La Commission nationale de l’informatique et des libertés,

Saisie le 15 novembre 2023 par la Société d’exploitation de l’hebdomadaire Le Point « SEBDO » d’une demande d’autorisation relative des traitements automatisés à des fins de recherche, d’étude et d’évaluation nécessitant un accès aux données nationales du programme de médicalisation des systèmes d’information (ci-après « PMSI ») ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (ci-après « RGPD ») ;

Vu le code de la santé publique ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 66, 72 et suivants (ci-après loi « informatique et libertés ») ;

Vu l’avis favorable avec recommandations du Comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé (ci-après le « CESREES ») du 19 octobre 2023 ;

Vu le dossier et ses compléments ;

Après avoir entendu le rapport de M^me Valérie PEUGEOT, commissaire, et les observations de M. Damien MILIC, commissaire du Gouvernement ;

Considérant ce qui suit :

Afin d’établir son « palmarès annuel des hôpitaux et des cliniques », la Société d’exploitation de l’hebdomadaire Le Point (ci-après la société SEBDO) procède chaque année à l’analyse de données publiques, des réponses aux questionnaires qu’elle adresse aux établissements et des données contenues dans le PMSI.

Le PMSI consiste en un recueil synthétique et standardisé d’informations administratives et médicales au sein des établissements de santé, publics ou privés, à but lucratif ou à but non lucratif, dont les objectifs principaux sont d’organiser les soins hospitaliers sur le territoire français (planification) et de financer les établissements en fonction de leur activité (tarification à l’activité).

L’analyse de ces données, qui sont pseudonymisées, nécessite la mise en œuvre de traitements automatisés de données à caractère personnel, soumis au RGPD et à la loi « informatique et libertés ».

Ces traitements doivent être autorisés selon les procédures définies à la section 3 du chapitre III du titre II de la loi, et plus particulièrement les articles 66, 72 et suivants qui prévoient le régime juridique et les formalités préalables applicables aux recherches, études ou évaluations dans le domaine de la santé. Lorsque le traitement envisagé est mis en œuvre dans le cadre d’une étude, d’une évaluation ou d’une recherche n’impliquant pas la personne humaine et n’est pas conforme à une méthodologie de référence, il doit être autorisé par la CNIL après avis du CESREES.

Saisie en juin 2022 par la société SEBDO d’une demande d’autorisation dans le cadre de l’établissement de ses palmarès des années 2022 à 2024, la CNIL a considéré, tout en tenant compte de la nature particulière du demandeur, que les traitements de données du PMSI ne pouvaient être autorisés en l’état.

Cette décision de refus d’autorisation a fait l’objet d’un recours devant le Conseil d’Etat qui, par une décision du 30 juin 2023, a rejeté cette requête.

La CNIL a été saisie le 15 novembre 2023 par la société SEBDO d’une demande d’autorisation dans le cadre de l’établissement de ses palmarès des années 2024 à 2026. Le dossier de demande présenté par la société SEBDO a fait l’objet, le 19 octobre 2023, d’un avis favorable de la part du CESREES comportant cinq recommandations portant notamment sur la pondération des différents indicateurs et sur l’information du public quant aux modalités d’établissement du classement.

Un courrier de réponse à chacune de ces recommandations a été transmis à la CNIL lors du dépôt de la demande d’autorisation.

Sur la licéité des traitements :

Les traitements mis en œuvre par la société SEBDO s’inscrivent dans le cadre de son projet éditorial.

Ils sont nécessaires aux fins des intérêts légitimes qu’elle poursuit, prenant en considération, d’une part, le caractère pseudonymisé des données issues du PMSI et, d’autre part, des garanties, notamment en termes de droits des personnes, prévues par les textes encadrant la mise à disposition des données du SNDS.

Ces traitements sont, à ce titre, licites au regard de l’article 6,1,f) du RGPD.

Sur la finalité des traitements et leur caractère d’intérêt public :

Les traitements de données du PMSI aux fins d’établissement des classements hospitaliers de la société SEBDO répondent à l’une des finalités d’utilisation des données du SNDS prévue au 1° du III de l’article L. 1461-1 du CSP.

