Sur le responsable de traitement

L’Institut Gustave Roussy est un établissement de santé privé d’intérêt collectif à but non lucratif.

L’Institut Gustave Roussy est un Centre de lutte contre le cancer, son statut est issu de l’ordonnance n° 45-2221 du 1^er octobre 1945 modifiée par l’ordonnance n° 2005-406 du 2 mai 2005, et par la loi n° 2009-879 du 21 juillet 2009 portant réforme de l’hôpital et relative aux patients, à la santé et aux territoires, dite « HPST ».

Sur les sous-traitants

Plusieurs sous-traitants interviendront dans la mise en œuvre de cet entrepôt :

• Euris Health Cloud pour l’hébergement de données de santé notamment :
  • mise en œuvre de son infrastructure certifiée ISO 27001, ISO 27701 et HDS (hébergeur de données de santé, au sens de l’article L. 1111-8 du code de la santé publique), dans le cadre de son statut de responsable de la mise en œuvre ;
  • hébergement de la plateforme mutualisée « MyInterception » ;
  • hébergement de l’entrepôt « INTERCEPTION » ;

• Health Data Trust pour l’appariement des données avec le SNDS à savoir :
  • la gestion des tables de correspondances [numéro d’inscription au répertoire national d’identification des personnes physiques (NIR), date de naissance, sexe, numéro d’accrochage] ;
  • la création des numéros d’accrochage tiers ;
  • la transmission des informations nécessaires à la Caisse nationale de l’assurance maladie (CNAM).

Cet acteur ne devra pas effectuer d’autres tâches que l’appariement dans le cadre du traitement de la présente autorisation ;

• la société CEMKA comme bureau d’études ;

• les centres investigateurs participants au programme « INTERCEPTION » utilisateurs de la plateforme « MyInterception ».

Le traitement des données par chacun de ces sous-traitants devra être régi par un contrat ou un acte juridique, conformément à l’article 28 du RGPD.

Sur la finalité du traitement, sa licéité et les conditions permettant de traiter des données concernant la santé

Le traitement envisagé a pour finalité la constitution d’un entrepôt de données de santé, dénommé « INTERCEPTION ».

Cet entrepôt est destiné notamment à :

• la centralisation de l’ensemble des données de la cohorte « INTERCEPTION » regroupant les participants vus dans les différents centres « INTERCEPTION » :
• l’analyse et l’évaluation des objectifs du projet global « INTERCEPTION » à savoir :

• la diminution de la fréquence des cancers graves ;
• la réduction du risque de cancer avancé chez les personnes à risque élevé de cancer ;
• l’élaboration, pour chaque participant, d’un plan personnalisé de prévention, comportant notamment la réalisation d’examens médicaux.

La finalité du traitement est déterminée, explicite et légitime, conformément aux dispositions de l’article 5.1.b) du RGPD.

Les données contenues dans cet entrepôt ne sauraient, conformément aux dispositions de l’article L. 1461-1 du code de la santé publique (CSP), être exploitées à des fins de promotion des produits de santé en direction des professionnels de santé ou d’établissements de santé, ou à des fins d’exclusion de garanties des contrats d’assurance et de modification de cotisations ou primes d’assurance d’un individu ou d’un groupe d’individus présentant un même risque. De même, la CNIL rappelle l’interdiction de constituer et d’utiliser à des fins de prospection ou de promotion commerciales des fichiers composés à partir des données issues directement ou indirectement des prescriptions médicales, dès lors que ces fichiers permettent d’identifier directement ou indirectement le prescripteur (article L. 4113-7 du CSP).

Le traitement mis en œuvre par le responsable de traitement est nécessaire aux fins d’exécution de la mission d’intérêt public qu’il poursuit. Ce traitement est licite au regard de l’article 6.1.e) du RGPD et remplit des conditions permettant le traitement des données concernant la santé au regard des dispositions de l’articles 9-2-j) du RGPD et 44-3° de la loi « informatique et libertés » modifiée.

Les utilisations futures des données contenues dans cet entrepôt s’inscriront dans le cadre des dispositions des articles 66, 72 et suivants de la loi « informatique et libertés », qui imposent que chaque projet de recherche, étude ou évaluation soit justifié par l’intérêt public. Ces traitements devront faire l’objet de formalités propres.

