CNIL, 18 octobre 2012, 2012-378

(Demande d'autorisation n° 1502384) La Commission nationale de l'informatique et des libertés,

Saisie par

la société VITALAIRE d'une demande d'autorisation concernant un traitement automatisé de données à caractère personnel ayant pour finalité un programme d'apprentissage portant sur la spécialité pharmaceutique Ventavis® exploitée par le laboratoire BAYER ;

Vu

la Convention n°108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ; Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données ; Vu le code de la santé publique, notamment ses articles L.1161-1 et R.1161-8 et suivants ; Vu la loi n°78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 8-IV et 25-I-1° ; Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ; Vu le dossier et ses compléments ; Sur la proposition de M. Jean MASSOT, commissaire, et après avoir entendu les observations de Mme Elisabeth ROLIN, commissaire du Gouvernement ;

Formule les observations suivantes

: Sur le responsable du traitement Société VITALAIRE (94) Sur la finalité Le traitement a pour finalité la mise en œuvre d'un programme d'apprentissage portant sur la spécialité pharmaceutique Ventavis® exploitée par le laboratoire BAYER. La Commission estime que la finalité du traitement est déterminée, explicite, et légitime au sens de l'article 6 de la loi du 6 janvier 1978 modifiée. Sur les données traitées Dans le cadre du programme d'apprentissage les données faisant l'objet d'un traitement sont celles relatives aux patients qui s'inscrivent à un programme. Elles portent sur l'identité, la date de naissance, les coordonnées (téléphones, adresse) ainsi que sur des informations relatives à la santé (antécédents et traitements médicaux…). Les données relatives aux médecins traitants et aux médecins prescripteurs peuvent également faire l'objet d'un traitement (identité, coordonnées). La Commission estime que les données sont pertinentes au regard de la finalité poursuivie. Sur les destinataires Aux termes de la règlementation relative aux programmes d'apprentissage, seule l'équipe en charge d'un programme doit pouvoir accéder aux données à caractère personnel relatives aux patients qui y sont inscrits. En effet, la loi prévoit expressément l'interdiction d'accès des laboratoires aux données identifiantes et les dispositions règlementaires précisent que les données doivent être anonymisées par le médecin ou le pharmacien responsable du programme chez l'opérateur avant transmission à ce dernier et au laboratoire. Les mesures telles que décrites ci-dessous satisfont à cette obligation. Sur l'information et le droit d'accès Le consentement du patient à participer au programme est recueilli par le médecin prescripteur du médicament faisant l'objet du programme. Lorsque le patient manifeste son accord, le formulaire de consentement écrit, dont le patient conserve une copie, est adressé par le médecin prescripteur aux professionnels de santé employés par l'opérateur conformément à l'article R.1161-23 du code de la santé publique. Le patient contacte la plateforme téléphonique de l'opérateur afin de finaliser son inscription. Les patients inscrits à un programme sont informés de leurs droits d'accès, de rectification ainsi que de la possibilité de se désinscrire du programme à tout moment, conformément à la loi du 6 janvier 1978 modifiée et aux articles R.1161-8 à R.1161-26 du code de la santé publique. Les médecins prescripteurs et les médecins traitants sont également informés des droits qui leur sont reconnus par la loi précitée. Sur les mesures de sécurité Sur le contrôle d'accès et les habilitations : L'opérateur mettant en œuvre le programme d'apprentissage doit mettre en place des moyens de vérifications des habilitations accordées au personnel qu'il emploie. Il doit veiller, en particulier, à ce que l'accès aux données de santé à caractère personnel, couvertes par le secret professionnel, soit limité aux seuls personnels en charge du programme d'apprentissage pour les patients qu'ils suivent effectivement. Les habilitations délivrées au personnel doivent également être revues régulièrement afin notamment de supprimer les autorisations d'accès dès le départ d'un collaborateur. En fonction du rôle des utilisateurs, différents profils d'habilitations sont définis. Chaque nouvelle habilitation doit être validée par le responsable d'habilitation. Les habilitations pour accéder aux logiciels utilisés pour la gestion du programme d'apprentissage sont strictement réservées à l'équipe dédiée au programme d'apprentissage employée par l'opérateur. Les connexions aux postes de travail se font par l'utilisation d'une combinaison login / mot de passe individuelle. S'agissant de la complexité du mot de passe la Commission recommande l'utilisation