Sur la finalité du traitement, sa licéité et les conditions permettant de traiter des données concernant la santé

Le traitement a pour finalité la mise en œuvre d’un entrepôt de données à caractère personnel. Cet entrepôt, dénommé « Sog Health », a pour finalité la mise à disposition de données de vie réelle de ventes et de délivrances de produits aux clients des pharmacies à des fins de recherche et d’études non interventionnelles portant sur :

• l’analyse de l’efficacité d’un traitement (durée du traitement, indicateurs d’observance et de persistance, charge thérapeutique, schémas thérapeutiques, changements de traitements, effets secondaires, etc.) ;
• l’évaluation de la bonne utilisation des médicaments et l’analyse des interactions médicamenteuses ;
• l’étude de ressources consommées (consommation de soin) et de coûts de prises en charge des patients intégrables dans des études médico-économiques ;
• les outils de régulation sur l’automédication et les traitements alternatifs ;
• le suivi des campagnes de vaccination et de dépistage en officine ;
• le suivi des ruptures des produits de santé et l’évaluation des alternatives thérapeutiques ;
• le suivi de crises épidémiques.

La finalité du traitement est déterminée, explicite et légitime, conformément aux dispositions de l’article 5-1-b) du RGPD.

Les données contenues dans cet entrepôt ne pourront, par analogie avec les finalités « interdites » d’utilisation du Système national des données de santé (SNDS), être exploitées ni à des fins de promotion des produits mentionnés au II de l’article L. 5311-1 du code de la santé publique en direction de professionnels de santé ou d’établissements de santé, ni à des fins d’exclusion de garanties des contrats d’assurance, ni de modification de cotisations ou de primes d’assurance d’un individu ou d’un groupe d’individus présentant un même risque.

Le traitement mis en œuvre par le responsable de traitement est nécessaire aux fins des intérêts légitimes qu’il poursuit. Ce traitement est licite au regard de l’article 6-1-f) du RGPD et remplit des conditions permettant le traitement des données concernant la santé au regard des dispositions de l’articles 9-2-j) du RGPD et 44-3° de la loi « informatique et libertés » modifiée.

Sur les points de non-conformité au référentiel concerné

Le dossier de demande mentionne que le traitement mis en œuvre est conforme aux dispositions du référentiel « entrepôt de données dans le domaine de la santé », à l’exception de la base légale du traitement.

La CNIL relève néanmoins que la nature des données traitées ainsi que certaines mesures de sécurité ne sont pas conformes au référentiel. En dehors de ces points, qui font l’objet d’un examen spécifique dans la présente autorisation, ce traitement devra respecter le cadre prévu par ce référentiel.

Sur les sous-traitants

Plusieurs sous-traitants interviennent dans la mise en œuvre de cet entrepôt. Le traitement des données par chacun de ces sous-traitants doit être régi par un contrat ou un acte juridique, conformément à l’article 28 du RGPD.

Sur la gouvernance de l’entrepôt

Le responsable de traitement a mis en place un dispositif de gouvernance de l’entrepôt afin de maîtriser l’exploitation qui en est faite dans le respect des finalités déclarées et de l’intérêt public. Le dossier de demande mentionne que cette gouvernance est conforme au référentiel « entrepôt de données de santé ».

Sur les données traitées

Les données à caractère personnel conservées dans l’entrepôt sont :

• les données des clients de la pharmacie partenaire

  (code client de la pharmacie pseudonymisé ; année de naissance du client ; sexe du client) ;

• les données relatives aux factures et produits délivrés/vendus (identifiant facture pseudonymisé ; date de facture ; nature de l’acte : délivrance, vaccination, préparation magistrale, location de matériel, etc. ; nature de la vente : sur ordonnance, vente conseil ; origine de prescription : ville ou hôpital ; codes et libellés des produits ; remboursable/non remboursable ; quantités délivrées et prescrites ; prix et taux de TVA) ;
• les données du professionnel de santé prescripteur :

  code prescripteur pseudonymisé ; la spécialité médicale ; l’unité géographique d’analyse du lieu de prescription ; honoraires de dispensation ;

• le code point de vente de la pharmacie.

La profondeur historique des données conservées au sein de l’entrepôt ne pourra excéder dix ans à compter de la date du passage en pharmacie.

Sur l’information des personnes concernées

La société GERS SAS, en sa qualité de responsable de traitement de l’entrepôt, doit assurer l’information des personnes dont les données sont traitées, conformément au RGPD et à l’article 69 de la loi « informatique et libertés ».

Tous les documents d’information (individuelle ou collective) devront :

• comporter l’ensemble des mentions prévues par le RGPD ;
• préciser la profondeur historique des données traitées afin d’assurer la transparence du traitement vis-à-vis des personnes concernées.