Ces traitements participent à l’information sur la qualité de l’offre de soins, tout en s’inscrivant dans le cadre de la liberté d’information et de la liberté de la presse.

Si cette finalité est susceptible, en elle-même, de répondre à un motif d’intérêt public, il convient de vérifier que les modalités de mise en œuvre de ces traitements ne viennent pas faire obstacle à l’atteinte de cet intérêt public.

Pour ce faire, la CNIL tient notamment compte de la finalité de l’étude, de la rigueur de la méthodologie ainsi que des efforts de transparence et de publication des résultats vis-à-vis des destinataires et des personnes dont les données seront exploitées.

En présence de traitements à des fins journalistiques, ainsi que l’a rappelé le Conseil d’Etat dans sa décision, il y a lieu de tenir compte de la qualité du demandeur pour apprécier l’intérêt public. Le fait que les choix méthodologiques ne soient pas étayés par la littérature scientifique ne constitue pas un obstacle à la reconnaissance d’un intérêt public dès lors que le responsable de traitement apporte des garanties méthodologiques et de transparence"propres à éviter que les lecteurs ne puissent être induits en erreur quant à la valeur et à la portée du classement".

Il appartient donc à la CNIL, éclairée par l’avis du CESREES, d’apprécier si les caractéristiques du dossier de demande permettent de considérer que les traitements envisagés par la société SEBDO présentent désormais un caractère d’intérêt public.

S’agissant de la méthodologie des traitements envisagés par la société SEBDO :

Elle a fait l’objet de plusieurs ajustements concernant les indicateurs calculés à partir des données du PMSI et leurs pondérations.

D’une part, la société SEBDO a modifié les modalités d’élaboration de certains indicateurs :

• fournie à titre informatif, la notoriété de l’établissement ne sera pas prise en compte pour l’établissement du classement ;
• le critère de la durée moyenne du séjour sera pondéré en fonction de la gravité des cas pris en charge ;
• le critère du taux d’intervention en ambulatoire ne sera pas pris en compte dans les spécialités où cette pratique n’est médicalement pas possible.

Le dossier de demande mentionne que la détermination de certains des indicateurs ne relève plus de la seule liberté éditoriale du demandeur mais est justifiée par des publications officielles et de la littérature.

La CNIL relève que ces modalités de calcul des indicateurs ont été examinées par le CESREES qui n’a émis aucune recommandation spécifique à ce sujet.

D’autre part, la société SEBDO, tout en apportant des précisions concernant la pondération entre les différents indicateurs, considère que cette dernière résulte de ses "choix éditoriaux" et est susceptible de varier en fonction des pathologies, sans que les modalités de variation soient communiquées.

Considérant qu’il s’agissait d’un "défaut méthodologique majeur", le CESREES a invité la société SEBDO à faire preuve de davantage de transparence sur le poids respectifs des différents critères.

La CNIL reprend à son compte cette invitation. Elle estime toutefois que, eu égard au caractère journalistique de l’enquête envisagée, qui ne constitue pas une publication scientifique, le fait de ne pas avoir le détail de la pondération ne fait pas obstacle à ce que l’intérêt public du projet soit reconnu, sous réserve que la méthodologie retenue soit suffisamment transparente vis-à-vis des personnes concernées.

S’agissant de la transparence de la méthodologie :

La notice consacrée à la méthodologie d’élaboration du palmarès sera librement accessible au public sur le site web du journal Le Point, ce que la CNIL accueille favorablement.

Sur ce point, le CESREES a estimé que "l’intérêt public ne peut être préservé que si une information appropriée du public est assurée« et a recommandé à la société SEBDO que »les modalités complètes et précises d’établissement des classements dans chaque domaine ou spécialité soient mis à la disposition du public, et notamment l’utilisation d’une pondération qui peut varier en fonction de choix éditoriaux de la revue".

