Articles

Article AUTONOME (Délibération n° 2013-040 du 14 février 2013 portant avis sur un projet de décret en Conseil d'Etat portant création d'un traitement de données à caractère personnel dénommé « Esteban » (demande d'avis n° 13002294))

Article AUTONOME (Délibération n° 2013-040 du 14 février 2013 portant avis sur un projet de décret en Conseil d'Etat portant création d'un traitement de données à caractère personnel dénommé « Esteban » (demande d'avis n° 13002294))



Le ministère des affaires sociales et de la santé a saisi la CNIL pour avis d'un projet de décret en Conseil d'Etat portant création d'un traitement automatisé de données à caractère personnel mis en œuvre par l'Institut de veille sanitaire (InVS) dans le cadre d'une enquête nationale portant sur la biosurveillance, la santé et la nutrition, dénommée « Esteban » (enquête en santé, biosurveillance, activité physique et nutrition).
Ce traitement portant sur des données parmi lesquelles figure le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques (RNIPP), ou « NIR », relève à ce titre d'un décret en Conseil d'Etat, pris après avis motivé et publié de la CNIL, en application des dispositions de l'article 27-I (1°) et 29 de la loi du 6 janvier 1978 modifiée. La CNIL a également été saisie à l'appui du projet de décret d'un dossier technique portant notamment sur la collecte et l'utilisation du NIR dans le cadre de l'étude.
Présentation et conditions de mise en œuvre de l'étude :
L'enquête « Esteban » est une enquête nationale dont les objectifs principaux sont de décrire dans la population résidant en France :
― les niveaux d'imprégnation dans l'organisme des substances chimiques ayant un impact présumé ou observé sur la santé humaine ;
― la prévalence de certaines maladies chroniques et des facteurs de risque vasculaire ;
― les consommations alimentaires, l'activité physique, la sédentarité et l'état nutritionnel.
L'enquête s'inscrit dans le cadre de programmes de surveillance sanitaires jugés prioritaires et répond aux objectifs et plans nationaux de santé publique.
Elle a vocation à permettre la mise en évidence et le suivi d'indicateurs nécessaires â la définition des politiques de santé publique et sera reconduite à intervalles réguliers (de cinq à sept ans) sur de nouveaux échantillons de personnes. Elle permettra également de faire des comparaisons avec les données d'autres études conduites à l'étranger.
Un échantillon aléatoire national de 4 000 adultes (âgés de 18 à 74 ans) et 1 000 enfants (âgés de 6 à 17 ans) résidant en France métropolitaine sera constitué par tirage au sort d'un échantillon de communes, puis de ménages par génération aléatoire de numéros de téléphone (fixes et mobiles), puis d'individus au sein du ménage.
L'inclusion des participants s'échelonnera sur une période de douze mois afin de tenir compte du caractère saisonnier des comportements alimentaires, des allergies ainsi que de l'exposition aux polluants.
L'étude comportera une enquête par questionnaires dans le cadre d'entretiens avec un enquêteur, le remplissage d'autoquestionnaires, une enquête alimentaire et un examen médical comportant un recueil de données cliniques, des prélèvements et des dosages biologiques.
Une banque de prélèvements biologiques sera constituée pour permettre la réalisation de dosages ultérieurs de substances non connues ou non jugées prioritaires initialement.
Il est également prévu de recourir à un appariement des données individuelles de l'enquête avec celles issues du système national d'information interrégimes de l'assurance maladie (SNIIR-AM) géré par la Caisse nationale de l'assurance maladie des travailleurs salariés (CNAMTS), afin d'obtenir des informations sur la consommation médicale des participants à l'étude.
Un géocodage des adresses des participants sera effectué afin d'étudier les variations géographiques des problèmes de santé publique étudiés.
La commission relève que le comité consultatif pour le traitement de l'information en matière de recherche dans le domaine de la santé a rendu un avis favorable à l'enquête objet de la présente demande.
L'enquête a également reçu l'avis favorable du comité de protection des personnes d'Ile-de-France IX.
Sur la dénomination et la finalité du traitement :
Aux termes de l'article 1er du projet de décret, celui-ci a vocation à autoriser l'« Institut de veille sanitaire mentionné à l'article L. 1413-1 du code de la santé publique [...] à mettre en œuvre un traitement automatisé de données individuelles relatives à l'enquête nationale portant sur la biosurveillance, la santé et la nutrition, dénommée "Esteban”.
