Sur le responsable de traitement

La société Philips France commercial (ci-après la « société Philips ») est une entreprise spécialisée dans les technologies de la santé, qui a notamment développé une interface permettant l’analyse de nombreux électrocardiogrammes grâce à l’intelligence artificielle, appelée Cardiologs Holter Platform.

Sur le rôle de la Plateforme des données de santé

La Plateforme de données de santé (PDS) interviendra dans le cadre de l’extraction des données du Système national des données de santé (SNDS) sur le portail de la Caisse nationale de l’assurance maladie (CNAM) en sa qualité de responsable conjoint du SNDS.

Seules les données strictement nécessaires et pertinentes au regard des objectifs du traitement seront ciblées puis extraites sur le portail de la CNAM par la PDS. Tous les filtrages et les appariements de données seront réalisés en amont de la transmission des données vers la solution technique de la PDS. La vérification de la concordance entre les données nécessaires au projet et les données extraites sera effectuée en lien avec la CNAM.

Par ailleurs, s’agissant des autres opérations de traitement dont l’hébergement des données de l’étude, la CNIL estime que la PDS interviendra en qualité de sous-traitant. A ce titre, la répartition des rôles et responsabilités entre le responsable de traitement et la PDS, concernant notamment la sensibilisation des utilisateurs du projet, la surveillance des traces, la gestion des alertes et des incidents ainsi que les gestions des exports de données anonymes, devra être formalisée par une convention entre les deux parties conformément à l’article 28 du règlement général sur la protection des données (RGPD).

Sur la finalité et le caractère d’intérêt public du traitement

Le traitement envisagé a pour finalité la mise en œuvre d’une étude intitulée « STAF » dont l’objectif est d’évaluer la prédiction à court terme de fibrillation atriale depuis un holter comme indicateur probable d’accident vasculaire cérébral ischémique.

La CNIL considère que la finalité du traitement est déterminée, explicite et légitime, conformément à l’article 5-1-b) du RGPD. Elle estime, par ailleurs, que ce traitement présente une finalité d’intérêt public, conformément à l’article 66-I de la loi « informatique et libertés ».

Sur la base légale du traitement et l’exception permettant de traiter des données sensibles

Les traitements mis en œuvre par la société Philips s’inscrivent dans le cadre de son activité commerciale. Ils sont nécessaires aux fins des intérêts légitimes poursuivis par le responsable de traitement, prenant en considération le caractère très indirectement identifiant des données et des garanties, notamment en termes de droits des personnes, prévues par les textes encadrant la mise à disposition des données du SNDS.

Ces traitements sont, à ce titre, licites au regard de l’article 6-1-f) du RGPD.

En outre, la CNIL estime que ces traitements, nécessaires à des fins de recherche scientifique, remplissent la condition prévue à l’article 9-2-j) du RGPD permettant de traiter des données concernant la santé.

Sur les points de non-conformité à la méthodologie de référence concernée

Le dossier de demande mentionne que le traitement envisagé est conforme aux dispositions de la méthodologie de référence MR-004, à l’exception de la nature des données traitées et des modalités d’information des personnes concernées (appariement probabiliste des données cliniques avec celles du SNDS). En dehors de ces points, qui font l’objet d’un examen spécifique dans la présente décision, ce traitement devra respecter le cadre prévu par ce référentiel.

Sur la nature des données traitées, y compris les données issues de la base principale du SNDS

S’agissant des données cliniques :

Certaines données de santé issues de la plateforme Cardiologs Holter concernant les patients adultes dont l’enregistrement holter a été analysé entre janvier 2018 et juin 2023 seront réutilisées dans le cadre de cette étude sous réserve, d’une part, de l’accord des centres utilisant la plateforme dans le cadre du soin et, d’autre part, de l’absence d’opposition des personnes concernées.

S’agissant des données du SNDS :

Sous réserve qu’elles soient diffusables par la CNAM, ces données seront appariées avec les données du SNIIRAM, du PMSI et du CépiDc concernant les années 2018 à 2023.

S’agissant de l’appariement des données cliniques avec celles du SNDS :

Les différentes variables dont le traitement est envisagé ont été décrites dans le dossier de demande. A cet égard, l’appariement sera réalisé de façon probabiliste grâce aux données d’identification des établissements, à la date de début de l’holter et aux données d’identification partielle du patient.

Les codes identifiants des établissements (FINESS, etc.) et les indications géographiques seront transmis à la PDS pour appariement avec les données du SNDS. La CNIL prend note que ces données identifiantes seront supprimées après l’appariement par la PDS, et que cette dernière en contrôlera la suppression avant la mise à disposition du jeu de données dans l’espace projet « STAF ». La PDS s’assurera également que les données ne contiennent aucun autre identifiant (hash d’un code identifiant national pouvant servir de clé de jointure, par exemple) qui permette d’individualiser les établissements ou les professionnels de santé.

