Sur le responsable de traitement

La société Resilience est une entreprise qui commercialise un dispositif médical, Resilience PRO, destiné à la télésurveillance en oncologie.

Sur le rôle de la Plateforme des données de santé

Le groupement d’intérêt public « Plateforme de données de santé » (GIP PDS) interviendra dans le cadre de l’extraction des données du Système national des données de santé (SNDS) sur le portail de la Caisse nationale de l’assurance maladie (CNAM) en sa qualité de responsable conjoint du SNDS.

Seules les données strictement nécessaires et pertinentes au regard des objectifs du traitement seront ciblées puis extraites sur le portail de la CNAM par le GIP PDS. Tous les filtrages de données seront réalisés en amont de la transmission des données vers la solution technique du GIP PDS. La vérification de la concordance entre les données nécessaires au projet et les données extraites sera effectuée en lien avec la CNAM.

Par ailleurs, s’agissant des autres opérations de traitement dont l’hébergement des données de l’étude, la CNIL estime que le GIP PDS interviendra en qualité de sous-traitant. A ce titre, la répartition des rôles et responsabilités entre Resilience et le GIP PDS, concernant notamment la sensibilisation des utilisateurs du projet, la surveillance des traces, la gestion des alertes et des incidents ainsi que les gestions des exports de données anonymes, devra être formalisée par une convention entre les deux parties conformément à l’article 28 du RGPD.

Sur la finalité et le caractère d’intérêt public du traitement

Le traitement envisagé a pour finalité la mise en œuvre d’une étude visant à évaluer l’impact clinique du dispositif Resilience PRO en termes de passages aux urgences et/ou d’hospitalisations non programmées en lien avec un cancer à six mois des patients atteints de cancer et traités par traitements systémiques par rapport à une population de patients atteints d’un cancer traités par traitements systémiques et non télésurveillés, intitulée « Resilience Care 103 A ».

Afin d’atteindre cet objectif, cette étude concernera, sous réserve de l’exercice du droit d’opposition et conformément aux critères d’inclusion décrits dans le protocole :

• d’une part, des personnes majeures débutant une télésurveillance avec le dispositif Resilience PRO entre le 10 décembre 2023 et le 10 décembre 2024 ;
• d’autre part, des personnes majeures traitées pour un cancer entre le 10 décembre 2023 et le 10 décembre 2024.

La finalité du traitement est déterminée, explicite et légitime, conformément au b) du 1 de l’article 5 du RGPD. La CNIL estime, par ailleurs, que ce traitement présente une finalité d’intérêt public, conformément au I de l’article 66 de la loi « informatique et libertés ».

Sur la base légale du traitement et l’exception permettant de traiter des données sensibles

Le traitement envisagé par la société Resilience s’inscrit dans le cadre de son activité commerciale. Prenant en considération le caractère indirectement identifiant des données et des garanties, notamment en termes de droits des personnes, prévues par les textes encadrant la mise à disposition des données du SNDS, ce traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable de traitement,

Ce traitement est, à ce titre, licite au regard du f) du 1 de l’article 6 du RGPD. En outre, il est nécessaire à des fins de recherche scientifique et remplit la condition prévue au j) du 2 de l’article 9 du RGPD permettant de traiter des données concernant la santé.

Sur la nature des données traitées, y compris les données issues de la base principale du SNDS

L’étude portera exclusivement sur des données issues du SNDS.

Sous réserve qu’elles soient diffusables par la CNAM, les données du SNIIRAM et du PMSI concernant les années 2018 à 2025 seront traitées pour la présente étude.

Les codes de la liste des produits et des prestations (LPP) seront utilisés afin de cibler au sein du SNDS, les données concernant les patients télésuivis par le dispositif Resilience PRO.

Sur les catégories d’accédants et de destinataires des données et notamment l’accès direct aux données du SNDS par un industriel de santé

Afin de pouvoir accéder aux données du SNDS, Resilience est tenu, conformément aux dispositions de l’article L. 1461-3 du CSP :

• soit de démontrer que les modalités de mise en œuvre du traitement rendent impossible toute utilisation des données pour l’une des finalités interdites mentionnées à l’article L. 1461-1 du CSP, en particulier pour la promotion de certains produits de santé en direction des professionnels de santé ou d’établissements de santé ;
• soit de recourir à un laboratoire de recherche ou à un bureau d’études pour réaliser le traitement.

En l’espèce, Resilience souhaite accéder directement à certaines données du SNDS. A ce titre, elle a présenté un argumentaire détaillé incluant la mise en œuvre d’un ensemble de mesures techniques et organisationnelles spécifiques.

En premier lieu, Resilience dispose d’une gouvernance à même d’intégrer les garanties qu’elle présente. La CNIL note notamment en ce sens :

• l’ajout de cet engagement dans la politique de protection de la vie privée ;
• la démarche de certification ISO/IEC 27001 ;
• la réalisation d’audits annuels.

