La Commission nationale de l'informatique et des libertés,
Saisie par le ministère du travail, de l'emploi et de la santé d'une demande d'avis concernant un projet de décret en Conseil d'Etat autorisant la création d'un traitement de données à caractère personnel dans le cadre d'une recherche en santé humaine dénommée « NutriNet-Santé », les compléments, nécessaires à l'examen du projet de texte ayant été adressés à la CNIL les 31 mai et 24 juin 2012 ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données ;
Vu le code de la sécurité sociale, notamment son article L. 161-28-1 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 27-I (1°) ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Après avoir entendu Mme Marie-Hélène MITJAVILE, commissaire, en son rapport et Mme Elisabeth ROLIN, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
Le ministère du travail, de l'emploi et de la santé a saisi la CNIL, le 7 mars 2012, d'un projet de décret en Conseil d'Etat portant création d'un traitement automatisé de données à caractère personnel dans le cadre d'une recherche en santé dénommée NutriNet-Santé.
Ce texte autorise le traitement informatique du numéro d'inscription des personnes au répertoire national des personnes physiques (NIR) des participants à l'étude qui y consentent afin de permettre à l'Institut national de la santé et de la recherche (INSERM) en charge de l'étude d'avoir accès aux données de l'assurance maladie.
Présentation générale de l'étude
L'étude NutriNet-Santé est une étude de cohorte portant sur le comportement alimentaire et l'état nutritionnel des personnes, réalisée auprès d'internautes majeurs volontaires, dénommés « nutrinautes ».
Son objectif principal est de comprendre les relations entre la nutrition (alimentation et activité physique) et la santé, d'identifier les facteurs de risque et de connaître les déterminants des comportements alimentaires.
Cette étude contribuera à établir des recommandations nutritionnelles adaptées visant à réduire le risque de pathologies et a reçu, à ce titre, le soutien et le financement des pouvoirs publics.
La commission rappelle que l'étude a débuté en 2009 et relève qu'elle a permis l'inclusion de plus de 230 000 volontaires qui feront l'objet d'un suivi régulier sur une période allant de cinq ans (pour les derniers inclus) à dix ans (pour les premiers inclus) en remplissant des questionnaires sur un site internet développé à cet usage, grâce à une interface sécurisée.
Elle rappelle également que, depuis son lancement en 2009, la commission a autorisé toutes les phases de mise en œuvre de l'étude sur le fondement des dispositions des articles 54 et suivants de la loi n° 78-17 du 6 janvier 1978 modifiée, qui soumettent à autorisation les traitements mis en œuvre dans le cadre d'une recherche menée dans le domaine de la santé.
Les traitements nécessaires à la mise en œuvre de l'étude ont donc été autorisés par la CNIL, après avis du Comité consultatif sur le traitement de l'information en matière de recherche dans le domaine de la santé (CCTIRS) et après un examen spécifique des conditions d'exercice des droits des patients et des règles de sécurité qui entourent la collecte sur internet et le stockage de données sensibles.
La commission rappelle que l'étude NutriNet-Santé fait intervenir trois acteurs, dont les rôles sont bien définis : l'unité de recherche en épidémiologie nutritionnelle (UREN) de l'INSERM, responsable du traitement, Voluntis, prestataire en charge de la collecte des données et les sociétés OBS (Orange Business Services) et Eolas Business Service qui hébergent les données.
Sur la finalité de l'étude, objet de la présente demande :
L'INSERM souhaite aujourd'hui pouvoir compléter les données collectées auprès des « nutrinautes » et optimiser le suivi de l'état de santé des volontaires en les appariant avec les données médico-administratives les concernant issues du système national d'information inter-régime de l'assurance maladie (SNIIRAM).
Ce traitement mis en œuvre par l'INSERM et portant sur des données parmi lesquelles figure le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques (NIR) est présenté dans le cadre d'un projet de décret en Conseil d'Etat pris après avis motivé et publié de la commission, en application de l'article 27-I (1°) de la loi du 6 janvier 1978 modifiée.
La CNIL a également été saisie par l'INSERM à l'appui de cette demande d'un dossier technique portant sur la collecte et l'utilisation du NIR dans le cadre de NutriNet-Santé.
La commission relève que le CCTIRS a rendu un avis favorable à l'enquête, objet de la présente demande, de même que l'Institut des données de santé.
Aux termes de l'article 3-III du projet de décret, le NIR ne peut être utilisé que pour effectuer un rapprochement des informations collectées avec les données relatives aux personnes présentes dans le SNIIRAM.
La commission prend acte qu'il n'est pas envisagé d'utiliser le NIR pour la consultation du Répertoire national d'identification des personnes physiques (RNIPP).