S’agissant des modalités d’information collective à destination de l’ensemble des personnes concernées par ce traitement :

Le dossier de demande d’autorisation mentionne :

• d’une part, qu’une communication de grande ampleur sera déployée sur les réseaux sociaux, et via un communiqué de presse à l’échelle régionale et nationale et qui sera relayé auprès de deux cents médias et via les associations de patients ;
• d’autre part, que des notes d’information collective seront affichées dans chaque pharmacie partenaire.

Le responsable de traitement devra compléter les mesures d’information collective prévues par d’autres canaux d’information visant les prescripteurs, par exemple en diffusant une information via les bulletins des ordres professionnels.

S’agissant plus spécifiquement des modalités d’information des clients des officines :

La société GERS SAS ne leur a fourni aucune information avant 2021 et, entre 2021 et 2024, l’information collective délivrée est incomplète au regard des exigences du RGPD. Il appartient à la société GERS SAS de remédier à l’absence d’information individuelle d’une partie conséquente des personnes dont les données ont été collectées selon les modalités suivantes.

S’agissant des clients dont le dernier passage en pharmacie est antérieur à l’année 2021 (absence totale d’information) :

Le dossier de demande mentionne que les données contenues dans l’entrepôt seront gelées et ne pourront être utilisées qu’à compter de la délivrance d’une information individuelle, qui devra intervenir au plus tard dans les deux ans suivant la date de délivrance de la présente autorisation. Ce délai a été justifié par le fait, qu’en moyenne, 70% des clients reviennent à la même pharmacie dans un délai de deux ans.

S’agissant des clients dont le dernier passage en pharmacie a eu lieu entre janvier 2021 et août 2024 (information collective incomplète) :

La société GERS SAS souhaite pouvoir conserver au sein de l’entrepôt :

• les données collectées entre 2021et 2024 ;

• les données collectées durant les quatre ans précédant le premier passage en pharmacie du client durant cette période afin de pouvoir assurer la qualité des résultats des analyses et mettre en œuvre certaines études longitudinales.

Pour ces clients, en application de l’article 69 de la loi et de l’article 14-5-b) du RGPD, l’obligation d’information individuelle peut faire l’objet d’exceptions, notamment dans l’hypothèse où la fourniture d’une telle information exigerait des efforts disproportionnés eu égard aux caractéristiques du traitement et notamment de sa finalité, à savoir la mise à disposition de données de vie réelle de ventes et de délivrances de produits aux clients des pharmacies à des fins de recherche et d’études non interventionnelles. En pareils cas, le responsable de traitement prend des mesures appropriées pour protéger les droits et libertés, ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles. En l’espèce, il peut être fait exception au principe d’information individuelle des personnes et les mesures appropriées décrites dans le dossier de demande devront être mises en œuvre par le responsable de traitement.

Les autres données collectées (dans la limite de la profondeur historique maximale de dix ans) seront gelées par la société GERS SAS et ne pourront être utilisées qu’à compter de la délivrance d’une information individuelle, qui devra intervenir au plus tard dans les deux ans suivant la date de délivrance de la présente autorisation.

S’agissant des clients qui passeront dans une pharmacie partenaire à compter de septembre 2024 :

Ils recevront une note d’information individuelle.

En tant que responsable de traitement, la société GERS SAS devra transmettre aux pharmacies partenaires une note d’information à destination des clients, de leurs représentants légaux, conforme aux dispositions du RGPD, et s’assurer que cette information leur sera remise. Les pharmaciens partenaires sont contractuellement chargés d’informer leurs clients du traitement de données les concernant.

S’agissant des pharmaciens partenaires :

Une note d’information individuelle est remise au pharmacien lors de la conclusion du contrat de partenariat avec la société GERS SAS.

S’agissant des prescripteurs :

En application de l’article 69 de la loi et de l’article 14-5-b) du RGPD, l’obligation d’information individuelle de la personne concernée peut faire l’objet d’exceptions, notamment dans l’hypothèse où la fourniture d’une telle information se révélerait impossible, exigerait des efforts disproportionnés ou compromettrait gravement la réalisation des objectifs du traitement. En pareils cas, le responsable de traitement prend des mesures appropriées pour protéger les droits et libertés, ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles. En l’espèce, il sera fait exception au principe d’information individuelle des personnes et des mesures appropriées devront être mises en œuvre par le responsable de traitement.

Sur les droits des personnes

Les clients pourront exercer leurs droits d’opposition et d’effacement directement auprès des pharmacies partenaires.

Les autres droits (accès, rectification et limitation) pourront être exercés auprès du responsable de traitement.

S’agissant du droit à la limitation, toutes les factures du patient issues de la pharmacie où il a exercé son droit seront marquées avec un indicateur spécifique et ne seront plus visibles par l’outil d’extraction alimentant l’entrepôt de la société GERS SAS.

Les autres personnes concernées par ce traitement devront pouvoir exercer leurs droits conformément au RGPD.

