| Date de l'avis : 21 décembre 2023. | N° de la délibération : n° 2023-147. | |:----------------------------------------------------------------------------------------------------|:----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------| | N° de demande d'avis : 23010548. | Texte concerné : projet de décret en Conseil d'Etat relatif à la mise en œuvre de l'espace numérique de santé. | | Organisme à l'origine de la saisine : ministère de la santé et de la prévention. | | |Thématiques : espace numérique de santé, ENS, prévention personnalisée, dossier médical partagé, DMP.|Fondement de la saisine : article L. 1111-13-1 du code de la santé publique.|

L'essentiel :
Le projet de décret ajoute deux fonctionnalités à l'espace numérique de santé (ENS - « Mon espace santé ») :

- l'extension des données librement renseignées par les titulaires d'un espace numérique de santé (ENS) en vue de la préparation des rendez-vous de prévention ;
- l'envoi de messages de prévention personnalisés au titulaire de l'ENS.

La CNIL insiste sur la nécessité que l'information délivrée dans le cadre des messages de prévention personnalisés soit précise et complète en ce qui concerne leur mode d'élaboration par un algorithme.
Le projet de décret devrait être modifié afin :

- qu'il soit fait mention des cas dans lesquels des personnes physiques autres que le titulaire pourront accéder aux messages de prévention ;
- de consacrer les garanties apportées par le ministère destinées à ne pas faire relever ces messages des « décisions individuelles automatisées » relevant de l'article 22 du RGPD.

La Commission nationale de l'informatique et des libertés,
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD) ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés (ci-après loi « informatique et libertés ») ;
Vu le code de la santé publique, notamment son article L. 1111-13-1 ;
Après avoir entendu le rapport de Mme Valérie PEUGEOT, commissaire, et les observations de M. Damien MILIC, commissaire du Gouvernement,
Adopte la délibération suivante :

I. - La saisine
A. - Le contexte de la saisine

L'espace numérique de santé (ENS - « Mon espace santé »), créé par la loi n° 2019-774 du 24 juillet 2019 relative à l'organisation et à la transformation du système de santé (OTSS), est régi par les articles L. 1111-13 à L. 1111-13-2 du code de la santé publique (CSP).
Le ministère de la santé et de la prévention et la Caisse nationale de l'assurance maladie (CNAM), responsables conjoints du traitement, entendent renforcer la dimension de prévention de l'ENS.

B. - L'objet de la saisine

Le projet de décret, dont est saisie la CNIL en application de l'article L. 1111-13-1 du CSP, vient compléter les dispositions prévues par le décret n° 2021-1048 du 4 août 2021. Il vise à faire évoluer les conditions de mise en œuvre de l'ENS afin de mettre en place des mesures de prévention personnalisées.
Afin de réaliser des campagnes de prévention ciblées, le projet prévoit de modifier l'article R. 1111-27 du CSP en :

- élargissant les données contenues dans l'ENS, notamment par le renseignement libre de questionnaires dédiés à la préparation de rendez-vous de prévention ;
- permettant l'envoi de messages de prévention personnalisés.

II. - L'avis de la CNIL
A. - Sur les données collectées en vue de la préparation des rendez-vous de prévention

En vue de la préparation des rendez-vous de prévention, le projet d'article 1-1° étend les catégories de données que le titulaire peut renseigner directement dans son ENS et auxquelles le professionnel de santé habilité pourra accéder. Seules les données susceptibles d'avoir un impact sur la santé du titulaire de l'ENS, nécessaires à la mise en œuvre des mesures de prévention sanitaire et sociale mentionnées à l'article L. 1411-6-2 du CSP pourront être collectées à cette fin.
Le projet établit une liste exhaustive des catégories de données pouvant être collectées dans ce cadre. L'objectif d'améliorer la prévention sanitaire et sociale est légitime et les catégories de données prévues à cette fin sont pertinentes. Le ministère s'est engagé à ce que les titulaires de l'ENS soient invités à ne renseigner que des informations strictement pertinentes à la détermination de leur état de santé, notamment dans les zones de commentaires libres.
A titre d'observation, la CNIL rappelle que le versement de ces données dans le volet relatif à la santé au travail du dossier médical partagé (DMP) nécessitera une modification du décret relatif au DMP.

