La Commission nationale de l’informatique et des libertés,

Saisie par la société Pierre Karam conseil santé d’une demande de modification de l’autorisation concernant des traitements automatisés à des fins de recherche, d’étude et d’évaluation ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 66, 72 et suivants ;

Vu la délibération n° 2024-054 du 11 juillet 2024 portant décision unique et autorisant la société Pierre Karam conseil santé à mettre en œuvre des traitements automatisés à des fins de recherche, d’étude et d’évaluation nécessitant un accès aux données nationales du programme de médicalisation des systèmes d’information (PMSI) ;

Vu l’avis favorable du Comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé du 4 décembre 2025 ;

Vu le dossier et ses compléments ;

Sur la proposition de M^me Marie Zins, commissaire, et après avoir entendu les observations de M. Damien Milic, commissaire du Gouvernement,

Formule les observations suivantes :

Sur le responsable de traitement :

La société Pierre Karam conseil santé (ci-après, « la société PKCS » ) est une société spécialisée dans l’analyse de données médico-économiques. Elle a notamment développé un outil destiné à analyser l’activité, la performance, le positionnement des établissements à partir des données de programme de médicalisation des systèmes d’information (ci-après « PMSI » ).

Sur l’opportunité du renouvellement de la décision unique précédemment délivrée par la CNIL :

Le 11 juillet 2024, la société PKCS a été autorisée par la CNIL à mettre en œuvre pendant trois ans certains traitements de données à caractère personnel à partir des données du PMSI.

Ces traitements avaient pour finalité la réalisation d’études destinées à la construction d’indicateurs d’activité, de positionnement, de parcours, d’efficience, de pertinence et de projection d’activité des établissements de santé. Dans ce cadre, une centaine d’utilisateurs ont exécuté plus d’une centaine de requêtes à partir de cet outil.

La CNIL relève que lui ont été transmis :

• un bilan relatif à ces requêtes ;
• le rapport d’un audit externe indépendant portant sur les finalités poursuivies et l’utilisation par le responsable de traitement des résultats des études réalisées.

La société PKCS sollicite un renouvellement de l’autorisation précédemment délivrée afin d’accéder aux données du PMSI pour poursuivre, pendant trois ans, la mise en œuvre de ces traitements.

Ces traitements répondent à une même finalité, portent sur des catégories de données identiques – les seules données du PMSI – et concernent des catégories de destinataires identiques – les personnes habilitées par le responsable de traitement.

Ces traitements relevant du régime prévu par les dispositions des articles 66 et 72 et suivants de la loi n° 78-17 du 6 janvier 1978 modifiée (ci-après la loi informatique et libertés ), la CNIL estime opportun, au vu des éléments présentés dans le dossier de demande, de faire application des dispositions du IV de l’article 66, qui lui permettent, par décision unique, de délivrer à un même demandeur une autorisation pour des traitements répondant à une même finalité, portant sur des catégories de données identiques et ayant des catégories de destinataires identiques.

Sur la finalité des traitements et leur caractère d’intérêt public :

Les traitements nécessitant un accès aux données du PMSI ont pour finalité la réalisation d’études destinées à la construction d’indicateurs d’activité, de positionnement, de parcours, d’efficience, de pertinence et de projection d’activité des établissements de santé.

Ces indicateurs ont pour objet de permettre aux établissements de répondre aux besoins de santé, d’améliorer leurs performances, de faire évoluer leurs pratiques, de décrire leur organisation et leur activité, de comprendre les coopérations entre les différents établissements ainsi que d’anticiper les évolutions futures.

La finalité des traitements est déterminée, explicite et légitime, conformément au point b) du 1 de l’article 5 du RGPD, et présente un intérêt public, conformément au I de l’article 66 de la loi informatique et libertés .

La CNIL prend acte de ce que les utilisateurs de l’outil développé par la société PKCS s’engagent, via les conditions générales d’utilisation, à ne pas poursuivre de finalités interdites à partir des indicateurs agrégés de données du PMSI mis à leur disposition.

Sur la licéité des traitements et les conditions permettant de traiter des données concernant la santé :

Les traitements mis en œuvre par la société PKCS sont nécessaires aux fins des intérêts légitimes qu’elle poursuit, prenant en considération le caractère très indirectement identifiant des données et des garanties, notamment en termes de droits des personnes, prévues par les textes encadrant la mise à disposition des données du SNDS.

Ces traitements sont, à ce titre, licites au regard du f) du 1 de l’article 6 du RGPD.

Ces traitements, sont nécessaires à des fins de recherche scientifique, remplissent la condition prévue au j) du 2 de l’article 9 du RGPD permettant de traiter des données concernant la santé.

Sur les traitements de données issues du SNDS :

Le responsable de traitement ne devra traiter, pour chacun des traitements mis en œuvre dans le cadre de la présente décision unique, que les données strictement nécessaires et pertinentes au regard des objectifs des traitements.

Les données concernant les activités suivantes sont nécessaires à la réalisation de ces études :

• médecine, chirurgie, obstétrique et odontologie (MCO) ;
• soin de suite et de réadaptation (SSR) ;
• hospitalisation à domicile (HAD) ;
• psychiatrie (PSY).

Les traitements inclus dans le cadre de la décision unique portent sur les données nationales du PMSI des années 2019 à 2027, sous réserve qu’elles soient diffusables par l’ATIH.

