Sur le responsable de traitement

Créée en 2016, la société Implicity a notamment développé une plateforme de télésuivi des patients porteurs de dispositifs médicaux connectés, appelée « IMPLICITY PLATFORM » (ci-après la « plateforme Implicity »). Elle commercialise également un dispositif médical de type logiciel, IMPLICITY IM009, destiné à la télésurveillance des patients porteurs de prothèse cardiaque implantable à visée thérapeutique. Elle produit et commercialise donc des produits mentionnés au II de l’article L. 5311-1 du code de la santé publique (ci-après « CSP »). La mise en œuvre de l’étude « HYDRO 2 » impliquant un traitement de données du Système national des données de santé (SNDS), les dispositions des articles L. 1461-1 et L. 1461-3 du CSP sont applicables en l’espèce.

Sur le rôle de la Plateforme des données de santé

Le groupement d’intérêt public « Plateforme de données de santé » (ci-après la PDS) interviendra dans le cadre de l’extraction des données du Système national des données de santé (SNDS) sur le portail de la Caisse nationale de l’assurance maladie (CNAM) en sa qualité de responsable conjoint du SNDS.

Seules les données strictement nécessaires et pertinentes au regard des objectifs du traitement seront ciblées puis extraites sur le portail de la CNAM par la PDS. Tous les filtrages de données seront réalisés en amont de la transmission des données vers la solution technique de la PDS. La vérification de la concordance entre les données nécessaires au projet et les données extraites sera effectuée en lien avec la CNAM.

Par ailleurs, s’agissant des autres opérations de traitement dont l’hébergement des données de l’étude, la CNIL estime que la PDS interviendra en qualité de sous-traitant. A ce titre, la répartition des rôles et responsabilités entre la société Implicity et la PDS, concernant notamment la sensibilisation des utilisateurs du projet, la surveillance des traces, la gestion des alertes et des incidents ainsi que les gestions des exports de données anonymes, devra être formalisée par une convention entre les deux parties conformément à l’article 28 du RGPD.

Sur la finalité et le caractère d’intérêt public du traitement

Dans sa délibération n° 2020-055 du 14 mai 2020, la CNIL a autorisé la société Implicity à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité une étude intitulée « HYDRO » portant sur le développement et la validation d’algorithmes de prédiction des crises de décompensation cardiaque chez les patients porteurs d’implants cardiaques connectés.

La réalisation de cette étude a permis le développement d’une première version d’un algorithme de prédiction du risque d’hospitalisation pour décompensation cardiaque suffisamment performant par rapport à l’état de l’art. La société Implicity souhaite développer une deuxième version de l’algorithme, plus performante et mieux adaptée aux besoins des équipes médicales.

Afin d’atteindre cet objectif, elle souhaite mettre en œuvre une nouvelle étude qui concernera, sous réserve de l’exercice du droit d’opposition et conformément aux critères d’inclusion décrits dans le protocole :

• les patients majeurs insuffisants cardiaques ou porteurs de prothèses rythmiques ;
• les patients avec données de dispositifs disponibles via la plateforme Implicity.

Selon le dossier de demande :

• la phase de développement correspondra à l’entraînement et l’optimisation d’un modèle d’intelligence artificielle ;
• la phase de validation correspondra à l’évaluation des performances techniques et cliniques du modèle développé ;
• la version du modèle validé dans le cadre de ce projet a vocation à être qualifié de dispositif médical. Ce dispositif sera réputé validé une fois les autorisations et/ou des certificats nécessaires à la mise sur le marché du produit au sein de l’Union européenne et aux Etats-Unis obtenus.

La finalité du traitement est déterminée, explicite et légitime, conformément au b) du 1 de l’article 5 du RGPD. La CNIL estime, par ailleurs, que ce traitement présente une finalité d’intérêt public, conformément au I de l’article 66 de la loi « informatique et libertés ».

Tout développement d’une nouvelle version de l’algorithme constituera un traitement de données distinct qui s’inscrira dans le cadre des dispositions des articles 66 et 72 et suivants de la loi « informatique et libertés ». Ce traitement devra être justifié par l’intérêt public et faire l’objet de formalités propres.

