La Commission nationale de l'informatique et des libertés,
Saisie par le ministère des affaires sociales et de la santé d'une demande d'avis concernant un projet de décret en Conseil d'Etat portant création d'un traitement automatisé de données à caractère personnel nécessaire à l'évaluation clinique et économique de l'intervention des conseillers en environnement intérieur au domicile des patients asthmatiques dénommé « ECENVIR » ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code de la santé publique ;
Vu le code de la sécurité sociale, notamment son article L. 161-28-1 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 27-I (1°) ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu la décision DR-2014-092 de la Commission nationale de l'informatique et des libertés relative à une étude, dénommée ECENVIR, ayant pour objet une évaluation clinique et une étude d'impact économique de l'intervention de conseillers en environnement intérieur (CEI) au domicile des patients asthmatiques ;
Vu l'avis favorable du Comité consultatif pour le traitement de l'information en matière de recherche dans le domaine de la santé en date du 20 octobre 2016 ;
Sur la proposition de Mme Valérie PEUGEOT, commissaire, et après avoir entendu les observations de Mme Nacima BELKACEM, commissaire du Gouvernement,
Emet l'avis suivant :
Le ministère des affaires sociales et de la santé a saisi la commission pour avis d'un projet de décret en Conseil d'Etat portant création d'un traitement automatisé de données à caractère personnel nécessaire à l'évaluation clinique et économique de l'intervention des conseillers en environnement intérieur au domicile des patients asthmatiques dénommé « ECENVIR » (ci-après, le « projet »).
Ce traitement portant sur des données parmi lesquelles figure le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques (RNIPP), ou « NIR », relève à ce titre d'un décret en Conseil d'Etat, pris après avis motivé et publié de la commission, en application des dispositions des articles 27 (I, 1°) et 29 de la loi du 6 janvier 1978 modifiée (ci-après la loi « informatique et libertés »). La commission a également été saisie à l'appui du projet de décret du protocole de recherche portant notamment sur les modalités d'organisation de l'étude et la collecte des données individuelles des personnes concernées par l'étude, issues du système national d'information interrégimes de l'assurance maladie (SNIIRAM) par la CNAMTS, via l'utilisation du NIR.
Présentation et conditions de mise en œuvre de l'étude :
La recherche dans le domaine de la santé intitulée « ECENVIR » est en soins courants, multicentrique, nationale, rétrospective et prospective.
Dans le cadre du Plan national santé-environnement 2, les pouvoirs publics ont décidé d'encourager le développement de la profession des conseillers en environnement intérieur (CEI), appelés conseillers « habitat-santé ». Ces conseillers, intervenant sur prescription médicale, sont chargés d'identifier les diverses sources d'allergènes et de polluants au domicile de personnes souffrant de maladies respiratoires ou allergiques liées à l'air, afin de favoriser les comportements tendant à éviter les facteurs d'exposition.
La finalité principale de l'étude ECENVIR est d'évaluer l'efficacité et le coût de l'intervention d'un CEI au domicile des patients sur le contrôle de l'asthme, afin d'en envisager une prise en charge par l'assurance maladie.
Cette étude médico-économique intervient à la demande de la Haute Autorité de santé (HAS) et a reçu le soutien de la direction générale de la santé (DGS) et de la direction générale de la prévention des risques du ministère de l'écologie, du développemen durable et de l'énergie (MEDDE).
Sur la dénomination et la finalité du traitement :
L'article 1er du projet prévoit d'autoriser le centre hospitalier universitaire de Rennes (CHU de Rennes) à mettre en œuvre un traitement de données à caractère personnel nécessaire à l'évaluation clinique et économique de l'intervention des conseillers en environnement intérieur au domicile des patients asthmatiques dans le cadre de l'étude dénommée « ECENVIR », dont la finalité est :
« 1° L'évaluation, par le centre hospitalier universitaire de Rennes, de l'efficacité de l'intervention des conseillers en environnement intérieur au domicile des patients asthmatiques sur le contrôle de l'asthme à douze mois en tenant compte de la pression thérapeutique ;
2° L'appréciation, par le groupement d'intérêt public Institut de recherche et documentation en économie de la santé, de l'impact économique de l'intervention de ces conseillers en environnement intérieur au domicile de patients asthmatiques. »
Le projet a pour objet de permettre un appariement des données du SNIIRAM avec des données issues de la base de données de l'étude mis en œuvre par le CHU de Rennes.
