Sur le responsable du traitement

La société ALIRA HEALTH est une société européenne de services intervenant auprès des industriels de santé, notamment dans le domaine de la recherche en santé.

Elle souhaite continuer à réaliser, en qualité de responsable de traitement, des études de faisabilité à partir des données du PMSI, afin d’être en capacité d’estimer la volumétrie potentielle de patients susceptibles d’être concernés par des projets d’études dans le domaine de la santé.

Sur l’opportunité du renouvellement de la décision unique précédemment délivrée par la Commission à la décision unique

Le 14 septembre 2023 la société ALIRA HEALTH a été autorisée par la CNIL à mettre en œuvre pendant trois ans des traitements de données à caractère personnel automatisés à des fins de recherche, d’étude et d’évaluation à partir des données du PMSI.

Dans le cadre de cette précédente autorisation, la société a réalisé une vingtaine d’études de faisabilité.

La société ALIRA HEALTH sollicite un renouvellement de l’autorisation précédemment délivrée par la CNIL pour continuer à réaliser de telles études. Dans ce cadre, elle envisage de mettre en œuvre une vingtaine de traitements annuellement.

Ces traitements répondent à une même finalité, portent sur des catégories de données identiques – les seules données du PMSI – et concernent des catégories de destinataires identiques – les personnes habilitées par le responsable de traitement.

Ces traitements relevant du régime prévu par les dispositions des articles 66 et 72 et suivants de la loi n° 78-17 du 6 janvier 1978 modifiée (ci-après la loi informatique et libertés ), la CNIL estime opportun, au vu des éléments présentés dans le dossier de demande, de faire application des dispositions de l’article 66 IV, qui lui permettent, par décision unique, de délivrer à un même demandeur une autorisation pour des traitements répondant à une même finalité, portant sur des catégories de données identiques et ayant des catégories de destinataires identiques.

Sur la licéité des traitements et les conditions permettant de traiter des données concernant la santé

Les traitements mis en œuvre par la société ALIRA HEALTH s’inscrivent dans le cadre de son activité commerciale.

Ils sont nécessaires aux fins de la poursuite des intérêts légitimes de la société, compte tenu du caractère indirectement identifiant des données ainsi que des garanties prévues par les textes encadrant la mise à disposition des données du SNDS, notamment en termes de droits des personnes.

Ces traitements sont, à ce titre, licites au regard du f) du 1 de l’article 6 du règlement général sur la protection des données (ci-après « RGPD »).

Ces traitements, nécessaires à des fins de recherche scientifique, remplissent la condition prévue au point j) du 2 de l’article 9 du RGPD permettant de traiter des données concernant la santé.

Sur la finalité des traitements et leur caractère d’intérêt public

Les traitements nécessitant un accès aux données du PMSI ont pour finalité la réalisation d’études de faisabilité (ci-après les « études »), destinées à estimer le nombre potentiel de patients pour la réalisation de recherches dans le domaine de la santé. Les études seront exclusivement réalisées à l’initiative de la société ALIRA HEALTH et indépendamment de toute demande d’un client.

S’il ressort de ces études que la réalisation des recherches correspondantes dans le domaine de la santé est pertinente, ces traitements devront être mis en œuvre conformément aux dispositions des articles 66, 72 et suivants de la loi du 6 janvier 1978 modifiée.

La finalité des traitements est déterminée, explicite et légitime, conformément au point b) du 1 de l’article 5 du RGPD.

Sur le traitement de données issues du SNDS

Pour chacun des traitements mis en œuvre dans le cadre de la présente décision unique, seules les données strictement nécessaires et pertinentes au regard des objectifs poursuivis devront être traitées.

Sous réserve que ces fichiers soient diffusables par l’Agence technique de l’information sur l’hospitalisation (ATIH), outre le fichier spécifique permettant de relier toutes les données du PMSI concernant un même patient (fichier « ANO »), les données concernant les activités suivantes sont nécessaires à la réalisation de ces études :

• médecine, chirurgie, obstétrique et odontologie (MCO) ;
• soins de suite et de réadaptation (SSR) ;
• hospitalisation à domicile (HAD).

Les traitements réalisés dans le cadre de la décision unique porteront sur les données nationales du PMSI des années 2017 à 2024.

Conformément à l’article 30 du RGPD, le responsable de traitement devra tenir à jour, au sein du registre des activités de traitement, la liste des traitements mis en œuvre dans le cadre de la présente décision unique. Par ailleurs, le caractère adéquat, pertinent et limité à ce qui est nécessaire au regard des finalités pour lesquelles les données sont traitées, la zone géographique concernée et la profondeur historique des données consultées devront être justifiés dans ce registre, pour chaque traitement mis en œuvre dans le cadre cette décision unique.

