La Commission nationale de l’informatique et des libertés,

Saisie par la société Resilience SAS d’une demande d’autorisation concernant la modification d’un traitement automatisé de données à caractère personnel ayant pour finalité la constitution d’un entrepôt de données dans le domaine de la santé, dénommé « Resilience Data Warehouse » ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD) ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 66 et suivants (loi « informatique et libertés ») ;

Vu les délibérations n° 2022-049 du 21 avril 2022 autorisant RESILIENCE SAS à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité un entrepôt de données dans le domaine de la santé, dénommé « Resilience Data Warehouse » et n° 2023-088 du 7 septembre 2023 autorisant la SOCIETE RESILIENCE à modifier un traitement automatisé de données à caractère personnel ayant pour finalité la constitution d’un entrepôt de données dans le domaine de la santé, dénommé « Resilience Data Warehouse » ;

Vu l’ensemble des documents transmis par la société Resilience SAS concernant le traitement envisagé, notamment le dossier et ses compléments ;

Après avoir entendu le rapport de M^me Zins, commissaire, et les observations de M. Damien Milic, commissaire du Gouvernement,

Formule les observations suivantes :

Sur le responsable de traitement :

La société Resilience SAS (ci-après « Resilience ») commercialise :

• plusieurs applications mobiles destinées à améliorer la qualité de vie des patients atteints d’un cancer, de pathologies inflammatoires chroniques de l’intestin ou de troubles psychiatriques ;
• plusieurs dispositifs médicaux de télésurveillance associés à ces applications mobiles ;
• un outil d’analyse et de structuration des documents composant le dossier patient informatisé (DPI).

En avril 2022, Resilience a été autorisée à constituer un entrepôt de données de santé alimenté par les données issues des outils précités (délibération n° 2022-049). Cette autorisation a été modifiée en septembre 2023 afin notamment de lui permettre la poursuite de nouvelles finalités de traitements et la collecte de nouvelles catégories de données (délibération n° 2023-088).

Resilience souhaite apporter des modifications substantielles au traitement « Resilience Data Warehouse » portant sur :

• les finalités du traitement ;
• les catégories de personnes concernées ;
• les sources des données collectées ;
• les catégories de données collectées ;
• certaines modalités d’information ;
• les catégories de destinataires ;
• les modalités de mise à disposition des données collectées pour des traitements ultérieurs.

Sur le régime juridique applicable :

Cet entrepôt implique notamment un traitement des données visées au 6° du I de l’article L. 1461-1 du code de la santé publique (CSP), à savoir des données recueillies à l’occasion d’activités de prévention, de diagnostic, de soins donnant lieu à une prise en charge des frais par la sécurité sociale. Ces données seront réutilisées et mises à disposition pour l’une des finalités visées au III de l’article L. 1461-1 du CSP, notamment à des fins de recherches, d’études ou d’évaluations dans le domaine de la santé.

Par conséquent, les dispositions des articles L. 1461-1 et suivants du CSP sont applicables en l’espèce, dont :

• le référentiel de sécurité visé au 3° du IV de cet article ;
• l’interdiction de poursuite des finalités visées à l’article V de cet article, plus particulièrement la promotion des produits de santé en direction des professionnels de santé ou d’établissements de santé.

En application du II de l’article 3 du l’arrêté du 6 mai 2024 relatif au référentiel de sécurité applicable au SNDS, l’entrepôt devra être mis en conformité avec ce dernier au plus tard le 8 mai 2026 en définissant un plan d’action, indiquant les mesures à prendre dans l’immédiat puis à court et moyen terme.

Sur les formalités applicables et les points de non-conformité au référentiel concerné :

Le dossier de demande mentionne que le traitement envisagé est conforme aux dispositions du référentiel « entrepôt de données dans le domaine de la santé » à l’exception :

• de certaines finalités poursuivies ;
• de la base légale du traitement ;
• de la gouvernance de l’entrepôt ;
• des sources des données collectées ;
• des catégories de données concernées ;
• des durées de conservation ;
• des modalités d’information de certaines catégories de personnes concernées.

