Avis du comité

Avis favorable avec recommandations du Comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé du 8 février 2024.

Observations liminaires

sur le déploiement de la

plateforme Ouest Data

Hub et la responsabilité

de traitement

Chaque établissement du Groupement de coopération sanitaire des Hôpitaux universitaires du Grand Ouest (GCS HUGO) a développé un entrepôt de données de santé (EDS) à partir d’une plateforme technique identique : le système eHOP ( « entrepôt-Hôpital »).

Le GCS HUGO s’est doté d’une plateforme technique pour le traitement des données massives en santé, dénommée plateforme Ouest Data Hub (ODH). Il est responsable de l’intégration des données sur la plateforme technique, de la pseudonymisation des données de la base projet (deuxième pseudonymisation), de la création de la base projet, de la gestion des comptes utilisateurs projet, de l’attribution des droits sur la base projet, du suivi des traces d’activité des gestionnaires HUGO et des utilisateurs sur l’espace projet.

Dans le cadre du déploiement de la plateforme ODH, le CHU de

Nantes :

• est responsable de l’hébergement des données et de l’exploitation technique de la plateforme ;
• met à disposition un espace projet dédié, des outils de gestion des comptes et de gestion des traces d’activité sur la plateforme ;
• est responsable de la gestion des comptes gestionnaires.

Points de non-conformité à la méthodologie de référence concernée

Le dossier de demande mentionne, d’une part, que le traitement envisagé est conforme aux dispositions de la méthodologie de référence MR-004, à l’exception des modalités d’information des personnes concernées et, d’autre part, que le responsable de traitement souhaite traiter des données du Système national des données de santé (SNDS) mises à disposition par la CNAM. Ainsi, ce traitement devra être mis en œuvre conformément à la MR-004, à l’exception des modalités d’information des personnes concernées et de la nature des données traitées.

Réutilisation des données

d’une base existante

Les données des entrepôts suivants seront réutilisées dans le cadre de la présente étude :

• l’entrepôt du Centre hospitalier universitaire d’Angers dénommé eHop Angers (demande d’autorisation n°2215237 – Décision DT-2020-003 du 24 août 2020) ;
• l’entrepôt du Centre hospitalier universitaire de Brest (demande d’autorisation n° 2217775) ;
• l’entrepôt du Centre hospitalier universitaire de Nantes dénommé eHop (demande d’autorisation n°2129203 – délibération n° 2018-295 du 19 juillet 2018) ;
• l’entrepôt du Centre hospitalier universitaire de Rennes, dénommé eHop Rennes (demande d’autorisation n° 2212496 – délibération n°2020-028 du 27 février 2020) ;
• l’entrepôt du Centre hospitalier universitaire de Tours (demande d’autorisation n° 2212853)

Utilisation de données issues du SNDS historique

Composantes concernées : SNIIRAM, PMSI et CépiDc

Années concernées : 2011 à 2021, sous réserve qu’elles soient diffusables par la CNAM.

Modalités de consultation : portail CNAM

Les données traitées étant issues de bases composant le SNDS, l’ensemble des dispositions législatives et réglementaires relatives au SNDS est applicable en l’espèce (articles L. 1461-1 à L. 1461-7 du code de la santé publique), notamment le respect du référentiel de sécurité applicable au SNDS.

Information et droits des personnes

S’agissant des patients ayant reçu une note d’information individuelle lors de leur admission dans les centres participants comportant un dispositif spécifique d’information auquel ils peuvent se reporter préalablement à la mise en œuvre de chaque nouvelle étude réalisée à partir de leurs données :

Une note d’information qui devra comporter l’ensemble des mentions prévues par le RGPD sera diffusée sur le site web du responsable de traitement, des centres participants, ainsi que sur celui de la plateforme « Ouest Data Hub »

S’agissant des autres patients :

En application de l’article 14 du RGPD, l’obligation d’information individuelle de la personne concernée peut faire l’objet d’exceptions, notamment dans l’hypothèse où la fourniture d’une telle information se révélerait impossible, exigerait des efforts disproportionnés ou compromettrait gravement la réalisation des objectifs du traitement

En pareils cas, le responsable de traitement prend des mesures appropriées pour protéger les droits et libertés, ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles.

En l’espèce, il sera fait exception au principe d’information individuelle de ces personnes et des mesures appropriées seront mises en œuvre, notamment par la diffusion d’une note d’information relative au projet de recherche qui devra comporter l’ensemble des mentions prévues par le RGPD, par voie d’affichage au sein des centres participants et sur les sites web :

• du Centre hospitalier universitaire de Tours ;
• de chaque centre participant ;
• de la plateforme « Ouest Data Hub ».