Les données dont le traitement est envisagé sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités du traitement, conformément aux dispositions du point c) du 1 de l’article 5 du RGPD.

Sur la durée d’accès aux données

Les données à caractère personnel du PMSI ne peuvent faire l’objet d’une conservation par le responsable de traitement en-dehors de la plateforme du Centre d’accès sécurisé aux données (CASD), leur exportation étant interdite.

La durée d’accès aux données dans la plateforme sécurisée doit être limitée à la durée nécessaire à la mise en œuvre des traitements, qui ne saurait être supérieure à trois ans à compter de la date d’accès effectif aux données.

Sur le principe de transparence et la publication des résultats

La mise à disposition des données du SNDS et de ses composantes est conçue de façon à permettre de rendre compte au public de leur utilisation.

A cette fin, l’article L. 1461-3 du CSP subordonne l’accès aux données du SNDS et de ses composantes à la communication à la Plateforme des données de santé (PDS) de plusieurs éléments par le responsable de traitement, avant et après les études.

Lorsque le résultat des traitements de données sera rendu public, l’identification directe ou indirecte des personnes concernées doit être impossible, conformément à l’article 68 de la loi « informatique et libertés ».

La CNIL rappelle également qu’à l’issue du délai de trois ans, un bilan contenant notamment la liste des analyses réalisées dans le cadre de la décision unique ainsi que la méthodologie suivie dans le cadre des analyses devra être lui être adressé.

Sur les catégories de destinataires des données

Seuls le responsable du traitement et les personnes habilitées par celui-ci ont accès aux données dans le cadre de la présente décision unique. Le responsable de traitement tient à jour des documents indiquant la ou les personnes compétentes en son sein pour délivrer l’habilitation à accéder aux données, la liste des personnes habilitées à accéder à celles-ci, leurs profils d’accès respectifs et les modalités d’attribution, de gestion et de contrôle des habilitations.

Ces catégories de personnes sont soumises au secret professionnel dans les conditions définies par les articles 226-13 et 226-14 du code pénal.

La qualification des personnes habilitées et leurs droits d’accès doivent être régulièrement réévalués, conformément aux modalités décrites dans la procédure d’habilitation établie par le responsable de traitement.

Sur l’information et les droits des personnes

Conformément aux dispositions de l’article 14 du RGPD, dans l’hypothèse où la fourniture d’une information individuelle exigerait des efforts disproportionnés, des mesures appropriées devront être mises en œuvre par le responsable de traitement afin de protéger les droits et libertés, ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles.

En l’espèce, il sera fait exception au principe d’information individuelle des personnes et des mesures appropriées seront prises par le responsable de traitement afin de rendre publiquement disponible l’information concernant la mise en œuvre de ces traitements.

La CNIL relève qu’une rubrique dédiée aux traitements mis en œuvre dans le cadre de cette décision unique est publiée sur le site web de la société ALIRA HEALTH, au sein de laquelle figurent :

• une note d’information relative à ces traitements comportant l’ensemble des mentions prévues par l’article 14 du RGPD ;
• un « registre des données requêtées » mentionnant notamment le type de demandeur, le motif de la demande, le champ thérapeutique, le résultat du dénombrement et la suite données à la requête sera également publié sur ce portail de transparence.

Sur la sécurité des données et la traçabilité des actions

La mise en œuvre de traitements de données à caractère personnel intervenant dans le cadre de l’étude s’effectue sous la responsabilité du responsable de traitement, y compris chez des tiers agissant pour son compte, dans le respect des dispositions des articles 24, 25, 28, 32 à 35 du RGPD ainsi que de l’arrêté du 6 mai 2024 relatif au référentiel de sécurité applicable au SNDS et de ses mises à jour ultérieures.

Les données seront mises à disposition auprès du responsable de traitement par l’intermédiaire du prestataire d’accès sécurisé désigné par l’ATIH, à savoir le CASD.

Seules des données issues de processus d’anonymisation, de telle sorte que l’identification, directe ou indirecte, des personnes est impossible, peuvent faire l’objet d’une extraction. La CNIL rappelle que les responsables de traitement doivent réaliser une analyse permettant de démontrer que leurs processus d’anonymisation respectent les trois critères définis par l’avis n° 05/2014 sur les techniques d’anonymisation adoptés par le groupe de l’Article 29 (G29) le 10 avril 2014. Si ces trois critères ne peuvent être réunis, une analyse approfondie des risques d’identification doit être menée afin de démontrer que ces derniers, avec des moyens raisonnables, sont inexistants.