Sur la finalité du traitement et son caractère d’intérêt public :

Les modifications envisagées visent à étendre les finalités poursuivies par l’entrepôt, à savoir :

• développer et améliorer des systèmes d’intelligence artificielle destinés au secteur de la santé ;
• mettre à disposition les données de l’entrepôt à des acteurs publics et privés pour la réalisation de projets de recherches, d’études ou d’évaluation dans le domaine de la santé.

Ces traitements pourront être mis en œuvre par Resilience ou par d’autres organismes publics ou privés. Dans cette dernière hypothèse, le dossier de demande mentionne que l’accès aux données par des établissements de santé ou des organismes de droit public interviendra à titre gratuit et qu’aucun accès direct aux données ne sera accordé à des organismes de droit privé et notamment des entreprises produisant ou commercialisant un produit mentionné au II de l’article L. 5311-1 du code de la santé publique. Les conditions d’accès aux données par des tiers devront respecter les principes d’indépendance et d’intégrité de la recherche scientifique et les dispositions du II de l’article L. 1461-3 du CSP.

La finalité du traitement est déterminée, explicite et légitime, conformément aux dispositions du b) du 1 de l’article 5 du RGPD, et présente un intérêt public, conformément au I de l’article 66 de la loi « informatique et libertés ».

Les utilisations futures des données contenues dans cet entrepôt, notamment s’agissant du développement de modèles ou de systèmes d’intelligence artificielle destinés au secteur de la santé, s’inscriront dans le cadre des dispositions des articles 66, 72 et suivants de la loi « informatique et libertés » qui imposent que chaque projet de recherche, étude ou évaluation soit justifié par l’intérêt public et fasse l’objet de formalités propres.

Sur la gouvernance :

Resilience a mis en place un dispositif de gouvernance de l’entrepôt afin de maîtriser son exploitation dans le respect des finalités déclarées et de l’intérêt public.

Eu égard à la nature des données traitées ainsi qu’aux finalités des traitements poursuivis ou envisagés, Resilience s’est engagé à mettre en place une gouvernance globale, afin de garantir que les projets poursuivront une finalité d’intérêt public et prévenir la poursuite des finalités interdites du SNDS. Elle comportera en particulier :

• une politique interne dédiée ;
• une gouvernance interne avec l’organisation et la documentation adéquates ;
• la formation et la sensibilisation de tous les acteurs ;
• une séparation des tâches en lien avec le traitement des données de santé, appuyée sur des critères d’exclusion a priori de certains personnels, services ou fonctions (en particulier les services réalisant des activités marketing ou promotionnelles) pour l’accès à un espace projet ou au rapport détaillé d’une étude ;
• la tenue d’une liste des personnes ayant un lien à caractère promotionnel avec des acteurs de santé ou un conflit d’intérêt par rapport à une étude ;
• une gestion des risques de violation liés au détournement de finalité, notamment sous l’angle de la minimisation/granularité des données et des risques de réidentification ;
• une surveillance des incidents et gestion des violations avec détournement de finalité ;
• des contrôles réguliers, comité annuel et mesures d’amélioration.

Ces mesures devront être opérationnelles avant la mise en œuvre des modifications envisagées.

Sur les personnes concernées par ce traitement :

Les données contenues dans l’entrepôt concerneront :

• les personnes atteintes d’un cancer en cours de suivi ou en rémission ;
• les personnes suivies en gastro-entérologie et en immunologie ;
• les personnes atteintes de troubles psychiatriques ;
• les professionnels de santé participant à la prise en charge des catégories de personnes précitées.

Aucune donnée relative à des personnes mineures ou des personnes majeures faisant l’objet d’une mesure de protection juridique ne sera collectée dans l’entrepôt.

