Sur le responsable de traitement

Crée en 2005, la société HEVA est un bureau d’étude qui réalise des recherches dans le domaine de la santé notamment à partir des données du Système national des données de santé (SNDS).

Sur l’opportunité du recours à la décision unique

Le 31 mars 2022 puis le 25 janvier 2024, la société HEVA a été autorisée par la CNIL à mettre en œuvre pendant un an des traitements de données à caractère personnel sur les données de l’ESND.

Ces traitements avaient pour finalité de permettre à la société HEVA, dans le cadre d’appels à projets présentés par les industriels de santé, de déterminer si certains projets de recherche pouvaient être mis en œuvre uniquement à partir des données de l’échantillon, lorsque celui-ci est suffisamment représentatif de la population d’intérêt, ou si un traitement de données du SNIIRAM est nécessaire.

Dans ce cadre, vingt-trois requêtes ont été réalisées à partir des données de l’échantillon. Celles-ci ont conduit la société HEVA à recommander la mise en œuvre de onze études à partir des données de l’échantillon. Sept études sont actuellement en cours.

La Commission relève que lui a été transmis un bilan relatif à ces requêtes.

La société HEVA sollicite un renouvellement de l’autorisation précédemment délivrée par la CNIL afin de pouvoir requêter l’échantillon pendant une année supplémentaire. Elle estime qu’une dizaine de traitements sont susceptibles d’être mis en œuvre dans le cadre de la présente décision.

Ces traitements répondent à une même finalité, portent sur des catégories de données identiques – en l’espèce, les données de l’ESND – et dont les catégories de destinataires sont identiques – les personnes habilitées par le responsable de traitement.

Les traitements décrits relevant du régime prévu par les dispositions des articles 66, 72 et suivants de la loi n° 78-17 du 6 janvier 1978 modifiée (ci-après loi « informatique et libertés »), la Commission estime opportun, au vu des éléments présentés dans le dossier de demande, d’autoriser la mise en œuvre de ces traitements dans le cadre d’une décision unique.

Sur la licéité des traitements et les conditions permettant de traiter des données concernant la santé

Les traitements mis en œuvre par la société HEVA sont nécessaires aux fins des intérêts légitimes qu’elle poursuit, prenant en considération, d’une part, le caractère pseudonymisé des données issues de l’ESND et, d’autre part, les garanties, notamment en termes de droits des personnes, prévues par les textes encadrant la mise à disposition des données du SNDS.

Ces traitements sont, à ce titre, licites au regard du f) du 1 de l’article 6du règlement général sur la protection des données (ci-après « RGPD »).

Sur la finalité des traitements et leur caractère d’intérêt public

Les traitements envisagés ont pour finalité de permettre à la société HEVA, dans le cadre d’appels à projets présentés par les industriels de santé, de déterminer si certains projets de recherche peuvent être mis en œuvre uniquement à partir des données de l’ESND, lorsque celui-ci est suffisamment représentatif de la population d’intérêt, ou si un traitement de données du SNIIRAM est nécessaire.

La CNIL considère, d’une part, que la finalité des traitements est déterminée, explicite et légitime, conformément à l’article 5.1.b du RGPD et, d’autre part, qu’elle présente un intérêt public, conformément à l’article 66 I de la loi « informatique et libertés ».

Sur le traitement des données issues du SNDS

Les traitements inclus dans le cadre de la décision unique portent sur les données de l’ESND, sous réserve qu’elles soient diffusables par la Caisse nationale de l’assurance maladie (CNAM).

Les traitements mis en œuvre par la société HEVA porteront sur une profondeur historique maximale de six ans en fenêtre roulante. A cet égard, les données de l’échantillon des années 2018 à 2023 seront accessibles durant la première année puis celles des années 2019 à 2024 durant la seconde année.

Le responsable de traitement ne devra traiter, pour chacun des traitements mis en œuvre dans le cadre de la présente décision unique, que les données strictement nécessaires et pertinentes au regard des objectifs des traitements, dans la limite de la profondeur historique de traitements de données du SNDS autorisée par la CNIL.

Conformément à l’article 30 du RGPD, le responsable de traitement devra tenir à jour, au sein de son registre des activités de traitement, la liste des traitements mis en œuvre dans le cadre de la présente décision unique. Par ailleurs, le caractère adéquat, pertinent et limité à ce qui est nécessaire au regard des finalités pour lesquelles les données sont traitées, la zone géographique concernée et la profondeur historique des données consultées, devront être justifiés dans ce registre pour chaque traitement mis en œuvre dans le cadre cette décision unique.

