| Date de l'avis : 11 janvier 2024 | N° de la délibération : 2024-003 | |:------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|:----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------| | N° de demande d'avis : 23014929 | Textes concernés : projet d'arrêté relatif aux programmes de dépistages organisés des cancers | | Organisme(s) à l'origine de la saisine : ministère de la santé et de la prévention | | | Thématique : dépistages organisés des cancers. |Fondement de la saisine : article 8.I.2°-e, de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et article L. 1411-8 du code de la santé publique| |L'essentiel :
Le projet d'arrêté vise à modifier les conditions de mise en œuvre des programmes de dépistages organisés du cancer du sein, du cancer colorectal et du cancer du col de l'utérus.
La CNIL regrette de devoir se prononcer dans un délai restreint, notamment au regard de la complexité du dispositif et de son caractère encore évolutif. Compte tenu de ces éléments, son avis se limite à rappeler les principes essentiels à respecter afin d'assurer la protection des données à caractère personnel et le respect de la vie privée des personnes concernées dans ce cadre.
En particulier, la CNIL attire l'attention du ministère sur le respect des dispositions relatives au secret médical et sur l'information des personnes concernées, qui devra leur permettre de comprendre les modalités de traitement de leurs données par les différents acteurs.
Enfin, la CNIL appelle à l'adoption par le ministère d'un cadre général complétant le projet d'arrêté et portant les exigences et les recommandations nécessaires pour réduire les risques structurels liés au dispositif dans son ensemble.| |

La Commission nationale de l'informatique et des libertés,
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD) ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés (« loi informatique et libertés »), notamment son article 8.I.2°-e ;
Vu le code de la santé publique, notamment en son article L. 1411-8
Après avoir entendu le rapport de Mme Valérie PEUGEOT, commissaire, et les observations de M. Damien MILIC, commissaire du Gouvernement,
Adopte la délibération suivante :

I. - La saisine
A. - Le contexte

Le dépistage organisé des cancers repose sur trois programmes nationaux mis en place progressivement depuis 2004 pour le cancer du sein, 2008 pour le cancer colorectal et 2018 pour le cancer du col de l'utérus. Les conditions de mise en œuvre de ces programmes sont fixées par l'arrêté du 29 septembre 2006 modifié.
Plusieurs annonces ministérielles ont eu lieu le 5 décembre 2022 dans le cadre de la feuille de route « priorité dépistages » lancée dès 2024 afin de mettre en œuvre une organisation rénovée de ces dépistages. Des groupes de travail ont été mis en place, suivis de la consultation d'acteurs concernés par ce dispositif. Leurs conclusions ont nourri le projet d'arrêté dont la CNIL est saisie.

B. - L'objet de la saisine

La CNIL a été saisie le 17 novembre 2023, par le ministre de la santé et de la prévention, d'une demande d'avis sur un projet d'arrêté visant à organiser, notamment en ce qui concerne les traitements de données à caractère personnel nécessaires, les programmes de dépistages organisés des cancers. Ce projet d'arrêté est complété de deux annexes et d'un cahier des charges pour chaque dépistage organisé, prévoyant les conditions de mises en œuvre du dispositif.
D'après l'ensemble de ces documents, plusieurs traitements de données à caractère personnel interviendront dans le cadre de ce dispositif :

- les organismes d'assurance maladie seront responsables des traitements pour le pilotage des invitations à participer aux dépistages ainsi que leurs relances, pour certaines actions dites « d'aller-vers », ainsi que pour la transmission aux médecins traitants de la liste des personnes éligibles aux dépistages organisés ;
- les centres régionaux de coordination des dépistages des cancers (CRCDC) seront responsables des traitements pour le suivi et l'accompagnement des personnes dépistées ainsi que la réalisation de la seconde lecture des mammographies dans le cadre du dépistage organisé du cancer du sein ;
- l'Institut national du cancer (INCa) sera responsable des traitements dans le cadre du dispositif informatique national qu'il élabore pour collecter les données relatives au dépistage organisé du cancer du col de l'utérus et permettre le suivi des personnes dépistées par les CRCDC, ainsi que de l'évaluation organisationnelle et opérationnelle des programmes et de la plateforme de données en cancérologie (PDC) ;
- l'Agence nationale de santé publique (ANSP) sera responsable des traitements relatifs à l'évaluation de la performance épidémiologique des programmes.