La commission considère que, eu égard à l'intérêt de santé publique que présente cette étude, les finalités ainsi poursuivies sont déterminées, explicites et légitimes, conformément à l'article 6 (2°) de la loi « informatique et libertés ».
Sur la nature des données traitées :
L'article 2 du projet énumère les données collectées directement auprès des personnes participant à l'étude, d'une part, et celles collectées au sein du SNIIRAM, d'autre part.
Sur les données dont le traitement est déjà autorisé par la commission dans le cadre de l'étude :
- données d'identification des personnes : première lettre du nom, première lettre du prénom, mois, année de naissance, sexe ;
- données de santé : l'évaluation clinique, l'évaluation thérapeutique, l'évaluation du contrôle de l'asthme, l'absentéisme professionnel ou scolaire, le nombre d'hospitalisations, le nombre de consultations médicales inopinées liées à l'asthme, le score de pression thérapeutique, la qualité de vie, le résultat du test de contrôle de l'asthme, les informations relatives à l'habitat, les résultats des mesures effectuées au domicile ;
- un code de confidentialité nécessaire au suivi de la cohorte.
Par ailleurs, de nouvelles données seront traitées dans le cadre de l'appariement envisagé des données de l'étude avec les données du SNIIRAM :
- le NIR ;
- des données extraites du SNIIRAM : données pertinentes pour la réalisation de l'étude relatives à la consommation de soins médicaux liés à l'asthme ou non des personnes participant à l'étude ;
- un code de confidentialité spécifique à chaque patient de l'étude nécessaire pour organiser l'extraction des données du SNIIRAM.
La commission considère que les données mentionnées à l'article 2 du projet sont légitimes, pertinentes et non excessives au regard des finalités poursuivies, conformément aux dispositions de l'article 6 (3°) de la loi informatique et libertés.
Sur les destinataires des données :
Aux termes de l'article 4 du projet, les chercheurs du CHU de Rennes, habilités par le directeur général de cet établissement, ont accès « aux données anonymisées » mentionnées aux 1° et 2° de l'article 2 dans la stricte mesure où elles sont nécessaires à la mise en œuvre de leurs travaux d'étude.
La commission prend acte de l'engagement du ministère de modifier l'article 4 du projet afin de retirer la référence à des données « anonymisées », dans la mesure où les données auxquelles il est fait référence seront indirectement identifiantes.
Par ailleurs, les chercheurs de l'Institut de recherche et documentation en économie de la santé (IRDES), habilités par le directeur de cet institut, ont accès aux données mentionnées aux 2° et 3° de l'article 2 dans la stricte mesure où elles sont nécessaires à l'exercice des missions qui leur sont confiées, c'est-à-dire aux données de santé, aux données extraites du SNIIRAM ainsi qu'au code de confidentialité spécifique.
Sur l'information des personnes :
L'article 3 du projet prévoit que le NIR est recueilli « auprès des personnes participant à l'étude qui y consentent, après avoir reçu, du centre hospitalier universitaire de Rennes ou sous sa responsabilité, une information suffisante sur les conditions d'utilisation et de conservation de cette donnée ».
La commission prend acte de l'engagement du ministère de modifier l'article 7 du projet afin d'ajouter que « les personnes participant à l'étude sont informées du caractère facultatif de leur participation et de l'absence de conséquences du refus d'y participer, de la nature des informations transmises et des personnes physiques ou morales destinataires des données, ainsi que de la possibilité de mettre fin à leur participation à tout moment ».
Elle observe dans le dossier produit à l'appui de la demande que les patients et leurs représentants sont informés au moyen d'une note d'information et qu'une information des personnes sera également effectuée oralement par les professionnels de santé ou les conseillers en environnement intérieur.
