Responsable du traitement

Créée en 2005, la société Heva est un bureau d’études qui réalise des recherches dans le domaine de la santé notamment à partir des données du Système national des données de santé (SNDS), pour son propre compte ou celui de ses clients.

Sur les sous-traitants

L’entrepôt « FREiA » sera hébergé par la société Docaposte, qui agira comme sous-traitant, en reprenant l’architecture ainsi que les processus d’exploitation et d’administration développés pour l’entrepôt « Plateforme AGORiA santé » (délibération n° 2022-063). Le traitement des données par Docaposte devra être régi par un contrat ou un acte juridique, conformément à l’article 28 du RGPD.

Sur les points de non-conformité au référentiel concerné

Le dossier de demande mentionne que le traitement envisagé est conforme aux dispositions du référentiel « entrepôt de données dans le domaine de la santé », à l’exception :

• de la base légale du traitement ;
• de la nature des données traitées (données du système national des données de santé – SNDS – exclusivement) ;
• de la gouvernance de l’entrepôt ;
• des modalités d’information des personnes concernées.

En dehors de ces points, qui font l’objet d’un examen spécifique dans la présente autorisation, ce traitement devra respecter le cadre prévu par le référentiel « entrepôt de données dans le domaine de la santé ».

Sur la finalité du traitement, sa licéité et les conditions permettant de traiter des données concernant la santé

Le traitement envisagé a pour finalité la constitution d’un entrepôt de données à caractère personnel, dénommé « FREiA ».

Les recherches, études et évaluations dans le domaine de la santé susceptibles d’être mises en œuvre à partir des données de cet entrepôt devront :

• d’une part, être uniquement diligentées par une entreprise produisant ou commercialisant des produits de santé, industriel de santé, tels que mentionnés au II de l’article L. 5311-1 du code de santé publique dans le cadre de la constitution d’un dossier à destination d’une autorité de santé (Haute autorité de santé (HAS), Agence nationale de sécurité du médicament et des produits de santé (ANSM), Agence européenne du médicament (EMA)) ;
• d’autre part, poursuivre l’une des finalités suivantes :

• décrire, lorsque cela est pertinent à partir des données du SNDS, la population cible, l’incidence et la prévalence des patients susceptibles de recevoir un traitement médicamenteux ou un dispositif médical ;
• décrire les conditions d’utilisation des produits de santé en pratique courante dans le cadre du parcours de soins ;
• mesurer l’efficacité et les risques liés à l’utilisation d’une thérapeutique (médicament, dispositif médical, solution digitale, etc.).

L’entrepôt « FREiA » entend permettre la réalisation de ces études dans des délais compatibles avec les calendriers de mise sur le marché des médicaments.

Les données contenues dans cet entrepôt ne sauront, conformément aux dispositions de l’article L. 1461-1 du code de la santé publique (CSP), être exploitées à des fins de promotion des produits de santé en direction des professionnels de santé ou d’établissements de santé, ou à des fins d’exclusion de garanties des contrats d’assurance et de modification de cotisations ou primes d’assurance d’un individu ou d’un groupe d’individus présentant un même risque. De même, la CNIL rappelle l’interdiction de constituer et d’utiliser à des fins de prospection ou de promotion commerciales des fichiers composés à partir des données issues directement ou indirectement des prescriptions médicales, dès lors que ces fichiers permettent d’identifier directement ou indirectement le prescripteur (article L. 4113-7 du CSP).

Sur la gouvernance de l’entrepôt

A titre liminaire, la CNIL rappelle que la société Heva bénéficie notamment d’une autorisation, sous la forme d’une décision unique, lui permettant de mettre en œuvre des traitements automatisés à des fins de recherches, d’études et d’évaluations à partir des données de l’échantillon du Système national des données de santé (ESND) (délibération n° 2024-005). En tant que bureau d’études, elle est également susceptible de traiter des données du programme de médicalisation des systèmes d’information (PMSI) pour le compte de ses clients dans le cadre d’une déclaration de conformité à la MR-006 effectuée par ces derniers.

