Sur les responsables conjoints de traitement

Plusieurs organismes interviendront en qualité de responsables conjoints de traitement dans le cadre de la constitution de l’entrepôt dénommé DATA-MESH :

• d’une part, le Centre hospitalier universitaire (CHU) de Poitiers ;
• d’autre part, la société Clinityx, bureau d’études qui réalise des recherches dans le domaine de la santé, notamment à partir des données du Système national des données de santé (SNDS).

Conformément à l’article 26 du règlement général sur la protection des données (RGPD), les responsables conjoints de traitement devront définir de manière transparente leurs obligations respectives.

Sur les sous-traitants

Plusieurs sous-traitants interviendront dans la mise en œuvre de cet entrepôt. Le traitement des données par chacun de ces sous-traitants devra être régi par un contrat ou un acte juridique conformément à l’article 28 du RGPD.

Sur la finalité du traitement, sa licéité et les conditions permettant de traiter des données concernant la santé

L’entrepôt de données de santé DATA-MESH vise à permettre la réalisation de recherches sur l’incontinence urinaire et le prolapsus génital, destinées notamment à :

• répondre aux questions de la tolérance et des conséquences à court et à long terme de l’utilisation des bandelettes sous-urétrales ou de la chirurgie du prolapsus ;
• préciser les facteurs de risques des évènements indésirables graves et des récidives, qui peuvent intervenir en fonction des caractéristiques du patient, de la présence d’une prothèse et de ses caractéristiques, de l’utilisation de fils non-résorbables ou d’agrafes, du type de chirurgie, du chirurgien, ou encore de l’établissement de soins ;
• réaliser des comparaisons entre les différents types de matériaux et les différentes méthodes de pose ;
• préciser la sensibilité et la spécificité des informations contenues dans le SNDS grâce à une comparaison aux données vérifiées de l’étude Vigi-Mesh ;
• décrire et analyser les réinterventions chirurgicales pour complication ou récidive.

Cet entrepôt de données est soumis aux dispositions de l’article 44-3° et 66-III de la loi du 6 janvier 1978 modifiée, qui prévoient une autorisation pour les traitements comportant des données relatives à la santé et justifiés, comme en l’espèce, par l’intérêt public.

Il sera alimenté par des données à caractère personnel issues :

• de l’étude Vigi-Mesh ;
• du SNDS.

La Commission considère que la finalité du traitement est déterminée, explicite et légitime, conformément aux dispositions de l’article 5-1-b du RGPD.

Le traitement mis en œuvre par les responsables conjoints de traitement est nécessaire aux fins des intérêts légitimes qu’ils poursuivent. Ce traitement est, à ce titre, licite au regard de l’article 6-1-f du RGPD et remplit une condition permettant le traitement des données concernant la santé au regard des dispositions des articles 9-2-j du RGPD et 44-3° de la loi informatique et libertés .

Les données contenues dans cet entrepôt ne sauraient, conformément aux dispositions de l’article L. 1461-1 du code de la santé publique (CSP), être exploitées à des fins de promotion des produits de santé en direction des professionnels de santé ou d’établissements de santé, ou à des fins d’exclusion de garanties des contrats d’assurance et de modification de cotisations ou primes d’assurance d’un individu ou d’un groupe d’individus présentant un même risque. De même, la Commission rappelle l’interdiction de constituer et d’utiliser à des fins de prospection ou de promotion commerciales des fichiers composés à partir des données issues directement ou indirectement des prescriptions médicales, dès lors que ces fichiers permettent d’identifier directement ou indirectement le prescripteur (article L. 4113-7 du CSP).

Les utilisations futures des données contenues dans cet entrepôt s’inscriront dans le cadre des dispositions des articles 66 et 72 et suivants de la loi informatique et libertés , qui imposent que chaque projet de recherche, étude ou évaluation soit justifié par l’intérêt public. Ces traitements devront faire l’objet de formalités propres.

Sur les points de non-conformité au référentiel concerné

Le dossier de demande mentionne que le traitement envisagé est conforme aux dispositions du référentiel entrepôt de données dans le domaine de la santé , à l’exception :

• de la base légale du traitement ;
• de la nature des données traitées (appariement des données cliniques avec les données du SNDS) ;
• de la durée de conservation des données ;
• de certaines mesures de sécurité.

