techniques et opérationnels ;
  • identifier les registres et traitements de données pertinents à intégrer à l’entrepôt UroCCR-chain ;
  • réaliser des actions de communication ;
• d’un comité scientifique, se réunissant en fonction du nombre de projets soumis et qui est en charge de :
  
  • rendre, de manière systématique, un avis préalable et motivé sur les projets nécessitant la réutilisation des données de l’entrepôt ;
  • tenir une liste des projets sur lesquels il s’est prononcé ;
  • d’établir un rapport annuel permettant d’assurer le suivi de la production scientifique du réseau.

Ces comités de gouvernance seront notamment composés de membre qualifiés en matière de traitement de données du SNDS.

Sur les données traitées

Cet entrepôt sera alimenté par des données à caractère personnel issues :

• de la base de données UroCCR dont le responsable de traitement est le Centre hospitalier universitaire de Bordeaux (demande d’autorisation n° 912578) ;
• du SNDS, pour les personnes incluses dans la base de données UroCCR .

Les données issues de la base UroCCR sont des données clinico-biologiques des patients atteints d’un cancer du rein et inclus entre le 1^er janvier 2010 et le 31 décembre 2030.

Concernant les données des patients :

• sexe ;
• mois et année de naissance ;
• code postal de résidence au moment de la chirurgie ;
• examens pré-thérapeutiques ;
• données relatives à la chirurgie ;
• données liées à la pathologie ;
• données cliniques associées à des échantillons biologiques ;
• données d’imagerie médicale ;
• données relatives à l’origine ethnique : phénotype africain (oui/non).

Concernant les données issues du SNDS :

Les données de la base de données UroCCR seront appariées avec certaines données du SNDS, provenant :

• du Système national d’information inter-régimes de l’assurance maladie (SNIIRAM), s’agissant notamment des consultations et des traitements médicaux ;
• du Programme de médicalisation des systèmes d’information (PMSI), s’agissant des évènements, des hospitalisations et des ré-interventions pendant le suivi ;
• du Centre d’épidémiologie sur les causes médicales de décès (CépiDc), s’agissant du statut vital des participants et des causes de décès.

La Commission relève que les données du SNIIRAM, du PMSI et du CépiDc des années 2008 à 2022 alimenteront, dans un premier temps, l’entrepôt Uro-CCR-Chain , sous réserve qu’elles soient diffusables par la Caisse nationale d’assurance maladie (CNAM). Dans un second temps, l’entrepôt sera alimenté en fenêtre roulante jusqu’en 2031.

Sur l’appariement des données de la base de données UroCCR et des données du SNDS dans le cadre de l’entrepôt UroCCR-Chain :

L’appariement sera réalisé de manière probabiliste à l’aide de variables communes (sexe, mois et année de naissance, code du Fichier national des établissements sanitaires et sociaux (FINESS) de l’établissement, code postal de résidence du patient au moment de la chirurgie, date d’entrée et de sortie de l’hôpital, date de la chirurgie, codes CIM-10 et CCAM de la prise en charge, de la chirurgie ou des complications, affections de longue durée).

La Commission souligne que, conformément à ses recommandations, seules les variables communes d’appariement seront transmises à la CNAM en vue de l’extraction des données du SNDS.

Les données traitées à des fins d’appariement avec le SNDS sont conservées de manière cloisonnée des données pseudonymisées de santé.

Sur les données des professionnels ayant accès aux données de santé :

Les données nominatives seront renseignées par les professionnels de UroCCR-Chain lors de la création de leur compte (nom, prénom et adresse courriel). Ces données feront l’objet de mesures de cloisonnement et seront stockées séparément des données de l’entrepôt.

Les données dont le traitement est envisagé sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités du traitement, conformément aux dispositions de l’article 5-1-c du RGPD.

Sur le circuit des données collectées dans UroCCR-Chain

Préalablement à la demande d’extraction des données du SNDS adressée à la CNAM, les responsables conjoints de traitement génèrent aléatoirement un identifiant spécifique projet (ISP).

L’appariement sera réalisé de manière probabiliste : Clinityx produira un fichier d’appariement contenant les variables communes à UroCCR et au SNDS ainsi que l’ISP et le transmettra de manière sécurisée à la CNAM.

La Commission en prend acte.

Sur la durée de conservation des données

Les données de santé des patients issues de la base de données UroCCR seront conservées pendant une durée de dix ans en base active à compter de la constitution de l’entrepôt UroCCR-chain , puis seront supprimées manuellement. La Commission rappelle qu’une procédure relative à cette suppression devra être formalisée par les responsables conjoints de traitement et recommande qu’une suppression automatique de ces données soit mise en place.

Les données du SNDS seront conservées un an, en fenêtre roulante. Chaque année, les données seront supprimées au moment de la réception des nouvelles données du SNDS au sein de la bulle sécurisée. Par ailleurs, chaque année, les données du SNDS de l’année la plus ancienne seront supprimées à l’occasion de la transmission des données de l’année la plus récente.

Ces durées de conservation des données n’excèdent pas les durées nécessaires aux finalités pour lesquelles elles sont collectées et traitées, conformément aux dispositions de l’article 5-1-e du RGPD.

