Sur les points de non-conformité au référentiel concerné

Le dossier de demande mentionne que le traitement envisagé est conforme aux dispositions du référentiel « entrepôt de données dans le domaine de la santé », à l’exception :

• des finalités poursuivies (enseignement) ;
• des modalités d’information des personnes concernées ;
• de certaines mesures de sécurité.

Sur la finalité du traitement, sa licéité et les conditions permettant de traiter des données concernant la santé

Le traitement envisagé a pour finalité la constitution d’un entrepôt de données à caractère personnel comprenant notamment des données de santé ayant pour finalités :

• la réalisation de recherches, études ou évaluations dans le domaine de la santé ;
• la réalisation de recherche interne ;
• la réalisation d’études de faisabilité ;
• la réalisation d’études médico-économiques ;
• l’enseignement (constitution de cas clinique et de simulations) ;
• la réalisation de modèles prédictifs pour l’intervention pharmaceutique (utilisation d’un algorithme permettant de mieux cibler les prescriptions devant faire l’objet d’une validation ciblée par un pharmacien) et de modèles prédictifs pour la veille sanitaire.

Les finalités du traitement sont déterminées, explicites et légitimes, conformément aux dispositions de l’article 5-1-b) du RGPD.

Sur les données traitées

Les données à caractère personnel des patients sont issues de différentes bases des applications métiers du système d’information de l’établissement.

Seules des données pseudonymisées seront traitées à des fins d’enseignement.

Conformément au référentiel, le NIR des patients sera, d’une part, conservé chiffré et, d’autre part, pseudonymisé de façon irréversible pour alimenter l’entrepôt.

La profondeur historique des données intégrées dans l’entrepôt ne pourra excéder 20 ans.

Sur l’information des personnes

S’agissant des patients ayant effectués un séjour d’hospitalisation complète aux HUS dans le secteur médecine, chirurgie et obstétrique, finalisé dans les douze mois qui précèdent la date de début de mise en production de l’entrepôt et n’étant plus suivis :

• la note d’information sera envoyée sur la messagerie sécurisée de santé disponible sur l’espace numérique de santé « mon espace santé » ;
• pour les personnes ne disposant pas d’une telle messagerie ou ne relevant pas le message dans les 15 jours suivant l’envoi, un courriel leur sera envoyé comportant un lien vers la notice d’information. Ce lien sera sécurisé par l’envoi d’un code via SMS nécessaire à l’ouverture du message ;
• à défaut, une note d’information individuelle comportant l’ensemble des mentions prévues par le RGPD sera adressée aux patients par voie postale.

S’agissant des autres participants pris en charge antérieurement à la constitution de l’entrepôt et n’étant plus suivis :

En application de l’article 69 de la loi et de l’article 14-5-b) du RGPD, l’obligation d’information individuelle de la personne concernée peut faire l’objet d’exceptions, notamment dans l’hypothèse où la fourniture d’une telle information exigerait des efforts disproportionnés. En pareils cas, le responsable de traitement prend des mesures appropriées pour protéger les droits et libertés, ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles.

En l’espèce, il sera fait exception au principe d’information individuelle des patients pris en charge antérieurement à la constitution de l’entrepôt et n’étant plus suivis. Des mesures appropriées seront mises en œuvre, notamment :

• la publication de communiqués de presse via les médias régionaux, associations de patients, acteurs institutionnels (Caisse primaire d’assurance maladie du Bas Rhin, région Grand-Est, Eurométropole de Strasbourg, communauté européenne d’Alsace (hors conseil départemental de la Moselle) ;
• la diffusion d’une note d’information sur le site web du responsable de traitement ;
• la diffusion d’une note d’information par voie d’affichage au sein de l’établissement.

Un portail de transparence sera mis en place par le responsable de traitement :

• il comportera une note d’information relative à la constitution de l’entrepôt ;
• il devra comporter une note d’information spécifique à chaque traitement mis en œuvre à partir des données de l’entrepôt, publiée préalablement à sa mise en œuvre.

S’agissant des patients toujours suivis et des patients pris en charge postérieurement à la constitution de l’entrepôt :

Une note d’information individuelle, comportant l’ensemble des mentions prévues par le RGPD sera remise aux patients et le cas échéant, à leurs représentants légaux, au moment de leur prise en charge (hospitalisation ou consultation). Une note d’information sera diffusée sur la chaine de télévision de l’établissement et via des écrans installés dans les salles d’attente.

