Observation liminaire

La CNIL a été saisie d’une demande de modification de la décision DT-2024-020 autorisant la mise en œuvre d’un entrepôt intitulé « THIN ». En dehors des modifications mentionnées dans la présente décision, les conditions de mise en œuvre du traitement restent inchangées.

Sur les points de non-conformité au référentiel concerné

En dehors des points de non-conformité ayant fait l’objet d’un examen spécifique dans la décision DT-2024-020, ce traitement devra respecter le cadre prévu par le référentiel "entrepôt de données dans le domaine de la santé", ainsi que les dispositions de la présente décision.

Sur le responsable de traitement

La responsabilité du traitement mis en œuvre dans le cadre de l’entrepôt de données de santé « THIN » reposera désormais sur la société CLINITYX BY GERS (CLINITYX).

Sur le régime juridique applicable

La constitution de cet entrepôt implique notamment un traitement des données visées au 6° du I de l’article L. 1461-1 du code de la santé publique (CSP), à savoir des données recueillies à l’occasion d’activités de prévention, de diagnostic, de soins donnant lieu à une prise en charge des frais par la sécurité sociale. Ces données seront réutilisées et mises à disposition pour l’une des finalités visées au III de l’article L. 1461-1 du CSP, notamment à des fins de recherches, d’études ou d’évaluations dans le domaine de la santé.

Par conséquent, les dispositions des articles L. 1461-1 et suivants du CSP sont applicables en l’espèce dont :

• le référentiel de sécurité visé au 3° du IV de cet article ;
• l’interdiction de poursuite des finalités visées à l’article V de cet article, et plus particulièrement la promotion des produits de santé en direction des professionnels de santé ou d’établissements de santé, ou à des fins d’exclusion de garanties des contrats d’assurance et de modification de cotisations ou primes d’assurance d’un individu ou d’un groupe d’individus présentant un même risque (finalités interdites d’utilisation du Système national des données de santé – SNDS).

Sur la finalité du traitement, sa licéité et les conditions permettant de traiter des données concernant la santé

Le traitement a pour finalité la constitution d’un entrepôt de données à caractère personnel, dénommé « THIN », qui met à disposition des données de vie réelle de suivi des patients, collectées chez les médecins libéraux de ville, à des fins de recherche et d’études non interventionnelle portant notamment sur :

• l’analyse de l’usage du traitement, des indicateurs d’observance et de persistance, de la prise en charge et des schémas thérapeutiques, des changements de traitements et des parcours des patients ;
• la réduction de l’errance de diagnostic par analyse prédictive de survenue des maladies ;
• l’évaluation de la bonne utilisation des médicaments (interactions médicamenteuses, effets secondaires, posologies prescrites respectant les recommandations de la Haute autorité de santé, etc.) ;
• l’évaluation de la consommation de soins et de coûts de prise en charge des patients à des fins d’études médico-économiques ;
• les calculs de prévalence, d’incidence et évaluant le « fardeau » de la pathologie ;
• le suivi des campagnes de vaccination et de dépistage au cabinet médical ;
• le suivi de crises épidémiques.

A compter de la présente décision, l’entrepôt permettra également de réaliser des études de faisabilité pour les recherches et études susmentionnées.

La finalité du traitement est déterminée, explicite et légitime, conformément aux dispositions de l’article 5-1-b) du RGPD.

Le traitement mis en œuvre par le responsable de traitement est nécessaire aux fins des intérêts légitimes qu’il poursuit. Ce traitement est licite au regard de l’article 6-1-f) du RGPD et remplit des conditions permettant le traitement des données concernant la santé au regard des dispositions de l’articles 9-2-j) du RGPD et 44-3° de la loi « informatique et libertés » modifiée.

Les traitements mis en œuvre à partir des données de l’entrepôt devront se conformer aux dispositions des articles 66 et 72 et suivants de la loi « informatique et libertés », qui imposent que chaque projet de recherche, étude ou évaluation soit justifié par l’intérêt public. Ils devront faire l’objet de formalités propres par leur(s) responsable(s) de traitement. Les personnes concernées devront être informées de chacun de ces traitements conformément au RGPD et à la loi « informatique et libertés ».

Sur les données traitées

Les données relatives à l’historique des remboursements de santé effectués par l’assurance maladie ne seront pas versées dans l’entrepôt.

Par ailleurs, les données des patients n’ayant eu qu’une seule consultation avec un médecin généraliste ou spécialiste ne pourront être versées ou conservées dans l’entrepôt.

Le dossier de demande mentionne qu’ont été supprimées :

• les données des patients dont la dernière consultation est antérieure à 2018 ;
• les données ayant fait l’objet d’un marquage spécifique dans les conditions prévues par la décision DT-2024-020. La CNIL relève à ce titre que le responsable de traitement indique qu’aucun indicateur n’a été calculé à partir de ces données.

Sur les modalités d’information et d’exercice des droits

La société CLINITYX, en sa qualité de responsable de traitement de l’entrepôt, doit assurer l’information des personnes dont les données sont traitées, conformément au RGPD et à l’article 69 de la loi « informatique et libertés ».

Tous les documents d’information (individuelle ou collective) devront :

• comporter l’ensemble des mentions prévues par le RGPD ;
• préciser la profondeur historique des données traitées afin d’assurer la transparence du traitement vis-à-vis des personnes concernées.

