CNIL, 12 mai 2016, 2016-142
Mots clés
privilège • service • saisie • publication • rectification • risque • contrat • recours
Chronologie de l'affaire
Synthèse
- Juridiction : CNIL
- Numéro de pourvoi :2016-142
- Nature de la délibération : Autre autorisation
- État juridique : VIGUEUR
- Nature : Délibération
- Identifiant Légifrance :CNILTEXT000032618483
Voir plus
Chronologie de l'affaire
CNIL
12 mai 2016
Résumé
Vous devez être connecté pour pouvoir générer un résumé.
Partie demanderesse
Partie défenderesse
Suggestions de l'IA
Texte intégral
(Demande d'autorisation n° 1865655)
La Commission nationale de l'informatique et des libertés,
Saisie par
l'Institut Gustave Roussy d'une demande d'autorisation concernant un traitement automatisé de données à caractère personnel ayant pour finalité la mise en œuvre d'un dispositif de télémédecine permettant la réalisation d'actes de télésurveillance médicale ;Vu
la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ; Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ; Vu le code de la santé publique, notamment ses articles L. 1110-4, L. 1111-2, L. 1111-4, L. 1111-8, L. 1434-2, L. 6316-1, R. 1112-7, R. 6316-1 à R. 6316-11 ; Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 8-IV et 25-I-1° ; Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ; Vu le dossier et ses compléments ; Sur la proposition de Mme. Valérie PEUGEOT, commissaire, et après avoir entendu les observations de M. Jean-Alexandre SILVY, commissaire du Gouvernement,Formule les observations suivantes
: La Commission a été saisie par l'institut Gustave Roussy, ci-après « l'institut », d'une demande d'autorisation pour la mise en place d'un traitement de données à caractère personnel relatif à dispositif de télémédecine intervenant dans le cadre du projet « CAPRI » (Cancérologie, Parcours de soins Région Ile-de-France). Le parcours de soins coordonné (PSC) mis en œuvre a vocation à inclure 500 patients atteints d'un cancer suivis à l'institut qui retournent à leur domicile, dont les données seront comparées avec celles d'un autre groupe de 500 patients intégrés dans le parcours de soins coordonné standard (PSCS) de l'institut, afin d'évaluer la valeur ajoutée d'une prise en charge à distance. L'inclusion des patients dans le PSC est effectuée par les infirmières de coordination (IDEC) de l'institut dans le cadre d'une consultation afin de connaître les besoins spécifiques des patients et l'identification des intervenants externes. Ces IDEC sont salariées de l'institut et interviennent dans le cadre de protocole de soins infirmiers, sous le contrôle d'un médecin salarié de l'institut. L'activité de télésurveillance projetée fait l'objet d'un contrat de télémédecine signé entre l'agence régionale de santé et l'institut Gustave Roussy, conformément à l'article R. 6316-6 du code de la santé publique. Responsable du traitement L'institut Gustave Roussy est un centre de soins, de recherche et d'enseignement, qui prend en charge des patients atteints de cancer. Sur la finalité Le traitement de données à caractère personnel envisagé a pour finalité la réalisation d'actes de télésurveillance médicale, à travers la mise à disposition d'un portail internet proposant aux patients les fonctionnalités suivantes : une messagerie sécurisée et une ligne directe afin que les patients puissent contacter une IDEC ; une fonction d'observance permettant aux patients et à l'IDEC de programmer des rappels concernant un médicament à prendre, des examens à réaliser ; un espace de stockage permettant aux patients de télécharger, archiver et classer les documents relatifs à leur prise en charge (résultats des examens, bilans biologiques, compte rendus…) ; un annuaire contenant la liste et les coordonnées des intervenants clés de leur prise en charge ; un calendrier en ligne permettant de gérer les rendez-vous et les suivis téléphoniques ; un accès direct à des sites Internet sélectionnés délivrant des informations sur la maladie, les traitements et les effets secondaires. Un dossier médical patient en ligne sera créé et partagé entre les professionnels participant à la prise en charge des patients. La Commission estime que les finalités poursuivies par le traitement sont déterminées, explicites et légitimes. Elle considère qu'il y a lieu de faire application des articles 8-IV et 25-I, 1° de la loi du 6 janvier 1978 modifiée, qui soumettent à autorisation de la CNIL les traitements de données de santé qui sont justifiés, comme en l'espèce, par un intérêt de santé publique. Sur les données traitées Concernant les patients, sont traitées : les données d'identification: nom, prénom, sexe adresse, date, lieu de naissance, numéro d'identification (composé de l'année de la première venue des patients à l'institut puis d'un numéro à 5 chiffres suivi de 2 lettres), coordonnées téléphoniques et électroniques ; les données relatives aux habitudes de vie, à la situation professionnelle, à l'éventuelle existence d'une mesure de protection juridique ; les données de santé nécessaires à l'acte de télésurveillance : pathologie(s), affection(s), antécédents familiaux, données relatives aux soins, situations ou comportements à risque ; les données techniques de connexion ; les données d'identification (nom, prénom, adresse professionnelles, téléphone, email professionnel) ; les données techniques de connexion. Concernant les professionnels de santé participant à