En dehors de ces points, qui font l’objet d’un examen spécifique dans la présente autorisation, ce traitement devra respecter le cadre prévu par le référentiel entrepôt de données dans le domaine de la santé .

Sur la gouvernance de l’entrepôt

Les responsables conjoints de traitement ont mis en place un dispositif de gouvernance de l’entrepôt DATA-MESH composé :

• d’un comité de pilotage, se réunissant de manière ad hoc, qui est en charge de :

• déterminer les orientations stratégiques et scientifiques de l’entrepôt ;
• prendre toute décision relative à l’utilisation ou la réutilisation du traitement de DATA-MESH ;
• tenir une liste exhaustive des données de l’entrepôt en justifiant de leur nécessité ;
• sélectionner les sources de données venant alimenter l’entrepôt et le périmètre de données pertinentes.

• d’un comité scientifique, se réunissant une fois par trimestre, et qui est en charge de :

• rendre, de manière systématique, un avis préalable et motivé sur les propositions de projets nécessitant la réutilisation des données de l’entrepôt ;
• tenir une liste des projets sur lesquels il s’est prononcé ;
• d’établir un rapport annuel transmis au délégué à la protection des données de l’entrepôt.

Ces comités de gouvernance seront notamment composés de membres qualifiés en matière de traitements de données du SNDS.

Sur les données traitées

Cet entrepôt sera alimenté par des données à caractère personnel issues :

• de l’étude Vigi-Mesh dont le responsable de traitement est le Centre hospitalier universitaire de Poitiers (demande d’autorisation n° 917092) ;
• du SNDS, pour les personnes incluses dans l’étude Vigi-Mesh .

Les données issues de l’étude Vigi-Mesh sont des données clinico-biologiques de patients opérés d’une incontinence urinaire, d’un prolapsus génital ou d’un prolapsus rectal collectées directement auprès des patients ou des établissements, et inclus entre 2017 et 2032.

Concernant les données des patients :

• sexe ;
• mois et année de naissance ;
• code postal de résidence ;
• données médico-administratives relatives à l’hospitalisation (notamment le nom de l’hôpital, code du Fichier national des établissements sanitaires et sociaux (FINESS ) de l’établissement, dates de procédures) ;
• comorbidités, poids, taille ;
• données cliniques d’hospitalisation ;
• données relatives à l’opération ;données de suivi et relatives aux éventuelles complications.

Concernant les données issues du SNDS :

Les données de l’étude Vigi-Mesh seront appariées avec certaines données du SNDS provenant :

• du Système national d’information inter-régimes de l’Assurance maladie (SNIIRAM) s’agissant notamment des consultations et traitements médicaux ;
• du Programme de médicalisation des systèmes d’information (PMSI), s’agissant notamment des comorbidités et antécédents et des informations médico-administratives sur les établissements de soins ;
• du Centre d’épidémiologie sur les causes médicales de décès (CépiDC), s’agissant du statut vital des participants et des causes de décès.

La Commission relève que les données du SNIIRAM, du PMSI et du CépiDc des années 2006 à 2022 alimenteront, dans un premier temps, l’entrepôt DATA-MESH , sous réserve qu’elles soient diffusables par la Caisse nationale de l’assurance maladie (CNAM). Dans un second temps, l’entrepôt sera alimenté en fenêtre roulante jusqu’en 2032.

Sur l’appariement des données de l’étude Vigi-Mesh et des données du SNDS dans le cadre de l’entrepôt DATA-MESH :

L’appariement sera réalisé de manière probabiliste à l’aide de variables communes (sexe, mois et année de naissance, FINESS de l’établissement, code postal de résidence du patient, date et codes CIM-10 et CCAM de la chirurgie index).

La Commission souligne que, conformément à ses recommandations, seules les variables communes d’appariement seront transmises à la CNAM en vue de l’extraction des données du SNDS.

Les données traitées à des fins d’appariement avec le SNDS sont conservées de manière cloisonnée des données pseudonymisées de santé.