Le traitement a pour finalités :
1° De décrire les niveaux d'imprégnation des substances chimiques ayant un impact présumé ou observé sur la santé humaine, dans le cadre de la surveillance prévue par l'article 37 de la loi du 3 août 2009 de programmation susvisée relative à la mise en œuvre du Grenelle de l'environnement ;
2° D'estimer la prévalante de certaines maladies chroniques et des facteurs de risque vasculaire, conformément aux objectifs figurant en annexe de la loi susvisée relative à la politique de santé publique ;
3° De décrire les consommations alimentaires, l'activité physique et la sédentarité, dans le cadre de la surveillance de l'état nutritionnel de la population et de ses déterminants du programme mentionné à l'article L. 3231-1 du code de la santé publique ».
La commission considère que, eu égard à l'intérêt de santé publique que présente cette étude, la création de ce traitement et les finalités ainsi poursuivies sont adéquates et légitimes.
Elle estime toutefois qu'au premier alinéa de l'article 1er du projet de décret, les termes de « données à caractère personnel » devraient être substitués à ceux de « données individuelles » dans la mesure où l'étude porte sur des données susceptibles de permettre l'identification des participants à l'étude.
Sur la nature des données traitées :
L'article 2 énumère les données collectées directement auprès des volontaires et susceptibles d'être croisées avec les données de l'assurance maladie.
Ces données concernent :
― l'état civil et le NIR du participant à l'étude, ses coordonnées, l'état civil et l'adresse postale de son médecin traitant (I de l'art. 2) ;
― le mode de vie, l'activité physique, les habitudes alimentaires, l'état de santé, le recours aux soins et la consommation médicale, la situation familiale, la situation au regard de l'emploi, les revenus du ménage et le niveau d'étude (II de l'art. 2) ;
― les résultats d'analyses d'échantillons de sang, de cheveux et d'urine, d'examens cliniques et paracliniques, des mesures anthropométriques et pour les adultes, les mesures de la pression artérielle et une exploration fonctionnelle (III de l'art. 2).
Le même article 2 prévoit que sont collectées deux autres catégories de données. Ce sont les données relatives à la conduite de l'étude elle-même d'une part, et les données hospitalières et de consommation médicale qui seront obtenues par le biais du NIR, d'autre part :
― les données nécessaires à la réalisation de l'enquête telles que les dates des entretiens à domicile et le nom de l'enquêteur, les dates d'examen clinique et de prélèvement et le nom du professionnel de santé les ayant effectués (IV de l'art. 2) ;
― les données de consommation médicale, les données hospitalières mentionnées à l'article R. 6113-1 du code de la santé publique, les données de prise en charge pour affection de longue durée issues du système national d'information interrégimes de l'assurance maladie (SNIIR-AM), des personnes participant ayant accepté de communiquer leur NIR (V).
La commission observe qu'en vertu de la loi du 6 janvier 1978 modifiée ne peuvent être collectées que les données pertinentes pour la réalisation de l'étude et considère que tel est bien le cas pour chacune des catégories de données mentionnées à l'article 2 du projet de décret.
Elle relève que n'est pas précisé que seront collectées les données pertinentes au regard de la finalité du traitement, au V de l'article 2 du projet de décret indiquant que le NIR sera utilisé pour extraire les données de consommation médicale, les données hospitalières mentionnées à l'article R. 6113-1 du code de la santé publique et les données de prise en charge pour affection de longue durée, issues du SNIIR-AM. Elle estime toutefois que tel est bien le cas, l'ensemble des données susceptibles d'être extraites du SNIIR-AM devant être regardées comme pertinentes pour l'étude.
Sur le respect des droits des personnes concernées :
L'article 2 du projet de décret prévoit, aux II et III, que les données seront collectées « auprès des personnes qui y consentent après avoir reçu une information dans les conditions prévues par l'article 57 de la loi du 6 janvier 1978 ».
L'article 3 du projet de décret prévoit en outre que le numéro d'inscription au répertoire national des personnes physiques (MIR) est recueilli « auprès des personnes participant à l'étude qui y consentent, après avoir reçu une information suffisante sur les conditions d'utilisation et de conservation de cette donnée par l'institut de veille sanitaire ou sous sa responsabilité ».
Il résulte du dossier fourni à l'appui du projet de décret qu'afin de garantir le caractère éclairé du consentement recueilli, une information des personnes sera effectuée oralement au téléphone par un enquêteur. Cette information orale sera complétée par une notice d'information adaptée à l'âge des participants à l'étude assortie d'un formulaire de recueil de consentement remis par l'enquêteur aux personnes invitées à participer à l'étude ou à leur représentant légal lors de sa première visite à domicile.
