Avis du comité

Avis favorable du Comité de protection des personnes Est III du 22 janvier 2024.

Point de non-conformité à la méthodologie de référence concernée

Le dossier de demande mentionne que le traitement envisagé est conforme aux dispositions de la méthodologie de référence MR-001, à l’exception de la nature des données traitées.

En dehors de ce point, qui fait l’objet d’un examen spécifique dans la présente décision, ce traitement devra respecter le cadre prévu par ce référentiel.

Réutilisation des données d’une base existante

Les données de l’étude CONSTANCES autorisée par la CNIL (demande d’autorisation n° 910486, délibération n°2011-067) seront réutilisées dans le cadre de la présente étude.

Catégories particulières de données traitées (autres que données de santé)

S’agissant de la collecte des données nominatives et des coordonnées postales, électroniques et téléphoniques :

La collecte des nom, prénom, ainsi que des coordonnées (postales, téléphoniques, électroniques) est nécessaire pour assurer le suivi des patients qui en sont informés.

Les données directement identifiantes doivent être traitées et transmises de façon séparée des données de santé et être enregistrées dans une base de données distincte. En outre, seul un nombre strictement limité de personnes habilitées et soumises au secret professionnel pourra accéder aux données directement identifiantes.

S’agissant de la collecte du numéro d’inscription au répertoire national d’identification des personnes physiques :

Les données de l’étude feront l’objet d’un rapprochement avec les données issues du Système national des données de santé (SNDS) par l’utilisation du numéro d’inscription au répertoire national d’identification des personnes physiques (NIR), du sexe et de la date de naissance complète des participants. Ces données identifiantes seront transmises, via un tiers de confiance qui a pour rôle de centraliser les données nécessaires à l’appariement, à la CNAM qui effectuera le rapprochement avec les données du SNDS. Ces données devront être chiffrées au sein des centres et être transmises au tiers sous forme de fichiers chiffrés. Les algorithmes et les procédures de gestion de clés devront être conformes à l’annexe B1 du référentiel général de sécurité. Des mesures de sécurité renforcées pour les tables de correspondance devront être mises en place. À cet égard, les équipements mobiles doivent faire l’objet de mesures de chiffrement afin de garantir la confidentialité des données qu’ils contiennent en cas de perte ou de vol de l’équipement.

S’agissant de l’examen des caractéristiques génétiques des participants :

Le consentement éclairé et exprès des personnes concernées sera recueilli par écrit préalablement au traitement, conformément aux dispositions de l’article 75 de la loi du 6 janvier 1978 modifiée et de l’article 114 du décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi informatique et libertés .

S’agissant des autres catégories de données traitées :

La collecte de l’origine ethnique, des lieux de naissance des parents et grands-parents des participants, ainsi que de l’adresse exacte de l’ensemble des lieux de vie, d’étude et de travail des participants a été scientifiquement justifiée dans le dossier de demande.

S’agissant des zones de commentaires libres :

Les données contenues dans des zones commentaires doivent, comme toute information à caractère personnel enregistrée dans un traitement et appelée à y être conservée, être pertinentes, adéquates et non excessives au regard de la finalité du traitement. Les données contenues dans ces zones de texte libre doivent être communiquées aux personnes exerçant leur droit d’accès.

Utilisation de données issues du SNDS historique

Composantes concernées : SNIIRAM, PMSI et CépiDc

Années concernées : 2014 à 2028, sous réserve qu’elles soient diffusables par la CNAM.

Modalités de consultation : Centre d’accès sécurisé aux données

Les données traitées étant issues de bases composant le SNDS, l’ensemble des dispositions législatives et réglementaires relatives au SNDS est applicable en l’espèce (articles L. 1461-1 à L. 1461-7 du Code de la santé publique), notamment le respect du référentiel de sécurité applicable au SNDS.

Information et droits des personnes

Tous les participants recevront une note d’information individuelle comportant l’ensemble des mentions prévues par le Règlement général sur la protection des données (RGPD).

Transferts hors Union européenne

Le responsable de traitement prévoit de transférer aux Etats-Unis certaines données pseudonymisées des participants à l’étude.

Prenant en considération la décision d’adéquation adoptée par la Commission européenne le 10 juillet 2023, les modifications apportées par les États-Unis à leur législation nationale permettent d’assurer un niveau de protection adéquat des données à caractère personnel vers les organisations situées aux États-Unis lorsqu’ils font la démarche de respecter ce nouveau cadre de protection des données ( data privacy framework , ci-après DPF ).

Dans cette hypothèse, un système d’auto-certification des entités étatsuniennes important les données est mis en place. Elles doivent ainsi :

• figurer sur la liste publiée par le ministère américain du commerce ;
• mettre à jour de manière effective leur politique de confidentialité ou toute documentation relative à la protection des données à caractère personnel, notamment avec les références nécessaires au DPF.

A défaut de satisfaire ces exigences, le responsable de traitement ou le sous-traitant ne peut transférer des données à caractère personnel vers les Etats-Unis que s’il a prévu des garanties appropriées et à la condition que les personnes concernées disposent de droits opposables et de voies de recours effectives.

En l’espèce, l’organisme vers lequel les données pseudonymisées des participants à l’étude seront transférées ne figure pas sur liste publiée par le ministère américain du commerce.

Les exigences du DPF n’étant pas satisfaites, le responsable de traitement envisage d’encadrer le transfert de données aux Etats-Unis par la conclusion de clauses contractuelles types telles que prévues par la décision 2021/914 de la Commission européenne du 4 juin 2021.

Il devra, par ailleurs, évaluer pendant toute la durée de l’étude si le niveau de protection requis par le droit de l’Union européenne est respecté par les Etats-Unis afin que les garanties fournies par les clauses contractuelles types puissent être respectées. A cet égard, il pourra notamment s’appuyer sur l’analyse réalisée par la Commission européenne dans sa décision d’adéquation entrée en vigueur le 10 juillet 2023, ainsi que les examens périodiques prévus dans cette décision.

Durées de conservation en base active et en archivage

Les données administratives d’identification (nom, prénom, coordonnées téléphoniques/électroniques/postales) seront détruites à la fin du suivi des participants.

Les échantillons biologiques seront conservés pendant quinze ans après la fin de la recherche puis détruits.

Les NIR et les dates de naissance complètes des participants seront détruits après l’appariement.

Autres données :

Base active : six ans

Archivage : quinze ans.

Réutilisation des données / échantillons biologiques

Toute nouvelle étude qui serait mise en œuvre à partir des données recueillies devra faire l’objet de formalités auprès de la Commission.