La saisine de la CNIL se fonde sur :

- l'article 8.I.2°-e de la « loi informatique et libertés » qui prévoit que la CNIL répond aux demandes d'avis des pouvoirs publics et conseille les personnes et organismes qui mettent en œuvre ou envisagent de mettre en œuvre des traitements automatisés de données à caractère personnel ;
- l'article L. 1411-8 du code de la santé publique (CSP), qui prévoit « qu'à des fins de suivi statistique et épidémiologique de la santé de la population, les médecins qui réalisent les consultations médicales de prévention et les examens de dépistage prévus aux articles L. 1411-6 et L. 1411-6-2 transmettent au ministre chargé de la santé, à l'agence régionale de santé ou aux organismes désignés à cet effet par le directeur général de l'agence, dans des conditions fixées par arrêté pris après avis du Conseil national de l'information statistique et de la Commission nationale de l'informatique et des libertés des données agrégées et/ou des données à caractère personnel, dont certaines de santé, ne comportant ni le nom, ni le prénom, ni l'adresse détaillée ». C'est sur ce fondement et pour la partie correspondante de l'arrêté et de ses annexes qu'une saisine préalable de la CNIL a été nécessaire.

II. - L'avis de la CNIL
A. - Sur la clarté et l'encadrement du dispositif

Le projet opère un changement structurel dans les modalités de mise en œuvre des programmes de dépistages organisés des cancers, notamment par le passage à un fonctionnement national du dispositif et le transfert à la Caisse nationale de l'assurance maladie (CNAM) du pilotage des invitations à participer aux dépistages, jusqu'ici dévolu aux CRCDC. Cette modification a pour objectif de recentrer ces derniers sur leurs missions essentielles de suivi et d'accompagnement des personnes dépistées. Ce nouveau fonctionnement implique une modification des flux de données existants ainsi que la création de nouvelles bases nationales de données. La mise en œuvre de ces programmes repose sur une multiplicité de flux de données entre les différents acteurs impliqués dans le dispositif.
Au regard de l'intérêt public évident des programmes de dépistages organisés et des résultats jugés décevants des programmes menés jusqu'ici, la CNIL a conscience des enjeux liés à la mise à jour des dispositions de l'arrêté de 2006, incluant l'encadrement des traitements de données à caractère personnel mis en œuvre dans ce contexte. Elle prend acte de l'intérêt pratique de confier à la CNAM l'envoi des courriers de prévention.
La CNIL a été saisie le 17 novembre 2023 par le ministère, qui a souhaité qu'elle se prononce dans les plus brefs délais dans la perspective d'une entrée en vigueur de l'arrêté au 1er janvier 2024, afin de tenir compte des annonces ministérielles. La CNIL regrette vivement de ne pas avoir eu davantage de temps pour évaluer les effets du dispositif, au regard de l'ampleur, de l'importance et de la sensibilité du dispositif et des flux de données engendrés. Elle déplore notamment la transmission très tardive de documents précisant les dispositions du projet, de ses annexes et du cahier des charges.
La CNIL a été saisie sur le fondement de l'article L. 1411-8 du CSP. D'après les documents transmis, les dispositions de cet article couvriraient la transmission à l'ANSP de données pseudonymisées afin de procéder à l'évaluation du suivi épidémiologique de la population. La CNIL invite le ministère à préciser les conditions de cette transmission dans l'arrêté, afin qu'il comporte « les modalités de fixation des échantillons ainsi que les garanties de confidentialité apportées lors de la transmission des données » comme l'impose l'article précité.
En dehors des dispositions pour lesquelles sa consultation est obligatoire, la CNIL recommande au ministère de clarifier l'ensemble des flux de données mis en œuvre dans le cadre du dispositif. En effet, au regard des documents transmis à l'appui de la saisine et des échanges avec les responsables de traitements, la définition et les modalités de mise en œuvre de ce dispositif majeur de santé publique ne semblent pas totalement finalisés. Le projet d'arrêté a vocation à constituer le fondement juridique d'une majeure partie des flux de données, ce qui rend d'autant plus nécessaire d'en clarifier les dispositions.
N'ayant pas vocation en vertu des dispositions de l'article L. 1411-8 du CSP à se prononcer sur l'ensemble du dispositif, la CNIL renvoie au principe de responsabilité de chaque acteur, en application du RGPD. Son avis se limitera à rappeler les principes essentiels à respecter afin d'assurer la protection des données à caractère personnel et le respect de la vie privée des personnes concernées dans ce cadre.
La CNIL se tient à la disposition du ministère et des acteurs impliqués pour les accompagner dans leur démarche de mise à jour des programmes de dépistages, notamment lorsque l'ensemble des flux de données envisagés sera suffisamment précisé.

