La Commission nationale de l’informatique et des libertés,

Saisie d’une demande d’autorisation relative à un traitement de données à caractère personnel dans le domaine de la santé ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ;

Sur la proposition de M^me Marie Zins, commissaire, et les observations de M. Damien Milic, commissaire du Gouvernement,

Formule les observations suivantes :

Sur les responsables conjoints de traitement :

Les sociétés Epimentis, Horiana, Randomized Clinical Trials et Stève Consultants sont des bureaux d’études qui réalisent des recherches dans le domaine de la santé, notamment à partir des données du Système national des données de santé (SNDS), pour leur compte ou celui de leurs clients.

Elles déterminent conjointement les finalités et les moyens du traitement.

Conformément à l’article 26 du Règlement général sur la protection des données (RGPD), les responsables conjoints du traitement doivent définir de manière transparente leurs obligations respectives.

Sur les points de non-conformité au référentiel concerné :

Le dossier de demande mentionne que le traitement envisagé est conforme aux dispositions du référentiel « entrepôt de données dans le domaine de la santé »,

à l’exception :

• de la base légale du traitement ;
• de la nature des données traitées (données du SNDS exclusivement) ;
• des modalités d’information des personnes concernées.

En dehors de ces points, qui font l’objet d’un examen spécifique dans la présente autorisation, ce traitement devra respecter le cadre prévu par le référentiel

« entrepôt de données dans le domaine de la santé ».

Sur la finalité du traitement et son caractère d’intérêt public :

Le traitement envisagé a pour finalité la constitution d’un entrepôt de données à caractère personnel comprenant notamment des données de santé, dénommé « Prométhée ».

Cet entrepôt de données de santé vise à permettre la conduite de recherches, d’études et d’évaluations contribuant à des objectifs de santé publique qui s’inscrivent dans le cadre défini à l’article L. 1461-1 III du code de la santé publique. Ces recherches concerneront exclusivement des travaux relatifs à l’évaluation en vie réelle des produits de santé, à l’analyse des parcours de soins, à la mesure clinique et médico-économique des pathologies ainsi qu’au renforcement de la sécurité des patients.

En particulier, les recherches qui seront mises en œuvre poursuivront les finalités suivantes :

• l’amélioration des connaissances scientifiques sur l’épidémiologie et la prise en charge de maladies (épidémiologie, population cible, histoire naturelle, caractéristiques des patients, prise en charge et fardeau économique) ;
• l’évaluation, en conditions réelles d’utilisation, de l’efficacité et de la sécurité des médicaments et dispositifs médicaux remboursés, y compris dans le cadre d’engagements post-inscription ou de demandes des autorités sanitaires ;
• l’estimation de la prévalence et de l’incidence de pathologies et la caractérisation des populations cibles ;
• la description des stratégies thérapeutiques en vie réelle, l’analyse des lignes de traitement, des séquences thérapeutiques et des rechutes, ainsi que l’évaluation des consommations de soins et des coûts associés.
• la structuration, l’harmonisation et l’amélioration des pratiques méthodologiques d’utilisation des données du SNDS, notamment via la production d’algorithmes robustes, documentés, validés et reproductibles, ainsi que d’indicateurs standardisés qui seront rendus accessibles à la communauté scientifique et à certains acteurs du domaine de la santé (notamment les autorités sanitaires, les agences régionales de santé ou les ministères).

Les données contenues dans cet entrepôt ne sauront, conformément aux dispositions de l’article L. 1461-1 du code de la santé publique (CSP), être exploitées à des fins de promotion des produits de santé en direction des professionnels de santé ou d’établissements de santé, ou à des fins d’exclusion de garanties des contrats d’assurance et de modification de cotisations ou primes d’assurance d’un individu ou d’un groupe d’individus présentant un même risque.

De même, la CNIL rappelle l’interdiction de constituer et d’utiliser à des fins de prospection ou de promotion commerciales des fichiers composés à partir des données issues directement ou indirectement des prescriptions médicales, dès lors que ces fichiers permettent d’identifier directement ou indirectement le prescripteur (article L. 4113- 7 du CSP).

