La Commission nationale de l’informatique et des libertés,

Saisie le 31 juillet 2023 par l’Université de Bordeaux d’une demande d’autorisation concernant un traitement automatisé de données à caractère personnel ayant pour finalité une étude portant sur la comparaison des trajectoires de santé conduisant aux maladies cardiométaboliques à l’échelle nationale pour évaluer l’interopérabilité des données de santé européennes intitulée « EHDS FR-FIN » ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (RGPD) ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés modifiée (loi « informatique et libertés »), notamment ses articles 66, 72 et suivants ;

Vu l’avis favorable avec recommandations du Comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé du 20 juillet 2023 ;

Vu le dossier et ses compléments ;

Après avoir entendu le rapport de M^me Valérie PEUGEOT, commissaire, et les observations de M. Damien MILIC, commissaire du Gouvernement ;

Formule les observations suivantes :

La CNIL a été saisie par l’Université de Bordeaux d’une demande d’autorisation relative à la mise en œuvre d’un projet de recherche portant sur les trajectoires de santé conduisant aux maladies cardiométaboliques à partir des données du Système national des données de santé (SNDS).

Ce projet fait partie d’un des cinq cas d’usage sélectionnés par la Commission européenne dans le cadre de la création de la version pilote de l’espace européen des données de santé (HealthData@EU Pilot). Des études similaires seront réalisées, après autorisation des autorités compétentes, à partir des données danoises, finlandaises, norvégiennes et hongroises, afin d’en comparer les résultats agrégés.

La Plateforme de données de santé (PDS) interviendra dans la mise en œuvre de l’étude française réalisée par l’Université de Bordeaux.

La répartition des rôles et responsabilités entre le responsable de traitement et la PDS, concernant notamment la sensibilisation des utilisateurs du projet, la surveillance des traces, la gestion des alertes et des incidents ainsi que les gestions des exports de données anonymes, devra être formalisée par une convention entre les deux parties, conformément à l’article 28 du règlement général sur la protection des données (RGPD).

Sur la finalité du traitement, sa licéité et les conditions permettant de traiter des données concernant la santé :

Le traitement envisagé a pour finalité de mettre en œuvre une étude portant sur les trajectoires de santé longitudinales, en particulier celles conduisant aux maladies cardiométaboliques, et de comparer ces trajectoires à partir des données françaises, finlandaises, danoises, norvégiennes et hongroises.

Cette étude, intitulée « EHDS FR-FIN », répond à trois objectifs :

• instaurer un dictionnaire de critères d’évaluation des maladies à partir des codes de diagnostic internationaux ;
• évaluer la distribution des maladies et l’association longitudinale des critères d’évaluation des maladies dérivés dans le SNDS ;
• construire des modèles de prédiction des maladies cardiométaboliques basés sur les trajectoires de santé en utilisant des approches statistiques et d’apprentissage automatique.

La finalité du traitement est déterminée, explicite et légitime, conformément aux dispositions de l’article 5.1.b du RGPD.

Le traitement mis en œuvre par l’Université de Bordeaux est nécessaire à l’exécution de la mission d’intérêt public dont elle est investie.

Ce traitement est, à ce titre, licite au regard de l’article 6.1.e du RGPD. En outre, ce traitement, nécessaire à des fins de recherche scientifique, remplit également la condition prévue à l’article 9.2.j du RGPD permettant de traiter des données concernant la santé.

Ce projet de recherche est soumis aux dispositions des articles 44.3°, 66.III et 72 et suivants de la loi « informatique et libertés », dont il résulte qu’en l’absence de conformité à une méthodologie de référence, les traitements à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé ne peuvent être mis en œuvre qu’après autorisation de la Commission.

Sur la nature des données traitées :

Sous réserve qu’elles soient diffusables par la Caisse nationale de l’assurance maladie (CNAM), le responsable de traitement sollicite un accès aux données du système national d’information inter-régimes de l’Assurance maladie (SNIIRAM), du programme de médicalisation des systèmes d’information (PMSI) et des causes médicales de décès (CépiDc), concernant les années 2010 à 2025.

Une cohorte d’environ douze millions de personnes affiliées au régime général et ne s’étant pas opposées à la réutilisation de leurs données contenues dans le SNDS sera constituée de façon aléatoire pour les besoins de cette étude.

Les données traitées, dont la collecte a été scientifiquement justifiée dans le dossier de demande, porteront notamment sur :

• les caractéristiques sociodémographiques (année de naissance, sexe, code de département de résidence et indice de défavorisation sociale) ;
• les causes de décès, codées avec la CIM-10 (classification internationale des maladies) ;
• les procédures chirurgicales et médicales (codes et dates des procédures provenant des dépenses de santé en ambulatoire et des résumés de sortie d’hôpital) ;
• les informations cliniques (codes de diagnostic, dates et durée du séjour à partir des résumés de sortie d’hôpital ; codes de diagnostic et dates d’inscription à l’affection de longue durée ; année, mois et cause du décès) ;
• les médicaments délivrés (codes et dates des médicaments dispensés à partir des dépenses de santé dispensées en ambulatoire et des résumés de sortie d’hôpital).

Seules les données strictement nécessaires et pertinentes au regard des objectifs du traitement seront transmises par la CNAM ; à cet égard, les filtrages et les appariements de données seront réalisés en amont de cette transmission par la CNAM.

