La Commission nationale de l'informatique et des libertés,
Saisie par le ministre des affaires sociales et de la santé d'une demande d'avis sur un projet de décret portant sur la création d'un traitement automatisé de données à caractère personnel ayant pour finalité une étude du risque de cancer radio-induit après exposition dans l'enfance, dénommée « Coccinelle » ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 27-1-1, et 53 et suivants ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu l'arrêté du 19 juillet 2013 relatif à la mise en œuvre du Système national d'information inter-régimes de l'assurance maladie ;
Vu la décision DR 2011-489 de la Commission nationale de l'informatique et des libertés relative à une étude portant sur l'évaluation du risque de cancer à long terme dans une cohorte d'enfants exposés aux rayonnements ionisants dans le cadre d'une procédure de cathétérisme cardiaque, intitulée « Coccinelle » ;
Vu l'avis favorable du Comité consultatif pour le traitement de l'information en matière de recherche dans le domaine de la santé du 13 janvier 2011 ;
Après avoir entendu M. Alexandre LINDEN, commissaire, en son rapport, et Mme Catherine POZZO Dl BORGO, commissaire adjoint du Gouvernement, en ses observations,
Emet l'avis suivant :
La commission a été saisie le 20 octobre 2015 pour avis par le ministère des affaires sociales et de la santé d'un projet de décret en Conseil d'Etat (ci-après « le projet ») relatif à la mise en œuvre par le laboratoire d'épidémiologie de l'Institut de radioprotection et de sûreté nucléaire (IRSN), d'une étude portant sur le risque de cancer radio-induit après dans l'enfance dans le cadre de l'étude « Coccinelle » (ci-après « l'étude »).
Cette étude, dont le premier volet a été autorisé par la commission (DR 2011-489 du 12 décembre 2011), concerne une cohorte de 8 000 enfants. Elle vise à évaluer le risque de cancer à long terme après exposition aux rayonnements ionisants dans l'enfance et à quantifier la relation dose-réponse entre l'irradiation médicale reçue au cours d'une procédure de cathétérisme cardiaque et la survenue d'un cancer pendant l'enfance ou l'âge adulte. L'objectif de cette étude est principalement d'estimer l'incidence des cancers au sein de la cohorte et de la comparer à l'incidence nationale des cancers. A ce titre, un suivi sur le long terme, à l'âge adulte des participants, est justifié par la latence du développement des pathologies radio-induites.
Le second volet consiste en un appariement entre les données de l'étude et les données du Système national d'information inter-régimes de l'assurance maladie (SNIIRAM).
L'appariement envisagé requérant, en l'espèce, l'utilisation du numéro d'inscription au Répertoire national d'identification des personnes physiques (NIR), la commission a été saisie d'une demande d'avis sur le fondement de l'article 27-1 (1°) de la loi du 6 janvier 1978 modifiée (ci-après « loi informatique et libertés »).
Sur la finalité du traitement :
L'article 1er du projet de décret prévoit d'autoriser l'IRSN à mettre en œuvre un traitement de données à caractère personnel nécessaire à la réalisation l'étude sur le risque de cancer radio-induit après exposition aux procédures de cardiologie interventionnelle dans l'enfance dont la finalité est « de caractériser la population pédiatrique ayant bénéficié d'une procédure de cardiologie interventionnelle ainsi que les doses reçues dans les centres participant à l'étude et d'estimer le risque de pathologie radio-induite après exposition aux procédures de cardiologie interventionnelle dans l'enfance ».
Le projet a pour objet de permettre un appariement des données du SNIIRAM avec des données issues de la base de données de l'étude mise en œuvre par l'IRSN.
Cet appariement a pour objet de disposer d'informations à la fois sur le bénéfice d'une procédure de cardiologie interventionnelle des enfants de la cohorte et des informations cliniques sur l'incidence des pathologies potentiellement radio-induites, comme certains types de cancers.
La commission estime que la finalité est déterminée, explicite et légitime, conformément à l'article 6 (2°) de la loi informatique et libertés ».
Sur la nature des données traitées :
L'article 2 du projet de décret liste les données traitées relatives aux personnes faisant l'objet de l'étude.
