La Commission nationale de l’informatique et des libertés,

Saisie d’une demande d’autorisation relative à un traitement de données à caractère personnel dans le domaine de la santé ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la

directive 95/46/CE (règlement général sur la protection des données) ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ;

Sur la proposition de M^me Marie Zins, commissaire, et les observations de
M. Damien Milic, commissaire du Gouvernement,

Formule les observations suivantes :

Sur le responsable de traitement :

Créée en 1995, la société CEMKA est un bureau d’études qui réalise des recherches dans le domaine de la santé notamment à partir des données du Système national des données de santé (SNDS), pour son propre compte ou celui de ses clients.

Sur les points de non-conformité au référentiel concerné :

Le dossier de demande mentionne que le traitement envisagé est conforme aux dispositions du référentiel « entrepôt de données dans le domaine de la santé »,

à l’exception :

• de la base légale du traitement ;
• de la nature des données traitées (données provenant exclusivement du système national des données de santé – SNDS) ;
• des modalités d’information des personnes concernées.

En dehors de ces points, qui font l’objet d’un examen spécifique dans la présente décision, ce traitement devra respecter le cadre prévu par le référentiel

« entrepôt de données dans le domaine de la santé ».

Sur la finalité du traitement et son caractère d’intérêt public :

Le traitement envisagé a pour finalité la constitution d’un entrepôt de données à caractère personnel comprenant exclusivement des données du SNDS, dénommé « Cemka-DS ».

Cet entrepôt de données de santé vise à permettre la conduite de recherches, d’études et d’évaluations contribuant à des objectifs de santé publique qui s’inscrivent dans le cadre défini à l’article L. 1461-1 III du code de la santé publique.

Ces recherches seront diligentées par des entreprises produisant ou commercialisant des produits de santé telles que mentionnées au II de l’article L. 5311-1 du code de santé publique dans le cadre de la constitution de dossiers à destination d’une autorité de santé (Haute autorité de santé (HAS), Agence nationale de sécurité du médicament et des produits de santé (ANSM),

Agence européenne du médicament (EMA)) ;

Les recherches qui seront mises en œuvre poursuivront les finalités suivantes :

• décrire les conditions d’utilisation des produits de santé en pratique courante dans le cadre du parcours de soins (recherches en épidémiologie et en économie de la santé) ;
• évaluer l’impact des politiques de santé publique et de protection sociale de la population ;
• réaliser des études non interventionnelles portant notamment sur l’efficacité, l’efficience, la sécurité d’un produit de santé ;
• évaluer l’apport d’une nouvelle technique, produit de santé ou pratique médicale sur la prise en charge d’une population.

Les données contenues dans cet entrepôt ne sauront, conformément aux dispositions de l’article L. 1461-1 du code de la santé publique (CSP), être exploitées à des fins de promotion des produits de santé en direction des professionnels de santé ou d’établissements de santé, ou à des fins d’exclusion de garanties des contrats d’assurance et de modification de cotisations ou primes d’assurance d’un individu ou d’un groupe d’individus présentant un même risque.

De même, la CNIL rappelle l’interdiction de constituer et d’utiliser à des fins de prospection ou de promotion commerciales des fichiers composés à partir des données issues directement ou indirectement des prescriptions médicales, dès lors que ces fichiers permettent d’identifier directement ou indirectement le prescripteur (article L. 4113- 7 du CSP).

Sur la licéité des traitements et les conditions permettant de traiter des données concernant la santé :

Le traitement est fondé sur l’intérêt légitime responsable du traitement. Il est licite au regard du f) du 1 de l’article 6 du RGPD et remplit des conditions permettant le traitement des données concernant la santé au regard des dispositions du j) du 2 de l’article 9 du RGPD et du 3° de l’article 44 de la loi « informatique et libertés ».

Les utilisations futures des données contenues dans cet entrepôt s’inscriront dans le cadre des dispositions des articles 66 et 72 et suivants de la loi

« informatique et libertés », qui imposent que chaque projet de recherche, étude ou évaluation soit justifié par l’intérêt public. Ces traitements devront faire l’objet de formalités propres.

Sur la nature des données traitées :

Cet entrepôt sera alimenté par des données à caractère personnel issues du SNDS provenant :

• du Système national d’information inter-régimes de l’Assurance maladie (SNIIRAM) ;
• du Programme de médicalisation des systèmes d’information (PMSI) :
  
  • Médecine-Chirurgie-Obstétrique (PMSI-MCO) ;
  • Hospitalisation À Domicile (PMSI-HAD) ;
  • Soins de Suites et de Réadaptation (PMSI-SSR/SMR).

La profondeur historique maximale des données du SNDS pouvant être traitées sera de neuf ans plus l’année en cours. Cette profondeur historique a été scientifiquement justifiée dans le dossier de demande.

Les données du SNIIRAM et du PMSI des années 2016 à 2025 alimenteront, dans un premier temps, l’entrepôt « Cemka-DS », sous réserve qu’elles soient diffusables par la Caisse nationale de l’assurance maladie (CNAM). Dans un second temps, l’entrepôt sera alimenté par des données plus récentes en fenêtre roulante, Les données de l’année la plus ancienne seront supprimées annuellement à l’occasion de la mise à jour des données concernées du SNDS.

La CNAM mettra à la disposition de la société Cemka 179 variables (soit environ 4.8% de l’ensemble des variables présentes au sein du SNDS), dont la liste est précisée dans une expression de besoins figurant dans le dossier de demande. Après un travail de mise en qualité et de minimisation des données réalisé par Cemka, l’entrepôt contiendra moins de 149 variables, représentant moins de 4% de l’ensemble des variables présentes au sein du SNDS.