Sur la base légale du traitement et l’exception permettant de traiter des données sensibles

Le traitement envisagé par la société Implicity s’inscrit dans le cadre de son activité commerciale. Ce traitement est, à ce titre, licite au regard du f) du 1 de l’article 6 du RGPD. En outre, il est nécessaire à des fins de recherche scientifique et remplit la condition prévue au j) du 2 de l’article 9 du RGPD permettant de traiter des données concernant la santé.

Sur les points de non-conformité à la méthodologie de référence concernée

Le dossier de demande mentionne que le traitement envisagé est conforme aux dispositions de la méthodologie de référence MR-004, à l’exception des modalités d’information de certaines personnes concernées et de la nature des données traitées (appariement des données issues de la plateforme Implicity avec celles du SNDS).

En dehors de ces points, qui font l’objet d’un examen spécifique dans la présente décision, ce traitement devra respecter le cadre prévu par ce référentiel.

Sur la nature des données traitées, y compris les données issues de la base principale du SNDS

Les catégories de données dont le traitement est envisagé dans cette étude ont été décrites dans le dossier de demande. Elles proviendront, d’une part, de la plateforme Implicity et, d’autre part, du SNDS.

S’agissant des données issues de la plateforme Implicity :

Des données collectées par les professionnels et établissements de santé dans le cadre de la prise en charge de leurs patients seront réutilisées dans le cadre de cette étude :

• à des fins d’appariement avec celles du SNDS ;
• à des fins d’analyse pour les besoins de cette étude.

Cette réutilisation pourra intervenir sous réserve :

• de l’autorisation écrite et spécifique des établissements et professionnels de santé agissant en qualité de responsables de traitement du dispositif de télésurveillance et,
• de l’absence d’opposition des personnes concernées à la réutilisation de leurs données à caractère personnel.

Aucune donnée relative aux professionnels de santé utilisant la plateforme Implicity ne sera traitée dans le cadre de cette étude.

S’agissant des variables nécessaires à l’appariement :

Lorsqu’ils sont renseignés sur la plateforme Implicity, le NIR, la date de naissance complète et le sexe des patients seront transmis directement à la CNAM. La CNAM transmettra en retour les identifiants correspondant aux données extraites de la population cible ; le NIR ne sera pas intégré aux données de l’espace projet « HYDRO 2 ».

Les données des patients dont le NIR n’est pas renseigné sur la plateforme Implicity seront chaînées avec celles du SNDS au moyen d’un appariement probabiliste (indirect). Ce rapprochement sera réalisé notamment grâce aux codes FINESS d’identification des établissements intervenant dans leur prise en charge, au code CIM-10 correspondant à l’implantation du dispositif cardiaque, à la date de l’implantation du dispositif cardiaque et aux données d’identification partielle du patient. Ces données seront transmises à la PDS pour appariement et seront supprimées une fois celui-ci effectué. La PDS contrôlera leur suppression avant la mise à disposition du jeu de données dans l’espace projet « HYDRO 2 » et s’assurera que les données ne contiennent aucune indication géographique identifiante.

S’agissant des données du SNDS :

Sous réserve qu’elles soient diffusables par la CNAM, certaines données du SNIIRAM, du PMSI et du CépiDc concernant les années 2010 à 2026 seront traitées dans le cadre de cette étude.

Les données dont le traitement est envisagé sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités du traitement, conformément aux dispositions du c) du 1 de l’article 5 du RGPD.

Sur les catégories d’accédants et de destinataires des données et notamment l’accès direct aux données du SNDS par un industriel de santé

Afin de pouvoir accéder aux données du SNDS, la société Implicity est tenue, conformément aux dispositions de l’article L. 1461-3 du CSP :

• soit de démontrer que les modalités de mise en œuvre du traitement rendent impossible toute utilisation des données pour l’une des finalités interdites mentionnées à l’article L. 1461-1 du CSP, en particulier pour la promotion de certains produits de santé en direction des professionnels de santé ou d’établissements de santé ;
• soit de recourir à un laboratoire de recherche ou à un bureau d’études pour réaliser le traitement.