Sur la nature des données traitées :
L'article 2 du projet de décret énumère les données collectées directement auprès des volontaires, susceptibles d'être croisées avec les données de l'assurance maladie.
Ces données concernent l'état civil, le NIR, les coordonnées, la consommation alimentaire, l'activité physique, le mode de vie, la santé, la qualité de vie, le statut vital, la situation familiale, la scolarité, l'emploi, les revenus, la vie sociale et, pour un échantillon de « nutrinautes » qui y ont expressément consenti, des résultats d'analyses médicales, des données cliniques, le poids, la taille et des données d'examen neuropsychologiques.
A l'exclusion du NIR, la collecte de ces données, jugées pertinentes au regard de la finalité de l'étude, a déjà été autorisée par la commission.
L'article 3-IV du projet de décret indique que le NIR sera utilisé pour extraire les données suivantes issues du SNIIRAM :
― les informations relatives au patient (âge, sexe, notion de CMU-C, diagnostic de l'affection de longue durée, département et région de résidence) ;
― les informations relatives à la consommation de soins en ville (actes médicaux, biologie, dispositifs médicaux, médicaments) et en établissement (dates des soins et dates de remboursement) ;
― les données issues du programme médicalisé des systèmes d'information (pour chaque séjour hospitaliers diagnostic médical et associés, actes réalisés).
La commission relève qu'une liste exhaustive des données extraites du SNIIRAM figure dans le projet de décret et estime ces données pertinentes au regard de la finalité du traitement.
Sur le respect des droits des personnes :
L'article 3-I du projet de décret prévoit que le NIR sera communiqué par les participants à l'étude « qui le souhaitent », après avoir reçu une information particulière sur ses conditions d'utilisation et de conservation par l'INSERM.
Une note d'information conforme aux dispositions de l'article 57 de la loi du 6 janvier 1978 modifiée, assortie d'un formulaire de recueil du consentement spécifique sera accessible sur le site dédié à l'étude, dans l'espace personnel du « nutrinaute ».
Ces documents seront adaptés à la situation des participants à l'étude selon qu'ils entrent dans l'étude ou y sont déjà inclus et le consentement du « nutrinaute » sera recueilli sous format électronique à l'aide d'une case à cocher.
Les « nutrinautes » seront clairement informés du caractère facultatif de la collecte du NIR et de la possibilité, s'ils acceptent, de revenir à tout moment sur leur décision.
Ils seront également informés de la nature des données collectées dans le SNIIRAM, conformément aux recommandations du CCTIRS.
La commission prend acte de l'ensemble de ces mesures. Elle demande toutefois qu'à la formule « qui le souhaitent » soit substituée la formule « qui y consentent ».
L'article 7 du projet de décret prévoit que le droit d'accès et de rectification prévus par les articles 39 et 40 de la loi du 6 janvier 1978 modifiée s'exercent auprès du directeur de l'INSERM, en charge de l'étude.
La commission en prend acte.
Sur la sécurité des données :
L'article 3 du projet de décret encadre l'accès au NIR des « nutrinautes » volontaires et définit les mesures de sécurité et confidentialité nécessaires à l'appariement des données de l'étude avec les données du SNIIRAM et à leur conservation.
L'article 5 du projet de décret précise les obligations de l'INSERM en matière de sécurité et de confidentialité des données. Cet article devra également faire référence à la traçabilité des actions effectuées sur les données.
Sur l'appariement des données de l'enquête avec les données issues du SNIIRAM :
Le NIR sera collecté directement auprès des « nutrinautes » volontaires après recueil de leur consentement éclairé et saisi sur un formulaire électronique prévu à cet effet sur le site internet de l'étude.
Le NIR sera transmis de façon sécurisée, par le protocole https, au prestataire Voluntis, lequel en vérifiera la cohérence et le chiffrera aussitôt avec un algorithme de chiffrement asymétrique utilisant la clé publique fournie par la CNAMTS.
Pour effectuer les appariements aux données du SNIIRAM, un numéro d'identification non signifiant distinct de l'identifiant de l'étude et spécifique à chaque demande d'appariement sera créé pour chaque enquêté.
Une fois par an, les données d'identification (NIR chiffré, sexe et date de naissance) associées pour chaque enquêté à cet identifiant non signifiant seront transmises à la CNAMTS sur un support physique chiffré.
A cet égard, la commission observe que l'article 3-III, alinéa 3, du projet de décret prévoit la transmission du NIR « via un flux sécurisé » et non sur un support physique, comme le prévoit le dossier.
Elle demande que le projet de décret soit modifié sur ce point et qu'en tout état de cause les modalités de transmission à la CNAMTS des données nécessaires à la requête soient de nature à garantir la confidentialité des données.