Sur les données des professionnels réalisant les interventions chirurgicales :

Les données nominatives (adresse électronique) ont été renseignées par les professionnels dans le cadre de l’étude Vigi-Mesh et seront recueillies afin de les informer de la mise en œuvre de l’entrepôt DATA-MESH . Ces données feront l’objet de mesures de cloisonnement et seront stockées séparément des données de l’entrepôt.

Les données dont le traitement est envisagé sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités du traitement, conformément aux dispositions de l’article 5-1-c du RGPD.

Sur le circuit des données collectées dans DATA-MESH

Préalablement à la demande d’extraction des données du SNDS adressée à la CNAM, les responsables conjoints de traitement génèrent aléatoirement un identifiant spécifique projet (ISP).

L’appariement sera réalisé de manière probabiliste : Clinityx produira un fichier d’appariement contenant les variables communes à Vigi-Mesh et au SNDS ainsi que l’ISP et le transmettra de manière sécurisée à la CNAM.

La Commission en prend acte.

Sur la conservation des données

Les données de santé issues de l’étude Vigi-Mesh seront conservées pendant une durée de quinze ans en base active à compter de la constitution de l’entrepôt, puis les données seront archivées pendant une durée de deux ans. Au-delà, les données seront supprimées manuellement. La Commission rappelle qu’une procédure relative à cette suppression devra être formalisée par les responsables conjoints de traitement et recommande qu’une suppression automatique de ces données soit mise en place.

Les données du SNDS seront conservées un an, en fenêtre roulante. Chaque année, l’ensemble de ces données sera supprimé au moment de la réception des nouvelles données du SNDS au sein de la bulle sécurisée. Ainsi, les données du SNDS de l’année la plus ancienne seront supprimées chaque année.

Ces durées de conservation des données n’excèdent pas les durées nécessaires aux finalités pour lesquelles elles sont collectées et traitées, conformément aux dispositions de l’article 5-1-e du RGPD.

Sur les accédants et les destinataires des données

Dans le cadre de la mise en œuvre de l’entrepôt DATA-MESH , pourront accéder aux données :

• les membres du personnel du CHU de Poitiers habilités, en ce qui concerne le transfert des données de l’étude Vigi-Mesh à Clinityx une fois par an ;
• les membres du personnel habilités de Clinityx, dans les strictes limites de leur besoin d’en connaître pour l’exercice de leurs missions s’inscrivant dans les finalités de l’entrepôt DATA-MESH .

Des documents tenus à jour indiquent la ou les personnes compétentes pour chaque responsable de traitement pour délivrer l’habilitation à accéder aux données, la liste des personnes habilitées à accéder à ces données, leurs profils d’accès respectifs et les modalités d’attribution, de gestion et de contrôle des habilitations.

Ces catégories de personnes sont soumises au secret professionnel dans les conditions définies par les articles 226-13 et 226-14 du code pénal.

La qualification des personnes habilitées et leurs droits d’accès doivent être régulièrement réévalués, conformément aux modalités décrites dans la procédure d’habilitation établie par les responsables de traitement.

Sur l’information des personnes

En ce qui concerne les patients inclus dans l’étude Vigi-Mesh dont le suivi est achevé et dont les coordonnées sont erronées :

En application de l’article 69 de la loi et de l’article 14-5-b du RGPD, l’obligation d’information individuelle de la personne concernée peut faire l’objet d’exceptions, notamment dans l’hypothèse où la fourniture d’une telle information se révélerait impossible, exigerait des efforts disproportionnés ou compromettrait gravement la réalisation des objectifs du traitement. En pareils cas, le responsable de traitement prend des mesures appropriées pour protéger les droits et libertés, ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles.

En l’espèce, il sera fait exception au principe d’information individuelle et des mesures appropriées seront mises en œuvre, notamment par la diffusion sur le site web du responsable de traitement de l’étude Vigi-Mesh d’une information comportant l’ensemble des mentions prévues par le règlement général sur la protection des données.

Une note d’information collective sera diffusée par voie d’affichage dans les différents lieux de consultation et d’inclusion des patients dans l’étude Vigi-Mesh .

En ce qui concerne les autres patients inclus dans l’étude Vigi-Mesh dont le suivi est achevé, les patients dont le suivi est toujours en cours et ceux nouvellement inclus :

Ils recevront une note d’information individuelle à l’occasion d’une visite de suivi.