La CNIL rejoint cette analyse, considérant que ces efforts de transparence supplémentaires ne pourront être pris en compte dans l’appréciation de l’intérêt public des traitements envisagés par la société SEBDO qu’à la condition que l’information relative à la méthodologie employée soit suffisamment détaillée afin de permettre aux personnes concernées par ce traitement et aux lecteurs du palmarès d’en apprécier la qualité ou les biais.

Suite à l’avis du CESREES , la société SEBDO a apporté davantage de précisions sur le contenu de cette notice méthodologique. Cette dernière comportera :

• des précisions sur la prise en compte des sources de données autres que celles du PMSI dans l’élaboration du classement (enjeux liés à l’administration des questionnaires aux établissements et leurs modalités de prise en compte, rôle dévolu aux centres de référence, etc.) ;
• des explications sur la construction et les modalités de prise en compte des différents indicateurs calculés à partir des données du PMSI ainsi que les motifs de variation des pondérations ;
• des avertissements relatifs aux limites des différents indicateurs et aux limites globales du classement.

Cette notice n’ayant pas été transmise dans le dossier, la CNIL demande à la société SEBDO de la lui transmettre au moment de sa publication.

Dans ces conditions , eu égard à la qualité du demandeur, la CNIL estime que la société SEBDO a apporté des garanties méthodologiques et de transparence destinées à éviter que le public puisse être induit en erreur quant à la valeur et à la portée de ce classement.

La CNIL considère donc que la finalité des traitements est déterminée, explicite et légitime, conformément à l’article 5,1,b) du RGPD et que ces traitements présentent une finalité d’intérêt public conformément à l’article 66.I de la loi.

Sur le traitement de données issues du Système national des données de santé (SNDS) :

La société SEBDO ne doit traiter, pour chacun des traitements mis en œuvre dans le cadre de la présente décision unique, que les données strictement nécessaires et pertinentes au regard des objectifs des traitements.

Outre le fichier spécifique permettant de relier toutes les données du PMSI concernant un même patient (fichier « ANO »), les données concernant les activités suivantes sont nécessaires à la réalisation de ces études :

• médecine, chirurgie, obstétrique et odontologie (MCO) ;
• recueil d’information médicalisée en psychiatrie (RIM-P).

Les traitements inclus dans le cadre de la décision unique portent sur les données du PMSI des années 2022 à 2024, sous réserve qu’elles soient diffusables par l’ATIH.

Conformément à l’article 30 du RGPD, la société SEBDO devra tenir à jour, au sein du registre des activités de traitement, la liste de ceux mis en œuvre dans le cadre de la présente décision unique. Par ailleurs, le caractère adéquat, pertinent et limité à ce qui est nécessaire au regard des finalités pour lesquelles les données sont traitées, la zone géographique concernée et la profondeur historique des données consultées devront être justifiés dans ce registre pour chaque traitement mis en œuvre dans le cadre cette décision unique.

Enfin, les données du PMSI étant issues de bases composant le SNDS, l’ensemble des dispositions législatives et réglementaires relatives au SNDS est applicable en l’espèce, et notamment l’interdiction d’utiliser ces données pour les finalités décrites à l’article L. 1461-1 V du code la santé publique.

Sur les catégories d’accédants et de destinataires des données :

Seuls le responsable du traitement et les personnes habilitées par lui auront accès aux données dans le cadre de la présente décision unique. Le responsable de traitement tiendra à jour des documents indiquant quelles sont les personnes compétentes en son sein pour délivrer l’habilitation à accéder aux données, la liste des personnes habilitées à accéder à ces données, leurs profils d’accès respectifs et les modalités d’attribution, de gestion et de contrôle des habilitations. Ces catégories de personnes sont soumises au secret professionnel dans les conditions définies par les articles 226-13 et 226-14 du code pénal.

La qualification des personnes habilitées et leurs droits d’accès devront être régulièrement réévalués, conformément aux modalités décrites dans la procédure d’habilitation établie par le responsable de traitement.