S’agissant des professionnels de santé dont les données ont été collectées antérieurement à la constitution de l’entrepôt :

Les professionnels dont les données sont versées dans l’entrepôt recevront un courriel sur leur messagerie professionnelle, comportant une note d’information individuelle.

S’agissant des professionnels de santé dont les données ont été collectées postérieurement à la constitution de l’entrepôt :

Les professionnels dont les données sont versées dans l’entrepôt recevront, lors des procédures de recrutement, une note d’information individuelle.

Ces notes seront également publiées sur l’intranet de l’établissement.

S’agissant des utilisateurs de l’entrepôt :

Une information détaillée devra être annexée au contrat conclu avec les responsables de traitement. Une information renvoyant vers une notice complète devra également être fournie avec le formulaire de demande d’accès.

Les notes d’information devront comporter l’ensemble des mentions prévues par le RGPD.

Sur la sécurité des données et la traçabilité des actions

Le responsable de traitement a réalisé et transmis à l’appui de la demande d’autorisation une analyse d’impact relative à la protection des données spécifique à la création de l’entrepôt.

Les mesures de sécurité prévues par le responsable de traitement visent à garantir la conformité de l’entrepôt aux exigences de sécurité mentionnées dans le référentiel « entrepôts de données dans le domaine de la santé ».

Les points de non-conformité vis-à-vis de ce référentiel relevés par le responsable de traitement sont les suivants :

• la présence de documents non-structurés contenant des données directement identifiantes ;
• le chiffrement des données génétiques ;
• l’exportation de données hors de l’entrepôt et hors des espaces de travail dont les modalités sont décrites ci-après.

Conformément à l’exigence SEC-PSE-4 du référentiel « entrepôt de données dans le domaine de la santé », les documents non structurés ajoutés à l’entrepôt doivent faire l’objet d’une étape de suppression ou de masquage avant leur intégration dans l’entrepôt. Cette étape consiste à supprimer les données identifiantes des patients et des professionnels de santé ou à les remplacer par des termes génériques ou des données fictives. Les documents originaux devront être supprimés après la réalisation de cette étape.

Les données génétiques collectées au sein de l’entrepôt seront des informations relatives à la caractérisation de la mutation du gène lié à la maladie, recueillies dans le cadre de la prise en charge. Ces informations ne présentant pas de sensibilité supplémentaire comparée aux autres données versées dans l’entrepôt, un cloisonnement spécifique n’est pas nécessaire.

L’exigence SEC-EXP-1 du référentiel « entrepôts de données de santé » prévoit que seuls des jeux de données anonymes peuvent faire l’objet d’une exportation hors de l’entrepôt ou d’un espace de travail, à l’exception des données relatives aux procédures de réidentification SEC-REI-1 à SEC-REI-3 qui permettent d’assurer respectivement l’exercice des droits, la participation à des recherches et l’urgence médicale.

Dans l’hypothèse où l’exportation de données hors de l’entrepôt ou d’un espace de travail de l’entrepôt serait envisagée dans le cadre d’un projet de recherche, d’étude ou d’évaluation dans le domaine de la santé, la nécessité de cette exportation de données pseudonymisées devra être étudiée par le comité de pilotage de l’entrepôt, qui devra donner son accord exprès et spécifique à cette fin.

Le comité scientifique et éthique s’assure ensuite pour chaque projet de recherche que celui-ci ne pourra pas être réalisé sur un espace projet de l’entrepôt et que les principes de minimisation et de proportionnalité seront respectés quant aux données qui font l’objet de l’exportation.

Il appartient également au responsable de traitement d’encadrer contractuellement toute mise à disposition de données afin de s’assurer que l’exportation est entreprise vers un environnement dont les mesures de sécurité sont adaptées au niveau de risque et permettra uniquement la réutilisation des données aux fins approuvées par le comité scientifique et éthique et pour le traitement ayant fait l’objet des formalités requises auprès de la CNIL.

La CNIL rappelle que le plan d’actions communiqué dans le dossier de demande devra être mis en œuvre avant que l’accès à l’entrepôt ne soit ouvert à des partenaires extérieurs.

Les mesures de sécurité doivent répondre aux exigences prévues par les articles 5,1, f) et 32 du règlement général sur la protection des données compte tenu des risques identifiés par le responsable de traitement. Il appartiendra au responsable de traitement de procéder à une réévaluation régulière des risques pour les personnes concernées et une mise à jour, le cas échéant, de ces mesures de sécurité.