Sur le responsable de traitement

Le responsable de traitement de cette étude est la société AI-STROKE.

Sur les sous-traitants

Plusieurs sous-traitants interviendront dans la mise en œuvre de cette étude.

Le traitement des données par chacun de ces sous-traitants devra être régi par un contrat ou un acte juridique, conformément à l’article 28 du RGPD.

Sur la finalité et le caractère d’intérêt public

Le traitement envisagé a pour finalité la mise en œuvre d’une étude portant sur le développement de l’application AI-Stroke Paramedics « neurologue numérique ».

Deux cohortes seront constituées dans le cadre de cette étude :

• une première cohorte comprenant les données de personnes majeures prises en charge, aux urgences ou dans le cadre d’une hospitalisation, au sein du Centre hospitalier universitaire de Nîmes pour une suspicion d’accident vasculaire cérébral (AVC) ou d’accident ischémique transitoire (AIT) ;
• une seconde cohorte comprenant les données de volontaires sains.

Les enregistrements vidéo, ainsi que certaines données de santé pseudonymisées (âge, sexe, type d’AVC, décision thérapeutique) collectés dans le cadre de l’étude « PREDISTROKE » (demande d’autorisation n°922223v1), seront réutilisés dans le cadre de la présente étude afin de constituer la première cohorte.

Le consentement des personnes concernées sera recueilli en vue de leur participation à l’étude.

Les données des personnes concernées par cette étude permettront d’entraîner un algorithme d’intelligence artificielle qui calculera un score de probabilité que le patient soit victime d’un AVC. La société AI-STROKE envisage que l’application mobile développée soit à terme qualifiée de dispositif médical.

Deux approches différentes pour entraîner l’algorithme d’intelligence artificielle seront explorées de façon théorique, puis mises en œuvre dans le cadre de l’étude.

La finalité du traitement est déterminée, explicite et légitime, conformément à l’article 5.1.b du RGPD, et ce traitement présente une finalité d’intérêt public, conformément à l’article 66. I de la loi « informatique et libertés ».

Sur la licéité du traitement et les conditions permettant de traiter des données concernant la santé

Le traitement mis en œuvre par la société AI-STROKE est nécessaire aux fins des intérêts légitimes qu’elle poursuit.

Ce traitement est, à ce titre, licite au regard de l’article 6.1.f du RGPD. En outre, ce traitement, nécessaire à des fins de recherche scientifique, remplit également la condition prévue à l’article 9.2.j du RGPD permettant de traiter des données concernant la santé. Ce projet de recherche est soumis aux dispositions des articles 44.3°, 66.III et 72 et suivants de la loi « informatique et libertés », dont il résulte qu’en l’absence de conformité à une méthodologie de référence, les traitements à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé ne peuvent être mis en œuvre qu’après autorisation de la Commission.

Sur le point de non-conformité à la méthodologie de référence concernée

Le dossier de demande mentionne que le traitement envisagé est conforme aux dispositions de la méthodologie de référence MR-004, à l’exception de la nature des données traitées.

En dehors de cette exception, ce traitement devra respecter le cadre prévu par la méthodologie de référence MR-004.

Sur les catégories particulières de données traitées

Des enregistrements vidéo permettant l’identification des personnes se prêtant à la recherche seront réutilisés dans le cadre de cette étude. Ce traitement est nécessaire pour le développement de l’algorithme d’intelligence artificielle. Les vidéos sont référencées via un numéro pseudonyme, spécifique à ce projet de recherche.

Les enregistrements vidéo doivent être traitée et transmis de façon séparée des autres données de santé et être enregistrées dans une base de données distincte.

Sur l’information et les droits des personnes

S’agissant de l’information des personnes :

Les personnes concernées recevront une note d’information individuelle spécifique à cette étude qui devra comporter l’ensemble des mentions prévues par le RGPD. Elle leur sera transmise à l’occasion d’une visite de suivi, pour les personnes participant à l’étude « PREDISTROKE » ou lors de la collecte de leurs données pour les autres personnes concernées.

Ces modalités d’information sont satisfaisantes au regard des dispositions du RGPD et de la loi « informatique et libertés ».

S’agissant des modalités d’exercice des droits :

Les personnes concernées pourront exercer leurs droits auprès du délégué à la protection des données de la société AI-STROKE pendant toute la durée de l’étude.

Ces modalités d’exercice des droits sont satisfaisantes au regard des dispositions du RGPD et de la loi « informatique et libertés ».