Sur les données dont le traitement est déjà autorisé par la commission :
Il s'agit :
- des données relatives aux personnes faisant l'objet de l'étude extraites des traitements de données des études de cohortes, des registres de cancer pédiatrique ainsi que des systèmes d'informations médicales des établissements de santé et des dossiers médicaux des services hospitaliers, comprenant, dans les conditions prévues par l'article 57 de la loi du 6 janvier 1978 susvisée, leurs nom de famille, nom d'usage, prénoms, date et lieu de naissance et sexe ;
- des données de santé relatives aux personnes faisant l'objet de l'étude, collectées dans les conditions prévues par les articles 56 et 57 de la loi du 6 janvier 1978 susvisée, et pour les personnes décédées dans les conditions prévues par le décret du 16 janvier 1998 susvisé : les données cliniques issues des programmes de médicalisation des systèmes d'information (PMSI) des établissements de santé et des dossiers médicaux des services hospitaliers, les données portant sur les procédures de cardiologie interventionnelle réalisées pour les personnes participant à l'étude (date de réalisation, type de procédure, indication, paramètres dosimétriques associés), le statut vital et, le cas échéant, les causes de décès.
Sur les données dont le traitement fait l'objet d'un projet d'arrêté soumis à l'avis de la commission concomitamment à la demande d'avis sur le présent projet de décret en Conseil d'Etat :
Il s'agit des données des personnes participant à l'étude extraites du répertoire national inter-régimes des bénéficiaires de l'assurance maladie dans les conditions mentionnées au V de l'article R. 161-37 du code de la sécurité sociale, et, pour les personnes décédées, dans les conditions prévues par le décret n° 98-37 du 16 janvier 1998, comprenant leur lieu de naissance, le cas échéant, l'indication du décès.
L'article 2 du projet de décret liste également les données qui seront extraites des bases du SNIIRAM, depuis l'antériorité maximale que permettent ces bases.
Il s'agit :
- des données relatives à la consommation de soins en établissement de santé (les dates de soins et dates de remboursement, le motif médical d'hospitalisation, les actes pratiqués, la durée de séjour, le mode de sortie, ainsi que les codes des pathologies et des diagnostics principaux, associés ou reliés et des actes techniques réalisés par les professionnels de santé, notamment examens biologiques ou dispositifs médicaux) ;
- des données relatives à la consommation de soins de ville, aux actes médicaux, aux actes de biologie, aux dispositifs médicaux et médicaments ;
- des données relatives à la situation sociale en relation avec les modalités de prise en charge de la maladie, comprenant : l'indication de la couverture sociale et de l'affiliation éventuelle à la couverture maladie universelle, le diagnostic éventuel d'affections de longue durée.
Par ailleurs, de nouvelles données seront traitées dans le cadre de l'appariement envisagé des données de l'étude avec les données du SNIIRAM :
- « l'identifiant anonymisé » nécessaire pour le rattachement des données extraites du SNIIRAM ;
- le NIR.
La commission prend acte de ce que le ministère s'est engagé à substituer le terme « d'identifiant anonymisé » par une référence au « code de confidentialité », dans la mesure où il figurera dans une table de correspondance entre l'identité du patient et son identité codée.
La commission considère que les données mentionnées à l'article 2 du projet de décret sont légitimes, pertinentes et non excessives au regard des finalités poursuivies, conformément aux dispositions de l'article 6 (3°) de la loi informatique et libertés.
Sur les destinataires des données :
Il ressort de l'article 4 du projet de décret que seuls les chercheurs de l'IRSN habilités par le directeur général de cet institut ont accès aux données dans la stricte mesure où elles sont nécessaires à la mise en œuvre de leurs travaux de recherche.
Ces destinataires n'appellent pas d'observations de la part de la commission.
Sur l'information et les droits des personnes :
La commission relève que l'article 2 prévoit que la collecte des données relatives aux personnes faisant l'objet de l'étude s'opère dans des conditions conformes à l'article 57 de la loi informatique et libertés.
L'article 2-II du projet de décret prévoit l'information des personnes concernées par l'étude et précise que celles-ci « sont informées par voie d'affichage dans les services de cardiologie participant du caractère volontaire et facultatif de leur participation à l'étude et de l'absence de conséquence d'un refus d'y participer ainsi que de la possibilité de mettre fin à leur participation à tout moment ».