Une gouvernance globale est mise en place par la société Heva afin d’analyser, pour chaque projet, l’opportunité de recourir aux données de l’ESND, du PMSI ou bien à celles contenues dans l’entrepôt « FREiA ».

Sur la gouvernance de l’entrepôt :

La société HEVA mettra en place un dispositif de gouvernance de l’entrepôt « FREiA » afin de maîtriser l’exploitation qui en sera faite dans le respect des finalités déclarées et de l’intérêt public. Ce dispositif est composé d’un comité de pilotage divisé en deux sections distinctes. Il sera notamment composé de membres qualifiés en matière de traitements de données du SNDS.

La section stratégique du comité de pilotage se réunira :

• a minima tous les mois (et à la demande si besoin) pour :
  • vérifier la conformité des objectifs de chaque projet aux finalités de l’entrepôt ;
  • valider les termes contractuels avec les porteurs des études sur les finalités, la mise à disposition des résultats auprès des autorités et l’engagement de publication des résultats ;
  • le cas échéant, assister le porteur de projet dans la rédaction du protocole et la validation des objectifs scientifiques du projet ;

• une fois par trimestre pour :
  • tenir une liste exhaustive des études réalisées sur la plateforme ;
  • superviser le respect des niveaux de sécurité nécessaire à la constitution d’un système fils ;
  • superviser le respect des processus mis en place sur les différents niveaux d’habilitation pour le personnel de la société Heva à travailler sur le système fils ;
  • valider toutes les évolutions significatives de l’infrastructure et du périmètre de données de l’entrepôt « FREiA » avant, le cas échéant, la saisine de la CNIL en cas de modification substantielle apportée au traitement ;
  • tenir une liste exhaustive de toutes les habilitations associées à l’entrepôt pour le personnel de la société Heva ;
  • produire un rapport annuel de l’activité de l’entrepôt, qui sera remis à la CNIL.

Par ailleurs, la section stratégique pourra être saisie en cas de doute sur la nécessité de recourir à l’entrepôt pour la réalisation d’un projet, plutôt qu’aux seules données de l’ESND ou du PMSI.

La section éthique et scientifique du comité de pilotage aura pour mission :

• d’émettre un avis sur les orientations scientifiques de l’entrepôt ;
• d’émettre un avis sur l’intérêt scientifique et l’intérêt public de faire évoluer le périmètre des données contenues dans « FREiA » ;
• de se saisir de tout sujet de nature scientifique ou éthique qui pourrait concerner l’entrepôt et les études qu’il mène ;
• de produire des avis sur les orientations scientifiques, éthiques et techniques décidées par le comité de pilotage à se demande, en particulier sur l’impact en matière de respect de la protection des données personnelles.

Chaque projet de réutilisation des données contenues dans l’entrepôt fera l’objet d’une saisine de la section éthique et scientifique. Par ailleurs, le dossier de demande mentionne que chaque projet de recherche ne pourra être mis en œuvre qu’après avoir obtenu l’autorisation préalable de la CNIL, après avis du Comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé (CESREES).

Sur les données traitées

Cet entrepôt sera alimenté par des données du SNDS provenant :

• du système national d’information inter-régimes de l’Assurance maladie (SNIIRAM), s’agissant notamment des variables techniques, des variables socio-démographiques, du référentiel médicalisé et des parcours de soins ;
• du programme de médicalisation des systèmes d’information – Médecine/Chirurgie/Obstétrique (PMSI-MCO), s’agissant notamment des variables techniques, des variables socio-démographiques, des hospitalisations, des activités externes et dispositifs médicaux.

Les données du SNDS pouvant être traitées dans le cadre de la présente décision portent sur des données dont la profondeur historique maximale est de neuf ans plus l’année en cours. Cette profondeur historique a été scientifiquement justifiée dans le dossier de demande.