B. - Sur le nécessaire respect du secret médical

Le dispositif prévoit le partage de données couvertes par le secret médical entre un grand nombre d'acteurs dans le cadre de multiples traitements.
D'après les documents transmis à l'appui de la saisine, si certains flux de données entrent dans les cas prévus par le CSP (notamment la transmission des données des professionnels de santé vers les CRCDC), la transmission de données couvertes par le secret entre d'autres acteurs apparaît moins évidente au regard de l'article L. 1110-4 du même code. En effet, seules les annexes prévoient la transmission de données de la CNAM aux CRCDC ou encore la transmission de données entre les CRCDC et les registres des cancers.
Sans remettre en cause l'intérêt du dispositif en matière de santé publique, la CNIL invite le ministère à s'assurer que l'ensemble des flux de données portant sur des données couvertes par le secret médical soient prévus par une loi ou en constituent la conséquence nécessaire.

C. - Sur les invitations et les relances

D'une part, le dispositif prévoit l'envoi d'invitations par les organismes d'assurance maladie aux assurés sociaux éligibles à un programme de dépistage organisé à échéance régulière (les cycles de dépistages variant selon la pathologie recherchée, l'âge de la personne concernée et les résultats de test antérieurs).
L'article 3-IV de l'arrêté écarte le droit d'opposition dans ce cadre : les personnes concernées seront systématiquement invitées à chaque cycle en cas de non réalisation du dépistage.
D'autre part, le dispositif prévoit, pour chaque cycle, l'envoi de relances aux personnes éligibles qui n'ont pas réalisé l'examen de dépistage à la suite de l'invitation.
Les personnes concernées pourront s'opposer aux relances, incluant les actions « d'aller-vers ». L'opposition devra être exprimée pour chacun des dépistages organisés.
La CNIL s'interroge sur la complexité des critères qui seront mis en œuvre pour réaliser ces différents ciblages et demande qu'une communication de transparence soit effectuée à leur sujet. Le ministère précise que la CNAM, en lien avec l'INCa, prévoit d'élaborer un document de communication permettant d'informer les personnes sur les modalités du ciblage.

D. - Sur les démarches « d'aller-vers »

Les documents transmis à l'appui de la saisine prévoient que des actions « d'aller-vers » seront mises en place dans le cadre des programmes de dépistages organisés des cancers.
En l'absence de détails suffisamment précis sur ces actions, la CNIL rappelle la nécessité de prévoir des règles claires pour l'ensemble des organismes en charge des démarches « d'aller-vers » qui ne doivent pas être intrusives pour les personnes concernées, afin de garantir le respect de leur vie privée. Le ministère indique que la CNAM se chargera d'élaborer, dans le respect des dispositions relatives à la protection des données, un cadre précis destiné aux organismes du réseau afin d'assurer une articulation locale et nationale efficiente.
Ces actions devront également respecter les dispositions relatives au secret médical.