S'agissant de l'accès aux données du SNIIRAM, l'article 7 du projet prévoit que l'IRSN « met en œuvre une information du public sur la mise en place de l'étude, la création d'un traitement automatisé, de ses finalités et les droits des personnes concernées. Cette information précise en outre les conditions d'exercice du droit d'opposition des personnes institué aux premier et troisième alinéas de l'article 56 de la loi du 6 janvier 1978 [modifiée] ».
Ce même article précise que « les droits d'accès et de rectification des données, prévus aux articles 39 et 40 de la loi [précitée], sont exercés auprès du directeur général de l'institut de radioprotection et de sûreté nucléaire ».
S'agissant, en l'espèce, d'un suivi nominatif à long terme de l'ensemble de la consommation de soins, de personnes ayant, pendant la période d'inclusion, été soumises à une procédure de cardiologie interventionnelle, la commission considère que ces personnes, et, le cas échéant, les titulaires de l'autorité parentale, doivent pouvoir bénéficier d'une information suffisante permettant un exercice effectif des droits qui leur sont reconnus par les articles 57 et 58 de la loi informatique et libertés.
Sur la sécurité des données et la traçabilité des actions :
L'article 4 du projet de décret indique que seules les personnes habilitées par le directeur général de l'IRSN ont accès aux données.
La commission recommande que le projet d'article 4 soit modifié afin de distinguer les habilitations nécessaires pour accéder aux données directement ou indirectement identifiantes.
Les accès s'effectuent par un identifiant et par un mot de passe.
La commission rappelle que la complexité des mots de passe doit être conforme à ses recommandations, à savoir que les mots de passe devront disposer d'un minimum de huit caractères et être composés de trois types de caractères distincts parmi les minuscules, majuscules, chiffres et caractères spéciaux. Les mots de passe doivent être modifiés par l'utilisateur dès sa première connexion, puis régulièrement. Enfin, ils ne doivent pas être stockés en clair dans un fichier ou une base de données.
En outre, elle précise que le personnel disposant de privilèges élevés sur le système d'information, tels que les administrateurs système ou base de données, doivent disposer de mots de passe comportant un minimum de dix caractères et pour lesquels les autres caractéristiques sont identiques à celles précitées concernant les autres utilisateurs.
Le projet précise que le système assure une traçabilité des actions opérées sur les données d'identification.
La commission prend acte de ce que les traces sont conservées pendant six mois.
La commission relève que le code de confidentialité permet de disposer d'un identifiant unique pour chaque patient mais de ne pas utiliser les données directement identifiantes lors de l'analyse. Ainsi les données identifiantes sont stockées à part des données de santé et ne sont jamais manipulées pour réaliser l'analyse des données.
Ce code de confidentialité sera détruit à l'issue de la période de vingt ans de conservation des données recueillies.
A cet égard, la commission précise que la seule suppression du code de confidentialité ne permet pas une anonymisation effective des données.
Sous réserve des précédentes observations, les mesures de sécurité décrites sont conformes à l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée.
La commission rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.
Sur la durée de conservation des données :
L'article 6 du projet de décret prévoit que les données seront collectées dans le SNIIRAM pendant vingt ans, puis conservées pendant la durée nécessaire à l'étude après l'arrêt définitif de la collecte, afin de disposer d'une durée nécessaire pour l'étude du risque de cancer radio-induit après exposition aux rayonnements ionisants médicaux dans l'enfance, soit pendant vingt ans.
La commission prend acte de l'engagement du ministère de modifier ce texte, afin de préciser que la durée de conservation de vingt ans commence dès la collecte des données.
Compte tenu de l'investissement nécessaire à la réalisation de l'étude ainsi que de ses enjeux en termes de santé publique, la commission estime que cette durée de conservation des données n'excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées, conformément aux dispositions de l'article 6 (5°) de la loi informatique et libertés.
La commission prend acte de ce que l'article 6 du projet de décret prévoit qu'à l'expiration de cette période, les données seront anonymisées dans leur totalité.
Les autres points du projet de décret en Conseil d'Etat n'appellent pas, en l'état et au regard de la loi du 6 janvier 1978 modifiée, d'autres observations de la commission.