La CNIL considère que les données dont le traitement est envisagé sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités du traitement, conformément aux dispositions de l’article 5-1-c du RGPD.

Toute modification relative à la nature des données traitées constituera une modification substantielle du traitement.

Sur les catégories d’accédants et de destinataires des données et notamment l’accès direct aux données du SNDS par un industriel de santé

Afin de pouvoir accéder aux données du SNDS, le responsable de traitement est tenu, conformément aux dispositions de l’article L. 1461-3 du CSP :

• soit de démontrer que les modalités de mise en œuvre du traitement rendent impossible toute utilisation des données pour l’une des finalités interdites mentionnées à l’article L. 1461-1 du CSP, en particulier pour la promotion de certains produits de santé en direction des professionnels de santé ou d’établissements de santé ;
• soit de recourir à un laboratoire de recherche ou à un bureau d’études, public ou privé, pour réaliser le traitement.

En l’espèce, le responsable de traitement souhaite accéder directement aux données du SNDS. A ce titre, il a présenté un argumentaire détaillé incluant la mise en œuvre d’un ensemble de mesures techniques et organisationnelles spécifiques.

En premier lieu, la CNIL relève que le responsable de traitement dispose d’une gouvernance à même d’intégrer les garanties présentées par le responsable de traitement. Elle note en ce sens les engagements pris par la direction de la société, la démarche de certification ISO/IEC 27001 et la réalisation d’audits annuels.

En deuxième lieu, le responsable de traitement s’engage à ce que seuls les personnels spécifiquement identifiés au sein de l’équipe de recherche puissent être habilités à accéder à l’espace projet. Le responsable de traitement tient à jour des documents indiquant la ou les personnes compétentes en son sein pour délivrer l’habilitation à accéder aux données, la liste des personnes habilitées à accéder à ces données, leurs profils d’accès respectifs et les modalités d’attribution, de gestion et de contrôle des habilitations.

Ces catégories de personnes sont soumises au secret professionnel dans les conditions définies par les articles 226-13 et 226-14 du code pénal.

Une séparation stricte des rôles entre le personnel de recherche et le personnel en charge du développement commercial des produits de la société est mise en place.

La qualification des personnes habilitées et leurs droits d’accès doivent être régulièrement réévalués, conformément aux modalités décrites dans la procédure d’habilitation établie par le responsable de traitement.

En troisième lieu, les personnels concernés seront sensibilisés aux risques et obligations qui leur incombent lors de leur habilitation par le responsable de traitement à accéder à l’espace projet, notamment à l’aide d’un module dédié aux finalités interdites. Ces personnels devront obligatoirement participer à des actions de sensibilisation animées par la PDS. Au préalable, chaque utilisateur habilité ainsi que le responsable de projet s’engagent formellement et individuellement à ne pas utiliser les données et les résultats du projet pour des finalités interdites et à s’assurer que les résultats du projet ne sont pas exploitables à cette fin.

En quatrième lieu, s’agissant du risque de ré-identification directe des établissements ou des professionnels de santé à des fins de promotion de produits de santé, les données du projet ne contiendront aucun code identifiant les établissements ou professionnels de santé ni aucune indication géographique les concernant.

Concernant le risque de ré-identification indirecte après export des données, seules des données anonymes peuvent être exportées hors d’un environnement homologué conformément à l’arrêté du 6 mai 2024 relatif au référentiel de sécurité applicable au SNDS. Des procédures dédiées seront mises en place à la fois par le responsable de traitement et par la PDS. Ainsi, toute demande d’export fera l’objet d’une validation interne préalable par une personne identifiée au sein de l’équipe de recherche. Un audit systématique et préalable sera également réalisé par la PDS sur la base de critères tendant à attester de l’anonymat effectif de l’export souhaité.

Les critères et procédures prévues devront être revus régulièrement au vu des évolutions des techniques d’anonymisation et de ré-identification.

Au regard de l’ensemble de ces éléments, la CNIL estime que les mesures techniques et organisationnelles mises en place par la société Philips paraissent de nature à démontrer que les modalités de mise en œuvre du traitement rendent impossible toute utilisation des données pour l’une des finalités interdites.

Sur la durée d’accès aux données

Les données de l’étude seront mises à disposition sur l’espace projet de la PDS pour une durée de deux ans à compter de l’accès effectif à celles-ci et seront détruites à l’issue de ce délai.

Cette durée n’excède pas celle nécessaire aux finalités pour lesquelles les données sont collectées et traitées, conformément aux dispositions de l’article 5-1-e) du RGPD.