Sur l’information et les droits des personnes :

Les dispositions de l’article 69 de la loi « informatique et libertés » sont applicables à tous les traitements réalisés à partir de données du SNDS. Conformément aux dispositions de l’article 14 du RGPD, dans l’hypothèse où la fourniture d’une information individuelle se révélerait impossible, exigerait des efforts disproportionnés ou compromettrait gravement la réalisation des objectifs du traitement, des mesures appropriées devront être mises en œuvre par le responsable de traitement afin de protéger les droits et libertés, ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles.

En l’espèce, il sera fait exception au principe d’information individuelle des personnes et des mesures appropriées devront être mises en œuvre afin de rendre l’information publiquement disponible concernant la réalisation de cette étude.

La CNIL demande qu’une information relative aux traitements mis en œuvre soit rendue publique sur le site web du journal « Le Point ». Elle devra comporter l’ensemble des mentions prévues par l’article 14 du RGPD. Cette information pourrait par exemple être jointe à la notice méthodologique qui sera publiée sur le site du journal, à condition d’être clairement identifiée en son sein.

Les personnes concernées pourront exercer leurs droits d’accès, de rectification, d’effacement, de limitation du traitement et d’opposition concernant directement auprès du délégué à la protection des données de la société SEBDO.

Sous ces conditions, ces modalités d’information et d’exercice des droits sont satisfaisantes au regard des dispositions du RGPD et de la loi « informatique et libertés ».

Sur la sécurité des données et la traçabilité des actions :

La mise en œuvre de traitements de données à caractère personnel intervenant dans le cadre de l’étude s’effectuera sous la responsabilité du responsable de traitement, y compris chez des tiers agissant pour son compte, dans le respect des dispositions des articles 24, 25, 28, 32 à 35 du RGPD ainsi que de l’arrêté du 22 mars 2017 relatif au référentiel de sécurité applicable au SNDS.

Les données seront mises à disposition auprès du responsable de traitement par l’intermédiaire du prestataire d’accès sécurisé désigné par l’ATIH, à savoir le Centre d’accès sécurisé aux données (ci-après « CASD »).

Seules des données issues de processus d’anonymisation, rendant impossible l’identification, directe ou indirecte, des personnes, pourront faire l’objet d’une extraction en dehors de la plateforme sécurisée du CASD. Pour se prévaloir de l’anonymat d’un jeu de données, le responsable de traitement doit réaliser une analyse permettant de démontrer que ses processus d’anonymisation respectent les trois critères définis par l’avis n° 05/2014 sur les techniques d’anonymisation adoptés par le groupe de l’Article 29 (G29) le 10 avril 2014. À défaut, si ces trois critères ne peuvent être réunis, une étude des risques de réidentification doit être menée.

Sur la durée d’accès aux données sur la plateforme sécurisée du CASD :

Les données individuelles du PMSI utilisées pour l’étude seront chacune mises à disposition pendant un an, à compter de l’accès effectif aux données.

Cette durée de conservation des données n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées, conformément aux dispositions de l’article 5-1-e) du RGPD.

Sur le principe de transparence et la publication des résultats :

La mise à disposition des données du SNDS et de ses composantes est conçue de façon à rendre compte de leur utilisation au public. À cette fin, l’article L. 1461-3 du CSP subordonne l’accès aux données du SNDS et de ses composantes à la communication à la plateforme des données de santé (PDS) de plusieurs éléments par le responsable de traitement, avant et après les études.

Lorsque le résultat des traitements de données sera rendu public, l’identification directe ou indirecte des personnes concernées doit être impossible, conformément à l’article 68 de la loi.

Sur l’opportunité du recours à la décision unique :

L’activité de la société SEBDO impliquant la mise en œuvre annuelle d’un traitement répondant à une même finalité, portant sur des catégories de données identiques, en l’espèce les données du PMSI et dont les catégories de destinataires sont identiques, la CNIL estime opportun d’autoriser la mise en œuvre de ces traitements dans le cadre d’une décision unique.

Autorise la SOCIÉTÉ D’EXPLOITATION DE L’HEBDOMADAIRE LE POINT « SEBDO »à mettre en œuvre les traitements décrits ci-dessus pendant une durée de trois ans.

La vice-présidente déléguée

Sophie LAMBREMON