Par ailleurs, la Commission relève qu’un portail de transparence dédié à l’entrepôt DATA-MESH (via l’outil Semaphore ) sera mis en place, afin de diffuser les notes d’information relatives à sa constitution, et aux recherches réalisées à partir des données qu’il contient.

En ce qui concerne les professionnels réalisant les interventions chirurgicales :

Le dossier de demande mentionne que les professionnels de santé seront informés par courriel lors de leur manifestation de volonté de participer à l’entrepôt et préalablement à la fourniture de leurs identifiants de connexion.

Tous les documents d’information devront être conformes aux dispositions du RGPD.

En ce qui concerne la transparence des traitements :

L’article L. 1461-3 du CSP subordonne l’accès aux données du SNDS et de ses composantes à la communication à la Plateforme des données de santé (PDS) de plusieurs éléments par les responsables de traitement, avant et après la réalisation des études.

Les projets de recherche, d’étude ou d’évaluation réalisés à partir des données de l’entrepôt DATA-MESH devront être enregistrés au sein du répertoire public de la PDS.

La Commission prend par ailleurs acte de l’engagement de la société Clinityx d’inscrire l’entrepôt au sein du répertoire public de la PDS.

Elle demande enfin que lui soit communiqué tous les trois ans un rapport sur le fonctionnement de l’entrepôt et sur les recherches réalisées à partir des données qu’il contient.

Ces modalités d’information sont conformes au principe de transparence et aux exigences d’information prévues par les articles 12 et suivants du RGPD.

Sur les droits des personnes concernées

Les droits s’exercent auprès de l’équipe de Vigi-Mesh ou auprès du délégué à la protection des données du CHU de Poitiers.

En cas d’exercice du droit d’opposition, les données de la personne concernée n’alimenteront pas l’entrepôt et seront, le cas échéant, supprimées.

Toutefois, les données utilisées dans le cadre de recherches déjà en cours ne pourront être supprimées si la personne ne s’est pas manifestée dans un délai de trois mois après la publication de la note d’information sur le portail de transparence. En outre, un délai d’un mois sera respecté entre l’envoi de la note d’information par voie postale ou sa remise lors d’une visite de suivi, et la mise en œuvre de recherches ultérieures, afin de permettre aux personnes concernées d’exercer leur droit d’opposition préalablement au traitement de leurs données.

Conformément aux principes de transparence et de loyauté de l’article 5 du RGPD et comme précisé dans les lignes directrices sur la transparence adoptées par le groupe de travail de l’Article 29 (G29) le 29 novembre 2017, les responsables de traitement doivent informer les personnes concernées de toute restriction spécifique applicable à ces droits afin de s’assurer que leurs attentes raisonnables n’ont pas été trompées. Si les personnes concernées fournissent des informations complémentaires permettant leur ré-identification, un tel exercice devra être rendu possible conformément à l’article 11 du RGPD.

Cette information devra être fournie concernant l’entrepôt de données de santé et pour chaque projet de recherche ultérieur.

Sur les transferts de données

La présente décision ne vaut pas autorisation de transfert de données en dehors de l’Union européenne vers un pays ne présentant pas un niveau de protection adéquat.

Sur la sécurité des données et la traçabilité des actions

À titre liminaire, la Commission prend acte de ce que le dossier de demande mentionne que le traitement envisagé est conforme à la plupart des mesures de sécurité prévues dans le référentiel entrepôt de données dans le domaine de la santé , à l’exception de certaines d’entre elles qui ont été précisément identifiées. Pour ces dernières, la non-conformité a été dûment justifiée et compensée par la mise en œuvre de mesures techniques et organisationnelles à l’état de l’art.

L’infrastructure technique de la société Clinityx, utilisée pour l’hébergement de systèmes fils du SNDS, a été analysée par la Commission à diverses reprises.

Les responsables conjoints de traitement ont réalisé et transmis à l’appui de la demande d’autorisation une analyse d’impact relative à la protection des données spécifique à la création de l’entrepôt DATA MESH , ainsi qu’une analyse de risque sur la sécurité des systèmes d’information. Une homologation de la bulle sécurisée a de même été réalisée par l’autorité d’homologation le 20 décembre 2021, conformément à l’arrêté du 22 mars 2017 relatif au référentiel de sécurité applicable au SNDS.