La CNAMTS déchiffrera chaque NIR à l'aide de sa clé privée et effectuera la demande d'extraction des données du SNIIRAM auprès du service interne concerné. La commission souligne, à cet égard, que la fonction « FOIN » (Fonction d'occultation des informations nominatives) développée par la CNAMTS et utilisée en l'espèce n'appelle pas d'observation de sa part.
La CNAMTS retournera à l'INSERM sur un support physique chiffré les données du SNIIRAM uniquement associées au numéro non signifiant.
L'INSERM, qui aura conservé la correspondance entre l'identifiant non signifiant et l'identifiant de l'étude, sera ainsi en mesure d'apparier les données sans avoir connaissance du NIR en clair.
L'INSERM ne conservera aucune trace du fichier transmis initialement qui sera détruit dès communication à la CNAMTS. Après l'appariement des données de l'étude et des données du SNIIRAM, les tables de correspondance conservées jusqu'alors par la CNAMTS et l'INSERM seront détruites.
Les fichiers échangés entre les différents acteurs seront systématiquement chiffrés par la clé publique du destinataire et les liens de communication établis entre les différents acteurs seront chiffrés.
La commission constate que l'organisation ainsi mise en œuvre garantit que le NIR ne pourra être déchiffré qu'à seule fin d'appariement des données du SNIIRAM avec celles de l'étude NutriNet-Santé en passant obligatoirement par la CNAMTS qui apparaît seule en mesure de déchiffrer le NIR.
Sur les conditions de conservation des données :
Afin de garantir la confidentialité des données, les données sont réparties et cloisonnées sur plusieurs serveurs en fonction de leur nature et de leur utilisation.
Le NIR chiffré des volontaires sera conservé de façon sécurisée dans la base de données de l'INSERM au sein des données d'identification des « nutrinautes ».
Les données du SNIIRAM seront intégrées dans la base de données de l'INSERM au même titre que les autres données de santé communiquées par les volontaires dans un autre serveur dédié aux questionnaires.
Il résulte des mesures mises en place une séparation fonctionnelle des données d'identification et des autres données de l'étude et une gestion des habilitations d'accès en fonction des rôles de chacun de nature à garantir la confidentialité des données.
Le rapprochement des données de l'étude avec les données identifiantes ne sera possible que dans des conditions spécifiques, ponctuelles et strictement encadrées.
Des mesures de chiffrement des données d'identification et des données médicales seront mises en place que seuls les médecins seront en mesure de déchiffrer.
L'article 3-V du projet de décret prévoit qu'un rapport sur l'évolution des systèmes de sécurité du traitement mis en œuvre pour l'étude NutriNet-Santé sera adressé tous les trois ans à la commission.
La commission prend acte qu'à cet effet une procédure d'audit externe sera mise en place.
Dans ces conditions, la Commission estime que l'ensemble des mesures de sécurité mises en œuvre est de nature à garantir un risque d'atteinte limité aux données.
Elle demande toutefois qu'un premier audit débute à l'échéance d'un an à compter de la présente délibération et que les résultats lui soient communiqués dès que l'audit sera terminé.
Sur la durée de conservation des données :
L'article 1er du projet de décret fait état d'une durée de l'étude fixée à dix ans.
La commission demande que le texte soit complété par la mention « à compter de la première inclusion » afin que le point de départ du délai soit précisé. Elle demande également que le sort des données à l'issue de l'étude soit précisé dans le projet de décret.
Aux termes de l'article 3-II du projet de décret, l'autorisation donnée d'utiliser le NIR le sera pour une durée de trois ans assortie de la possibilité pour les « nutrinautes » de revenir à tout moment sur leur décision. A l'issue de trois ans, une nouvelle demande d'autorisation devra être faite pour prolonger de trois ans l'autorisation initiale dans la limite de la durée totale de l'étude.
Le NIR chiffré des volontaires dont le consentement a expiré à l'issue de trois ans ou qui ont exercé leur droit de retrait sera supprimé quotidiennement, empêchant ainsi tout nouvel appariement.
La commission estime que cette durée de conservation n'appelle pas d'observation.
Sur les destinataires des données :
L'article 3 prévoit que seuls les personnels de l'INSERM habilités par son directeur accèdent aux données recueillies dans le cadre de ce traitement.
La commission prend acte qu'une gestion des habilitations d'accès aux données de l'étude a été mise en œuvre en fonction du rôle de chacun et que le personnel s'authentifie à l'aide de moyens adaptés.
Elle prend acte que les administrateurs ne seront pas en mesure d'accéder aux données directement ou indirectement identifiantes en clair.