Sur la responsabilité de traitement

L’Association française contre les myopathies (AFM) – TELETHON, association de patients et de parents de patients, a pour objectif de promouvoir la recherche sur les maladies rares, notamment neuromusculaires, pour le développement des traitements de ces maladies et la prévention du handicap qu’elles provoquent.

Sur les sous-traitants et fournisseurs de données.

Plusieurs sous-traitants interviendront dans la mise en œuvre de cet entrepôt. Le traitement des données par chacun de ces sous-traitants devra être régi par un contrat ou un acte juridique, conformément à l’article 28 du RGPD.

Sur les points de non-conformités au référentiel concerné

Le dossier de demande mentionne que le traitement envisagé est conforme aux dispositions du référentiel « entrepôts de données dans le domaine de la santé » (EDS), à l’exception :

• de la base légale du traitement ;
• de la source des données alimentant l’EDS ;
• des destinataires des données ;
• des durées de conservation.

En dehors de ces points, le traitement devra respecter le cadre prévu par le référentiel « entrepôts de données dans le domaine de la santé ».

Sur la finalité du traitement, sa licéité et les conditions permettant de traiter des données concernant la santé

Le traitement envisagé a pour finalité la constitution d’un entrepôt de données à caractère personnel comprenant notamment des données de santé, dénommé « AFM-Téléthon ».

Ce dernier vise, grâce au regroupement sur le plan national des données disponibles sur la santé des personnes atteintes de maladies neuro-musculaires, à favoriser les projets de recherche et à permettre l’émergence de thérapies au bénéfice des patients.

La finalité du traitement est déterminée, explicite et légitime, conformément aux dispositions de l’article 5-1-b) du RGPD.

Les données contenues dans cet entrepôt ne pourront, par analogie avec les finalités « interdites » d’utilisation du Système national des données de santé (SNDS), être exploitées ni à des fins de promotion des produits mentionnés au II de l’article L. 5311-1 du code de la santé publique en direction de professionnels de santé ou d’établissements de santé, ni à des fins d’exclusion de garanties des contrats d’assurance, ni de modification de cotisations ou de primes d’assurance d’un individu ou d’un groupe d’individus présentant un même risque.

Le traitement mis en œuvre par le responsable de traitement est nécessaire aux fins des intérêts légitimes qu’il poursuit. Ce traitement est licite au regard de l’article 6-1-f) du RGPD et remplit des conditions permettant le traitement des données concernant la santé au regard des dispositions de l’articles 9-2-j) du RGPD et 44-3° de la loi « informatique et libertés » modifiée.

Les utilisations futures des données contenues dans cet entrepôt s’inscriront dans le cadre des dispositions des articles 66 et 72 et suivants de la loi « informatique et libertés », qui imposent que chaque projet de recherche, étude ou évaluation soit justifié par l’intérêt public. Ces traitements devront faire l’objet de formalités propres.

Sur la gouvernance de l’entrepôt

Le responsable de traitement a mis en place un dispositif de gouvernance afin de maîtriser l’exploitation qui sera faite des données de l’entrepôt « AFM-Téléthon », dans le respect des finalités déclarées et de l’intérêt public.

Ce dispositif est composé :

• d’un comité de pilotage stratégique, appelé à intervenir dans la fixation des objectifs stratégiques et scientifiques de l’entrepôt, en garantissant les intérêts des patients ;
• d’un comité scientifique et éthique, rendant un avis consultatif préalable et motivé sur les propositions de projets nécessitant la réutilisation des données de l’entrepôt.

Sur les sources de données alimentant l’entrepôt

Cet entrepôt sera alimenté par plusieurs sources de données à caractère personnel (dénommées ci-dessous « outils de collecte ») :

• Le premier outil de collecte comprendra des données issues du soin et se déclinant par maladies ou pathologies neuromusculaires. Les données seront collectées manuellement par les attachés de recherche clinique missionnés par l’AFM-Téléthon (ARC) à partir des dossiers médicaux des centres contributeurs ;
• Le deuxième outil de collecte comprendra des données génétiques issues du soin, directement saisies par les ARC missionnés par l’AFM- Téléthon, les généticiens du centre contributeur ou les professionnels travaillant pour les laboratoires d’analyses mandatés par le centre contributeur ;
• Le troisième outil de collecte comprendra des données issues d’auto-questionnaires portant exclusivement sur la qualité de vie des personnes concernées, saisis manuellement dans la base soit directement par les patients soit par les ARC.

L’entrepôt pourra également être alimenté par des données issues de recherches finalisées, dont la durée de conservation n’a pas expiré et le cas échéant, ayant fait l’objet des formalités requises auprès de la CNIL.

Une base spécifique sera dédiée à la gestion des identités des patients et des accédants.

Sur les catégories de données traitées

Les catégories de données collectées et versées dans l’EDS AFM-Téléthon appartiennent à celles visées dans le référentiel « entrepôts de données de santé ».