Cette brochure comportera des informations relatives à l'identité du responsable du traitement, aux objectifs et aux modalités de mise en œuvre de l'enquête et aux conditions d'exercice des droits des participants à l'étude, conformément aux dispositions de l'article 57 de la loi du 6 janvier 1978 modifiée.
Les personnes y seront clairement informées du caractère volontaire et facultatif de l'étude et de l'absence de conséquence d'un refus d'y participer. Elles y seront également informées de la possibilité de mettre fin à leur participation à tout moment. Elles seront informées, enfin, des modalités pratiques d'exercice des droits ouverts au titre de la loi du 6 janvier 1978 modifiée et, notamment, de leur droit d'accès et de rectification aux données nominatives qui les concernent, prévus aux articles 39 et 40 de la loi du 6 janvier 1978 modifiée. Un numéro vert sera également mis à la disposition des participants à l'étude.
Le formulaire de recueil du consentement proposé aux personnes leur permettra de distinguer clairement et d'accepter ou de refuser, grâce à un système de cases à cocher :
― la participation à l'étude ;
― le recueil du NIR afin d'obtenir des informations sur les prestations et les soins délivrés au cours des douze derniers mois auprès de l'assurance maladie ;
― les prélèvements biologiques et leur utilisation pour des analyses ultérieures en lien avec la thématique de l'étude.
L'individu enquêté remettra un exemplaire signé de ce document à l'enquêteur lors de sa seconde visite et un autre exemplaire à l'occasion de l'examen de santé.
La commission estime que ces modalités d'information, de recueil du consentement des personnes et d'exercice de leurs droits d'accès et de rectification sont de nature à garantir l'exercice effectif des droits des personnes, sous réserve des observations suivantes :
― l'article 3-1 du projet de décret prévoit que le numéro d'inscription au répertoire national des personnes physiques (NIR) est recueilli « auprès des personnes participant à l'étude qui y consentent, après avoir reçu une information suffisante sur les conditions d'utilisation et de conservation de cette donnée par l'institut de veille sanitaire ou sous sa responsabilité ».
Dans la mesure où c'est l'information des personnes qui est assurée « par l'institut de veille sanitaire ou sous sa responsabilité » et où l'InVS n'est fondé ni à utiliser, ni à conserver le NIR des participants à l'étude, la commission estime que la rédaction de l'article 3-I est ambiguë et doit être modifiée.
Les documents remis aux participants à l'étude font état d'une collecte de données auprès de l'assurance maladie « au cours des douze derniers mois » alors que l'article 2-V du projet de décret prévoit que « ces données portent sur les trois années précédant la période de collecte des données et sur la période de collecte ».
La commission estime qu'afin de permettre aux participants à l'étude de comprendre clairement la portée de l'accord qu'ils donnent, il convient de leur délivrer une information exacte et précise sur la période considérée qui doit être pertinente au regard de la finalité de l'étude.
L'article 4, alinéa 2, du projet de décret prévoit : « Les résultats individuels de santé, obtenus à la suite de l'analyse des échantillons par des laboratoires associés à l'étude, sont transmis aux participants par les centres d'examens de santé ou par un médecin de l'Institut de veille sanitaire et à leur médecin traitant si les personnes participant à l'étude en font la demande ».
Dès lors qu'il s'agit de prévoir que la transmission des résultats des analyses biologiques au médecin traitant des participants à l'étude est subordonnée à leur demande éventuelle (et non de subordonner à une demande expresse des participants, la transmission à ces derniers des résultats de l'étude), une virgule doit être placée avant « et à leur médecin traitant ».
L'article 4, alinéa 3, du projet de décret prévoit : « Toute personne participant à l'étude peut, après avoir été informée des finalités des prélèvements et de leur conservation, consentir expressément à la conservation des échantillons la concernant au sein d'une collection d'échantillons biologiques humains, dans les conditions prévues à l'article L. 1243-3 du code de la santé publique. Elle peut s'opposer à ce que les échantillons prélevés et conservés soient utilisés dans le cadre d'une autre étude ou recherche ».
La commission observe que le prélèvement et la conservation des échantillons biologiques sont subordonnés au consentement éclairé et exprès des participants à l'étude, conformément aux dispositions de l'article L. 1211-2 du code de la santé publique et observe, par conséquent, que la formule « toute personne participant à l'étude [...] consent expressément, après avoir été dûment informée [...] » doit être substituée à la formule « toute personne participant à l'étude peut [...] consentir [...] ».