Les données du SNIIRAM, du PMSI et du CépiDc étant issues de bases composant le SNDS, l’ensemble des dispositions législatives (articles L. 1461-1 à L. 1461-7 du code de la santé publique – CSP) et réglementaires relatives au SNDS sont applicables en l’espèce, notamment :

• l’interdiction d’utiliser ces données pour les finalités décrites à l’article L. 1461-1 V du code la santé publique ;
• le respect du référentiel de sécurité applicable au SNDS prévu par l’arrêté du 22 mars 2017.

Les données dont le traitement est envisagé sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités du traitement, conformément aux dispositions de l’article 5.1.c du RGPD.

Sur l’information et les droits des personnes :

En vertu de l’article 69 de la loi « informatique et libertés » et de l’article 14.5.b du RGPD, l’obligation d’information individuelle de la personne concernée peut faire l’objet d’exceptions, dans l’hypothèse où la fourniture d’une telle information se révélerait impossible, exigerait des efforts disproportionnés ou compromettrait gravement la réalisation des objectifs du traitement. En pareil cas, le responsable de traitement prend des mesures appropriées pour protéger les droits et libertés, ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles.

En l’espèce, il sera fait exception au principe d’information individuelle des personnes et des mesures appropriées seront mises en œuvre par la diffusion d’une information collective sur le site web du responsable de traitement. Cette note d’information devra comporter l’ensemble des mentions prévues par l’article 14 du RGPD.

Ce traitement sera également enregistré au sein du portail de transparence de la PDS.

Ces modalités d’information sont satisfaisantes au regard des dispositions du RGPD et de la loi « informatique et libertés ».

Les personnes concernées pourront exercer leurs droits auprès du délégué à la protection des données du responsable de traitement pendant toute la durée de l’étude.

Ces modalités d’exercice des droits sont satisfaisantes au regard des dispositions du RGPD et de la loi « informatique et libertés ».

Sur la durée de conservation des données :

Les données seront accessibles pendant cinq ans. Au-delà, les données seront anonymisées ou supprimées.

Ces durées de conservation des données n’excèdent pas les durées nécessaires aux finalités pour lesquelles elles sont collectées et traitées, conformément aux dispositions de l’article 5.1.e du RGPD.

Sur les accédants et les destinataires :

Seuls le responsable du traitement et les personnes habilitées par lui ont accès aux données dans le cadre de la présente décision unique. Le responsable de traitement tient à jour des documents indiquant la ou les personnes compétentes en son sein pour délivrer l’habilitation à accéder aux données, la liste des personnes habilitées, leurs profils d’accès respectifs et les modalités d’attribution, de gestion et de contrôle des habilitations.

Ces catégories de personnes sont soumises au secret professionnel dans les conditions définies par les articles 226-13 et 226-14 du code pénal.

La qualification des personnes habilitées et leurs droits d’accès doivent être régulièrement réévalués, conformément aux modalités décrites dans la procédure d’habilitation établie par le responsable de traitement.

Sur la sécurité des données et leurs modalités d’hébergement :

La CNIL prend acte de ce que le dossier de demande justifie de la nécessité de recourir à la solution technique de la PDS, compte tenu des caractéristiques ainsi que des modalités spécifiques de mise en œuvre de cette étude.

La sécurité des données de l’espace projet dédié au projet « EHDS FR-FIN » dépend essentiellement de la solution technique de la PDS, qui a fait l’objet d’une analyse globale des risques et d’impact sur la vie privée, suivie d’une homologation selon le référentiel de sécurité du SNDS.

Plus spécifiquement, une analyse d’impact relative à la protection des données a été transmise à la CNIL concernant la solution technique de la PDS, qui correspond à une bulle sécurisée SNDS et qui hébergera le projet « EHDS FR-FIN ».

Le responsable de traitement a réalisé et transmis à l’appui de la demande d’autorisation une analyse d’impact relative à la protection des données spécifique au projet « EHDS FR-FIN » et intégrant les éléments fournis par la PDS pour sa solution technique.

Une homologation de l’espace projet a ainsi été réalisée par le responsable de traitement le 4 avril 2023, pour une durée de trois ans, sous réserve de la mise en œuvre du plan d’actions qu’il a défini.

Cette décision d’homologation n’est valable que jusqu’au 3 avril 2026 et devra donc être renouvelée avant cette date si le projet est toujours en cours.

Les mesures de sécurité mises en œuvre par le responsable de traitement apparaissent proportionnées aux risques présentés par le traitement.

Sur les transferts de données en dehors de l’Union européenne :

Les dispositions de l’article R. 1461-1 du CSP prévoient qu’aucun transfert de données à caractère personnel ne peut être réalisé en dehors de l’Union européenne, sauf dans le cas d’accès ponctuels aux données par des personnes situées en dehors de l’Union européenne, pour une finalité relevant du 1° du I de l’article L. 1461-3 du CSP. En l’espèce, le dossier de demande mentionne que, bien que le prestataire ne soit pas exclusivement soumis aux lois et juridictions de l’Union européenne, aucun transfert en dehors de l’Union européenne de données individuelles du SNDS n’est prévu, aucun membre de l’équipe de recherche n’étant situé en dehors de l’Union européenne.

Autorise, conformément à la présente délibération, l’Université de Bordeaux à mettre en œuvre le traitement mentionné ci-dessus.

La Présidente

Marie-Laure DENIS