Sur l’information et les droits des personnes

En application de l’article 69 de la loi « informatique et libertés » et de l’article 14-5-b) du RGPD, l’obligation d’information individuelle de la personne concernée peut faire l’objet d’exceptions, notamment dans l’hypothèse où la fourniture d’une telle information exigerait des efforts disproportionnés. En pareils cas, le responsable de traitement prend des mesures appropriées pour protéger les droits et libertés, ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles.

En l’espèce, il sera fait exception au principe d’information individuelle des personnes et des mesures appropriées seront mises en œuvre, notamment par la diffusion sur le site web du responsable de traitement de l’étude d’une information relative au projet de recherche comportant l’ensemble des mentions prévues par le RGPD. Cette note d’information sera également transmise aux centres participants qui seront invités à diffuser cette note d’information auprès des patients, notamment par voie d’affichage.

Par ailleurs, le traitement devra être enregistré dans le répertoire public mis à disposition par la PDS.

Sur la sécurité des données et l’évaluation des risques

Le traitement envisagé comportant des données du SNDS, les mesures de sécurité doivent être conformes au référentiel de sécurité prévu par l’arrêté du 6 mai 2024.

Des pseudonymes seront calculés par des méthodes à l’état de l’art pour la transmission par le responsable de traitement à la CNAM aux fins d’appariement et lors de la mise à disposition par la PDS. Une table de correspondance sera stockée chiffrée par le responsable de traitement sur un serveur sécurisé auquel seul le data manager en charge aura accès. Cette table sera supprimée dès que les données seront mises à disposition sur l’espace « STAF ».

S’agissant des mesures de sécurité de l’espace projet « STAF » :

Le dossier de demande justifie de la nécessité de recourir à la solution technique de la PDS, compte tenu des caractéristiques ainsi que des modalités spécifiques de mise en œuvre de cette étude.

La sécurité des données de l’espace projet dédié au projet « STAF » dépend essentiellement de la solution technique de la PDS, qui a fait l’objet d’une analyse globale des risques et de l’impact sur la vie privée, suivie d’une homologation selon le référentiel de sécurité du SNDS.

Plus spécifiquement, une analyse d’impact relative à la protection des données a été transmise à la CNIL concernant la solution technique de la PDS, qui correspond à une bulle sécurisée SNDS et qui hébergera le projet « STAF ».

Le responsable de traitement a réalisé et transmis à l’appui de la demande d’autorisation une analyse d’impact relative à la protection des données spécifique au projet « STAF », intégrant les éléments fournis par la PDS pour sa solution technique.

Une homologation de l’espace projet a ainsi été réalisée par le responsable de traitement le 22 avril 2024, pour une durée de trois ans, sous réserve de la mise en œuvre du plan d’actions qu’il a défini.

Conformément aux dispositions de l’arrêté du 6 mai 2024 relatif au référentiel de sécurité applicable au SNDS et notamment son article 3, il appartiendra à la société Philips de s’assurer que le système d’information hébergeant les données de l’étude respecte ce référentiel pendant toute la durée du traitement.

Les droits d’accès seront accordés aux utilisateurs habilités par l’opérateur projet de la PDS sur la base de la liste transmise par la responsable de projet du responsable de traitement.

Le responsable de traitement déléguera à la PDS l’analyse des traces d’utilisation de son espace projet et la transmission d’un tableau de bord d’indicateurs de sécurité défini conjointement, dont le suivi régulier sera intégré au suivi de la sécurité du responsable de traitement. En ce sens, la sensibilisation des utilisateurs devra se nourrir de la surveillance des indicateurs de sécurité, afin de corriger d’éventuelles dérives de comportement et prendre en compte l’apparition de nouveaux risques.

Enfin, la gestion des incidents et des violations interviendra selon les procédures en vigueur au sein de la PDS.

Les mesures de sécurité mises en œuvre par le responsable de traitement apparaissent proportionnées aux risques présentés par le traitement.

Sur les transferts hors Union européenne

Les dispositions de l’article R. 1461-1 du CSP prévoient qu’aucun transfert de données à caractère personnel ne peut être réalisé en dehors de l’Union européenne, sauf dans le cas d’accès ponctuels aux données par des personnes situées en dehors de l’Union européenne, pour une finalité relevant du 1° du I de l’article L. 1461-3 du CSP.

En l’espèce, le dossier de demande mentionne que, bien que le prestataire ne soit pas exclusivement soumis aux lois et juridictions de l’Union européenne, aucun transfert en dehors de l’Union européenne de données individuelles du SNDS n’est prévu, aucun membre de l’équipe de recherche n’étant situé en dehors de l’Union européenne.