B. - Sur l'information des personnes

S'agissant des données librement renseignées par le titulaire :
Lorsque le titulaire de l'ENS aura versé le questionnaire de santé dans le DMP, le professionnel de santé, consulté dans le cadre d'un rendez-vous de prévention, pourra alors y accéder, sauf opposition du titulaire.
Par ailleurs, le ministère a indiqué que les réponses associées au questionnaire enrichiront le profil médical du titulaire. Ce dernier pourra modifier ou supprimer à tout moment les données enregistrées et télécharger une synthèse de son profil médical afin de la déposer dans son DMP.
La CNIL prend acte des possibilités d'enrichir son DMP ainsi offertes au titulaire. Le titulaire de l'ENS devra être clairement informé des conséquences associées, s'agissant notamment de la consultation de ces informations par les professionnels habilités, conformément à l'arrêté prévu à l'article L. 1411-7 du CSP et dans les conditions prévues par la matrice d'habilitation. La CNIL prend acte de l'engagement du ministère d'informer le titulaire des catégories de professionnels de santé en capacité de lire, dans le respect de la matrice d'habilitation, les données qu'il aura librement renseignées dans son DMP, ainsi que des fonctionnalités de masquage ou de blocage qui sont mises à sa disposition.
S'agissant de l'élaboration des messages de prévention personnalisés :
Le projet d'article 1-3° prévoit que les données issues de toutes les composantes de l'ENS pourront être réutilisées en vue de l'élaboration et de l'envoi d'informations de prévention personnalisées au titulaire par la CNAM. Sont donc également concernées, outre les données des questionnaires de prévention, toutes les données pertinentes qui auraient été ajoutées par le titulaire dans son utilisation courante de l'ENS, soit directement, soit par le biais d'applications ou services disponibles au catalogue de l'ENS. Toutefois, le projet exclut l'utilisation des données issues de la messagerie sécurisée de santé, afin de respecter le principe de secret des correspondances.
Une information spécifique est mise à la disposition du titulaire de l'ENS sur les caractéristiques du traitement qui permet l'élaboration des messages de prévention personnalisés et sur son droit d'opposition. Le ministère s'est engagé à ce que les personnes concernées soient informées que la quasi-totalité des données contenues dans l'ENS pourront être réutilisées en vue de l'élaboration de messages de prévention personnalisés.
En outre, la CNIL recommande que, lorsqu'un message de prévention est envoyé à une personne, il soit clairement indiqué que ce message résulte d'un traitement algorithmique et non de l'analyse personnalisée d'un médecin. Le ministère s'est engagé à ce que les personnes concernées soient informées des modalités de conception des messages de prévention personnalisés et du fait qu'ils ne proviennent pas de leur professionnel de santé mais de leur caisse d'assurance maladie. A cette fin, chaque message qui sera envoyé contiendra un lien vers les mentions d'information adéquates et une interface dédiée et facilement accessible sera mise à disposition du titulaire de l'ENS.

C. - Sur l'accès aux données de l'ENS en vue de l'élaboration et l'envoi de messages de prévention personnalisés au titulaire

S'agissant du respect du secret médical :
Le ministère précise que :

- l'envoi des messages de prévention personnalisés n'implique l'accès d'aucune personne physique aux données contenues dans l'ENS ;
- les messages de prévention ne seront personnalisés que sur la base de règles de gestion préalablement définies ;
- aucun croisement avec des bases de données extérieures à l'ENS ne sera effectué ;
- les messages ne seront consultables que par le titulaire concerné de l'ENS, ou son représentant légal, à l'exclusion de toute autre personne.

Le dispositif envisagé n'autorisant aucun accès par une personne non autorisée ou habilitée par le CSP à des informations couvertes par le secret médical, la CNIL estime qu'il respecte le droit au respect de la vie privée et le secret médical tel que prévu par l'article L. 1110-4 du CSP.
En l'état, le projet de décret autorise, lorsque la technique le permettra, l'envoi de messages de prévention particulièrement ciblés, grâce à des algorithmes voire, à terme, à l'intelligence artificielle. Dans cette perspective, la réception de messages très spécifiques, potentiellement anxiogènes, devra nécessairement être associée à des mesures humaines de contrôle et d'accompagnement des personnes concernées. De telles mesures sont susceptibles de porter atteinte au principe du secret médical et devront donc être prévues par la loi, le cas échéant.
Par ailleurs, les représentants légaux des titulaires mineurs ou de ceux bénéficiant d'une mesure de protection juridique avec représentation pourront, de fait, accéder aux messages de prévention.
Dès lors le ministère s'est engagé à modifier le décret afin de tenir compte des différents cas dans lesquels un accès à l'ENS est autorisé à une personne autre que le titulaire (professionnel ou représentant légal) par le CSP. La CNIL invite en outre les responsables conjoints du traitement à s'assurer que l'envoi de messages de prévention ciblés ne puisse révéler des informations que le représentant légal n'a pas à connaître ou que le titulaire a souhaité ou pourrait souhaiter rendre inaccessibles à ses représentants légaux.
S'agissant du profilage :
Le dispositif prévu par le projet de décret répond à la définition du profilage prévue à l'article 4 du RGPD, en ce qu'il constitue un traitement automatisé, effectué sur des données à caractère personnel, dont l'objectif est d'évaluer les aspects personnels du titulaire de l'ENS pour analyser ou prédire des éléments concernant sa santé.
Dès lors, et bien que le ministère estime qu'« aucune décision produisant des effets juridiques à l'égard d'une personne ou l'affectant de manière significative ne peut être prise sur le seul fondement » du traitement mis en œuvre, il indique mettre en place les garanties supplémentaires suivantes :