Sur les données traitées :

Les données devront être minimisées et pseudonymisées préalablement à leur intégration dans l’entrepôt par l’établissement ou le professionnel de santé ayant pris en charge la personne ou ayant assuré sa télésurveillance (les responsables de traitement initiaux).

Concernant les sources des données :

L’entrepôt regroupera exclusivement les données collectées dans le cadre :

• de l’application « Resilience Care » et de l’outil de télésurveillance « Resilience PRO » ;
• de l’application « Edra » et de l’outil de télésurveillance associé ;
• de l’application « GuityCare » et de l’outil de télésurveillance associé ;
• des études mises en œuvre par Resilience en qualité de responsable de traitement dans le cadre d’une déclaration de conformité à une méthodologie de référence et notamment les études « EC-102 » et « GC-102 » ;
• des études suivantes mises en œuvre par l’Institut Gustave Roussy :
  
  • « CARE 1 » (demande d’autorisation n° 924225)
  • « TEPPING STONE » (demande d’autorisation n° 924328),
  • « HOPE » (demande d’autorisation n° 925001),
  • « TOLERATE » (demande d’autorisation n° 925192) ;
• des dossiers médicaux pour lesquels l’« outil NLP » (anciennement GIMLI) a été utilisé.

Concernant les données issues des études mises en œuvre par l’Institut Gustave Roussy, seules les données des personnes ayant utilisé ou utilisant l’application « Resilience Care » ou l’outil « Resilience PRO » seront traitées.

Seules pourront être réutilisées les données pour lesquelles les responsables de traitement initiaux ont donné leur autorisation libre, écrite et spécifique.

Par ailleurs, Resilience s’est engagé à publier sur son site web la liste :

• des établissements ou des professionnels de santé agissant en qualité de responsables de traitement des dossiers médicaux qui alimenteront l’entrepôt ;
• des études mises en œuvre par Resilience ou un tiers qui alimenteront l’entrepôt.

Cette liste devra également préciser la liste de l’ensemble des sources de données alimentant l’entrepôt (en particulier les applications mobiles et les dispositifs de télésurveillance concernés) et être mise à jour dès la conclusion ou la fin d’un contrat de partenariat pour cette alimentation.

S’agissant des données issues des échanges écrits entre un patient et un professionnel de santé, seules pourront alimenter l’entrepôt celles ayant été collectées dans le cadre de la prise en charge d’un trouble psychiatrique et versées dans le dossier médical sur décision de l’équipe de soins. Ces données pourront alimenter l’entrepôt sous réserve du consentement spécifique et éclairé du patient et du professionnel concerné.

S’agissant des données issues des champs de texte libre, seules pourront alimenter l’entrepôt celles ayant été renseignées par le patient comme informations complémentaires aux questionnaires de télésurveillance et versées dans le dossier médical sur décision de l’équipe de soins. Ces données pourront alimenter l’entrepôt sous réserve d’une information spécifique du patient et en l’absence d’opposition de sa part. Les patients devront être sensibilisés sur la nécessité de renseigner uniquement les données nécessaires à leur prise en charge qu’ils n’auraient pas pu indiquer au sein du questionnaire de télésurveillance.

Est exclu le versement, au sein de l’entrepôt, des données issues des « notes libres » des professionnels de santé qui n’ont pas vocation à intégrer le dossier médical du patient qu’ils prennent en charge. Il s’agit notamment des notes personnelles visées à l’article R. 4127-5 du CSP.

Concernant les données relatives aux patients :

Les catégories de données concernées sont conformes aux dispositions du 5.2.1.2 du référentiel "entrepôt de données dans le domaine de la santé".

La collecte du NIR est autorisée aux conditions cumulatives suivantes :

• seul sera traité le NIR des patients télésuivis par l’un des outils commercialisés par Resilience qui sont pris en charge par l’assurance maladie conformément à l’article L. 162-52 du code de la sécurité sociale ;
• cette donnée est traitée par Resilience en qualité de responsable de traitement à des fins de facturation auprès de l’assurance maladie ;
• cette donnée sera traitée au sein de l’entrepôt uniquement à des fins d’appariement.