Le responsable de traitement réalisera plusieurs opérations à la réception des données issues du SNDS pour assurer leur contrôle et leur mise en qualité et leur analyse :

• un contrôle qualité des données issues du SNDS (présence de toutes les tables demandées, conformité de structure des tables reçues, respect des contraintes d’intégrité propres aux données issues du SNDS, cohérence du volume d’activité au cours du temps, évolution du nombre de bénéficiaires par mois de soins) ;
• une transformation des données issues du SNDS (optimisation des correspondances ou « jointures » entre les tables, mise en œuvre de filtres et corrections sur les données, bonne gestion des référentiels) ;
• un contrôle qualité de chaque datamart (validation de la complétude et de la cohérence de l’extraction par rapport aux besoins du projet).

Ces données sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités du traitement, conformément aux dispositions du c) du 1 de l’article 5 du RGPD. La CNIL invite la société CEMKA à réévaluer régulièrement la pertinence des variables collectées et à réduire, chaque fois que possible, le nombre de ces variables au regard des traitements effectivement mis en œuvre à partir des données de l’entrepôt.

Sur l’information des personnes et les droits des personnes :

En application du b) du 5 de l’article 14 du RGPD, l’obligation d’information individuelle de la personne concernée peut faire l’objet d’exceptions, notamment dans l’hypothèse où la fourniture d’une telle information exigerait des efforts disproportionnés.

En pareils cas, le responsable de traitement prend des mesures appropriées pour protéger les droits et libertés, ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles.

En l’espèce, il sera fait exception au principe d’information individuelle des personnes et des mesures appropriées devront être mises en œuvre par le responsable de traitement afin de rendre l’information publique à travers :

• la diffusion de la note d’information relative à la constitution de l’entrepôt

  « Cemka-DS » sur le portail de transparence de la société Cemka, comprenant toutes les mentions prévues par le RGPD ;

• l’inscription du traitement au sein du répertoire public de la Plateforme des données de santé (PDS) ;
• la publication d’un résumé, ainsi que d’une note d’information, pour chaque projet, sur le site web de Cemka, préalablement à la mobilisation des données pour l’étude.

Sur les destinataires des données :

Les partenaires et clients du responsable de traitement ne pourront être destinataires que de rapports contenant des données agrégées et anonymisées. Il pourra s’agir de moyenne, médiane, écart type sur une population de plus de dix patients.

Sur la sécurité des données et la traçabilité des actions :

Le responsable de traitement a réalisé et transmis à l’appui de la demande d’autorisation une analyse d’impact relative à la protection des données spécifique à la création de l’entrepôt « Cemka-DS ».

L’entrepôt « Cemka-DS » sera hébergé au sein du Centre d’accès sécurisé aux données (CASD), qui agira comme sous-traitant. Une homologation de la bulle sécurisée a été réalisée par l’autorité d’homologation le 16 octobre 2025, conformément au référentiel de sécurité applicable au SNDS. Cette décision d’homologation est valable jusqu’au 15 octobre 2026. Elle devra donc être renouvelée avant cette date, si le traitement devait se poursuivre au-delà de cette échéance.

Les mesures de sécurité planifiées ou mises en place dans l’entrepôt

« Cemka-DS » ont été comparées avec les exigences de sécurité mentionnées dans le référentiel « entrepôts de données de santé » par le responsable de traitement. Aucun écart avec les exigences de sécurité de ce référentiel n’a été relevé.

Les mesures de sécurité décrites répondent aux exigences prévues par les articles 5.1.f) et 32 du RGPD, compte tenu des risques identifiés par le responsable de traitement. Il lui appartiendra de procéder à une réévaluation régulière des risques pour les personnes concernées et une mise à jour, le cas échéant, de ces mesures de sécurité.

Sur la durée de conservation des données :

Les données du SNDS seront conservées pour la durée de l’autorisation délivrée par la présente décision. A l’expiration de celle-ci, le responsable de traitement ne conservera les données que pour la durée nécessaire à la finalisation des études en cours, qui ne peut excéder deux ans à compter la mise à disposition des données.

La mise à jour des données, dont la profondeur historique ne pourra être supérieure à neuf ans plus l’année en cours, sera effectuée une fois par an, dans la limite de la durée de validité de la présente autorisation.

A l’issue de chaque projet, les données contenues dans l’espace dédié seront archivées pendant un mois après la mise à disposition du rapport de l’étude au porteur de projet, puis supprimées.

Sur les observations complémentaires :

Le responsable de traitement transmettra annuellement à la CNIL un bilan comportant au minimum les informations suivantes concernant projets réalisés au cours de l’année écoulée sur la base des données contenues dans l’entrepôt :

• la liste des études réalisées, le nombre de patients concernés, la liste et la fréquence d’utilisation des variables utilisées dans le cadre de ces analyses, ainsi que le délai de publication des résultats ;
• l’adéquation des objectifs de chaque étude aux finalités de l’entrepôt « Cemka -DS » (et le cas échéant l’indication du nombre d’études réalisées dans le cadre de la MR-006 ou du référentiel « ESND ») ;
• le fonctionnement du comité de pilotage (la liste à jour des membres du comité de pilotage) ;
• la liste exhaustive de toutes les habilitations associées à l’entrepôt « Cemka-DS » pour le personnel du responsable de traitement ;
• des indicateurs sur les demandes d’exercice des droits et les réponses apportées.

Dans ces conditions, la CNIL autorise la société CEMKA à mettre en œuvre le traitement de données à caractère personnel, pour une durée de deux ans à compter de la mise à dispositions des données.

La présidente,

M.-L. Denis