En deuxième lieu, Resilience a recours à un bureau d’études ayant réalisé un engagement de conformité au référentiel déterminant les critères de confidentialité, d’expertise et d’indépendance fixé par arrêté du 17 juillet 2017 pour réaliser certaines opérations du traitement envisagé. A cette fin, le GIP PDS mettra à disposition deux espaces projets distincts.

D’une part, l’espace projet « HDH1 » uniquement accessible au bureau d’études permettra la préparation des données du SNDS. Certaines données seront traitées uniquement dans cet espace projet en raison du risque en réidentification associé. Il s’agit :

• de la commune et le département de résidence des personnes concernées ;
• de la date de soins et de décès des personnes concernées ;
• du numéro issu du fichier national des établissements sanitaires et sociaux (FINESS) ;
• du département d’implantation des établissements de santé.

Ces données et l’espace projet « HDH1 » ne seront pas rendus accessibles à Resilience.

De plus, les accès à l’espace projet « HDH1 » seront gelés dès que la préparation des données aura été réalisée à chacune des deux extractions prévues, conformément au protocole transmis à l’appui du dossier de demande. Le gel et la réouverture de l’espace « HDH1 » seront supervisés par le GIP PDS.

Toute demande de réouverture de l’espace « HDH1 », notamment pour la seconde extraction des données du SNDS ou des demandes d’analyses complémentaires conformes au protocole transmis à l’appui du dossier de demande, devra faire l’objet d’une demande écrite, spécifique et motivée. Il est pris acte que des mesures organisationnelles sont mises en œuvre afin de garantir la séparation des rôles et des attributions au sein du bureau d’études.

En tout état de cause, ces demandes complémentaires ne devront pas :

• conduire à des extractions de données du SNDS non conformes au protocole transmis à l’appui du dossier de demande ;
• rendre accessible à Resilience les données conservées au sein de l’espace projet « HDH1 ».

D’autre part, l’espace projet « HDH2 », qui hébergera le jeu de données minimisé, sera accessible à Resilience et au bureau d’études. Il permettra la réalisation des analyses statistiques nécessaires à la mise en œuvre de l’étude.

En troisième lieu, Resilience s’engage à ce que :

• le personnel du bureau d’études ayant accès à l’espace « HDH1 » soit distinct de celui qui aura accès à l’espace « HDH2 » ;
• seul le personnel spécifiquement identifié au sein de Resilience soit habilité à accéder à l’espace projet « HDH2 » ;
• des documents indiquant la ou les personnes compétentes au sein de Resilience pour délivrer l’habilitation à accéder aux données, la liste des personnes habilitées à accéder à ces données, leurs profils d’accès respectifs et les modalités d’attribution, de gestion et de contrôle des habilitations soient réalisés et tenus à jour.

Ces catégories de personnes sont soumises au secret professionnel dans les conditions définies par les articles 226-13 et 226-14 du code pénal.

Une séparation stricte entre les activités de recherche et de développement commercial des produits de Resilience est mise en place notamment en assurant que le personnel affecté à chacune de ces deux missions est strictement distinct.

La qualification des personnes habilitées et leurs droits d’accès doivent être régulièrement réévalués, conformément aux modalités décrites dans la procédure d’habilitation établie par le responsable de traitement.

En quatrième lieu, le personnel concerné de Resilience et du bureau d’études sera sensibilisé aux risques et aux obligations qui leur incombent lors de leur habilitation par Resilience à accéder aux espaces projet, notamment à l’aide d’un module de formation dédié aux finalités interdites. Ces personnels devront obligatoirement participer à des actions de sensibilisation animées par le GIP PDS.

Au préalable, chaque utilisateur habilité ainsi que le responsable scientifique s’engagent formellement et individuellement à :

• ne pas utiliser les données et les résultats du projet pour des finalités interdites ;
• s’assurer que les résultats du projet ne sont pas exploitables à cette fin.

En cinquième lieu, s’agissant du risque de ré-identification directe des établissements ou des professionnels de santé à des fins de promotion de produits de santé, le code FINESS permettant d’identifier les établissements ainsi que leur département d’implantation seront seulement accessibles par le bureau d’études dans l’espace projet « HDH1 ».

Une analyse des risques de ré-identification des établissements, des professionnels de santé et des patients a été menée par Resilience. Les résultats de cette analyse l’ont conduite à prévoir les garanties supplémentaires suivantes :

• la constitution d’une population témoin à partir d’un échantillon aléatoire de 150 000 patients correspondant aux critères d’inclusion ;
• le regroupement des variables en sous-groupe d’au moins dix patients pour minimiser tout risque de ré-identification de ces derniers, en particulier pour les personnes touchées par des cancers rares ;
• le remplacement du département de résidence des personnes concernées et du département d’implantation des établissements de santé par un pseudonyme non signifiant et distinct pour les deux variables dans l’espace projet « HDH2 ».

En sixième lieu, s’agissant du risque de ré-identification indirecte après export des données, seules des données anonymes peuvent être exportées hors d’un environnement homologué conformément à l’arrêté du 6 mai 2024 relatif au référentiel de sécurité applicable au SNDS.