Les notes d’information relatives aux recherches réalisées à partir des données de l’entrepôt seront désormais publiées sur le portail de transparence de le société CLINITYX.

La société CLINITYX s’engage de surcroit :

• à effectuer une redirection automatique depuis le portail de transparence de la société GERS SAS vers le portail de transparence de la société CLINITYX sur lequel figureront désormais les informations relatives aux recherches réalisées à partir des données de l’entrepôt ;
• à ce que l’ensemble des informations concernant les réutilisations de données versées dans l’entrepôt « THIN » demeurent disponibles sur le portail de transparence de la société GERS SAS, qui restera actif. Une mise à jour des informations disponibles sur ce dispositif sera régulièrement réalisée par la société GERS SAS.

Conformément aux dispositions de l’article 12 du RGPD, l’information des personnes concernées ainsi que les modalités d’exercice de leurs droits devront être conformes au principe de transparence prévu au chapitre III du RGPD. Les coordonnées du délégué à la protection des données auprès duquel les personnes concernées pourront dorénavant exercer leurs droits devra figurer clairement sur les différents supports d’information.

Les notes d’informations relatives à la constitution de l’entrepôt et à son fonctionnement devront être mises à jour afin de mentionner les modifications apportées au traitement.

Elles seront transmises aux professionnels de santé partenaires dans les conditions prévues par la décision DT 2024-020.

Sur la sécurité des données et la traçabilité des actions

Le dossier mentionne que certaines des mesures nécessaires à la pleine couverture des risques de sécurité identifiées par la décision DT-2024-020 ont été déployées et améliorées dans le cadre d’un plan d’actions formalisé. La CNIL en prend acte.

Les mesures de sécurité décrites dans le dossier sont ainsi de nature à répondre aux exigences prévues par les articles 5,1, f) et 32 du RGPD compte tenu des risques identifiés par le responsable de traitement. Le responsable de traitement doit procéder à une réévaluation régulière des risques pour les personnes concernées et une mise à jour, le cas échéant, de ces mesures de sécurité.

Sur la gouvernance de l’entrepôt

Le responsable de traitement a mis en place un dispositif de gouvernance de l’entrepôt afin de maîtriser l’exploitation qui en est faite dans le respect des finalités déclarées et de l’intérêt public.

En complément, eu égard à la nature des données traitées ainsi qu’aux finalités des traitements poursuivis ou envisagés par la société et ses partenaires, une gouvernance globale d’entreprise devra être mise en œuvre par la société CLINITYX comportant en particulier :

• une politique interne dédiée ;
• une gouvernance interne avec l’organisation et la documentation adéquates ;
• la formation et la sensibilisation de tous les acteurs ;
• une séparation des tâches en lien avec le traitement des données de santé, appuyée sur des critères d’exclusion a priori de certains personnels, services ou fonctions pour l’accès à un espace projet ou au rapport détaillé d’une étude ;
• la tenue d’une liste des personnes ayant un lien à caractère promotionnel avec des acteurs de santé ou un conflit d’intérêt par rapport à une étude ;
• une gestion des risques de violation liés au détournement de finalité, notamment sous l’angle de la minimisation/granularité des données et des risques de réidentification ;
• une surveillance des incidents et gestion des violations avec détournement de finalité ;
• des contrôles réguliers, comité annuel et mesures d’amélioration.

Sur la conservation et la profondeur historique des données

Les données des patients ayant eu plusieurs consultations avec un médecin généraliste ou spécialiste partenaire entre 2018 et la date de la décision DT-2024-020 dont le contrat a pris fin seront conservées neuf ans, dans la limite d’une profondeur historique de dix ans à compter de la dernière consultation.

Les données des patients ayant eu plusieurs consultations avec un médecin généraliste ou spécialiste partenaire entre 2018 et la décision DT-2024-020 dont le contrat est toujours en cours seront conservées neuf ans, dans la limite d’une profondeur historique de dix ans à compter de la dernière consultation, dans l’hypothèse où ils ne pourraient pas être informés individuellement au cours d’une nouvelle consultation.

Les autres données (données des patients informés individuellement postérieurement à la décision DT-2024-020) seront conservées quinze ans à compter de leur collecte auprès des professionnels de santé partenaires, dans la limite d’une profondeur historique de quinze ans à compter de la dernière consultation.

Observations complémentaires

Dans l’hypothèse où la société CLINITYX souhaiterait soumettre une demande de modification ou de renouvellement, le dossier de demande devra comporter un bilan comprenant notamment :

• la démonstration de la mise en œuvre effective d’une politique d’entreprise liée à la prévention des finalités interdites ;
• les modalités d’information déployées afin d’informer individuellement et collectivement des personnes concernées par ce traitement ;
• les modalités d’exercice des droits déployées ;
• la liste des projets réalisés ou en cours de réalisation ainsi que l’adéquation des objectifs de chaque étude aux finalités de l’entrepôt ;
• une synthèse des demandes de mise à disposition des données ;
• des indicateurs sur les modalités de fonctionnement de l’entrepôt ;
• la liste exhaustive des habilitations associées à l’entrepôt pour le personnel de la société CLINITYX ;
• les modalités de réalisation du plan d’actions et la résolution d’incidents éventuels.