Sur les points de non-conformité au référentiel concerné

Le dossier de demande mentionne que le traitement envisagé est conforme aux dispositions du référentiel « entrepôt de données dans le domaine de la santé », à l’exception :

• de la nature des données traitées (appariement des données cliniques avec les données du SNDS) ;
• de certaines mesures de sécurité.

En dehors de ces points, qui font l’objet d’un examen spécifique dans la présente autorisation, ce traitement devra respecter le cadre prévu par ce référentiel.

Sur les données traitées et les modalités d’appariement

Cet entrepôt sera alimenté par des données à caractère personnel issues :

• de la plateforme « MyInterception » mutualisée et utilisée par l’ensemble des centres participants au programme « INTERCEPTION » ;
• du SNDS, pour les personnes incluses dans le programme « INTERCEPTION ».

Les données issues du programme « INTERCEPTION » sont :

Concernant les données des patients :

• l’âge ;
• des données de santé ;
• des données génétiques ;
• des données relatives à la qualité de vie.

Concernant les données des professionnels de santé :

• nom ;
• prénom ;
• coordonnées électroniques ;
• titres et fonctions ;
• numéro RPPS ;
• lieu d’activité professionnelle.

Concernant les données issues du SNDS :

Les données du programme « INTERCEPTION » seront appariées avec certaines données du SNDS provenant :

• du Système national d’information inter-régimes de l’Assurance maladie (SNIIRAM) ;
• du Programme de médicalisation des systèmes d’information (PMSI) ;
• du Centre d’épidémiologie sur les causes médicales de décès (CépiDC).

Sur l’appariement des données du programme « INTERCEPTION » et des données du SNDS dans le cadre de l’entrepôt « INTERCEPTION » :

Les données feront l’objet d’un rapprochement avec les données issues du SNDS par l’utilisation du numéro d’inscription au répertoire national d’identification des personnes physiques (NIR).

L’appariement déterministe devra respecter les principes de circulation du NIR aux fins d’appariement de données avec le SNDS (circuit multi-centres/eCRF avec NIR ou, à défaut, le Vademecum) et le référentiel de sécurité SNDS.

Ces données devront être pseudonymisées avant leur intégration dans l’entrepôt.

Ces données sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités du traitement, conformément aux dispositions de l’article 5.1.c) du RGPD.

Les données contenues dans cet entrepôt ne sauraient, conformément aux dispositions de l’article L. 1461-1 du code de la santé publique (CSP), être exploitées à des fins de promotion des produits de santé en direction des professionnels de santé ou d’établissements de santé, ou à des fins d’exclusion de garanties des contrats d’assurance et de modification de cotisations ou primes d’assurance d’un individu ou d’un groupe d’individus présentant un même risque. De même, la Commission rappelle l’interdiction de constituer et d’utiliser à des fins de prospection ou de promotion commerciales des fichiers composés à partir des données issues directement ou indirectement des prescriptions médicales, dès lors que ces fichiers permettent d’identifier directement ou indirectement le prescripteur (article L. 4113-7 du CSP).

Sur la durée de conservation des données

Les données MyInterception versées dans l’entrepôt englobent toute la profondeur historique disponible dans cette base. Elles y seront conservées pendant 20 ans à compter de la dernière saisie de données concernant le patient dans la base source MyInterception.

Ces données seront enrichies par des données du SNDS avec une profondeur historique de 20 ans. L’entrepôt sera alimenté semestriellement en fenêtre glissante : chaque semestre les données du SNDS les plus récentes seront versées dans l’entrepôt, au sein de la bulle sécurisée, et les données du SNDS correspondant au semestre le plus ancien devront être supprimées afin de conserver une profondeur historique ne dépassant pas 20 ans.

Ces durées de conservation des données n’excèdent pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées, conformément aux dispositions de l’article 5.1.e) du RGPD.

Sur l’information et le droit d’accès

S’agissant des patients :

Une note d’information individuelle, comportant l’ensemble des mentions prévues par le RGPD, sera adressée aux patients par voie postale, via une application patient sécurisée ou directement en consultation.

S’agissant des professionnels de santé :

Les professionnels dont les données sont versées dans l’entrepôt recevront une note d’information individuelle, comportant l’ensemble des mentions prévues par le RGPD. Cette note leur sera adressée par l’équipe administrant l’entrepôt au moment de la création du compte du professionnel accédant à l’entrepôt.

Par ailleurs, le responsable de traitement diffusera sur son site web une information relative à la base de données ainsi que des informations sur les projets de recherches, études et évaluations dans le domaine de la santé menés à partir des données qu’elle contient. Ces documents d’information devront comporter l’ensemble des mentions prévues par le RGPD.