- la transparence sur l'élaboration du contenu des messages de prévention reçus et sur le fonctionnement du traitement ;
- l'application d'une stricte proportionnalité des données traitées, pour chaque campagne de prévention ;
- une information des personnes quant aux modalités d'évolution de leur ENS ;
- le droit d'opposition du titulaire de l'ENS à l'utilisation de ses données à des fins de prévention, qui pourra intervenir à tout moment ;
- l'absence d'effets juridiques et d'incidence significative sur le titulaire du compte, les données du traitement n'étant jamais réutilisées à d'autres fins que l'envoi de messages de prévention.

Le ministère estime que ces conditions, qui seront satisfaites pour chaque campagne de prévention, permettront de s'assurer du respect des dispositions du RGPD. La CNIL en prend acte et rappelle que seuls des messages non constitutifs d'une décision au sens de l'article 22 du RGPD devront être envoyés aux titulaires.

D. - Sur les aspects techniques et les mesures de sécurité encadrant l'élaboration et l'envoi de messages de prévention personnalisés

Dans la mesure où le projet prévoit l'interdiction d'accès aux données par des personnes physiques tierces dans le cadre du traitement envisagé, les responsables de traitement ont été interrogés sur les moyens prévus afin de vérifier que les messages générés seront envoyés aux bons destinataires. La CNAM a indiqué que des tests unitaires et d'intégration seraient réalisés au préalable suivant les règles de gestion déterminées pour chaque campagne. De plus, ces règles seraient, dans un premier temps, simples et limitées aux données présentes dans l'ENS, dont celles librement renseignées par le titulaire, sans aucune requête prévue sur les zones de saisie libre ou nécessitant le croisement de bases différentes.
Pour autant, interrogé sur les nombreuses catégories de données mobilisées par le nouvel alinéa 8°, le ministère a indiqué que le projet visait également à permettre le développement de campagnes à grande échelle basées sur l'ensemble des données de l'ENS et du DMP, y compris les documents qui y sont déposés.
A ce stade, l'analyse d'impact relative à la protection des données (AIPD) fournie à l'appui du projet de texte ne traite pas les risques liés à un accès automatique et massif aux données de l'ENS et du DMP, ni les questions de tests d'algorithmes complexes, ni les risques liés aux traces d'activité qui seront collectées et traitées afin de suivre l'efficacité des campagnes. La CNIL invite le ministère à faire évoluer cette AIPD au fur et à mesure de l'évolution des campagnes et à s'interroger sur les éventuelles garanties supplémentaires à apporter au regard des risques éthiques, juridiques et techniques d'un profilage à grande échelle, basé sur des données de santé, mettant en œuvre des algorithmes complexes et susceptibles de recourir à des outils d'intelligence artificielle. En particulier, il apparaît nécessaire de considérer tous les cas dans lesquels le système pourrait, par erreur, adresser un message à une personne hors cible, ce qui aurait pour effet de l'inquiéter, ou au contraire omettrait d'envoyer un message important à une personne à risque. A cet égard, il semble important que le destinataire d'un message puisse échanger avec un professionnel habilité à cette fin, y compris pour comprendre la raison de l'envoi de ce message. Dans cette hypothèse, le titulaire et le professionnel habilité devront avoir accès à un niveau d'explicabilité adapté aux moyens utilisés pour le ciblage.
A cet égard, la CNAM et le ministère ont indiqué que les traitements envisagés ne remettront pas en cause les mesures techniques actuelles de protection des données de l'ENS et du DMP, qui ont été rappelées, en particulier le chiffrement individuel au repos du DMP de chaque titulaire et le déchiffrement ponctuel dans un espace de traitement sécurisé.
De plus, la CNAM et le ministère se sont engagés à inclure dans l'AIPD de l'ENS, pour chaque campagne de prévention, des éléments spécifiques permettant de vérifier la conformité de la campagne envisagée et de prendre les mesures adaptées au cas par cas.
La CNIL en prend acte, et invite le ministère à compléter le projet de décret pour prévoir que les responsables conjoints du traitement mettront à jour l'AIPD avant chaque nouvelle campagne de prévention. Cette analyse devra notamment permettre de s'assurer qu'aucune décision au sens de l'article 22 du RGPD ne découle des messages générés et de mettre en place les mesures adaptées aux risques.