La commission estime, en outre, que la dernière phrase relative à la réutilisation des échantillons à des fins d'autres études est un rappel du droit positif et doit être supprimée.
La commission estime enfin que compte tenu de la nature sensible des questions posées dans les questionnaires et afin de garantir le respect du principe de loyauté dans la collecte, les mineurs devront être clairement informés que leurs parents se voient reconnaître par la loi un droit d'accès aux données qui les concernent et qu'ils seront donc en mesure d'avoir accès aux réponses de leurs enfants mineurs aux questionnaires.
Sur la sécurité des données :
L'article 3 du projet de décret encadre l'accès au NIR des participants volontaires et définit les mesures de sécurité et confidentialité nécessaires à l'appariement des données de l'étude avec les données du SNIIR-AM et à leur conservation.
L'article 8 du projet de décret précise les obligations de l'InVS en matière de sécurité et de confidentialité des données.
Les dispositions du décret ont été complétées par un dossier technique et des compléments, produits à l'appui du projet de décret.
Dans la mesure où l'InVS a fait le choix de ne pas recourir à un tiers de confiance indépendant, la commission s'est assurée que les mesures de sécurité mises en œuvre sont de nature à garantir une équivalence de protection.
Il résulte des mesures mises en place une séparation fonctionnelle des données d'identification et des autres données de l'étude et une gestion des habilitations d'accès en fonction des rôles de chacun, de nature à garantir la confidentialité des données. Des mesures de chiffrement des données identifiantes seront mises en place. Le rapprochement des données de l'étude avec les données identifiantes ne sera possible que dans des conditions spécifiques, ponctuelles et strictement encadrées.
Les accès, consultations et modifications des données seront tracés.
Sur l'appariement des données de l'enquête avec les données issues du SNIIR-AM :
Le NIR sera collecté directement auprès des personnes participant à l'étude ou de leurs ouvrants droits par l'enquêteur du prestataire chargé par l'Institut de veille sanitaire du monitoring de l'étude, après recueil de leur consentement éclairé.
Il sera saisi par l'enquêteur sur un formulaire électronique prévu à cet effet dans le système d'information de recueil des données et chiffré directement à la saisie à l'aide d'une clé publique fournie par la CNAMTS.
La commission estime que l'article 3-V du projet de décret doit être modifié pour indiquer que le NIR est chiffré dès sa « réception » par la personne qui le recueille et non dès sa « communication » par celle-ci.
Le NIR chiffré, la date de naissance et le sexe des participants à l'étude seront stockés pendant toute la durée de recueil des données (16 mois) dans la base de données hébergée chez le prestataire, séparément des données d'authentification (lopin, mot de passe) et des données des questionnaires.
Une fois la phase de recueil des données terminée, le fichier des données d'identification nécessaires aux appariements sera transféré par le prestataire à la CNAMTS au moyen d'un flux sécurisé.
Pour effectuer les appariements aux données du SNIIR-AM, un numéro d'identification non signifiant distinct de l'identifiant de l'étude sera créé pour chaque individu enquêté.
La CNAMTS déchiffrera chaque NIR à l'aide de sa clé privée et effectuera la demande d'extraction des données du SNIIR-AM auprès du service interne concerné.
La commission souligne, à cet égard, que la fonction « FOIN » (fonction d'occultation des informations nominatives) développée par la CNAMTS utilisée en l'espèce n'appelle pas d'observation de sa part.
La CNAMTS retournera à l'InVS les données du SNIIR-AM uniquement associées au numéro non signifiant au moyen d'un flux sécurisé.
L'InVS qui aura conservé la correspondance entre l'identifiant non signifiant et l'identifiant de l'étude, sera ainsi en mesure d'apparier les données sans avoir connaissance du NIR en clair.
Le prestataire ne conservera aucune trace du fichier transmis initialement qui sera détruit au maximum un an après la fin de l'étude. Après validation de l'appariement des données de l'étude et des données du SNIIR-AM, la CNAMTS détruira les fichiers contenant les données identifiantes.
Les fichiers échangés entre les différents acteurs seront systématiquement chiffrés par la clé publique du destinataire et les liens de communication établis entre les différents acteurs seront chiffrés,
La commission constate que cette organisation garantit que le NIR ne pourra être déchiffré qu'à seule fin d'appariement des données du SNIIR-AM avec celles de l'étude Esteban en passant obligatoirement par la CNAMTS qui apparaît seule en mesure de déchiffrer le NIR.