S’agissant des données d’identification (nom, prénom) et des coordonnées électroniques, leur collecte est autorisée uniquement :

• pour les patients dont les données sont issues des dossiers médicaux et qui n’utilisent pas les applications mobiles ou outils de Resilience ;
• et à des fins d’envoi de la note d’information par voie dématérialisée par le sous-traitant désigné par Resilience dans son dossier de demande. Elles ne seront pas versées dans l’entrepôt.

La présente autorisation ne vise pas la collecte des données issues de l’utilisation de l’ordiphone des personnes concernées.

Concernant les données des professionnels de santé :

Les catégories de données visées au sein de la délibération n°2023-088 seront collectées pour cette catégorie de professionnels.

Le dossier de demande mentionne que numéro FINESS de la structure d’exercice sera versé dans l’entrepôt à des fins d’appariement. La CNIL estime que cette collecte n’a pas été suffisamment justifiée et que les garanties apportées ne permettent pas de prévenir la poursuite des finalités interdites du SNDS. Cette donnée est exclue de la présente délibération.

Sous les réserves mentionnées ci-dessus, ces données sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités du traitement, conformément aux dispositions du c) du 1 de l’article 5 du RGPD.

Sur l’information des personnes concernées et les modalités d’exercice des droits :

Resilience a décidé de procéder à une information des personnes en plusieurs niveaux.

Le premier niveau d’information devra :

• comporter les informations relatives à la finalité du traitement, l’identité du responsable de traitement ;
• mentionner explicitement le droit d’opposition des personnes ;
• indiquer que l’exercice des droits par les personnes n’aura pas de conséquence sur leur prise en charge médicale ;
• renvoyer vers le portail de transparence de Resilience qui devra comporter :
  
  • la note d’information relative à l’entrepôt et ses modifications successives ;
  • une information spécifique à chaque traitement mis en œuvre à partir des données de l’entrepôt, publiée préalablement à sa mise en œuvre.

Ces notes d’information devront comporter l’ensemble des mentions prévues par le RGPD.

Resilience s’engage à respecter un délai d’un mois entre la notification de l’information aux personnes concernées et le versement de leurs données dans l’entrepôt.

La page web dédiée à la note d’information relative à l’entrepôt devra présenter clairement les modifications envisagées, notamment pour informer les personnes déjà incluses dans l’entrepôt qui ne seraient plus utilisatrices des applications et outils Resilience.

L’entrepôt « Resilience Data Warehouse » ainsi que les traitements réutilisant ses données devront être enregistrés sur le répertoire public de la Plateforme des données de santé (PDS).

Concernant l’information des patients et professionnels déjà inclus dans l’entrepôt :

S’agissant des personnes en cours d’utilisation de l’application « Resilience Care » ou de l’outil « Resilience PRO » :

Ces personnes (patients et professionnels) seront individuellement informées par la transmission d’un premier niveau d’information lors de leur prochaine connexion à l’application ou à l’outil de télésurveillance.

S’agissant des personnes n’utilisant plus l’application « Resilience Care » et/ou l’outil « Resilience PRO » :

Ces personnes ont reçu, préalablement à leur inclusion dans la version initiale de l’entrepôt, un premier niveau d’information individuelle les renvoyant vers :

• une page dédiée à la note d’information relative à l’entrepôt ;
• un dispositif spécifique d’information auquel elles peuvent se reporter préalablement à la mise en œuvre d’un traitement de données procédant à la réutilisation des données de l’entrepôt (portail de transparence).

