Entrepôt de données santé IQVIA : la CNIL rappelle les conditions et le cadre légal ayant permis son autorisation en 2018

L'autorisation d'entrepôts de données de santé par la CNIL

Les données personnelles concernant la santé sont particulièrement sensibles. Le RGPD et la loi française limitent fortement leur utilisation : elle est interdite, sauf dans certains cas limitativement énumérés. À ce titre, il est possible d'utiliser ces données pour la recherche scientifique en santé.

Consciente des enjeux liés à l'utilisation de ces données en matière d'innovation dans le domaine de la santé (réutilisation des données des dossiers médicaux recueillies dans le cadre de la prise en charge ou encore des données de remboursement par l'assurance maladie, etc.), la loi française encadre depuis plusieurs décennies leur utilisation. Le Code de la santé publique (art. L. 1460-1) prévoit que les données de santé destinées au secteur public, à la sécurité sociale ou aux professionnels de santé ne peuvent être réutilisées que pour des projets « d'intérêt public ». Il est ainsi possible d'utiliser ces données pour conduire des projets de recherche.

Il est également possible de créer des « entrepôts » de données de santé, c'est-à-dire des bases de données contenant un grand nombre d'informations, sur une certaine profondeur historique, pour favoriser la recherche médicale. En principe, les données stockées dans ces entrepôts ne comportent plus l'identité des personnes concernées : elles sont dites « pseudonymisées ». La CNIL est attentive à ce que le degré de pseudonymisation rende la réidentification des personnes la plus difficile possible.

Le législateur n'a pas entendu créer de distinction entre les acteurs publics et les acteurs privés. Ils peuvent, les uns comme les autres, mettre en œuvre des entrepôts ou des projets de recherche présentant un caractère d'intérêt public. Il en va par exemple ainsi pour les recherches visant à permettre le développement de nouveaux médicaments (essais cliniques), d'évaluation médico-économique des consommations ou d'analyse des parcours de soins.

En revanche, dans un certain nombre de cas précisés par la loi, l'entrepôt ou la recherche médicale ne peut être mis en œuvre qu'après avoir reçu l'autorisation de la CNIL. La CNIL exige alors un certain nombre de garanties de nature à préserver la vie privée des personnes.

Faut-il systématiquement un consentement des personnes avant que leurs données soient versées dans un entrepôt de données de santé ou utilisées pour une recherche médicale ?

En matière de recherche médicale, le RGPD et la loi Informatique et Libertés n'imposent pas le recueil d'un consentement exprès, sauf dans certaines circonstances particulières. Il est courant que les données de prise en charge médicale ou de consommation de médicaments soient utilisées par des chercheurs pour la recherche médicale.

Les personnes concernées doivent néanmoins pouvoir s'opposer au traitement de leurs données et avoir préalablement reçu une information individuelle.

Le même régime vaut pour la constitution d'entrepôts de données de santé, tel celui d'IQVIA, autorisé par la CNIL le 12 juillet 2018 par une autorisation publiée sur le site Légifrance. Cet entrepôt regroupe des données pseudonymisées de pharmacies. D'autres acteurs privés ont été autorisés par la CNIL à mettre en place ce type d'entrepôt.

Quelles sont les garanties exigées d'IQVIA pour l'entrepôt autorisé en 2018 ?

L'autorisation délivrée le 12 juillet 2018 à IQVIA concernant l'entrepôt dénommé « LRX » fixe un cadre strict et exigeant, dont les principaux éléments sont détaillés ci-dessous, et dont le non-respect par le responsable de traitement peut conduire à des sanctions particulièrement lourdes.

Une finalité circonscrite

Les données ne peuvent être utilisées que pour permettre de mener des « études non interventionnelles visant à l'évaluation de la bonne utilisation du médicament en vie réelle, l'analyse scientifique et statistique des phénomènes liés à la persistance, la conformité, le respect des prescriptions et des contre-indications ». Les données ne peuvent, en particulier, en aucun cas être utilisées pour promouvoir commercialement des produits de santé, notamment en direction des professionnels de santé. Chaque étude réalisée à partir des données de l'entrepôt doit présenter un « intérêt public ».

Une information individuelle des personnes

Les pharmaciens d'officine sont chargés, contractuellement, d'informer individuellement leurs clients du traitement des données les concernant, ainsi que de permettre l'exercice des droits d'accès, de rectification et d'opposition qui leur sont reconnus (notice d'information et mise en place d'une affiche dans la pharmacie). La CNIL avait par ailleurs demandé que les supports soient complétés pour être conformes au RGPD.

Un droit d'opposition

Le droit d'opposition s'exerce auprès des pharmaciens partenaires. Si la personne s'oppose au traitement, ses données ne doivent plus alimenter l'entrepôt de données. L'ensemble des données déjà collectées devra également être supprimé.

S'agissant des risques de réidentification

Les données contenues dans l'entrepôt doivent être pseudonymisées (elles ne comportent ni le nom ni le prénom des personnes, mais ne sont pas pour autant anonymes au sens du RGPD). Le degré de pseudonymisation demandé est élevé. Le numéro de sécurité sociale (NIR), qui permet de chainer les données contenues dans l'entrepôt, c'est-à-dire de faire le lien entre plusieurs dispensations de médicaments dans des officines différentes, ne peut être transmis « en clair » à la société IQVIA. La société n'est pas autorisée à procéder à des rapprochements, interconnexions, mises en relation, appariements avec tout fichier de données directement ou indirectement nominatives ou toute information susceptible de révéler l'identité d'une personne et/ou son état de santé.

Une gouvernance spécifique

Celle-ci se traduit par la mise en place de deux comités ad hoc chargés d'examiner les projets de recherche ou d'étude des futurs clients de la société au regard de l'intérêt public qu'ils présentent.

Une transparence des traitements mis en œuvre

La société IQVIA s'est notamment engagée à publier un rapport annuel présentant une synthèse globale des types d'analyses effectuées.

Une limitation des destinataires de données personnelles

En dehors de la société IQVIA et de ses sous-traitants, seuls des partenaires scientifiques peuvent accéder aux données de l'entrepôt, à condition de présenter à leur tour les garanties requises. Les « clients » d'IQVIA ne peuvent être destinataires d'aucune données à caractère personnel de l'entrepôt.

Une sécurité des données renforcée

La sécurité des données passe notamment par des mesures d'authentification, un chiffrement des données, une traçabilité des actions et une architecture technique agréée « HDS » (hébergement de données de santé).

Que compte faire la CNIL ?

Le fonctionnement de l'entrepôt de données de la société IQVIA autorisé en 2018 a été mis en cause dans l'émission Cash Investigation qui sera diffusée le 20 mai prochain. La CNIL précise qu'à ce jour, elle n'a pas reçue de plainte relative au fonctionnement de cet entrepôt mais annonce, au regard des éléments portés à la connaissance du public, qu'elle diligentera des contrôles.

Public link

Please use the above public link if you want to share this noodl on another website.