Les données nécessaires à l’identification et à l’authentification des patients et des accédants seront conservées dans des bases dédiées à la gestion des identités.

Les autres données administratives des patients seront collectées au sein de la base dédiée à la gestion de leurs identités, puis versées dans l’entrepôt, où elles seront cloisonnées des autres catégories de données.

Les données directement identifiantes et de contact des patients ne pourront être utilisées que pour les finalités prévues par le référentiel « entrepôt de données dans le domaine de la santé » (point 5.5) ainsi que pour l’administration des auto-questionnaires.

S’agissant des données issues d’auto-questionnaires de qualité de vie, le responsable de traitement a justifié que ces données étaient nécessaires à la réalisation des recherches, études et évaluations dans le domaine de la santé qui seront mises en œuvre ultérieurement.

Le numéro d’inscription au répertoire national d’identification des personnes physiques (NIR) ne sera pas collecté.

Les données dont le traitement est envisagé sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités du traitement, conformément aux dispositions de l’article 5-1-c) du RGPD.

Sur la conservation des données

Les données présentes au sein des outils de collecte seront purgées une fois transférées dans l’EDS. Le délai de purge des bases de collecte est fixé à douze mois à compter de la saisie de la donnée, sauf exception limitée, objectivée et documentée pour assurer la qualité des données. Ce transfert sera consécutif au contrôle de la qualité des données effectué dans les outils de collecte.

Les données seront conservées vingt ans à compter de leur versement dans l’outil de collecte.

Les données d’identité des patients seront conservées tant que le patient sera inclus dans l’entrepôt et que leur conservation sera justifiée au regard des finalités pour lesquelles elles sont collectées.

Les données d’identité des accédants seront conservées dans la base des identités aussi longtemps que les accédants seront habilités à accéder à l’outil de collecte et ou aux données de l’entrepôt. Les données feront l’objet d’un archivage sécurisé pendant cinq ans à compter de l’expiration de l’habilitation.

Les traces fonctionnelles et techniques seront conservées un an à compter de leur enregistrement.

Ces durées de conservation des données n’excèdent pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées, conformément aux dispositions de l’article 5-1-e) du RGPD.

Sur les accédants et destinataires des données

Pourront avoir accès aux données indirectement identifiantes dans les outils de collecte :

• les personnels nominativement habilités de l’AFM-Téléthon chargés de la gestion technique et scientifique de l’EDS ;
• les ARC prestataires de l’AFM-Téléthon, nominativement habilités, chargés de procéder à la saisie des données directement ou au travers des CRF et à leur vérification ;
• les médecins cliniciens des centres contributeurs ;
• les personnels habilités des laboratoires d’analyse génétique internes ou des correspondants des centres contributeurs ;
• les curateurs moléculaires des centres contributeurs ;
• les personnels de la société Epiconcept et de ses sous-traitants, nominativement habilités, chargés de la maintenance de l’infrastructure technique et des logiciels de gestion des bases de données de l’EDS.

Pourront avoir accès aux données indirectement identifiantes dans l’EDS :

• les personnels nominativement habilités de l’AFM-Téléthon chargés de la gestion technique et scientifique de l’EDS (administrateurs) ;
• les personnels de la société Epiconcept et de ses sous-traitants, nominativement habilités, chargés de la maintenance de l’infrastructure technique et des logiciels de gestion des bases de données de l’EDS (administrateurs) ;
• les personnels habilités des équipes internes et externes en charge des recherches réalisées à partir des données de l’EDS.

Pourront avoir accès aux données directement identifiantes et administratives :

• les personnels habilités de l’AFM-Téléthon (administrateurs) ;
• les ARC habilités prestataires de l’AFM-Téléthon ;
• les médecins cliniciens et personnels habilités des laboratoires d’analyse génétique correspondants des centres contributeurs et les membres de l’équipe de soins.

La procédure de gestion des accès et des habilitations telle que définie par le responsable de traitement contient la liste des personnes habilitées à accéder aux données, leurs profils d’accès respectifs et les modalités d’attribution, de gestion et de contrôle des habilitations.

La qualification des personnes habilitées et leurs droits d’accès doivent être régulièrement réévalués, conformément aux modalités décrites dans la procédure d’habilitation établie par le responsable de traitement.

Des engagements personnels de confidentialité seront conclus entre le responsable de traitement et les ARC intervenant dans le cadre de ce traitement.

Des conventions de collaboration seront également conclues entre le responsable de traitement et les centres contributeurs afin d’encadrer la transmission des données rétrospectives des patients.

Sur l’information des personnes

S’agissant de l’information des patients dont une visite de suivi est prévue dans les six mois suivant la constitution de l’EDS :

Une note d’information individuelle leur sera remise au moment de leur prise en charge ainsi que, le cas échéant, à leur représentant légal.

S’agissant de l’information des patients dont une visite de suivi n’est pas prévue dans les six mois suivant la constitution de l’EDS :

Une note d’information individuelle leur sera adressée par voie postale ainsi que, le cas échéant, à leur représentant légal.

