Avis du comité

Avis favorable avec recommandations du Comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé du 7 novembre 2024

Sous-traitant

Le groupement d’intérêt public « Plateforme de données de santé » (GIP PDS) assurera l’hébergement pour l’analyse des données de l’étude et facilitera leur appariement avec les données du SNDS via son service « concentrateur ». La CNIL estime que le GIP PDS interviendra en qualité de sous-traitant. A ce titre, la répartition des rôles et responsabilités entre l’Institut Curie et le GIP PDS, concernant notamment la sensibilisation des utilisateurs du projet, la surveillance des traces, la gestion des alertes et des incidents ainsi que les gestions des exports de données anonymes, devra être formalisée entre les parties.

Plusieurs sous-traitants interviendront dans la mise en œuvre de l’étude. Le traitement des données par chacun d’entre eux devra être régi par un contrat ou un acte juridique, conformément à l’article 28 du RGPD.

Point de non-conformité à la méthodologie de référence concernée

Le dossier de demande mentionne que le traitement envisagé est conforme aux dispositions de la méthodologie de référence MR-004, à l’exception de la nature des données traitées (appariement déterministe des données cliniques avec celles du SNDS).

En dehors de ce point, qui fait l’objet d’un examen spécifique dans la présente décision, ce traitement devra respecter le cadre prévu par ce référentiel.

Réutilisation des données d’une base existante

Seront réutilisées dans le cadre de cette étude :

• la base « cancer séreux de bas grade » mis en œuvre par l’Institut Curie (dont le traitement a été réalisé dans le cadre d’une déclaration de conformité à la méthodologie de référence MR-004) ;
• la base « ESME ovaire » rassemblée au sein de l’entrepôt ESME mis en œuvre par Unicancer (demande d’autorisation n°2212924) ;
• les données issues des systèmes de gestion électronique des images médicales (PACS) des centres participants concernant les personnes participant à l’étude conformément aux critères d’inclusion décrits dans le protocole.

Catégorie particulière de données traitées (autres que données de santé)

Les données cliniques feront l’objet d’un rapprochement avec les données issues du SNDS par l’utilisation du numéro d’inscription au répertoire national d’identification des personnes physiques (NIR), du sexe et de la date de naissance complète des participants.

Le dossier de demande mentionne que le circuit d’appariement sera conforme à la fiche pratique « circuit multi-centres » publiée par la CNIL.

Les différents centres transmettront les données administratives (NIR, sexe et date de naissance complète des participants) au service « Concentrateur », proposé par la PDS et opéré par un de ses sous-traitants, qui les transmettra à la CNAM pour extraction des données du SNDS correspondantes.

Ces données devront être chiffrées au sein des centres et être transmises sous forme de fichiers chiffrés. Les algorithmes utilisés et les procédures de gestion de clés associées devront être conformes au référentiel général de sécurité (annexes B1 et B2) et aux recommandations correspondantes de l’ANSSI.

Des mesures de sécurité renforcées devront être mises en place pour protéger les tables de correspondance. Les équipements mobiles devront faire l’objet de mesures de chiffrement afin de garantir la confidentialité des données qu’ils contiennent en cas de perte ou de vol de l’équipement.

Utilisation de données issues du SNDS historique

Composantes concernées : SNIIRAM, PMSI et CépiDc

Années concernées : 2006 à 2024, sous réserve qu’elles soient diffusables par la CNAM.

Modalités de consultation : solution technique de la Plateforme des données de santé

Mesures de sécurité

La sécurité des données de l’espace projet dédié au projet « CASEBA » dépend essentiellement de la solution technique de la PDS, qui a fait l’objet d’une analyse globale des risques et de l’impact sur la vie privée, suivie d’une homologation selon le référentiel de sécurité du SNDS.

Une homologation de la solution technique, conforme au référentiel de sécurité applicable au SNDS, et incluant l’espace projet mis à disposition du responsable de traitement, a été réalisée par la PDS le 22 juillet 2024, pour une durée de trois ans, sous réserve de la mise en œuvre du plan d’actions qu’elle a défini. L’Institut Curie devra s’assurer que le système d’information hébergeant les données de l’étude respecte ce référentiel pendant toute la durée du traitement.

Transferts hors Union européenne

Les dispositions de l’article R. 1461-1 du CSP prévoient qu’aucun transfert de données à caractère personnel ne peut être réalisé en dehors de l’Union européenne, sauf dans le cas d’accès ponctuels aux données par des personnes situées en dehors de l’Union européenne, pour une finalité relevant du 1° du I de l’article L. 1461-3 du CSP.

En l’espèce, le dossier de demande mentionne que, bien que le prestataire ne soit pas exclusivement soumis aux lois et juridictions de l’Union européenne, aucun transfert en dehors de l’Union européenne de données individuelles du SNDS n’est prévu, aucun membre de l’équipe de recherche n’étant situé en dehors de l’Union européenne.

Durée d’accès/ Durées de conservation en base active et en archivage

Les NIR et les dates de naissance complètes des participants ne seront pas conservés après l’appariement.

Données du SNDS : cinq ans à compter de la mise à disposition des données.

Observations particulières

Les bases de données pérennes comprenant des données de santé et constituées en vue de leur réutilisation à des fins de recherche dans le domaine de santé sont des entrepôts de données. Sauf en cas de recueil du consentement des personnes concernées, ces traitements relèvent du régime de formalités préalables prévu par les articles 66 et suivants de la loi « informatique et libertés » (déclaration de conformité au référentiel « entrepôt de données de santé » ou, en cas de non-conformité au référentiel, autorisation de la CNIL).