Sur la licéité du traitement et les conditions permettant de traiter des données concernant la santé :

Le traitement est nécessaire aux fins des intérêts légitimes du responsable du traitement, qui a justifié de cette nécessité dans le dossier de demande d’autorisation, et est donc licite au regard du f) du 1 de l’article 6 du RGPD. Il remplit également les conditions permettant le traitement des données concernant la santé au regard des dispositions du j) du 2 de l’article 9 du RGPD et du 3° de l’article 44 de la loi « informatique et libertés ».

Les utilisations futures des données contenues dans cet entrepôt s’inscriront dans le cadre des dispositions des articles 66 et 72 et suivants de la loi « informatique et libertés », qui imposent que chaque projet de recherche, étude ou évaluation soit justifié par l’intérêt public. Ces traitements devront faire l’objet de formalités propres.

Sur la nature des données traitées :

Cet entrepôt sera alimenté par des données à caractère personnel issues du SNDS provenant :

• du datamart de consommation inter régime (DCIR) issues du Système national d’information inter-régimes de l’assurance maladie (SNIIRAM) ;
• du Programme de médicalisation des systèmes d’information (PMSI)
  • Médecine-Chirurgie-Obstétrique (PMSI-MCO)
  • Hospitalisation À Domicile (PMSI-HAD)
  • Soins de Suites et de Réadaptation (PMSI-SSR/SMR) ;
• du référentiel des bénéficiaires (IR_BEN_R) ;
• du référentiel médicalisé des bénéficiaires (IR_IMB_R).

La profondeur historique maximale des données du SNDS pouvant être traitées sera de neuf ans plus l’année en cours. Cette profondeur historique a été scientifiquement justifiée dans le dossier de demande.

Les données du SNIIRAM et du PMSI des années 2016 à 2025 alimenteront, dans un premier temps l’entrepôt « Prométhée », sous réserve qu’elles soient diffusables par la Caisse nationale de l’assurance maladie (CNAM). Dans un second temps, l’entrepôt sera alimenté par des données plus récentes en fenêtre roulante. Les données de l’année la plus ancienne seront supprimées annuellement à l’occasion de la mise à jour des données concernées du SNDS.

La CNAM mettra à la disposition des responsables conjoints de traitement 550 variables (soit environ 11,5% de l’ensemble des variables présentes au sein du SNDS), dont la liste est précisée dans une expression de besoins figurant dans le dossier de demande. Après un travail de mise en qualité et de minimisation des données réalisé par les responsables conjoints de traitement, l’entrepôt contiendra moins de 280 variables, représentant environ 6,2% de l’ensemble des variables présentes au sein du SNDS.

Ces données sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités du traitement, conformément aux dispositions du c) du 1 de l’article 5 du RGPD. La CNIL invite les responsables conjoints de traitement à réévaluer régulièrement la pertinence des variables collectées et à réduire, chaque fois que possible, le nombre de ces variables au regard des traitements effectivement mis en œuvre à partir des données de l’entrepôt.

Sur l’information des personnes :

En application du b) du 5 de l’article 14 du RGPD, l’obligation d’information individuelle de la personne concernée peut faire l’objet d’exceptions, notamment dans l’hypothèse où la fourniture d’une telle information exigerait des efforts disproportionnés.

En pareils cas, le responsable de traitement prend des mesures appropriées pour protéger les droits et libertés, ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles.

En l’espèce, il sera fait exception au principe d’information individuelle des personnes et des mesures appropriées devront être mises en œuvre par les responsables conjoints de traitement afin de rendre l’information publique à travers :

• la diffusion de la note d’information relative à la constitution de l’entrepôt « Prométhée » sur le portail de transparence dédié à cet entrepôt, ainsi que sur les portails de transparence respectifs de chacun des responsables conjoints de traitement, comprenant toutes les mentions prévues par le RGPD ainsi que les processus de validation des projets et les engagements pris en termes de transparence pour chaque projet ;
• l’inscription du traitement au sein du répertoire public de la PDS ainsi que de chacun des projets réalisés sur la base des données conservées dans l’entrepôt ;
  
• la publication d’un résumé, ainsi que d’une note d’information, pour chaque projet, sur le portail de transparence du responsable de traitement concerné, préalablement à la mobilisation des données pour l’étude, préalablement à la mobilisation des données pour l’étude en précisant l’usage prévu de l’étude vis-à-vis des autorités de santé.