En l’espèce, la société Implicity souhaite accéder directement à certaines données du SNDS. A ce titre, elle a présenté un argumentaire détaillé incluant la mise en œuvre d’un ensemble de mesures techniques et organisationnelles spécifiques.

En premier lieu, la société Implicity dispose d’une gouvernance à même d’intégrer les garanties qu’elle présente. La CNIL note notamment en ce sens :

• l’ajout d’engagements spécifiques dans la politique de protection de la vie privée ;
• la démarche de certification ISO/IEC 27001, intégrant notamment la gestion des personnels, de leurs obligations de confidentialité et de leurs habilitations ;
• la réalisation d’audits annuels.

En deuxième lieu, la société Implicity s’engage à ce que seuls les personnels spécifiquement identifiés au sein de l’équipe de recherche puissent être habilités à accéder à l’espace projet. Le responsable de traitement tient à jour des documents indiquant la ou les personnes compétentes en son sein pour délivrer l’habilitation à accéder aux données, la liste des personnes habilitées à accéder à ces données, leurs profils d’accès respectifs et les modalités d’attribution, de gestion et de contrôle des habilitations. Ces catégories de personnes sont soumises au secret professionnel dans les conditions définies par les articles 226-13 et 226-14 du code pénal.

Une séparation stricte des activités de recherche de la société Implicity est mise en place :

• dans son organigramme, qui établit une séparation hiérarchique nette entre le département « data » (dont fait partie l’équipe de recherche) et le personnel en charge du développement commercial (« ventes » et « marketing ») ;
• les personnes qui auront accès à l’espace projet « HYDRO 2 » (incluant les données SNDS) n’accèderont pas aux données identifiantes (dont le NIR) de la plateforme Implicity ;
• une liste des catégories de personnels ne pouvant pas être habilités à accéder au SNDS sera établie (équipes de vente et marketing, équipe gérant les données de production de la plateforme Implicity) ;
• la procédure d’habilitation permettra également de s’assurer que les personnes ayant accès à l’espace projet « HYDRO 2 » ne sont pas en contact avec les patients, ne travaillent pas sur plusieurs projets de recherche permettant de croiser les données et ne participent pas au développement commercial des produits.

La qualification des personnes habilitées et leurs droits d’accès doivent être régulièrement réévalués, conformément aux modalités décrites dans la procédure d’habilitation établie par le responsable de traitement.

En troisième lieu, les personnels concernés seront sensibilisés aux risques et obligations qui leur incombent lors de leur habilitation par la société Implicity à accéder à l’espace projet, notamment à l’aide d’un module dédié aux finalités interdites. Ces personnels devront obligatoirement participer à des actions de sensibilisation animées par la PDS, et un rappel annuel sera effectué pendant la durée du projet.

Chaque utilisateur habilité ainsi que le responsable de projet s’engageront ab initio, formellement et individuellement, à ne pas utiliser les données et les résultats du projet pour des finalités interdites et à s’assurer que les résultats du projet ne sont pas exploitables à cette fin.

En quatrième lieu, s’agissant du risque de ré-identification directe des établissements ou des professionnels de santé à des fins de promotion de produits de santé, les données du projet HYDRO 2 ne contiendront aucun code identifiant les établissements ou les professionnels de santé, ni aucune indication géographique les concernant. Ces codes seront préalablement remplacés par des pseudonymes générés par la PDS et dont la société Implicity n’aura pas la correspondance.

En cinquième lieu, s’agissant du risque de ré-identification indirecte après export des données, seules des données anonymes peuvent être exportées hors d’un environnement homologué conformément à l’arrêté du 6 mai 2024 relatif au référentiel de sécurité applicable au SNDS. Des procédures dédiées seront mises en place à la fois par la société Implicity et par la PDS. Ainsi, toute demande d’export fera l’objet d’une validation interne préalable par une personne identifiée au sein du bureau d’étude. Un audit systématique et préalable sera également réalisé par la PDS sur la base de critères tendant à attester de l’anonymat effectif de l’export souhaité.