Sur les accédants et les destinataires des données

Dans le cadre de la mise en œuvre de l’entrepôt UroCCR-Chain :

• les membres du personnel du Centre hospitalier universitaire de Bordeaux auront accès aux données des patients dont ils ont la charge afin de modifier ou d’ajouter des données cliniques ;
• les membres du personnel de Clinityx auront accès aux données pour la mise en œuvre de l’entrepôt UroCCR-chain et pour la réutilisation des données à des fins de recherches ultérieures.

Des documents tenus à jour indiquent la ou les personnes compétentes pour chaque responsable de traitement pour délivrer l’habilitation à accéder aux données, la liste des personnes habilitées à accéder à ces données, leurs profils d’accès respectifs et les modalités d’attribution, de gestion et de contrôle des habilitations.

Ces catégories de personnes sont soumises au secret professionnel dans les conditions définies par les articles 226-13 et 226-14 du code pénal.

La qualification des personne habilitées et leurs droits d’accès doivent être régulièrement réévalués, conformément aux modalités décrites dans la procédure d’habilitation établie par les responsables de traitement.

Sur l’information des personnes concernées

En ce qui concerne les patients inclus dans la base de données UroCCR dont le suivi est achevé :

Ils recevront une note d’information individuelle par voie postale.

Les données relatives aux patients dont le suivi est achevé et n’ayant pas reçu la note d’information individuelle par voie postale ne seront pas traitées dans le cadre de l’entrepôt UroCCR-Chain .

En ce qui concerne les patients inclus dans la base de données UroCCR dont le suivi est toujours en cours et ceux nouvellement inclus :

Ils recevront une note d’information individuelle à l’occasion d’une visite de suivi.

Par ailleurs, la Commission relève qu’un portail de transparence dédié à l’entrepôt UroCCR-Chain sera mis en place, afin de diffuser les notes d’information relatives à sa constitution et aux recherches réalisées à partir des données qu’il contient.

Une note d’information collective sera également diffusée sur le site web de la base de données UroCCR .

En ce qui concerne les professionnels accédant aux données de santé :

Le dossier de demande mentionne que les professionnels de santé seront informés par courriel, lors de leur manifestation de volonté de participer à l’entrepôt et préalablement à la fourniture de leurs identifiants de connexion.

Tous les documents d’information devront être conformes aux dispositions du RGPD.

En ce qui concerne la transparence des traitements :

L’article L. 1461-3 du CSP subordonne l’accès aux données du SNDS et de ses composantes à la communication à la Plateforme des données de santé (PDS) de plusieurs éléments par les responsables de traitement, avant et après la réalisation des études.

Les projets de recherches, d’études ou d’évaluations réalisés à partir des données de l’entrepôt UroCCR-Chain devront être enregistrés au sein du répertoire public de la PDS.

La Commission prend par ailleurs acte de l’engagement des responsables de traitement d’inscrire l’entrepôt au sein du répertoire public de la PDS.

Elle demande enfin que lui soit communiqué tous les trois ans un rapport sur le fonctionnement de l’entrepôt et sur les recherches réalisées à partir des données qu’il contient.

Ces modalités d’information sont conformes au principe de transparence et aux exigences d’information prévues par les articles 12 et suivants du RGPD.

Sur les droits des personnes concernées

Les droits s’exercent auprès du délégué à la protection des données du Centre hospitalier universitaire de Bordeaux, qui transmettra ses instructions à Clinityx.

En cas d’exercice du droit d’opposition, les données de la personne concernée n’alimenteront pas l’entrepôt et seront, le cas échéant, supprimées.

Toutefois, les données utilisées dans le cadre de recherches déjà en cours ne pourront être supprimées si la personne concernée ne s’est pas manifestée dans un délai de trois mois après la publication de la note d’information sur le portail de transparence En outre, un délai d’un mois sera respecté entre l’envoi de la note d’information par voie postale ou sa remise lors d’une visite de suivi, et la mise en œuvre de recherches ultérieures, afin de permettre aux personnes concernées d’exercer leur droit d’opposition préalablement au traitement de leurs données.

Conformément aux principes de transparence et de loyauté de l’article 5 du RGPD et comme précisé dans les lignes directrices sur la transparence adoptées par le groupe de travail de l’Article 29 (G29) le 29 novembre 2017, le responsable de traitement doit informer les personnes concernées de toute restriction spécifique applicable à ces droits afin de s’assurer que leurs attentes raisonnables n’ont pas été trompées. Si les personnes concernées fournissent des informations complémentaires permettant leur ré-identification, un tel exercice devra être rendu possible conformément à l’article 11 du RGPD.

Cette information devra être fournie concernant l’entrepôt de données de santé et pour chaque projet de recherche ultérieur.

Sur les transferts de données

La présente décision ne vaut pas autorisation de transfert de données en dehors de l’Union européenne vers un pays ne présentant pas un niveau de protection adéquat.