la prise en charge du patient sont traitées : les données d'identification: nom, prénom, sexe adresse, date, lieu de naissance, numéro d'identification (composé de l'année de la première venue des patients à l'institut puis d'un numéro à 5 chiffres suivi de 2 lettres), coordonnées téléphoniques et électroniques ; les données relatives aux habitudes de vie, à la situation professionnelle, à l'éventuelle existence d'une mesure de protection juridique ; les données de santé nécessaires à l'acte de télésurveillance : pathologie(s), affection(s), antécédents familiaux, données relatives aux soins, situations ou comportements à risque ; les données techniques de connexion ; les données d'identification (nom, prénom, adresse professionnelles, téléphone, email professionnel) ; les données techniques de connexion. Des données relatives aux statistiques d'utilisation du service (installation du certificat électronique, nombre d'alertes déclenchées, de relances, de documents téléchargés, de documents consultés, de comptes rendus de suivi, de clics dans chaque rubrique, de messages envoyés par les patients, de messages envoyés par les IDEC, de connexion au portail, de données de suivi renseignées, durée moyenne de connexion) sont également traitées afin de mener l'étude comparative entre le PSC et le PSCS. La Commission considère que ces données sont adéquates, pertinentes et non excessives au regard de la finalité du traitement, conformément aux dispositions de l'article 6-3° de la loi du 6 janvier 1978 modifiée. Sur les destinataires Les destinataires des données de santé sont les professionnels participant à la prise en charge des patients et expressément désignés par ceux-ci auprès de l'IDEC qui les habilitent à accéder aux comptes-rendus de suivis des patients. Il s'agira du médecin traitant des patients concernés, du pharmacien de ville, des auxiliaires médicaux (infirmier libéral, diététicien et/ou kinésithérapeute), et, le cas échéant, d'un(e) assistant(e) du service social. A cet égard, la Commission rappelle que l'article L. 1110-4 du code de la santé publique tel que modifié par la loi n° 2016-41 du 26 janvier 2016 consacre dorénavant l'échange et le partage d'informations entre professionnels de santé et professionnels de secteur médico-social, et que la mise en œuvre de ces nouvelles dispositions est subordonnée à la publication d'un décret en Conseil d'Etat pris après avis de la CNIL. Sous réserve de la remarque précédente, ces destinataires n'appellent pas d'observation de la part de la Commission Sur l'information et les droits d'accès, de rectification et d'opposition Les patients se verront remettre par une IDEC, préalablement à leur participation, un formulaire d'information et de consentement lors d'une consultation à l'institut Gustave Roussy, rédigés notamment pour assurer le respect des dispositions de l'article 32 de la loi du 6 janvier 1978 modifiée. Les informations liées au déroulement du parcours sont expliquées à l'oral par l'IDEC au moment de la consultation. La Commission prend acte de ce que la participation des patients au projet CAPRI est libre et volontaire. Les professionnels médicaux, paramédicaux et du secteur social participant au projet sont informés des dispositions législatives, réglementaires et contractuelles applicables dans une charte déontologique qu'ils signent. Ils sont également informés des modalités de fonctionnement du dispositif, du traitement des données qui les concernent et des modalités d'exercice de leurs droits à travers une note d'information. Il est prévu que les droits d'accès, de rectification et d'opposition s'exercent auprès du service de la coordination des soins externes de l'institut Gustave Roussy. La Commission estime que les modalités d'information et d'exercice des droits telles que décrites ci-dessus sont satisfaisantes. Sur les mesures de sécurité et de confidentialité Concernant les accès aux données relatives à la santé : Des profils d'habilitation sont prévus afin de gérer les accès aux données en tant que de besoin : les patients participant au dispositif disposent d'un privilège d'écriture pour les données qu'ils renseignent et d'un privilège de lecture sur d'autres données. les IDEC de l'Institut gèrent l'ensemble des dossiers de suivi de tous les patients, et disposent d'un privilège de lecture, d'écriture et de modification sur les données des patients inscrits au programme. les médecins de l'institut disposent d'un privilège de lecture, d'écriture, et de modification sur les données des patients qu'ils suivent à l'institut, conformément à l'article R. 6316-3 du code de la santé publique. les patients participant au dispositif disposent d'un privilège d'écriture pour les données qu'ils renseignent et d'un privilège de lecture sur d'autres données. les IDEC de l'Institut gèrent l'ensemble des dossiers de suivi de tous les patients, et disposent d'un privilège de lecture, d'écriture et de modification sur les données des patients inscrits au programme. les médecins de l'institut disposent d'un privilège de lecture, d'écriture, et de modification sur les données des patients qu'ils suivent à l'institut, conformément à l'article R. 6316-3 du code de la santé publique. les patients participant au dispositif disposent d'un privilège d'écriture pour les données qu'ils renseignent et d'un privilège de lecture sur d'autres données. les IDEC de l'Institut gèrent