Concernant l’information des patients et des professionnels inclus postérieurement à la modification du traitement :

S’agissant des personnes en cours d’utilisation des applications mobiles et des outils de télésurveillance, commercialisés par Resilience, à des fins de prise en charge ou de recherche dans le domaine de la santé :

Les patients utilisateurs seront individuellement informés par la transmission, après la consultation de trois articles pour les utilisateurs des applications mobile ou la transmission du premier questionnaire de télésurveillance, d’un premier niveau d’information renvoyant au site web dédié à l’entrepôt.

Les professionnels utilisateurs seront individuellement informés après la création de leur compte ou lors de leur prochaine connexion.

S’agissant des personnes n’utilisant ni les applications mobiles, ni les outils de télésurveillance, commercialisés par Resilience (données issues exclusivement des dossiers médicaux) :

Les patients seront individuellement informés par voie électronique sous réserve de respecter les conditions suivantes :

• les coordonnées électroniques doivent correspondre à une adresse personnelle ;
• la personne concernée ne s’est pas opposée à cette modalité de délivrance de l’information ;
• le premier niveau d’information transmis aux personnes ne devra pas révéler d’information sur leur état de santé réel ou supposé.

Les professionnels de santé devront être individuellement informés par leur établissement d’exercice professionnel.

Sous les réserves mentionnées ci-dessus, ces modalités d’information sont conformes au principe de transparence et aux exigences d’information prévues par les articles 12 et suivants du RGPD.

Sur les accédants et les destinataires des données :

Seul le personnel habilité de Resilience pourra accéder au NIR et aux seules fins d’appariement.

Seul le sous-traitant procédant à l’envoi de la note d’information par voie électronique sera destinataire des données d’identification (nom, prénom) et des coordonnées électroniques. Ce sous-traitant ne devra avoir accès à aucune information portant sur l’état de santé réel ou supposé des personnes concernées.

Sur la sécurité des données et la traçabilité des actions :

Resilience a réalisé et transmis à l’appui de la demande d’autorisation une analyse d’impact relative à la protection (AIPD) des données, spécifique aux modifications envisagées de l’entrepôt.

Resilience a également transmis une analyse des écarts entre les mesures actuelles et celles imposées par la version 2024 du référentiel de sécurité applicable au SNDS. Etant donné la proximité de l’échéance de mise en conformité imposée par ce référentiel, la CNIL considère indispensable de définir la liste des actions nécessaires et de les mettre en œuvre dans les meilleurs délais, en identifiant un responsable et une échéance pour chacune.

Le NIR, qui sera stocké dans l’EDS uniquement pour permettre la réalisation d’appariements ultérieurs, devra être séparé logiquement des autres données de l’entrepôt via l’utilisation d’une clé de chiffrement dédiée, différente de celles utilisées pour chiffrer les autres données de l’entrepôt.

Les données issues des échanges écrits entre patient et professionnel, celles issues de champs de texte libre, ainsi que des documents issus des dossiers médicaux ou collectés spécifiquement pour la recherche, font l’objet d’un traitement par un algorithme dédié afin d’en extraire uniquement les informations dont le versement est prévu dans l’EDS.

L’exigence SEC-EXP-1 du référentiel « entrepôts de données de santé » prévoit que seuls des jeux de données anonymes peuvent faire l’objet d’une exportation hors de l’entrepôt ou d’un espace de travail, à l’exception des données relatives aux procédures de réidentification SEC-REI-1 à SEC-REI-3.

Le responsable de traitement s’est engagé à respecter l’avis n° 05/2014 sur les techniques d’anonymisation adopté par le groupe de l’Article 29 (G29) le 10 avril 2014. En particulier, seuls des exports de données avec des agrégats d’au moins dix personnes identiques sont prévus. Des exports-types, sur des périmètres limités, devront être définis afin d’assurer leur anonymisation par conception. Le responsable de traitement devra également tenir compte des évolutions de l’état de l’art et des futures lignes directrices du CEPD en la matière.