Cette décision d’homologation n’est valable que jusqu’au 31 janvier 2023, sous réserve de la mise en œuvre du plan d’action que l’autorité d’homologation a défini. Elle devra donc être renouvelée avant cette date, le traitement devant se poursuivre au-delà de cette échéance.

Des mesures techniques et organisationnelles ont été prévues par les responsables de traitement afin de cloisonner les différentes extractions du SNDS pouvant être stockées au sein de sa bulle sécurisée. Des environnements distincts fondés sur des solutions de conteneurisation logicielle sont notamment mis en œuvre afin d’empêcher toute fusion des données.

Aucune donnée administrative ne sera hébergée au sein de cet entrepôt de données de santé. La mise en place de cet entrepôt n’entraîne pas le transfert de données à caractère personnel, directement ou indirectement identifiantes des patients, hors de l’Union européenne.

Les données de santé seront chiffrées au repos par des algorithmes à l’état de l’art au sein d’un hébergeur certifié pour l’hébergement de données de santé, localisé en France, et exclusivement soumis aux lois et aux juridictions de l’Union européenne. Ces données seront également chiffrées en transit. Les sauvegardes seront chiffrées au repos. Des espaces de projets distincts les uns des autres et de l’entrepôt lui-même, seront mis en place grâce à l’utilisation de solutions de conteneurisation logicielle et de systèmes de fichiers chiffrés pour les données de chaque étude. Des numéros pseudonymes uniques spécifiques à chaque espace de projet et à chaque patient, reposant sur un générateur de nombres pseudo-aléatoires cryptographiquement sûr, devront être mis en œuvre afin de réduire les risques de ré-identification des personnes concernées. En fin d’étude, l’espace de projet dédié sera clos et les données en seront supprimées.

L’exportation de données hors de l’entrepôt DATA-MESH consistera exclusivement en des rapports statistiques ne permettant aucune ré-identification des personnes et fondés sur des agrégations de données. Ces rapports seront transmis exclusivement aux responsables de traitement pour la réalisation de recherches ultérieures. Un seuil minimal de onze personnes devra être défini pour chaque agrégation afin d’empêcher toute ré-identification des personnes.

La Commission rappelle que les responsables de traitement doivent réaliser une analyse permettant de démontrer que ses processus d’anonymisation respectent les trois critères définis par l’avis n° 05/2014 sur les techniques d’anonymisation adoptées par le G29 le 10 avril 2014.

À défaut, si ces trois critères ne peuvent être réunis, une étude des risques de ré-identification doit être menée.

L’importation des données de santé en provenance de la plateforme initiale sera effectuée de façon chiffrée et sécurisée grâce à une authentification multi-facteurs comportant un mot de passe conforme à la délibération n° 2017-012 du 19 janvier 2017 portant adoption d’une recommandation relative aux mots de passe, ou à la version ultérieure la plus récente de cette recommandation. Les mots de passe utilisés seront renouvelés après chaque importation. L’accès aux données et à l’administration de DATA-MESH repose sur l’utilisation de réseaux privés virtuels chiffrés à l’état de l’art distincts ainsi que sur des mécanismes d’authentification multi-facteurs similaires.

Les données minimisées issues du SNDS seront transmises par la CNAM via un support amovible chiffré dont les algorithmes et modalités de gestion de clés sont conformes aux annexes B1 et B2 du référentiel général de sécurité (RGS).

Les traces techniques et fonctionnelles seront conservées pendant une durée conforme aux préconisations de la Commission et adossées à un mécanisme proactif de contrôle régulier. Des bastions d’administration permettront une traçabilité des connexions.

Enfin, un audit de sécurité, qui comprend un test d’intrusion, sera effectué annuellement par une société tierce. Les préconisations de cet audit seront intégrées au plan d’action.

Les mesures de sécurité décrites répondent aux exigences prévues par les articles 5-1-f et 32 du RGPD compte tenu des risques identifiés par les responsables de traitement. Il appartiendra à ces derniers de procéder à une réévaluation régulière des risques pour les personnes concernées et une mise à jour, le cas échéant, de ces mesures de sécurité.