Sur la sécurité des données et la traçabilité des actions

À titre liminaire, la Commission prend acte de ce que le dossier de demande mentionne que le traitement envisagé est conforme à la plupart des mesures de sécurité prévues dans le référentiel entrepôt de données dans le domaine de la santé , à l’exception de certaines d’entre elles qui ont été précisément identifiées. Pour ces dernières, la non-conformité a été dûment justifiée et compensée par la mise en œuvre de mesures techniques et organisationnelles à l’état de l’art.

L’infrastructure technique de la société Clinityx, utilisée pour l’hébergement de systèmes fils du SNDS, a été analysée par la Commission à diverses reprises.

Les responsables conjoints de traitement ont réalisé et transmis à l’appui de la demande d’autorisation une analyse d’impact relative à la protection des données spécifique à la création de l’entrepôt UroCCR-Chain , ainsi qu’une analyse de risque sur la sécurité des systèmes d’information.

Une homologation de la bulle sécurisée a de même été réalisée par l’autorité d’homologation le 20 décembre 2021, conformément à l’arrêté du 22 mars 2017 relatif au référentiel de sécurité applicable au SNDS.

Cette décision d’homologation n’est valable que jusqu’au 31 janvier 2023, sous réserve de la mise en œuvre du plan d’action que l’autorité d’homologation a défini. Elle devra donc être renouvelée avant cette date, le traitement devant se poursuivre au-delà de cette échéance.

Des mesures techniques et organisationnelles ont été prévues par les responsables de traitement afin de cloisonner les différentes extractions du SNDS pouvant être stockées au sein de sa bulle sécurisée. Des environnements distincts fondés sur des solutions de conteneurisation logicielle sont notamment mis en œuvre afin d’empêcher toute fusion des données.

Aucune donnée administrative ne sera hébergée au sein de cet entrepôt de données de santé. La mise en place de cet entrepôt n’entraîne pas le transfert de données à caractère personnel, directement ou indirectement identifiantes des patients hors de l’Union européenne.

Les données de santé seront chiffrées au repos par des algorithmes à l’état de l’art au sein d’un hébergeur certifié pour l’hébergement de données de santé, localisé en France, et exclusivement soumis aux lois et aux juridictions de l’Union européenne. Ces données seront également chiffrées en transit. Les sauvegardes seront chiffrées au repos. Des espaces de projets distincts les uns des autres et de l’entrepôt lui-même, seront mis en place grâce à l’utilisation de solutions de conteneurisation logicielle et de systèmes de fichiers chiffrés pour les données de chaque étude. Des numéros pseudonymes uniques spécifiques à chaque espace de projet et à chaque patient, reposant sur un générateur de nombres pseudo-aléatoires cryptographiquement sûr, devront être mis en œuvre afin de réduire les risques de ré-identification des personnes concernées. En fin d’étude, l’espace de projet dédié sera clos et les données en seront supprimées.

L’exportation de données hors de l’entrepôt UroCCR-Chain consistera exclusivement en des rapports statistiques ne permettant aucune ré-identification des personnes et fondés sur des agrégations de données. Ces rapports seront transmis exclusivement aux responsables de traitement pour la réalisation de recherches ultérieures. Un seuil minimal de onze personnes devra être défini pour chaque agrégation afin d’empêcher toute ré-identification des personnes.

La Commission rappelle que les responsables de traitement doivent réaliser une analyse permettant de démontrer que ses processus d’anonymisation respectent les trois critères définis par l’avis n°05/2014 sur les techniques d’anonymisation adoptées par le G29 le 10 avril 2014.

À défaut, si ces trois critères ne peuvent être réunis, une étude des risques de ré-identification doit être menée.

L’importation des données de santé en provenance de la plateforme initiale sera effectuée de façon chiffrée et sécurisée grâce à une authentification multi-facteurs comportant un mot de passe conforme à la délibération n° 2017-012 du 19 janvier 2017 portant adoption d’une recommandation relative aux mots de passe, ou à la version ultérieure la plus récente de cette recommandation. Les mots de passe utilisés seront renouvelés après chaque importation. L’accès aux données et à l’administration de UroCCR-Chain repose sur l’utilisation de réseaux privés virtuels chiffrés à l’état de l’art distincts ainsi que sur des mécanismes d’authentification multi-facteurs similaires.

Les données minimisées issues du SNDS seront transmises par la CNAM via un support amovible chiffré dont les algorithmes et modalités de gestion de clés sont conformes aux annexes B1 et B2 du référentiel général de sécurité (RGS).

Les traces techniques et fonctionnelles seront conservées pendant une durée conforme aux préconisations de la Commission et adossées à un mécanisme proactif de contrôle régulier. Des bastions d’administration permettront une traçabilité des connexions.

Enfin, un audit de sécurité, qui comprend un test d’intrusion, sera effectué annuellement par une société tierce. Les préconisations de cet audit seront intégrées au plan d’action.

Les mesures de sécurité décrites répondent aux exigences prévues par les articles 5-1-f et 32 du RGPD compte tenu des risques identifiés par les responsables de traitement. Il appartiendra à ces derniers de procéder à une réévaluation régulière des risques pour les personnes concernées et une mise à jour, le cas échéant, de ces mesures de sécurité.