L’information relative à la constitution de l’entrepôt ne peut se substituer à l’information individuelle prévue par le RGPD et la loi « informatique et libertés » pour la mise en œuvre de recherches, études et évaluations ultérieures.

Ces modalités d’information sont conformes au principe de transparence et aux exigences d’information prévues par les articles 12 et suivants du RGPD.

Les droits des personnes s’exerceront :

• auprès du délégué à la protection des données de l’Institut Gustave Roussy ;
• sur le site web de l’entrepôt à partir de la page dédiée à l’information relative à l’entrepôt « INTERCEPTION » ;
• sur l’application MyInterception ;
• par contact direct auprès du médecin ayant inclus le patient dans le programme « NTERCEPTION ».

Sur la transparence du traitement

L’article L. 1461-3 du CSP subordonne l’accès aux données du SNDS et de ses composantes à la communication à la Plateforme des données de santé (PDS) de plusieurs éléments par les responsables de traitement, avant et après la réalisation des études.

Les projets de recherche, d’étude ou d’évaluation réalisés à partir des données de l’entrepôt « INTERCEPTION » devront être enregistrés au sein du répertoire public de la PDS.

La CNIL prend par ailleurs acte de l’engagement de l’Institut Gustave Roussy d’inscrire l’entrepôt au sein du répertoire public de la PDS.

Elle demande enfin que lui soit communiqué tous les trois ans un rapport sur le fonctionnement de l’entrepôt et sur les recherches réalisées à partir des données qu’il contient.

Sur les mesures de sécurité

Le responsable de traitement a réalisé et transmis à l’appui de la demande d’autorisation une analyse d’impact relative à la protection des données spécifique à la création de l’entrepôt.

Les mesures de sécurité prévues par le responsable de traitement visent à garantir la conformité de l’entrepôt aux exigences de sécurité mentionnées dans le référentiel « entrepôts de données dans le domaine de la santé ».

Une homologation de la bulle sécurisée du prestataire en charge de l’hébergement des données, Euris Health Cloud, a été réalisée par l’autorité d’homologation le 20 septembre 2024, conformément au référentiel de sécurité applicable au SNDS prévu par l’arrêté du 6 mai 2024. Cette décision d’homologation est valable jusqu’au 20 septembre 2027 et devra donc être renouvelée avant cette date, si le traitement devait se poursuivre au-delà de cette échéance.

A cet égard, de façon à assurer le cloisonnement effectif entre les données de la cohorte « MyInterception » (nominatives avec le NIR) et les données de l’EDS apparié au SNDS, ces deux systèmes devront disposer d’une enclave distincte et d’une administration technique par des équipes distinctes, selon un principe de séparation des rôles et des tâches.

De même, le tiers en charge de l’appariement SNDS, Health Data Trust, dispose d’une infrastructure autonome et d’outils distincts de ceux de l’EDS et de la base source « MyInterception ».

Au regard de la volumétrie et de la sensibilité des données traitées, la pseudonymisation des données de santé devra s’effectuer dans un environnement d’intégration comprenant des mesures de sécurité techniques et organisationnelles renforcées, notamment en garantissant un cloisonnement réseau, cryptographique et système spécifique à l’environnement d’intégration, par rapport au reste de l’entrepôt de données de santé.

Les identifiants pseudonymes de l’entrepôt devront être générés, conformément aux dispositions du référentiel de sécurité SNDS, prévu par l’arrêté du 6 mai 2024 et aux exigences du référentiel « entrepôt de données dans le domaine de la santé », par une fonction de hachage cryptographique avec secret résistante aux attaques par force brute ou un générateur de nombres pseudo-aléatoires cryptographiquement sûr.

La procédure de pseudonymisation pour l’alimentation de la base centrale et des espaces projet d’une part, et la procédure de ré-identification d’autre part, devront donc être modifiées afin d’être conformes à ces deux référentiels.

Les mesures de sécurité, qui devront être opérationnelles lors de la mise en œuvre du traitement, devront répondre aux exigences prévues par les articles 5.1.f) et 32 du RGPD compte tenu des risques identifiés par le responsable de traitement. Il appartiendra au responsable de traitement de procéder à une réévaluation régulière des risques pour les personnes concernées et une mise à jour, le cas échéant, de ces mesures de sécurité.