Sur les destinataires des données :

Les clients des responsables conjoints de traitement ne pourront être destinataires que de rapports contenant des données agrégées et anonymisées. Il pourra s’agir de moyenne, médiane, écart type sur une population de plus de dix patients.

Sur la sécurité des données et la traçabilité des actions :

Les responsables conjoints de traitement ont réalisé et transmis à l’appui de la demande d’autorisation une analyse d’impact relative à la protection des données spécifique à la création de l’entrepôt « Prométhée ».

L’entrepôt « Prométhée » sera hébergé au sein du Centre d’accès sécurisé aux données (CASD), qui agira comme sous-traitant. Une homologation de la bulle sécurisée a été réalisée par l’autorité d’homologation le 16 octobre 2025, conformément au référentiel de sécurité applicable au SNDS. Cette décision d’homologation est valable jusqu’au 15 octobre 2026. Elle devra donc être renouvelée avant cette date, si le traitement devait se poursuivre au-delà de cette échéance.

Les mesures de sécurité planifiées ou mises en place dans l’entrepôt « Prométhée » ont été comparées avec les exigences de sécurité mentionnées dans le référentiel « entrepôts de données de santé » par les responsables conjoints de traitement. Aucun écart avec les exigences de sécurité de ce référentiel n’a été relevé.

Les mesures de sécurité décrites répondent aux exigences prévues par les articles 5.1.f) et 32 du RGPD, compte tenu des risques identifiés par les responsables conjoints de traitement. Il appartiendra à ces derniers de procéder à une réévaluation régulière des risques pour les personnes concernées et une mise à jour, le cas échéant, de ces mesures de sécurité.

Sur la durée de conservation des données :

Les données du SNDS seront conservées pour la durée de l’autorisation délivrée par la présente décision. A l’expiration de celle-ci, les responsables conjoints de traitement ne conserveront les données que pour la durée nécessaire à la finalisation des études en cours, qui ne peut excéder deux ans à compter de la mise à disposition des données.

La mise à jour des données, dont la profondeur historique ne pourra être supérieure à neuf ans plus l’année en cours, sera effectuée une fois par an, dans la limite de la durée de validité de la présente autorisation.

A l’issue de chaque projet, les données contenues dans l’espace dédié seront archivées pendant un mois après la mise à disposition du rapport de l’étude au porteur de projet, puis supprimées.

Sur les observations complémentaires :

Les responsables conjoints de traitement transmettent annuellement à la CNIL un bilan comportant au minimum les informations suivantes concernant projets réalisés au cours de l’année écoulée sur la base des données contenues dans l’entrepôt :

• la liste des études réalisées, le nombre de patients concernés, la liste et la fréquence d’utilisation des variables utilisées dans le cadre de ces analyses, ainsi que le délai de publication des résultats ;
• l’adéquation des objectifs de chaque étude aux finalités de l’entrepôt « Prométhée » (et le cas échéant l’indication du nombre d’études réalisées dans le cadre de la MR-006 ou du référentiel « ESND ») ;
• le fonctionnement du comité de pilotage (la liste à jour des membres du comité de pilotage) ;
• la liste exhaustive de toutes les habilitations associées à l’entrepôt « Prométhée » pour le personnel des responsables conjoints de traitement ;
• des indicateurs sur les demandes d’exercice des droits et les réponses apportées.

Dans ces conditions, la CNIL autorise les sociétés Epimentis, Horiana, Randomized Clinical Trials et Stève Consultants à mettre en œuvre le traitement de données à caractère personnel pour une durée de 2 ans à compter de la mise à disposition des données.

La présidente,

M.-L. Denis