Blog Sciences du vivant
La CNIL précise sa doctrine sur les entrepôts de données de santé créés par des acteurs privés
La société OpenHealth Company (OHC), leader français de l’analyse des données de santé, spécialisée dans le recueil, le traitement et l’analyse de données crée aujourd’hui un entrepôt de données de santé personnelles dans le but de mener des recherches, des études ou évaluations dans le domaine de la santé.
A partir d’un double dispositif de pseudonymisation effectué d’abord lors de la collecte de données auprès de pharmacies ou de tiers concentrateurs, puis à l’arrivée de celles-ci chez OHC, les données seront stockées sur les serveurs de la société, agréée hébergeur de données de santé.
La demande a été présentée à la CNIL sur le fondement des articles 8-IV et 25-I-1° de la loi Informatique et Libertés conformément à une doctrine déjà dessinée pour la constitution de l’entrepôt de données mis en place par l’AP-HP : un régime d’autorisation fondé sur l’intérêt public poursuivi par le traitement.
L’intérêt public poursuivi par un acteur privé
Alors que la notion d’intérêt public donne lieu actuellement à de nombreuses discussions et interrogations et qu’il constituera demain un des critères essentiels de l’appréciation des projets de recherche au titre du nouveau chapitre IX de la loi Informatique et Libertés, le dossier OpenHealth Company nous donne ici une illustration intéressante de l’intérêt public des études menées par un acteur privé.
Parmi les études menées par OHC à partir de cet entrepôt, certaines d’entre elles permettent en effet d’améliorer la pharmacovigilance et d’autres par une exploitation des données collectées de manière quasi instantanée vont permettre d’éclairer la décision publique en matière de santé.
Afin de garantir toujours l’intérêt public de ces études, la société OHC met en place un comité ad hoc, chargé d’examiner au cas par cas les projets de recherche, comité placé sous la responsabilité Data Privacy Officer et composé notamment de personnalités qualifiées, extérieures à la société.
Nul besoin donc d’être un acteur public pour poursuivre un intérêt public comme le souligne la CNIL dans sa délibération.
Une analyse de la sécurité fondée sur l’analyse d’impact du Règlement européen
La société Openhealth Company est agréée hébergeur de données de santé à caractère personnel et à ce titre démontre d’un niveau de sécurité à l’état de l’art.
Le Commission relève que les « échanges de données seront réalisés via des canaux de communication chiffrés et assurant l’authentification de la source et de la destination ».
La politique d’authentification des utilisateurs, de journalisation des opérations de consultation, création, modification et suppression du traitement a été contrôlée par la CNIL ainsi que les politiques de sauvegardes et de maintenance.
La Commission note que le traitement a fait l’objet d’une étude de risques sur la vie privée des personnes concernées et que « … des mesures ont été déterminées pour les traiter de manière proportionnée ».
Ainsi l’information des personnes concernées sera assurée par les pharmaciens d’officine engagés contractuellement sur ce point et à partir d’un document affiché dans leurs locaux, la société OHC restant responsable de l’effectivité de cette information.
La durée de conservation des données est fixée à 10 ans, durée jugée nécessaire pour pouvoir réaliser des analyses sur de longues périodes, « … dont l’utilité est avérée en matière de consommation de médicaments ».
L’exigence de mise à jour des mesures de sécurité est rappelée par la CNIL, rejoignant ainsi la nécessité demain pour les acteurs de rester à tout moment Accountable au regard des principes de protection des données personnelles.
En tout état de cause, chaque nouveau projet de recherche mené à partir des données de cet entrepôt devra être autorisé par la CNIL conformément aux dispositions du chapitre IX de la loi Informatique et Libertés.