Les données du SNIIRAM et du PMSI des années 2014 à 2023 alimenteront, dans un premier temps, l’entrepôt « FREiA », sous réserve qu’elles soient diffusables par la Caisse nationale de l’assurance maladie (CNAM). Dans un second temps, l’entrepôt sera alimenté par des données plus récentes en fenêtre roulante, dans la limite de la durée de validité de la présente autorisation. Les données de l’année la plus ancienne seront supprimées annuellement à l’occasion de la mise à jour des données concernées du SNDS.

252 variables (soit environ 8% de l’ensemble des variables présentes au sein du SNDS), dont la liste est précisée dans une expression de besoins figurant dans le dossier de demande, seront mises à disposition par la CNAM. Après un travail de mise en qualité et de minimisation des données réalisé par Heva, l’entrepôt contiendra moins de 100 variables, représentant moins de 40% des variables initialement mises à disposition par la CNAM.

Le responsable de traitement réalisera plusieurs opérations à la réception des données issues du SNDS pour assurer leur contrôle et leur mise en qualité et leur analyse :

• un contrôle qualité des données issues du SNDS (présence de toutes les tables demandées, conformité de structure des tables reçues, respect des contraintes d’intégrité propres aux données issues du SNDS, cohérence du volume d’activité au cours du temps, évolution du nombre de bénéficiaires par mois de soins) ;
• une transformation des données issues du SNDS (optimisation des correspondances ou « jointures » entre les tables, mise en œuvre de filtres et corrections sur les données, bonne gestion des référentiels) ;
• un contrôle qualité de chaque datamart (validation de la complétude et de la cohérence de l’extraction par rapport aux besoins du projet).

S’agissant des données relatives aux professionnels de santé :

Seules les données suivantes seront collectées :

• la nature d’activité, la spécialité, le statut juridique ou mode d’exercice du professionnel exécutant ;
• la nature d’activité, la spécialité, le statut juridique ou mode d’exercice du professionnel prescripteur.

Ces données sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités du traitement, conformément aux dispositions du c) du 1 de l’article 5 du RGPD.

Sur la conservation des données

Les données du SNDS seront conservées deux ans à compter de leur mise à disposition.

La mise à jour des données sera effectuée une fois par an, à la date de mise à disposition des données actualisées du SNDS.

Au-delà de ce délai, les données du projet seront supprimées de l’espace projet.

A l’issue de chaque projet, les données seront archivées dans un délai d’un mois après la mise à disposition par le responsable de traitement du rapport de l’étude au porteur de projet.

Ces durées de conservation des données n’excèdent pas les durées nécessaires aux finalités pour lesquelles elles sont collectées et traitées, conformément aux dispositions du e) du 1 de l’article 5 du RGPD.

Sur les accédants et les destinataires des données

Seuls les membres du personnel habilités de Heva, dans les strictes limites de leur besoin d’en connaître pour l’exercice de leurs missions s’inscrivant dans les finalités de l’entrepôt, pourront accéder aux données.

Des documents tenus à jour indiquent la ou les personnes compétentes pour chaque responsable de traitement pour délivrer l’habilitation à accéder aux données, la liste des personnes habilitées à accéder à ces données, leurs profils d’accès respectifs et les modalités d’attribution, de gestion et de contrôle des habilitations.

La qualification des personnes habilitées et leurs droits d’accès doivent être régulièrement réévalués, conformément aux modalités décrites dans la procédure d’habilitation établie par le responsable de traitement.

En dehors des personnes visées ci-dessus, les clients ne pourront être destinataires que de rapports contenant des données agrégées et anonymisées. Il pourra s’agir de moyenne, médiane, écart type sur une population de plus de dix patients.

Sur l’information des personnes

En application du b) du 5 de l’article 14 du RGPD, l’obligation d’information individuelle de la personne concernée peut faire l’objet d’exceptions, notamment dans l’hypothèse où la fourniture d’une telle information exigerait des efforts disproportionnés.