l'ensemble des dossiers de suivi de tous les patients, et disposent d'un privilège de lecture, d'écriture et de modification sur les données des patients inscrits au programme. les médecins de l'institut disposent d'un privilège de lecture, d'écriture, et de modification sur les données des patients qu'ils suivent à l'institut, conformément à l'article R. 6316-3 du code de la santé publique. Les opérations de consultation, de création, de mise à jour et de suppression font l'objet d'une traçabilité. Les autres professionnels de santé et du secteur social désignés par les patients comme participant à leur prise en charge ont accès aux synthèses de suivi réalisées par les IDEC et disposent d'un privilège de lecture sur les données concernant les patients qu'ils suivent et qui ont donné leur consentement préalable à cet accès. Les patients peuvent à tout moment retirer ce consentement. Concernant l'authentification des personnes habilitées à accéder aux données de santé : Le dossier produit à l'appui de la demande prévoit que les professionnels de santé s'authentifient par l'utilisation de leur carte de professionnel de santé (CPS) ou en mode dégradé par l'installation d'un certificat électronique par le professionnel de santé couplé à un mot de passe et un One Time Password (OTP) ou un mot de passe et un certificat navigateur, A cet égard, la Commission relève que le nouvel article L.1110-4 du code de la santé publique dans sa rédaction issue de la loi du 26 janvier 2016 ne prévoit plus l'authentification par CPS ou dispositif équivalent agréé par l'ASIP santé et que le nouvel article L.1110-4-1 du même code renvoie ces modalités d'authentification à la conformité à des référentiels d'interopérabilité et de sécurité approuvés par le ministre en charge de la santé après avis de la CNIL. Dans l'attente de la publication des textes réglementaires permettant l'entrée en vigueur de ces nouvelles dispositions, la Commission rappelle que l'authentification des professionnels de santé doit s'opérer dans des conditions conformes au droit en vigueur. L'accès à partir des ordinateurs des patients s'opère par une authentification fondée sur l'installation d'un certificat électronique sur leur terminal ainsi que l'utilisation d'un numéro d'identifiant et d'un mot de passe strictement personnels (8 caractères minimum, au moins une majuscule, une minuscule et un chiffre ou un caractère spécial), fournis lors de l'admission dans le dispositif. La Commission rappelle que les mots de passe être définis ou modifiés dès la première connexion par le patient, puis régulièrement renouvelés et ne doivent pas être stockés en clair. Concernant l'hébergement : Le dossier produit à l'appui de la demande prévoit que les données sont hébergées auprès un hébergeur de données de santé agréé pour cette prestation au sens de l'article L.1111-8 du code de la santé publique et que le personnel technique de l'hébergeur n'a aucun accès possible aux données relatives aux patients. Concernant la sécurité des données : L'accès au service est sécurisé au moyen du protocole HTTPS. Concernant le recours à ce protocole, la Commission recommande de ne plus utiliser SSLv3, mais de préférer la version de TLS la plus à jour possible. Concernant la sauvegarde des données : Les données sont sauvegardées quotidiennement sur disque dur et doivent être chiffrées. Concernant la traçabilité des accès et authentification des personnes : Une journalisation des opérations de consultation, création, modification et suppression du traitement est réalisée. Sous réserve des précédentes observations, les mesures de sécurité décrites par le responsable de traitement sont conformes à l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée. La Commission rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques. Sur les autres caractéristiques du traitement Concernant la durée de conservation des données : Les données à caractère personnel relatives aux patients sont conservées cinq ans en base active à compter du dernier passage dans l'établissement ou de la dernière consultation, puis en base archive les quinze années suivantes, soit une durée totale de conservation de vingt ans, conformément à l'article R. 1112-7 du code de la santé publique. Les données à caractère personnel relatives aux professionnels de santé sont conservées pendant toute la durée de leur participation au projet CAPRI et jusqu'à l'expiration d'un délai de dix-huit mois à partir de la fin de leur participation. Ces durées n'appellent pas d'observations au regard de l'article 6-5° de la loi du 6 janvier 1978 modifiée. Concernant l'usage post-étude des données : Le projet CAPRI donnera lieu à une recherche médicale qui fera l'objet d'une formalité spécifique auprès de la Commission. La Commission rappelle que si cette recherche est monocentrique et qu'elle répond aux conditions prévues à l'article 53 al.2 de la loi Informatique et Libertés, elle relèverait du régime de la déclaration normale de sorte qu'elle devrait, à ce titre, être inscrite sur le registre du correspondant Informatique et Libertés désigné par l'institut Gustave ROUSSY.Autorise, conformément à la présente délibération
, l'institut Gustave ROUSSY à mettre en œuvre le traitement susmentionné. Pour La Présidente La Vice-Présidente déléguée, M.-F. MAZARSCommentaires sur cette affaire
L'accès aux commentaires est réservé aux utilisateurs premium.
Note...