Enfin, les données de l’ESND étant issues d’une des bases composant le SNDS, l’ensemble des dispositions législatives et réglementaires relatives à ce dernier sont applicables en l’espèce, notamment l’interdiction d’utiliser ces données pour les finalités décrites à l’article L. 1461-1 V du code de la santé publique (CSP).

Sur la durée d’accès aux données

La durée d’accès aux données dans la plateforme sécurisée doit être limitée à la durée nécessaire à la mise en œuvre des traitements, qui ne saurait être supérieure à deux ans.

Cette durée de conservation des données n’excède pas les durées nécessaires aux finalités pour lesquelles elles sont collectées et traitées, conformément aux dispositions de l’article 5.1.e du RGPD.

Sur le principe de transparence et la publication des résultats

La mise à disposition des données du SNDS et de ses composantes est conçue de façon à rendre compte de leur utilisation au public.

À cette fin, l’article L. 1461-3 du CSP subordonne l’accès aux données du SNDS et de ses composantes à la communication à la plateforme des données de santé (PDS) de plusieurs éléments par le responsable de traitement, avant et après les études.

Lorsque le résultat des traitements de données sera rendu public, l’identification directe ou indirecte des personnes concernées doit être impossible, conformément à l’article 68 de la loi « informatique et libertés ».

À l’issue du délai de deux ans, un bilan contenant notamment la liste des analyses réalisées dans le cadre de la décision unique ainsi que la méthodologie suivie dans le cadre des analyses devra être adressé à la CNIL.

Sur les catégories de destinataires des données

Seul le responsable du traitement et les personnes habilitées par lui ont accès aux données dans le cadre de la présente décision unique. Le responsable de traitement tient à jour des documents indiquant la ou les personnes compétentes en son sein pour délivrer l’habilitation à accéder aux données, la liste des personnes habilitées à accéder à ces données, leurs profils d’accès respectifs et les modalités d’attribution, de gestion et de contrôle des habilitations.

Ces catégories de personnes sont soumises au secret professionnel dans les conditions définies par les articles 226-13 et 226-14 du code pénal.

La qualification des personnes habilitées et leurs droits d’accès doivent être régulièrement réévalués, conformément aux modalités décrites dans la procédure d’habilitation établie par le responsable de traitement.

Sur l’information et les droits des personnes

Conformément aux dispositions de l’article 14 du RGPD, dans l’hypothèse où la fourniture d’une information individuelle exigerait des efforts disproportionnés, des mesures appropriées devront être mises en œuvre par le responsable de traitement afin de protéger les droits et libertés, ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles.

En l’espèce, il sera fait exception au principe d’information individuelle des personnes et des mesures appropriées seront prises par le responsable de traitement afin de rendre publiquement disponible l’information concernant la mise en œuvre de ces traitements.

La CNIL relève qu’une rubrique dédiée aux traitements mis en œuvre dans le cadre de cette décision unique est publiée sur le site web de la société HEVA au sein de laquelle figurent :

• une note d’information relative à ces traitements comportant l’ensemble des mentions prévues par l’article 14 du RGPD ;
• un « registre des données requêtées » mentionnant notamment le type de demandeur, le motif de la demande, le champ thérapeutique, le résultat du dénombrement et la suite données à la requête, sera également publié sur ce portail de transparence.

Sur la sécurité des données et la traçabilité des actions

La mise en œuvre de traitements de données à caractère personnel intervenant dans le cadre de l’étude s’effectue sous la responsabilité du responsable de traitement, y compris chez des tiers agissant pour son compte, dans le respect des dispositions des articles 24, 25, 28, 32 à 35 du RGPD ainsi que de l’arrêté du 22 mars 2017 relatif au référentiel de sécurité applicable au SNDS et de ses mises à jour ultérieures.

Les données seront mises à disposition auprès du responsable de traitement par l’intermédiaire du portail de la CNAM.

Seules des données issues de processus d’anonymisation, de telle sorte que l’identification, directe ou indirecte, des personnes est impossible, peuvent faire l’objet d’une extraction. Pour se prévaloir de l’anonymat d’un jeu de données, le responsable de traitement devra réaliser une analyse permettant de démontrer que ses processus d’anonymisation respectent les trois critères définis par l’avis n° 05/2014 sur les techniques d’anonymisation adoptés par le groupe de l’Article 29 (G29) le 10 avril 2014. Si ces trois critères ne peuvent être réunis, une étude des risques de réidentification doit avoir été menée afin de démontrer que ceux-ci sont négligeables et ainsi conclure à l’anonymat des données.