Sur les accédants et les destinataires des données

Pourront accéder aux données uniquement les personnels salariés de la société GERS SAS et spécifiquement habilités, soumis au secret professionnel, dans les strictes limites de leur besoin d’en connaître, pour l’exercice de leurs missions s’inscrivant dans les finalités de l’entrepôt.

Des documents tenus à jour indiquent la ou les personnes compétentes pour délivrer l’habilitation d’accéder aux données, la liste des personnes habilitées à accéder à ces données, leurs profils d’accès respectifs et les modalités d’attribution, de gestion et de contrôle des habilitations.

La qualification des personnes habilitées et leurs droits d’accès doivent être régulièrement réévalués, conformément aux modalités décrites dans la procédure d’habilitation établie par le responsable de traitement.

En dehors des personnes visées ci-dessus, les organismes à l’initiative des études et des analyses ne pourront être destinataires que de rapports contenant des données agrégées et anonymisées.

Sur la sécurité des données et la traçabilité des actions

La plupart des mesures de sécurité du traitement mises en œuvre sont conformes à celles prévues par le référentiel « entrepôt de données dans le domaine de la santé ».

Le responsable de traitement a réalisé et transmis à l’appui de la demande d’autorisation une analyse d’impact relative à la protection des données spécifique à la création de l’entrepôt, ainsi qu’une comparaison détaillée des mesures de sécurité planifiées ou mises en place dans l’entrepôt avec les exigences de sécurité mentionnées dans le référentiel « entrepôt de données dans le domaine de la santé ».

Certaines des mesures nécessaires à la pleine couverture des risques de sécurité sont en cours de déploiement et d’amélioration dans le cadre d’un plan d’actions formalisé.

Ce plan d’actions devra être complété afin d’améliorer les mesures liées au respect des finalités interdites, et en particulier :

• intégrer la dimension « finalités interdites » dans les mesures d’exploitations des traces, pour la surveillance et l’audit des projets ;
• élargir la surveillance et la gestion des conflits d’intérêts jusqu’à la composition des équipes de recherche.

Le responsable de traitement devra mettre en œuvre l’ensemble des mesures décrites dans son plan d’actions dans les meilleurs délais et, au plus tard, dans un délai d’un an. La CNIL, au vu de la sensibilité et du volume des données, estime nécessaire d’évaluer à l’issue de ce délai la réalité des mesures de sécurité mises en œuvre par la société GERS SAS.

Les mesures de sécurité, renforcées par ce plan d’actions, sont ainsi de nature à répondre aux exigences prévues par les articles 5,1, f) et 32 du RGPD compte tenu des risques identifiés par le responsable de traitement. Le responsable de traitement doit procéder à une réévaluation régulière des risques pour les personnes concernées et une mise à jour, le cas échéant, de ces mesures de sécurité.

Sur la conservation des données

Dans l’hypothèse où la présente autorisation serait renouvelée :

• les données ne pourront être conservées que pour une durée maximale de dix ans à compter de leur collecte au sein des officines ;
• les données gelées seront conservées dans la même limite de profondeur historique et devront être détruites à l’issue d’un délai de deux ans à compter de la présente autorisation si aucune information individuelle n’a pu être délivrée aux clients concernés durant cette période.

Sur la réutilisation des données de l’entrepôt

Les données conservées dans l’entrepôt sont susceptibles d’être utilisées à des fins de recherches, d’études ou d’évaluations dans le domaine de la santé. Ces traitements devront se conformer aux dispositions des articles 66 et 72 et suivants de la loi « informatique et libertés », qui imposent que chaque projet de recherche, étude ou évaluation soit justifié par l’intérêt public. Ils devront faire l’objet de formalités propres par leur(s) responsable(s) de traitement. Les personnes concernées devront être informées de chacun de ces traitements conformément au RGPD et à la loi « informatique et libertés ».

S’agissant des conditions spécifiques liées à la réutilisation des données de l’entrepôt :

Après échanges avec les représentants de la société GERS SAS, et comme indiqué dans le dossier de demande :

• les données gelées ne pourront être réutilisées en l’absence d’information individuelle des personnes concernées ;
• les données non gelées conservées dans l’entrepôt qui concerneraient des clients informés collectivement ne seront utilisées que par la société GERS.

Ces données seront identifiées et filtrées au sein de l’entrepôt via des indicateurs spécifiques.

Observations complémentaires

Dans l’hypothèse où la société GERS SAS souhaiterait continuer à mettre en œuvre ce traitement à l’issue de la période d’un an, le dossier de renouvellement de demande d’autorisation devra notamment comporter :

• les modalités de réalisation du plan d’actions et la résolution d’incidents éventuels ;
• les modalités d’information déployées afin d’informer collectivement et individuellement l’ensemble des personnes concernées par ce traitement.