Des procédures dédiées seront mises en place à la fois par Resilience, le bureau d’études et par le GIP PDS. Ainsi, toute demande d’export fera l’objet d’une validation interne préalable par une personne identifiée au sein du bureau d’étude. Un audit systématique et préalable sera également réalisé par la PDS sur la base de critères tendant à attester de l’anonymat effectif de l’export souhaité.

Les critères et procédures prévues devront être revus régulièrement au vu de l’évolution des techniques d’anonymisation et de ré-identification.

Au regard de l’ensemble de ces éléments, la CNIL estime que les mesures techniques et organisationnelles mises en place par Resilience paraissent de nature à démontrer que les modalités de mise en œuvre du traitement rendent impossible toute utilisation des données pour l’une des finalités interdites.

Sur la durée d’accès aux données

Les données de l’étude seront mises à disposition sur deux espaces projets du GIP PDS pour une durée de trois ans à compter de l’accès effectif à celles-ci et seront détruites à l’issue de ce délai.

Cette durée n’excède pas celle nécessaire aux finalités pour lesquelles les données sont collectées et traitées, conformément aux dispositions du e) du 1 de l’article 5 du RGPD.

Sur l’information et les droits des personnes

En application de l’article 69 de la loi « informatique et libertés » et du b) du 5 de l’article 14 du RGPD, l’obligation d’information individuelle de la personne concernée peut faire l’objet d’exceptions, notamment dans l’hypothèse où la fourniture d’une telle information exigerait des efforts disproportionnés. En pareils cas, le responsable de traitement prend des mesures appropriées pour protéger les droits et libertés, ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles.

En l’espèce, il sera fait exception au principe d’information individuelle des personnes et des mesures appropriées seront mises en œuvre, notamment par la diffusion sur le site web de Resilience d’une information relative au projet de recherche qui devra comporter l’ensemble des mentions prévues par le RGPD.

Le traitement devra être enregistré dans le répertoire public mis à disposition par le GIP PDS.

Sur la sécurité des données et l’évaluation des risques

Le traitement envisagé comportant des données du SNDS, les mesures de sécurité doivent être conformes au référentiel de sécurité prévu par l’arrêté du 6 mai 2024.

Des pseudonymes seront calculés par des méthodes à l’état de l’art lors de la mise à disposition des données par la PDS. Les pseudonymes utilisés dans l’espace « HDH1 » seront différents de ceux utilisés dans l’espace « HDH2 ». La génération de ces pseudonymes et la gestion de la table de correspondance sera sous le seul contrôle de la PDS.

S’agissant des mesures de sécurité des espaces projet « HDH1 » et « HDH2 » :

La sécurité des données des espaces projet « HDH1 » et « HDH2 » dépend essentiellement de la solution technique de la PDS, qui a fait l’objet d’une analyse globale des risques et de l’impact sur la vie privée, suivie d’une homologation selon le référentiel de sécurité du SNDS.

Une homologation de la solution technique, conforme au référentiel de sécurité applicable au SNDS, et incluant les espaces projets mis à disposition du responsable de traitement, a été réalisée par la PDS le 22 juillet 2024, pour une durée de trois ans, sous réserve de la mise en œuvre du plan d’actions qu’elle a défini.

La société Resilience devra s’assurer que le système d’information hébergeant les données de l’étude respecte ce référentiel pendant toute la durée du traitement.

Le responsable de traitement a réalisé et transmis à l’appui de la demande d’autorisation une analyse d’impact relative à la protection des données spécifique au projet « Resilience Care 103 A ».

Les droits d’accès seront accordés aux utilisateurs habilités par l’opérateur projet de la PDS sur la base de la liste transmise par la responsable de projet de Resilience. La PDS effectue une revue trimestrielle des habilitations.

Resilience déléguera à la PDS l’analyse des traces d’utilisation de son espace projet et la transmission d’un tableau de bord d’indicateurs de sécurité défini conjointement, dont le suivi régulier sera intégré au suivi de la sécurité de Resilience.

En ce sens, la sensibilisation des utilisateurs devra tenir compte de la surveillance des indicateurs de sécurité, afin de corriger d’éventuelles dérives de comportement et prendre en compte l’apparition de nouveaux risques.

Enfin, la gestion des incidents et des violations interviendra selon les procédures en vigueur au sein de la PDS.

Les mesures de sécurité mises en œuvre par le responsable de traitement apparaissent proportionnées aux risques présentés par le traitement.

Sur les transferts hors Union européenne

Les dispositions de l’article R. 1461-1 du CSP prévoient qu’aucun transfert de données à caractère personnel ne peut être réalisé en dehors de l’Union européenne, sauf dans le cas d’accès ponctuels aux données par des personnes situées en dehors de l’Union européenne, pour une finalité relevant du 1° du I de l’article L. 1461-3 du CSP.

En l’espèce, le dossier de demande mentionne que, bien que le prestataire ne soit pas exclusivement soumis aux lois et juridictions de l’Union européenne, aucun transfert en dehors de l’Union européenne de données individuelles du SNDS n’est prévu, aucun membre de l’équipe de recherche n’étant situé en dehors de l’Union européenne.