Sur les conditions de collecte et de conservation des données pendant la phase de recueil des données :
Les questionnaires seront remplis par les enquêteurs sur un ordinateur dédié accessible à l'aide d'un mot de passe personnel dont les conditions de définition et de renouvellement devront répondre aux recommandations de la CNIL.
Les autoquestionnaires seront disponibles à travers une application accessible sur internet. Il conviendra que l'authentification de chaque utilisateur se fasse au moyen d'un identifiant/mot de passe dont la complexité soit conforme aux recommandations de la CNIL. En outre, celle-ci recommande l'envoi séparé des identifiants/mots de passe.
Il convient en outre que la communication entre le poste informatique de l'individu enquêté et le serveur hébergeant l'application soit sécurisée.
Les questionnaires papiers devront être détruits une fois la saisie réalisée et les données validées.
Il résulte du dossier produit à l'appui du projet de décret que le prestataire chargé du recueil et de la conservation des données recueillies auprès des participants à l'étude sera agréé en qualité d'hébergeur de données de santé à caractère personnel ou aura recours à un hébergeur agréé.
La commission en prend acte.
Sur la transmission et les conditions de conservation des données par l'InVS :
Les différents fichiers seront stockés sur un serveur sécurisé de l'InVS, après leur transfert sécurisé.
Le rapprochement des données d'identification des autres données de l'étude ne sera réalisé que par un nombre restreint de personnes spécialement habilitées aux seules fins d'adresser aux personnes enquêtées les résultats des dosages biologiques effectués ultérieurement.
Un rapport sur l'évolution des systèmes de sécurité du traitement sera fourni à la commission tous les trois ans. La commission en prend acte.
Dans ces conditions, la commission estime que l'ensemble des mesures de sécurité mises en œuvre est de nature à garantir un risque d'atteinte limité aux données.
Sur les destinataires des données :
Aux termes de l'article 7 du projet de décret, les enquêteurs chargés des entretiens et de la saisie des questionnaires n'auront accès aux données contenues dans le système d'information de recueil que des seules personnes participant à l'étude dont ils ont la charge. Il en va de même des professionnels de santé des centres d'examens de santé chargés des examens cliniques et prélèvements biologiques.
Seuls les personnels de l'Institut de veille sanitaire nommément désignés et habilités à cet effet par son directeur seront autorisés à accéder aux données dans la stricte mesure où elles sont nécessaires à l'exercice des missions qui leur sont confiées.
Enfin, seuls des médecins pourront accéder aux données couvertes par le secret médical.
Aux termes de l'article 8 du projet de décret, l'InVS diffusera des extractions de données individuelles issues du traitement ne permettant aucune identification directe ou indirecte des personnes auprès desquelles l'enquête a été réalisée. L'Institut de prévention et d'éducation à la santé et l'Agence nationale de sécurité sanitaire de l'environnement, de l'alimentation et du travail pourront être destinataires de ces données anonymisées.
La commission prend acte de l'ensemble de ces mesures.
Sur la durée de conservation des données :
L'article 3-VI du projet de décret dispose que « l'utilisation du numéro d'identification au répertoire d'identification des personnes physiques n'est autorisée que pendant une durée de deux ans à compter de la date de sa communication par la personne concernée participant à l'étude, dans fa limite de la durée de l'étude ».
Aux termes de l'article 6 du projet de décret, seront conservées :
« 1° Pendant douze mois après fa fin de la phase de collecte, les données identifiantes mentionnées à l'article 2 ;
2° Pendant cinq ans après la fin de la collecte les données relatives aux nom, prénoms et adresse des personnes enquêtées, ainsi qu'aux nom, prénoms et adresse des médecins traitants afin de permettre l'envoi aux personnes participant des résultats des analyses mentionnées au deuxième alinéa de l'article 4 ;
3° Pendant vingt ans après la fin de la collecte, les données de géolocalisation issues du fichier des adresses des enquêtés ;
4° Pendant trente ans, les autres données individuelles non identifiantes ».
Les données de géolocalisation des participants à l'étude ne seront pas de nature à permettre, à terme, l'identification des personnes concernées.
Dans ces conditions, la commission estime que ces durées de conservation n'appellent pas d'observation.
Les autres points du projet de décret n'appellent pas, en l'état et au regard de la loi du 6 janvier 1978 modifiée, d'autres observations de la commission.