E. - Sur l'information et les droits des personnes

De façon générale, la CNIL invite le ministère à préciser et clarifier les modalités d'information des personnes concernées et d'exercice de leur droit d'opposition.
Sur l'information des personnes :
La CNIL rappelle l'importance de la transparence de l'ensemble du dispositif pour la population et les professionnels de santé. Les personnes concernées devront ainsi disposer, dès le premier niveau d'information, d'une visibilité sur l'ensemble des traitement mis en œuvre dans le cadre du dispositif et des acteurs impliqués, lors de l'envoi des invitations et des relances. Un renvoi vers les différents sites web des responsables de traitements concernés devra également y figurer afin de compléter l'information.
Pour les deux niveaux d'information, la CNIL recommande que les modalités d'information et leur intelligibilité soient sensiblement améliorées par rapport à celles décrites dans les documents transmis à l'appui de la saisine. L'ensemble des mentions prévues par le RGPD devra figurer sur les documents transmis pour chaque traitement.
De plus, des documents d'information complets devront être transmis aux personnes qui en feraient la demande.
Sur les droits des personnes :
Le projet d'arrêté prévoit que les personnes concernées pourront exercer leurs droits (accès, rectification, effacement, limitation et, le cas échéant, d'opposition) auprès de chacun des responsables de traitement.
Compte tenu des multiples traitements et acteurs impliqués, la CNIL souligne la nécessaire effectivité des procédures qui seront mises en place. Le ministère s'est engagé à sensibiliser les responsables de traitement, dont relève la mise en place de ces procédures, à prendre les mesures nécessaires pour assurer le respect et l'effectivité des droits des personnes concernées.
La CNAM prévoit de recourir à un téléservice dédié à l'exercice du droit d'opposition intitulé « déclare opposition » pour le traitement relatif à la transmission aux médecins traitants de la liste des personnes éligibles aux dépistages organisés, afin d'exercer leur droit d'opposition. La CNIL salue cette initiative et encourage le ministère à ce qu'il devienne un espace général de gestion des droits d'opposition mis en œuvre pour les différents traitements du dispositif. Le ministère s'est par ailleurs engagé à maintenir les autres canaux d'opposition.

F. - Sur les mesures de sécurité

La CNIL relève une grande disparité entre les documents transmis concernant les mesures de sécurité des données. Tous les traitements visés par le projet d'arrêté devront faire l'objet d'une mise à jour de leur analyse d'impact sur la protection des données (AIPD), assortie d'un plan d'action adéquat, avant la mise en œuvre du nouveau dispositif.
Afin d'accompagner les différents responsables de traitement dans cette démarche, la CNIL appelle le ministère à diffuser dans les meilleurs délais un cadre général complétant le projet d'arrêté et comportant les exigences et les recommandations nécessaires pour réduire les risques structurels liés au dispositif dans son ensemble. En effet, au regard de l'évolution du dispositif existant, ce cadre général permettrait d'encadrer la mise en œuvre et les évolutions des nombreux flux de données existant entre les acteurs impliqués.
En particulier, ce cadre général devra traiter les risques de violation du secret médical suite à une perte de confidentialité ou un usage illégitime des différentes données collectées et échangées, en s'appuyant notamment sur les mesures de pseudonymisation des données et de protection des tables de correspondance entre les différents acteurs.
De plus, les derniers documents fournis à la CNIL indiquent la présence d'un « tiers de confiance » de pseudonymisation, notamment impliqué dans les flux de données relatifs à l'évaluation de la performance épidémiologique des programmes. La CNIL s'interroge sur sa désignation et sur l'effectivité de son indépendance par rapport à l'ensemble des acteurs impliqués, sur laquelle reposerait une grande partie de la sécurité du dispositif. Ce cadre général devra également désigner ce « tiers de confiance » et préciser son rôle et ses limites.
Ce cadre général devra également préciser son articulation avec les référentiels techniques qui seront élaborés par l'INCa.

G. - Sur l'accomplissement de formalités préalables

Il conviendra d'effectuer ou de mettre à jour les formalités préalables pour les traitements concernés, notamment ceux mis en œuvre à des fins de recherches, études et évaluations dans le domaine de la santé, par l'INCa et l'ANSP, ou encore en cas de modification future de la PDC, qui n'est actuellement pas prévue dans le cadre du présent arrêté.
Par ailleurs, les traitements mis en œuvre par les registres des cancers sont pour la plupart encadrés par des formalités réalisées avant la mise en œuvre du RGPD. La CNIL invite le ministère à clarifier leur encadrement juridique, par exemple à un niveau réglementaire, afin notamment de prévoir la transmission de données protégées par le secret médical à ces organismes, tout en assurant la transparence nécessaire auprès des personnes concernées.