En pareils cas, le responsable de traitement prend des mesures appropriées pour protéger les droits et libertés, ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles. En l’espèce, il sera fait exception au principe d’information individuelle des personnes et des mesures appropriées devront être mises en œuvre par le responsable de traitement afin de rendre l’information publiquement à travers :

• la diffusion de la note d’information relative à la constitution de l’entrepôt « FREiA » sur le portail de transparence de la société Heva, comprenant toutes les mentions prévues par le RGPD ;
• l’inscription du traitement au sein du répertoire public de la Plateforme des données de santé (PDS) ;
  
• la publication d’un résumé, ainsi que d’une note d’information, pour chaque projet, sur le site web de Heva, préalablement à la mobilisation des données pour l’étude.

Ces modalités d’information sont conformes au principe de transparence et aux exigences d’information prévues par les articles 12 et suivants du RGPD.

Sur les droits des personnes

Les droits d’accès, de rectification, d’effacement, de limitation du traitement et d’opposition s’exerceront auprès de la société HEVA.

Pour prendre en compte les demandes d’effacement, de limitation du traitement et d’opposition sur les données du SNDS, la société Heva prévoit de recevoir annuellement, lors de la mise à jour de l’entrepôt, l’ensemble des identifiants pseudonymisés des personnes ayant fait une demande. L’ensemble des données les concernant seront alors supprimées.

Ces modalités d’exercice des droits sont satisfaisantes au regard des dispositions du RGPD et de la loi « informatique et libertés ».

Sur la sécurité des données et la traçabilité des actions

La sécurité de l’entrepôt, ainsi que sa conformité technique au référentiel « entrepôt de données dans le domaine de la santé » et son homologation au nouveau référentiel de sécurité du SNDS, sont déléguées à Docaposte, qui assure déjà celles de la plateforme AGORiA.

Pour autant, les deux entrepôts resteront totalement disjoints : les comptes d’accès administrateurs et utilisateurs seront différents, les différents espaces d’administration, de préparation des données et les espaces projets seront strictement cloisonnés par entrepôt.

Un plan d’actions a été défini, comme prévu par l’arrêté du 7 mai 2024 pour un système SNDS déjà existant, avec des échéances jusqu’à la fin de l’année 2024. La société Heva devra s’assurer que le système d’information hébergeant les données de l’étude respecte ce référentiel pendant toute la durée du traitement.

Le responsable de traitement a réalisé et transmis à l’appui de la demande d’autorisation une analyse d’impact relative à la protection des données spécifique à la création de l’entrepôt « FREiA ».

Les mesures de sécurité, qui devront être opérationnelles lors de la mise en œuvre du traitement, devront répondre aux exigences prévues par les articles 5,1, f) et 32 du RGPD. Il appartiendra au responsable de traitement de procéder à une réévaluation régulière des risques pour les personnes concernées et une mise à jour, le cas échéant, de ces mesures de sécurité.

Observations complémentaires

Dans l’hypothèse où la société Heva souhaiterait continuer à mettre en œuvre ce traitement à l’issue de la période de deux ans, le dossier de renouvellement de demande d’autorisation devra notamment comporter un bilan comprenant :

• l’adéquation des objectifs de chaque étude aux finalités de l’entrepôt « FREiA » (et le cas échéant l’indication du nombre d’études réalisées plutôt à partir de la MR-006 ou de l’ESND) ;
• le fonctionnement du comité de pilotage (la liste à jour des membres du comité de pilotage) ;
• la liste exhaustive de toutes les habilitations associées à l’entrepôt FREiA pour le personnel d’Heva ;
• la liste des projets réalisées ou en cours de réalisation en décrivant pour chaque projet :

• le contexte, les objectifs du projet et le cadre de mise à disposition des données aux autorités ;
• le délai entre la demande d’accès et la création du datamart projet ;
• le délai entre la création du datamart projet et la mise à disposition du rapport d’études ;
• les éléments décrivant le datamart projet : la taille, le nombre de patients, le recours aux variables sensibles, et les tables et variables utilisées ;
• les publications réalisées.