de huit caractères au moins, comprenant trois types de caractères parmi les quatre possibles (majuscules, minuscules, chiffres et caractères spéciaux), renouvelé au moindre doute de compromission et si possible de manière périodique (tous les ans). Il doit, en outre, être conservé de manière à préserver sa confidentialité Toutefois, la Commission rappelle que l'authentification des professionnels de santé par login/mot de passe n'était admise qu'à titre provisoire pendant un délai maximum de trois ans à compter de la publication du décret n° 2007-960 du 15 mai 2007 relatif à la confidentialité des informations médicales. Ce texte impose désormais une authentification forte des professionnels de santé par l'utilisation d'une carte de professionnel de santé (CPS) ou un dispositif équivalent agréé par l'organisme chargé d'émettre la CPS pour toute transmission ou tout accès aux données de santé. La Commission souhaite que l'opérateur s'y conforme. Sur la traçabilité : L'opérateur met en place une traçabilité des actions effectuées sur les données. La Commission rappelle qu'il convient de mettre en œuvre une analyse des traces et précise qu'il convient d'en informer les personnels concernés. Sur la conservation des données : Les données à caractère personnel sont conservées pendant la durée d'inscription du patient au programme. La Commission considère que cette durée est adéquate avec les finalités du traitement. Toutefois, la Commission rappelle qu'à l'issue de la participation d'un patient à un programme, seules des données anonymisées peuvent être conservées par l'opérateur, en application de l'article R.1161-24 du code de la santé publique. Ce même article prévoit que l'opérateur ne peut pas sous-traiter tout ou partie des opérations prévues par le programme d'apprentissage. La Commission estime cependant que ces dispositions ne font pas obstacle à l'hébergement, dans des conditions conformes à l'article L. 1111-8 du code de la santé publique relatif à l'hébergement des données de santé. S'agissant de données de santé à caractère personnel recueillies ou produites à l'occasion des activités de prévention, de diagnostic ou de soins, celles-ci sont hébergées auprès d'un hébergeur agréé, conformément aux dispositions de l'article L.1111-8 du code de la santé publique. Ces données doivent être sauvegardées et archivées de manière à assurer leur pérennité et leur confidentialité. La Commission rappelle qu'en application de ces dispositions, le consentement exprès des personnes doit être obtenu. Dans l'hypothèse où l'hébergeur ne mettrait pas en place des processus assurant que les administrateurs n'aient pas accès en clair aux données de santé à caractère personnel, la Commission recommande à l'opérateur de mettre en place ces processus. Sur l'anonymisation : L'article R.1161-23 du code de la santé publique prévoit que le médecin ou le pharmacien responsable du programme, employé à cette fin par l'opérateur, doit procéder à l'anonymisation des informations avant de les transmettre à l'opérateur qui l'emploie et à l'entreprise exploitant le médicament faisant l'objet du programme. Les fiches d'apprentissage qui consignent l'ensemble des échanges intervenus entre les professionnels de santé chargés du programme et les patients inscrits doivent donc faire l'objet d'une anonymisation avant transmission à l'opérateur ou au laboratoire pharmaceutique. Les professionnels de santé en charge du programme et de sa mise en œuvre n'assurent aucune mission à caractère commercial. Le médecin ou le pharmacien responsable du programme d'apprentissage employé par la société VITALAIRE n'exerce pas de fonctions qui seraient incompatibles avec les exigences du décret relatif aux programmes d'apprentissage. L'opérateur met en place un système d'export statistique de données ne permettant pas de ré-identifier les patient. La Commission estime que ces mesures d'anonymisation sont satisfaisantes. Les transferts de données entre la société VITALAIRE et le site d'hébergement s'opèrent par l'utilisation du protocole SSL. La Commission juge cette solution satisfaisante. Sur les autres caractéristiques du traitement La Commission relève que les dispositions règlementaires relatives aux programmes d'apprentissage prévoient que l'entreprise exploitant le médicament ayant fait l'objet d'un programme d'apprentissage doit produire un bilan de suivi à la fin de chaque programme ou au plus tard au moment de son renouvellement. Dès lors, elle rappelle que ces bilans d'évaluation devront faire l'objet de formalités au titre du chapitre X de la loi du 6 janvier 1978 modifiée.

Autorise, conformément à la présente délibération

, la société VITALAIRE à mettre en œuvre le traitement susmentionné. La Présidente Isabelle FALQUE-PIERROTIN