Ces documents sont adaptés à la situation des participants à l'étude selon qu'ils entrent dans l'étude ou y sont déjà inclus.
Les personnes y seront clairement informées, d'une part, du caractère volontaire et facultatif de l'étude et de l'absence de conséquence d'un refus d'y participer et, d'autre part, du caractère facultatif de la collecte du NIR et de la possibilité, s'ils acceptent, de revenir à tout moment sur leur décision. Elles y seront également informées de la possibilité de mettre fin à leur participation à tout moment ainsi que des modalités pratiques d'exercice des droits ouverts au titre de la loi du 6 janvier 1978 modifiée et, notamment, de leur droit d'accès et de rectification aux données nominatives qui les concernent, prévus aux articles 39 et 40 de la loi du 6 janvier 1978 modifiée.
La commission relève que le consentement exprès des personnes concernées et de leurs représentants est prévu sous la forme d'une case à cocher s'agissant de la collecte du NIR.
Ces modalités d'information n'appellent pas d'observation de la part de la commission.
Sur les droits d'accès, de rectification et d'opposition des personnes :
L'article 7 du projet prévoit que les droits d'accès et de rectification des données, prévus aux articles 39 et 40 de la loi du 6 janvier 1978 susvisée, sont exercés auprès de « la directrice générale du centre hospitalier universitaire de Rennes ».
La commission prend acte de l'engagement du ministère de compléter l'article 7 afin de mentionner le droit d'opposition dont disposent les participants à l'étude au titre de l'article 56 de la loi « informatique et libertés ».
Elle prend également acte de son engagement de modifier ce même article afin d'y faire figurer que les droits susvisés s'exercent auprès de la direction de la recherche et de l'innovation du centre hospitalier universitaire de Rennes, et ce afin de mettre le projet en cohérence avec les notes d'information délivrées aux participants à l'étude.
Sur la sécurité des données et la traçabilité des actions :
L'article 3 du projet de décret encadre l'accès au NIR des participants et définit les mesures de sécurité et de confidentialité nécessaires à l'appariement des données de l'étude avec les données du SNIIRAM et à leur conservation.
L'article 5 du projet précise les obligations du CHU de Rennes et de l'IRDES en matière de sécurité et de confidentialité des données.
Sur l'appariement des données de l'enquête avec les données issues du SNIIRAM et les transmissions de données
Le NIR sera collecté directement auprès des personnes participant à l'étude ou leurs ouvrants droit par les professionnels de l'équipe clinique après recueil de leur consentement éclairé.
La commission prend acte de l'engagement du ministère de modifier l'article 3 du projet afin de supprimer la possibilité pour les conseillers en environnement intérieur de collecter le NIR, ces derniers n'y étant pas habilités.
Le NIR sera enregistré sur le cahier d'observation électronique prévu à cet effet dans le système d'information de recueil de données, dans une base séparée de celle contenant les données de santé collectées pour l'étude.
L'accès à l'application utilisée pour la collecte du NIR est sécurisé au moyen du protocole HTTPS. Concernant le recours à ce protocole, la commission recommande d'utiliser la version de TLS la plus à jour possible.
Un fichier comprenant le NIR, le code de confidentialité spécifique et les données d'identification (première lettre du nom, première lettre du prénom, sexe, mois et année de naissance) fait l'objet d'une procédure de chiffrement par technologie de type PGP mise en œuvre par le CHU de Rennes avec la CNAMTS.
Le fichier est chiffré avec la clé publique de la CNAMTS et est envoyé à celle-ci par mail.
Relativement à la mise en place de mesures de chiffrement asymétrique, la commission rappelle que l'authenticité de la clé du destinataire doit être vérifiée. De plus, des mesures spécifiques doivent être mises en œuvre pour assurer la confidentialité des clés secrètes.
Dès réception des données, la CNAMTS déchiffre le fichier à l'aide de sa clé privée et applique la fonction d'occultation des informations nominatives (FOIN) aux NIR, consistant en une pseudonymisation du NIR par application de deux fonctions de hachage successives, permettant d'obtenir l'identifiant des individus dans le SNIIRAM. Le fichier contenant le NIR haché et le code de confidentialité spécifique est envoyé par la CNAMTS auprès du service interne concerné.