Sur les accédants et les destinataires

Seul le personnel désigné et habilité de la société AI-STROKE a accès aux enregistrements vidéo ainsi qu’aux autres données collectées dans le cadre de cette recherche.

En tout état de cause, seul un nombre strictement limité de personnes habilitées et soumises au secret professionnel pourront accéder aux enregistrements vidéo.

Sur les mesures de sécurité

La société AI-STROKE prévoit des profils d’habilitation afin de gérer les accès aux données. Ils doivent être adaptés aux besoins d’accès spécifiques des différents accédants (ingénieurs, administrateurs, délégué à la protection des données). Ces profils doivent être limités aux seules données nécessaires et pertinentes pour une tâche spécifique (annotation des images, transformation des vidéos, etc.). Une revue globale des habilitations devra être opérée régulièrement.

Pour le référencement des vidéos, un numéro dédié non signifiant devra être généré aléatoirement. S’agissant des vidéos concernant les patients provenant de l’étude PREDISTROKE, la table de correspondance entre l’identité du patient et le pseudonyme AI-STROKE (différent de celui utilisé pour PREDISTROKE) sera conservée de manière sécurisée par le centre investigateur de l’étude. Concernant les volontaires sains, la société AI-STROKE prévoit également l’attribution d’un numéro de pseudonymisation.

Les autres mesures de sécurité décrites dans le dossier de demande ont pour objectif de répondre aux exigences prévues par les articles 5.1.f et 32 du RGPD. À cet égard ces obligations imposent une réévaluation régulière des risques pour les personnes concernées et une mise à jour, le cas échéant, de ces mesures de sécurité. Par ailleurs, le responsable de traitement demeure pleinement responsable du niveau de sécurité effectif du traitement mis en œuvre et les textes applicables lui imposent d’être en mesure de justifier de sa conformité à tout moment.

Sur les transferts de données en dehors de l’Union européenne

La présente décision ne vaut pas autorisation de transfert de données en dehors de l’Union européenne (UE) vers un pays ne présentant pas un niveau de protection adéquat.

Le recours à un sous-traitant étatsunien par la société AI-STROKE permet le stockage de données uniquement à des fins de sauvegarde, ne nécessitant pas un accès par le sous-traitant aux données en clair, sur des serveurs du sous-traitant localisés au sein de l’UE. Ces données sont chiffrées avant leur stockage sur les serveurs du sous-traitant, sans lui transmettre la clé de déchiffrement, conformément aux conditions identifiées dans le cas d’usage n°1 dans les recommandations 01/2020 du Comité européen de la protection des données (CEPD) sur les mesures qui complètent les instruments de transfert destinés à garantir le respect du niveau de protection des données à caractère personnel de l’UE.

Sur les durées de conservation

Les données traitées dans le cadre de la présente étude seront conservées pendant trois ans en base active puis quinze ans en archivage.

Ces durées de conservation des données n’excèdent pas les durées nécessaires aux finalités pour lesquelles elles sont collectées et traitées, conformément aux dispositions de l’article 5.1.e du RGPD.

Sur la réutilisation des données de l’étude

Toute nouvelle étude qui serait mise en œuvre à partir des données traitées dans le cadre de la présente étude devra faire l’objet de formalités préalables auprès de la Commission (déclaration de conformité à une méthodologie de référence ou dépôt d’une demande d’autorisation).

Il est pris acte du fait que la société AI-STROKE prévoit de recueillir le consentement spécifique des personnes afin de constituer une base de données pérenne à des fins de recherche. Le recueil du consentement devra être conforme aux dispositions au RGPD, éclairée par les lignes directrices 5/2020 sur le consentement du CEPD. En application de ces dispositions, ce consentement devra notamment être explicite, libre et éclairé par une note d’information. Il pourra également être retiré à tout moment.

Dans l’hypothèse où le consentement ne serait pas recueilli pour l’ensemble des personnes concernées par cette base, sa constitution sera soumise au régime de formalités préalables prévu par les dispositions de la sous-section 1 de la section 3 du chapitre III du titre 2 de la loi « informatique et libertés » (déclaration de conformité au référentiel « entrepôt de données de santé » ou dépôt d’une demande d’autorisation).

Observations complémentaires

Les modèles développés à partir des données de cette étude ont vocation à être utilisés par les établissements ou les professionnels de santé, en qualité de responsables de traitement, dans le cadre de la prise en charge sanitaire des personnes aux fins d’aide au diagnostic médical.

La société AI-STROKE devra donc porter une attention particulière à ce que les modèles développés ne contiennent pas de biais algorithmiques comportant un risque de discrimination directe ou indirecte.