Les mesures de sécurité, qui devront être opérationnelles lors de la mise en œuvre du traitement, devront répondre aux exigences prévues par les dispositions du f) du 1 de l’article 5 et celles de l’article 32 du RGPD, compte tenu des risques identifiés par le responsable de traitement. Il appartiendra au responsable de traitement de procéder à une réévaluation régulière des risques pour les personnes concernées et une mise à jour, le cas échéant, de ces mesures de sécurité.

Sur la durée de conservation des données :

Les données d’identification (nom, prénom) et des coordonnées électroniques seront supprimées après l’envoi de la note d’information.

Les données issues des dossiers médicaux et des études pourront être conservées pendant au maximum vingt ans à compter de leur collecte dans le cadre des soins.

Les autres données, dont le NIR, seront conservées pour la durée mentionnée dans la délibération n° 2022-049.

Sous les réserves mentionnées ci-dessus, ces durées de conservation n’excèdent pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées, conformément aux dispositions du e) du 1 de l’article 5 du RGPD.

Observations complémentaires :

S’agissant des conditions de mise en œuvre des exports :

Resilience souhaite exporter certaines données individuelles hors de l’entrepôt, exclusivement afin d’alimenter la Plateforme des données en cancérologie mise en œuvre par l’Institut national du cancer.

Dans cette hypothèse, le comité scientifique et éthique de l’entrepôt devra s’assurer que les principes de minimisation seront respectés quant aux données qui font l’objet de l’exportation. A cet égard, seules pourront être exportées :

• les données appartenant aux catégories que l’Institut national du cancer (INCa) est autorisé à traiter ;
• les données des personnes concernées par la plateforme des données en cancérologie, à savoir, celles étant ou ayant été atteintes d’un cancer, des personnes rentrant dans un dispositif de prévention, de dépistage ou des personnes suspectées d’être atteintes d’un cancer.

Il appartiendra également à Resilience d’encadrer contractuellement cette mise à disposition de données afin de s’assurer que leur exportation et leur transmission seront réalisés selon des mesures de sécurité adaptées au niveau de risque. En particulier, les échanges de données devront être réalisés via des canaux de communication chiffrés et assurant l’authentification de la source et du destinataire. La transmission du NIR aux fins d’appariement devra se faire via un canal distinct avec un chiffrement dédié, différent de celui utilisé pour les autres données exportées, en respectant les recommandations du guide et des fiches pratiques publiées par la CNIL.

La CNIL estime que la majeure partie des personnes concernées par la mise à disposition à l’INCa pourront être informées individuellement de cette réutilisation.

S’agissant d’une éventuelle nouvelle demande :

Dans l’hypothèse où Resilience souhaiterait soumettre une demande de modification ou de renouvellement, le dossier de demande devra notamment comporter les éléments suivants :

• les éléments permettant d’attester de la mise en conformité de l’entrepôt vis-à-vis du référentiel de sécurité applicable au SNDS : check-list démontrant la conformité à chaque exigence, document d’homologation établi par le responsable de traitement attestant de sa connaissance du système d’information et acceptant les risques résiduels, le compte-rendu de la réunion d’homologation, le plan d’actions ;
• la démonstration de la mise en œuvre effective d’une politique d’entreprise liée à la prévention des finalités interdites ;
• la liste des projets réalisés ou en cours de réalisation ainsi que l’adéquation des objectifs de chaque étude aux finalités de l’entrepôt ;
• une synthèse des demandes de mise à disposition des données ;
• des indicateurs sur les modalités de fonctionnement de l’entrepôt ;
• la liste exhaustive des habilitations associées à l’entrepôt pour le personnel de Resilience ;
• les modalités de réalisation du plan d’actions et la résolution d’incidents éventuels.

AUTORISE, conformément à la présente délibération, la SOCIETE RESILIENCE SAS à mettre en œuvre le traitement décrit ci-dessus pour la durée mentionnée dans la délibération n° 2022-049.

La présidente,

M.-L. Denis