Les critères et procédures prévues devront être revus régulièrement au vu de l’évolution des techniques d’anonymisation et de ré-identification.

Au regard de l’ensemble de ces éléments, la CNIL estime que les mesures techniques et organisationnelles mises en place par la société Implicity paraissent de nature à démontrer que les modalités de mise en œuvre du traitement rendent impossible toute utilisation des données pour l’une des finalités interdites.

Sur la durée d’accès aux données

Les données de l’étude seront mises à disposition sur un espace projet de la PDS pour une durée de cinq ans à compter de l’accès effectif à celles-ci et seront détruites à l’issue de ce délai.

Cette durée n’excède pas celle nécessaire aux finalités pour lesquelles les données sont collectées et traitées, conformément aux dispositions du e) du 1 de l’article 5 du RGPD.

Sur l’information et les droits des personnes

S’agissant des personnes suivies via la plateforme Implicity avant 2019 :

En application de l’article 69 de la loi « informatique et libertés » et du b) du 5 de l’article 14 du RGPD, l’obligation d’information individuelle de la personne concernée peut faire l’objet d’exceptions, notamment dans l’hypothèse où la fourniture d’une telle information exigerait des efforts disproportionnés. En pareil cas, le responsable de traitement prend des mesures appropriées pour protéger les droits et libertés, ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles.

En l’espèce, il sera fait exception au principe d’information individuelle des personnes et des mesures appropriées seront mises en œuvre, notamment par la diffusion sur le site web de la société Implicity d’une information relative au projet de recherche.

S’agissant des autres personnes concernées :

Une note d’information individuelle est transmise par le professionnel prenant en charge le participant à l’occasion d’une visite de suivi lors de la mise en place de la télésurveillance via la plateforme Implicity. Elle mentionne que leurs données pourront être réutilisées à des fins de recherche par la société Implicity et renvoie à un dispositif spécifique d’information (portail de transparence) auquel les personnes concernées pourront se reporter préalablement à la mise en œuvre de chaque nouveau traitement de données par la société Implicity. Une note d’information relative à la présente étude sera donc diffusée sur le portail de transparence mis en œuvre par la société Implicity, accessible via son site web.

La note d’information diffusée sur le site web de la société Implicity devra être mise à jour avant le début de l’étude afin de comporter l’ensemble des mentions d’informations prévues par l’article 14 du RGPD.

S’agissant de l’exercice des droits :

Les personnes concernées pourront exercer leurs droits d’accès, de rectification, de limitation, d’opposition et d’effacement à tout moment auprès de la société Implicity.

La CNIL considère que ces modalités d’information et d’exercice des droits des personnes sont satisfaisantes au regard des dispositions du RGPD et de la loi « Informatique et libertés ».

Sur la sécurité des données et l’évaluation des risques

A titre liminaire, la CNIL rappelle que l’étude « HYDRO 2 » est distincte de celle intitulée « HYDRO ». A cet égard, un espace projet distinct sera créé, avec une durée de conservation propre, qui contiendra uniquement les données nécessaires au nouveau projet. Les outils et algorithmes du précédent projet pourront y être transférés, mais les personnels devront faire l’objet d’une nouvelle procédure d’habilitation, afin de respecter les principes définis au regard des finalités interdites.

Le traitement envisagé comportant des données du SNDS, les mesures de sécurité doivent être conformes au référentiel de sécurité du SNDS.

Des pseudonymes seront calculés par des méthodes à l’état de l’art pour la transmission par le responsable de traitement à la CNAM aux fins d’appariement et lors de la mise à disposition par la PDS. Une table de correspondance sera stockée chiffrée par la société Implicity sur un serveur sécurisé auquel seul le data manager en charge aura accès. Cette table sera supprimée dès que les données seront mises à disposition sur l’espace projet « HYDRO 2 ».