Après extraction des données correspondantes, le fichier contenant les données du SNIIRAM extraites fait l'objet d'une procédure de chiffrement par technologie de type PGP. Le fichier comportant les données est chiffré avec la clé publique de l'IRDES et lui est transmis. La CNAMTS détruit la liste des NIR et la liste des NIR hachés après extraction et envoi.
La commission propose que l'article 3-V du projet soit complété afin d'ajouter que les données du SNIIRAM sont transmises à l'IRDES associées uniquement au code de confidentialité spécifique.
Les transferts entre la CNAMTS et l'IRDES sont réalisés soit par serveur sécurisé si la taille du fichier est inférieure à un gigaoctet ou, dans le cas contraire, par remise de supports amovibles en main propre dans les locaux du GENES (Groupe des écoles nationales d'économie et de statistique) qui héberge les données pour le compte de l'IRDES.
Sur les conditions de conservation des données au CHU de Rennes
Les données d'identification des personnes et les données relatives à leur santé sont conservées dans deux bases de données distinctes.
Des profils d'habilitation sont prévus afin de gérer les accès aux données en tant que de besoin. Les permissions d'accès sont supprimées pour tout utilisateur n'étant plus habilité.
Les accès s'effectuent par un identifiant propre à chaque utilisateur et un mot de passe de huit caractères minimum. A ce sujet, la commission tient à attirer l'attention sur la nouvelle recommandation adoptée en matière de sécurité des mots de passe. Celle-ci précise que, dans le cas où un mot de passe présente une longueur minimum de huit caractères, ceux-ci doivent comprendre au moins trois des quatre types de caractères suivants : majuscules, minuscules, chiffres et caractères spéciaux. De plus, des mesures de restriction d'accès au compte, telles qu'une temporisation d'accès après plusieurs échecs d'authentification, un blocage du compte après un nombre d'authentifications échouées ou un mécanisme permettant de se prémunir contre les soumissions automatisées et intensives, doivent être mises en œuvre.
Les mots de passe doivent en outre être définis, ou modifiés dès la première connexion, par l'utilisateur, puis régulièrement renouvelés et ne doivent pas être stockés en clair.
La commission rappelle la nécessité d'utiliser des canaux différents afin de transmettre l'identifiant unique et le mot de passe individuel permettant l'authentification de chaque personne impliquée dans l'étude en fonction des profils.
Enfin, la commission précise que le personnel disposant de privilèges élevés sur le système d'information, tels que les administrateurs système ou base de données, doivent disposer de mots de passe comportant un minimum de dix caractères et pour lesquels les autres caractéristiques sont identiques à celles précitées concernant les autres utilisateurs.
La commission constate que le ministère envisage de supprimer la référence à un chiffrement du NIR dès son enregistrement, tel qu'il est prévu par l'article 3-IV.
Elle rappelle que les mesures de sécurité mises en place doivent être conformes à l'état de l'art et satisfaisantes au regard de l'article 34 de la loi du 6 janvier 1978 modifiée. Au regard de la nature des données traitées, comprenant notamment le NIR, et des risques présentés par le traitement, la commission considère que la mise en œuvre d'un tel traitement doit obéir à des règles de sécurité strictes et être entourée de garanties assurant que les données sont utilisées aux seules fins prévues par le projet.
La commission demande donc que des mesures de chiffrement des données d'identification, dont le NIR, soient mises en place afin que seules les personnes habilitées y aient effectivement accès, compte tenu, d'une part, de la doctrine élaborée en la matière et, d'autre part, de ce que le chiffrement du NIR n'apparaît pas constituer une mesure déraisonnable au regard de l'état de la technique. Par ailleurs, le caractère sensible des données de santé à caractère personnel justifie que celles-ci fassent également l'objet de mesures de chiffrement.