Le courrier sera adressé à la dernière adresse connue par l’établissement hospitalier assurant la prise en charge médicale de la personne concernée.

Les courriers pour lesquels les plis seront retournés non délivrés seront identifiés par le médecin et remis aux ARC missionnés par le responsable de traitement qui s’efforceront de trouver l’adresse postale du patient en le contactant par voie électronique ou par téléphone.

S’agissant de l’information des patients dont une visite de suivi n’est pas prévue dans les six mois et n’ayant pas pu être informés individuellement :

En vertu de l’article 69 de la loi « informatique et libertés » et de l’article 14-5-b) du RGPD, l’obligation d’information individuelle de la personne concernée peut faire l’objet d’exceptions, notamment dans l’hypothèse où la fourniture d’une telle information se révélerait impossible, exigerait des efforts disproportionnés ou compromettrait gravement la réalisation des objectifs du traitement. En pareil cas, le responsable de traitement prend des mesures appropriées pour protéger les droits et libertés, ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles.

En l’espèce, il sera fait exception au principe d’information individuelle pour ces patients. Des mesures appropriées seront mises en œuvre notamment via la diffusion d’une notice d’information :

• sur le site web des établissements hospitaliers contributeurs au sein des pages consacrées aux activités de l’établissement en matière de recherche médicale ;
• sur le site web institutionnel du responsable de traitement au sein des pages consacrées à sa mission « guérir » ;
• sur le portail de transparence du responsable de traitement, disponible sur son site web.

Le portail de transparence comprendra :

• une présentation détaillé de l’EDS AFM-Téléthon ;
• une publication des études envisagées et des études cours ;
• une publication des points essentiels des résultats et des conclusions des études terminées ;
• une information sur la protection des données à caractère personnel et interface permettant l’exercice de leurs droits par les personnes concernées.

Le portail offrira la possibilité de s’abonner à une liste d’alertes adressées par courriel concernant toute nouvelle publication, notamment concernant les études à venir disponible sur le portail.

L’envoi de messages et d’alertes par voie électronique ne devra révéler aucune information sur l’état de santé réel ou supposé des personnes concernées.

Des notes d’information spécifiques sont également prévues pour les mineurs et majeurs faisant l’objet d’une mesure de protection.

S’agissant de l’information des professionnels de santé dont les données seront versées au sein de l’EDS :

Une note d’information individuelle sera adressée par courriel aux professionnels de santé à leur adresse électronique professionnelle.

Sur les accédants aux données de l’EDS :

Les personnes accédant à l’entrepôt recevront une note d’information sur le traitement de leurs données d’identification et de connexion. Cette note d’information leur sera communiquée lors de la remise de leur identifiant de connexion et de leur mot de passe initial, au format papier ou électronique, lors de la première connexion à la plateforme, puis lors de toute nouvelle connexion en cas de modification de la note d’information.

Les notes d’information devront comporter l’ensemble des mentions prévues par le RGPD.

Sur les droits des personnes

Sur les modalités d’exercice des droits :

Les droits des personnes s’exerceront :

• auprès du délégué à la protection des données du responsable de traitement par voie électronique ou postale ;
• auprès du médecin prenant en charge les personnes concernées (pour les patients) ;
• via un formulaire disponible sur le portail de transparence (pour les patients).

Une procédure détaillée concernant la gestion de l’exercice des droits a été prévue par le responsable de traitement. Les personnes en seront informées dans les notes d’informations.

Sur le droit d’opposition au versement des données dans l’EDS :

Le responsable de traitement a prévu un délai de quatorze jours afin que les personnes puissent s’opposer au versement de leurs données au sein de l’EDS à compter du moment où elles en sont informées.

Au-delà de ce délai, les personnes concernées pourront s’opposer au traitement des données les concernant et en demander l’effacement.

Sécurité des données et traçabilité des actions

Le responsable de traitement a réalisé et transmis à l’appui de la demande d’autorisation une analyse d’impact relative à la protection des données spécifique à la création de l’entrepôt « AFM-Téléthon ».

Les mesures de sécurité planifiées ou mises en place dans l’entrepôt ont été comparées avec les exigences de sécurité mentionnées dans le référentiel « entrepôt de données dans le domaine de la santé ». Aucun écart avec les exigences de sécurité du référentiel n’a été relevé par le responsable de traitement.

Les outils de collecte associés bénéficient de mesures de sécurité équivalentes à celles portées par le référentiel « entrepôt de données dans le domaine de la santé », notamment concernant le chiffrement et le cloisonnement des données, la mise en place d’une authentification double facteurs et la journalisation.

Les mesures de sécurité, qui devront être opérationnelles lors de la mise en œuvre du traitement, devront répondre aux exigences prévues par les articles 5-1-f) et 32 du RGPD compte tenu des risques identifiés par le responsable de traitement. Il appartiendra au responsable de traitement de procéder à une réévaluation régulière des risques pour les personnes concernées et une mise à jour, le cas échéant, de ces mesures de sécurité.