S’agissant des professionnels de santé :

Les utilisateurs de la plateforme ODH sont informés de la collecte d’informations à caractère personnel les concernant et de leurs traces d’accès lors de la remise de la charte utilisateur de la plateforme.

La note d’information devra être complétée afin de comporter l’ensemble des mentions prévues par le RGPD.

S’agissant des modalités d’exercice des droits des personnes :

Conformément aux principes de transparence et de loyauté prévus par l’article 5 du RGPD et précisés dans les lignes directrices sur la transparence adoptées par le groupe de travail Article 29 le 29 novembre 2017, le responsable de traitement doit informer les personnes concernées de toute restriction spécifique applicable à ces droits afin de s’assurer que leurs attentes raisonnables n’ont pas été trompées. Si les personnes concernées fournissent des informations complémentaires permettant leur ré-identification, un tel exercice devra être rendu possible conformément à l’article 11 du RGPD.

Les personnes concernées seront informées du fait qu’elles disposeront d’un délai de trois mois pour exercer leurs droits, et notamment leur droit d’opposition, à compter de la publication de l’information relative à l’étude.

Lors du gel de la base de données en vue de son analyse, les secrets de pseudonymisation seront effacés pour des raisons de sécurité.

Par conséquent, les personnes souhaitant exercer leurs droits après cette étape devront fournir des informations permettant de les ré- identifier, conformément à l’article 11.2 du RGPD.

Mesure de sécurité

Le responsable de traitement a réalisé et transmis à l’appui de la demande d’autorisation une analyse d’impact relative à la protection des données spécifique au projet « Genially »

Un espace projet sur la solution technique de la Plateforme « ODH » sera dédié au projet « Genially » , afin de permettre la centralisation des données issues des centres de données cliniques locaux (CDC), avant leur appariement avec les données du SNDS sur le portail de la CNAM.

Les utilisateurs se connecteront à la plateforme ODH à l’aide d’un certificat et d’un mot de passe ; l’authentification multifacteurs pour l’accès aux espaces projet a été mise en place. Les traces seront centralisées dans un système mis à disposition par l’hébergeur.

Un mécanisme proactif de contrôle automatique des données de journalisation contribuant à la sécurité du traitement par la génération automatique d’alertes a été mis en place.

Les exports de données depuis l’espace projet ne pourront être constitués que de données anonymes. À cet égard, le responsable de traitement doit réaliser une analyse permettant de démontrer que ses processus d’anonymisation respectent les trois critères définis par l’avis n°05/2014 sur les techniques d’anonymisation adoptés par le groupe de l’Article 29 (G29) le 10 avril 2014. À défaut de remplir parfaitement ces trois critères, le responsable de traitement doit démontrer, via une évaluation approfondie, que le risque d’identification d’une personne à l’aide de moyens raisonnablement susceptibles d’être utilisés, par lui-même ou par toute autre personne, est négligeable.

Les mesures de sécurité décrites par le responsable de traitement semblent conformes à l’exigence de sécurité prévue par les articles 5.1.f et 32 du RGPD. Cette obligation nécessite la mise à jour de l’AIPD et de ses mesures de sécurité au regard de la réévaluation régulière des risques.

Durée d’accès/ Durées de conservation en base active et en archivage

Données du SNDS : trois ans à compter de la mise à disposition des données.

Autres données : trois ans en base active.

Transparence du traitement

Ce traitement devra être enregistré dans le répertoire public mis à disposition par la Plateforme des données de santé.

Observations particulières concernant le développement et le déploiement de l’outil

La phase de déploiement de l’outil devra respecter les dispositions spécifiques applicables, notamment les articles L. 4001-3 du code de la santé publique et 14 du règlement européen sur l’intelligence artificielle.

Le dossier mentionne que cette étude a pour finalité le développement d’un algorithme d’aide à la décision et qu’il n’a pas pour objet de conduire au développement d’un outil de décision exclusivement automatisée.

Il appartiendra au responsable de traitement de préciser les conditions de déploiement de l’outil attendues ainsi que de proposer des mesures permettant aux utilisateurs de préserver leur indépendance et de demeurer libres de leurs actes et prescriptions. Enfin, lorsque, comme c’est le cas en l’espèce, la finalité du traitement d’intelligence artificielle en phase de déploiement étant identifiée dès son développement, les risques associés au déploiement de cet outil d’aide à la décision devraient être documentés dans l’AIPD.