Les données du PMSI étant issues d’une des bases composant le Système national des données de santé (SNDS), l’ensemble des dispositions législatives et réglementaires relatives à ce dernier sont applicables en l’espèce, notamment l’interdiction d’utiliser ces données pour les finalités décrites à l’article L. 1461-1 V du code la santé publique (CSP).

Conformément à l’article 30 du RGPD, le responsable de traitement devra tenir à jour, au sein de son registre des activités de traitement, la liste des traitements mis en œuvre dans le cadre de la présente décision unique. Par ailleurs, le caractère adéquat, pertinent et limité à ce qui est nécessaire au regard des finalités pour lesquelles les données sont traitées, la zone géographique concernée et la profondeur historique des données consultées, devront être justifiés dans ce registre pour chaque traitement mis en œuvre dans le cadre cette décision unique.

Les données dont le traitement est envisagé sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités du traitement, conformément aux dispositions du point c) du 1 de l’article 5 du RGPD.

Sur l’information et les droits des personnes :

Conformément aux dispositions de l’article 14 du RGPD, dans l’hypothèse où la fourniture d’une information individuelle se révélerait impossible, exigerait des efforts disproportionnés ou compromettrait gravement la réalisation des objectifs du traitement, des mesures appropriées devront être mises en œuvre par le responsable de traitement afin de protéger les droits et libertés, ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles.

En l’espèce, il sera fait exception au principe d’information individuelle des personnes et des mesures appropriées seront prises par le responsable de traitement afin de rendre publiquement disponible l’information concernant la mise en œuvre de ces traitements.

La CNIL relève qu’une rubrique dédiée aux traitements mis en œuvre dans le cadre de cette décision unique est publiée sur le site web de la société PKCS au sein de laquelle figurent :

• une note d’information générale sur les traitements mis en œuvre dans le cadre de cette décision unique, qui inclut l’ensemble des mentions prévues par l’article 14 du RGPD
• une fiche descriptive de chaque analyse ou étude.

Sur le principe de transparence et la publication des résultats :

La mise à disposition des données du SNDS et de ses composantes est conçue de façon à permettre de rendre compte de leur utilisation au public.

A cette fin, l’article L. 1461-3 du CSP subordonne l’accès aux données du SNDS et de ses composantes à la communication à la Plateforme des données de santé (PDS) de plusieurs éléments par le responsable de traitement, avant et après les études.

Lorsque le résultat des traitements de données sera rendu public, l’identification directe ou indirecte des personnes concernées doit être impossible, conformément à l’article 68 de la loi « informatique et libertés ».

La CNIL rappelle également qu’à l’issue du délai de trois ans, un bilan contenant notamment la liste des analyses réalisées dans le cadre de la décision unique, ainsi que la méthodologie suivie dans le cadre des analyses, devra être lui être adressé.

Sur les accédants et les destinataires des données :

Seul le responsable du traitement et les personnes habilitées par celui-ci ont accès aux données dans le cadre de la présente décision unique. Le responsable de traitement tient à jour des documents indiquant la ou les personnes compétentes en son sein pour délivrer l’habilitation à accéder aux données, la liste des personnes habilitées à accéder à celles-ci, leurs profils d’accès respectifs et les modalités d’attribution, de gestion et de contrôle des habilitations.

Ces catégories de personnes sont soumises au secret professionnel dans les conditions définies par les articles 226-13 et 226-14 du code pénal.

La qualification des personnes habilitées et leurs droits d’accès doivent être régulièrement réévalués, conformément aux modalités décrites dans la procédure d’habilitation établie par le responsable de traitement.

Sur la sécurité des données et la traçabilité des actions :

La mise en œuvre de traitements de données à caractère personnel intervenant dans le cadre de l’étude s’effectue sous la responsabilité du responsable de traitement, y compris chez des tiers agissant pour son compte, dans le respect des dispositions des articles 24, 25, 28, 32 à 35 du RGPD ainsi que de l’arrêté du 6 mai 2024 relatif au référentiel de sécurité applicable au SNDS et de ses mises à jour ultérieures.

Les données seront mises à disposition auprès du responsable de traitement par l’intermédiaire du prestataire d’accès sécurisé désigné par l’ATIH, à savoir le Centre d’accès sécurisé aux données (ci-après « CASD » ).

Seules des données issues de processus d’anonymisation, de telle sorte que l’identification, directe ou indirecte, des personnes est impossible, peuvent faire l’objet d’une extraction. La CNIL rappelle que le responsable de traitement doit réaliser une analyse permettant de démontrer que leurs processus d’anonymisation respectent les trois critères définis par l’avis n° 05/2014 sur les techniques d’anonymisation adoptés par le groupe de l’Article 29 (G29) le 10 avril 2014. Si ces trois critères ne peuvent être réunis, une analyse approfondie des risques d’identification doit être menée afin de démontrer que ces derniers, avec des moyens raisonnables, sont inexistants.

Sur la durée d’accès aux données :

La durée de conservation des données dans la plateforme sécurisée doit être limitée à la durée nécessaire à la mise en œuvre des traitements, qui ne saurait être supérieure à trois ans, à compter de l’accès effectif aux données.

Cette durée de conservation des données n’excède pas les durées nécessaires aux finalités pour lesquelles elles sont collectées et traitées, conformément aux dispositions du e) du 1 de l’article 5 du RGPD.

Autorise, conformément à la présente délibération, la société Pierre Karam conseil santé à mettre en œuvre les traitements décrits ci-dessus pendant une durée de trois ans, avec obligation de remise d’un bilan à la Commission à l’issue de ce délai.

La présidente,

M.-L. Denis