Une journalisation des opérations de consultation, création, modification et suppression du traitement est réalisée pour les données conservées au CHU de Rennes. La commission rappelle que ces journaux doivent faire l'objet d'une analyse régulière et ne doivent pas être conservés plus de six mois.
Des sauvegardes régulières sont réalisées. Elles sont testées afin de vérifier leur intégrité. Le transfert des sauvegardes est sécurisé. Elles sont stockées dans un endroit garantissant leur sécurité et leur disponibilité.
Enfin, des mesures de conservation sont prévues pour assurer la sécurité des documents papier.
Sur les conditions de conservation des données par l'IRDES
Les différents fichiers seront stockés sur un serveur sécurisé au sein du Groupe des écoles nationales d'économie et statistique (GENES), après leur transfert. Les données sont conservées chiffrées et les accès au serveur sont journalisés.
Des profils d'habilitation sont prévus afin de gérer les accès aux données en tant que de besoin. Les permissions d'accès sont supprimées pour tout utilisateur n'étant plus habilité. Les accès s'effectuent par un identifiant propre à chaque utilisateur et un mot de passe de huit caractères minimum.
Des sauvegardes régulières sont réalisées. Elles sont testées afin de vérifier leur intégrité. Le transfert des sauvegardes est sécurisé. Elles sont stockées dans un endroit garantissant leur sécurité et leur disponibilité.
Sous réserve de prise en compte des remarques précédentes, les mesures de sécurité décrites par le responsable de traitement sont conformes à l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée.
La commission rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.
Sur la durée de conservation des données :
Sur la durée de conservation du NIR
La commission relève que la CNAMTS conservera le fichier transmis par le CHU de Rennes le temps d'appliquer la fonction FOIN au NIR afin d'obtenir les identifiants SNIIRAM.
Par ailleurs, l'article 3-VI du projet dispose que l'utilisation du NIR n'est autorisée que pendant une durée de 48 mois à compter de la date de la dernière inclusion des données concernant les personnes participant à l'étude.
La commission prend acte de ce que si l'extraction des données du SNIIRAM est réalisée au maximum dans les 24 mois suivant la fin des visites, l'analyse des données du SNIIRAM et la rédaction de l'article nécessiteront environ 24 mois. Le responsable de traitement souhaite donc conserver le NIR pendant une période de 24 mois supplémentaires dans l'hypothèse où une nouvelle extraction serait nécessaire afin de compléter les données du SNIIRAM soit au moment de l'analyse, soit à la demande d'un comité de relecture de la publication.
Au regard de la sensibilité du NIR, la commission estime qu'une telle durée de conservation apparaît supérieure à la durée nécessaire à l'extraction des données du SNIIRAM. Elle s'interroge sur la possibilité de mise en œuvre d'une solution alternative telle que la conservation par la CNAMTS de la correspondance entre le code de confidentialité spécifique et l'identifiant du SNIIRAM. Une telle solution permettrait d'anticiper la nécessité de procéder à une nouvelle extraction sans allonger la durée de conservation du NIR. Le NIR serait ainsi supprimé à l'issue de l'extraction des données du SNIIRAM réalisée dans les 24 mois suivant la fin des visites.
Sur la durée de conservation des données de l'étude
Il ressort de l'article 6 du projet que les données collectées, à l'exception du NIR, « seront conservées pendant la durée nécessaire à l'étude, soit vingt ans après l'arrêt définitif de la collecte ».
La commission prend acte de l'engagement du ministère de compléter l'article 6 afin de préciser que la durée de conservation des données prévue par l'article ne s'applique pas au NIR qui, elle, est définie à l'article 3 du projet de décret.
Sur le sort des données à l'issue du délai de conservation
La commission observe que l'article 6 du projet dont elle a été saisie prévoyait que les données seraient anonymisées dans leur totalité à l'issue du délai de conservation. Elle relève que le ministère envisage de supprimer cette précision.
La commission propose que le projet soit complété afin que le sort des données soit précisé (anonymisation ou suppression des données).
Les autres dispositions du projet n'appellent pas, en l'état et au regard de la loi du 6 janvier 1978 modifiée, d'observation de la commission.
1 version