S’agissant des mesures de sécurité de l’espace projet « HYDRO 2 » :

La sécurité des données de l’espace projet dédié au projet « HYDRO 2 » dépend essentiellement de la solution technique de la PDS, qui a fait l’objet d’une analyse globale des risques et de l’impact sur la vie privée, suivie d’une homologation selon le référentiel de sécurité du SNDS.

Une homologation de la solution technique, conforme au référentiel de sécurité applicable au SNDS, et incluant l’espace projet mis à disposition du responsable de traitement, a été réalisée par la PDS le 22 juillet 2024, pour une durée de trois ans, sous réserve de la mise en œuvre du plan d’actions qu’elle a défini. La société Implicity devra s’assurer que le système d’information hébergeant les données de l’étude respecte ce référentiel pendant toute la durée du traitement.

Le responsable de traitement a réalisé et transmis à l’appui de la demande d’autorisation une analyse d’impact relative à la protection des données spécifique au projet « HYDRO 2 ».

Les droits d’accès seront accordés aux utilisateurs habilités par l’opérateur projet de la PDS sur la base de la liste transmise par la responsable de projet de la société Implicity. La PDS effectue une revue trimestrielle des habilitations.

La société Implicity déléguera à la PDS l’analyse des traces d’utilisation de son espace projet et la transmission d’un tableau de bord d’indicateurs de sécurité défini conjointement, dont le suivi régulier sera intégré au suivi de la sécurité d’Implicity.

En ce sens, la sensibilisation des utilisateurs devra tenir compte de la surveillance des indicateurs de sécurité, afin de corriger d’éventuelles dérives de comportement et prendre en compte l’apparition de nouveaux risques.

Enfin, la gestion des incidents et des violations interviendra selon les procédures en vigueur au sein de la PDS.

S’agissant des mesures de sécurité pour le circuit d’appariement :

Un premier préparateur travaillera dans un environnement cloisonné, accessible à lui seul, afin d’extraire les données de production de la plateforme Implicity et d’envoyer à la CNAM les données identifiantes (dont les NIR) pour l’appariement direct. Il versera les données de recherche HYDRO 2, à l’exclusion des variables d’appariement direct, dans un second environnement où un second préparateur sera chargé de les préparer et les envoyer à la PDS.

Le premier préparateur n’aura pas accès aux données de l’espace projet « HYDRO 2 ».

Le second préparateur, qui n’aura pas accès aux données identifiantes de production (dont le NIR), pourra accéder aux données SNDS dans l’espace projet « HYDRO 2 » pour développer l’algorithme avec le reste de l’équipe de recherche HYDRO 2.

Concernant l’envoi à la PDS des données identifiantes d’appariement probabiliste/indirect pour les patients dont le NIR n’est pas connu, la CNIL relève que ces données comportent les codes FINESS identifiant les établissements de santé. Dès lors, afin de respecter les principes de séparation des données et des habilitations définis au regard des finalités interdites, cet envoi devrait être effectué par le premier préparateur, qui n’aura pas accès aux données du SNDS. S’il apparaît nécessaire que cet envoi soit réalisé par le second préparateur, alors ce dernier ne pourra pas accéder aux données du SNDS.

Les mesures de sécurité mises en œuvre par le responsable de traitement apparaissent proportionnées aux risques présentés par le traitement.

Sur les transferts hors Union européenne

Les dispositions de l’article R. 1461-1 du CSP prévoient qu’aucun transfert de données à caractère personnel ne peut être réalisé en dehors de l’Union européenne, sauf dans le cas d’accès ponctuels aux données par des personnes situées en dehors de l’Union européenne, pour une finalité relevant du 1° du I de l’article L. 1461-3 du CSP.

En l’espèce, le dossier de demande mentionne que, bien que le prestataire ne soit pas exclusivement soumis aux lois et juridictions de l’Union européenne, aucun transfert en dehors de l’Union européenne de données individuelles du SNDS n’est prévu, aucun membre de l’équipe de recherche n’étant situé en dehors de l’Union européenne.