Les registres le cadre de la loi Informatique et Libertés Frédérique LESAULNIER Coordinatrice du pôle Santé Commission nationale de l’informatique et des libertés Colloque registre et politique de santé publique 7 décembre 2012 Les registres • Le registre est défini, au sens du Comité national des registres (CNR), comme : « un recueil continu et exhaustif de données nominatives intéressant un ou plusieurs événements de santé dans une population géographiquement définie, à des fins de recherche et de santé publique, par une équipe ayant une compétence appropriée. » (arrêté 6 novembre 1995) • Les registres permettent de recenser, dans une zone géographique déterminée, les cas d’une pathologie à partir de données personnelles transmises volontairement à l’organisme de recherche par les professionnels de santé qui participent au diagnostic et à la prise en charge des patients concernés. • Les fichiers épidémiologiques ainsi constitués doivent permettre de connaître avec précision le nombre, l’incidence et l’étiologie de la pathologie dans une population donnée et d’envisager des actions générales de dépistage ou de prévention. Le cadre juridique proposé par la loi du 6 janvier 1978 La France dispose d’un cadre juridique très riche qui définit les conditions d’utilisation des données de santé et en assure la protection Il traduit le caractère « sensible » des données de santé La Convention européenne du 28 janvier 1981 du Conseil de l’Europe La Directive européenne du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données personnelles Une protection qui s’inscrit dans une dimension européenne • Genèse de la loi du 6 janvier 1978 dite « informatique et libertés » • Dimension européenne de la protection des données : une refonte totale : la loi du 6 août 2004 • Modification des méthodes de travail de la Commission – Allègement des formalités déclaratives – Renforcement des pouvoirs de contrôle sur place et de sanction administrative et pécuniaire (42 contrôles en 2004, 385 en 2011 su l’ensemble du territoire) – Institution du correspondant à la protection des données – Délivrance de labels (procédures d’audit, formation) et renforcement de la veille prospective (création de la DEIP) • La révision de la Directive du 24 octobre 1995 : projet de règlement déposé par la Commission européenne le 25 janvier 2012 qui traduit un évolution profonde des modalités de contrôles des autorités (accompagnement de la mise en conformité du traitement aux règles protection des données: labellisation, référentiels, guides de bonnes Ce qu’il faut savoir sur la loi informatique et libertés • Le champ d’application de la loi Informatique et Libertés : les notions clés • Les principes fondamentaux applicables aux traitements • Déclarer un registre à la CNIL La donnée à caractère personnel – – Toute information relative à une personne physique identifiée ou susceptible de l’être. Identification directe (le nom) ou indirecte, notamment par référence à un numéro d’identification (le numéro de sécurité sociale) ou un ou plusieurs éléments qui lui sont propres. Appréciation au cas par cas : - n° d'ordre renvoyant à une liste nominative même établie sur papier ou détenue par un tiers, - prélèvement biologique identifiant, - identification par recoupement de données qui prises séparément ne permettent pas d’identifier un individu (ex: initiales du nom et du prénom, date de naissance + commune de résidence) - biométrie – La prise en compte par la loi des méthodes d’anonymisation des données (suivi épidémiologique du sida PMSI, SNIIRAM, codage des actes pour l’assurance maladie complémentaire...) Le traitement de données à caractère personnel • fichier : tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés ; • traitement : toute opération de collecte, enregistrement, organisation, conservation, modification, extraction, consultation, utilisation, communication, rapprochement, interconnexion, verrouillage, effacement, destruction Toute opération ou tout ensemble d’opérations portant sur de telles données, quelque soit le procédé utilisé. Tout le processus de traitement des données, de la collecte, y compris sur support papier, à la conservation, l’archivage et le cas échéant, la destruction des données Exemples : constitution de fichiers, de bases de données, toute procédure de télétransmission d’information quel que soit le moyen de télécommunication (réseaux, cartes Vitale, Internet) Le responsable de traitement – Enjeux • les obligations prévues par la loi reposent sur lui • Il encourt les sanctions pénales en cas de non-respect • Son lieu d’établissement constitue le premier critère de la loi applicable (installation stable sur le territoire français ou recours à des moyens de traitement situés sur ce territoire) – Critères de détermination La personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens, sauf désignation expresse par les dispositions législatives ou réglementaires relatives au traitement. – Mise en œuvre de la notion parfois délicate • Promoteurs et investigateurs d’une recherche • les réseaux de soins qui recourent à un hébergeur Les conditions de licéité des traitements : Une finalité déterminée, explicite et légitime Des données adéquates, pertinentes, non excessives et mises à jour Une durée de conservation limitée des données : la consécration d’un « droit à l’oubli » Le respect des droits des patients Des mesures de sécurité adaptées : confidentialité, intégrité et pérennité des données Le principe de finalité et de proportionnalité (article 6-2°) Finalité : raison pour laquelle le traitement est créé Finalité déterminée, explicite et légitime correspondant aux missions de l’organisme Un fichier ne doit pas servir à d’autres fins que celles pour lesquelles il a été prévu Ex : Pas d’utilisation des fichiers de caisses de sécurité sociale à des fins d’envoi de messages publicitaires; ils peuvent l’être pour adresser des convocations dans le cadre de campagnes de dépistage du cancer. Le détournement de finalité est passible de sanctions pénales (5 ans d’emprisonnement, 300 000 euros d’amende) Le principe de pertinence des données - Les données traitées doivent être adéquates, pertinentes et non excessives au regard de la finalité poursuivie Elles doivent être nécessaires et proportionnées au regard de la finalité poursuivie et être exactes et mises à jour. - Non pertinence présumée des données dites « sensibles » soumises à un principe d’interdiction de traitement, sauf exceptions (origines raciales ou ethniques, opinions politiques, philosophiques ou religieuses, appartenance syndicale, données relatives à la santé ou à la vie sexuelle des personnes) Pertinence des données et les modalités de renseignement de ces données – Une attention particulière portée aux données sensibles (religion, vie sexuelle, origine raciale ou ethnique…) – Archivage des adresses en vue d’un géocodage • justifiée par le développement de projets de recherche qui étudient les variations géographiques des problèmes de santé publique. • La collecte repose sur le volontariat • Nécessité de conserver ces données dans des conditions de nature à garantir leur confidentialité et de prévoir des clauses contractuelles spécifiques en cas de recours à un tiers prestataire qui effectue le géocodage • Durée limitée de conservation des données La durée de conservation limitée des données « Droit à l’oubli » • Durée de conservation limitée – Une durée limitée et en adéquation avec la finalité poursuivie par le traitement – Au-delà, les données ne peuvent être conservées que pour une utilisation à des fins historiques, statistiques ou scientifiques. – Elles doivent donc être effacées de l’application ou archivées sur un support distinct, dans les conditions définies par la loi du 3 janvier 1979 sur les archives (tri). – La durée de conservation doit être mentionnée dans le dossier de formalités préalables. L’obligation de sécuriser les données Le responsable de traitement doit prendre toutes précautions utiles pour préserver l’intégrité et de la confidentialité des données : empêcher que les données soient déformées, endommagées ou que des tiers non autorisés y aient accès (article 34). • Une obligation qui pèse sur le responsable du traitement. • Les mesures de sécurité physique et logique doivent être adaptées à la nature des données et aux risques présentés par le traitement La définition d’une Politique Générale de Sécurité des systèmes d’information de Santé (PGSSI-S) L’encadrement de l’hébergement de données de santé Garantir la sécurité des données de santé lorsqu’elles sont hébergées par un organisme distinct du professionnel ou de l’établissement de santé qui soigne le malade. • Le principe de l’agrément des hébergeurs est prévu par la loi : article L.1111-8 du Code de la santé publique • Les conditions de l’agrément sont fixées par le décret du 4 janvier 2006 : l’agrément est délivré pour trois ans par le ministre de la Santé après avis de la CNIL et du comité d’agrément des hébergeurs L’agrément porte sur une prestation particulière : aucun organisme n’est agréé en général • Le référentiel de constitution des demandes d’agrément, établi en • concertation avec la CNIL à l’issue d’une large concertation menée par l’ASIP santé est publié, ainsi que la liste des organismes agréés (esanté.gouv.fr) • Les contrôles organisés par la CNIL • Application de la procédure d’agrément à la recherche? La reconnaissance du caractère sensible des données de santé (article 8) Le Principe de l’interdiction de leur traitement Il est interdit (…) de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celui-ci. Des exceptions qui permettent leur traitement Le consentement exprès de la personne, sauf dans le cas où la loi prévoit qu’il ne suffit pas Les traitements mis en œuvre par des médecins ou des biologistes et qui sont nécessaires aux fins de la médecine préventive, des diagnostics médicaux, de l’administration de soins ou de traitements, ou de la gestion de services de santé La recherche dans le domaine de la santé L’intérêt public Les traitements de données à caractère personnel qui font l’objet à bref délai d’un procédé d’anonymisation Le cadre juridique proposé par la loi du 6 janvier 1978 aux registres Les dispositions du chapitre IX introduites dans la loi en 1994 : la recherche dans le domaine de la santé La modification législative de 2004 n’a pas modifié l’application de ces procédures La recherche médicale La recherche dans le domaine de la santé : l’autorisation (chapitre IX) Une levée du secret professionnel possible sous certaines conditions: Une procédure en deux temps : comité/CNIL Un avis consultatif du Comité rendu sur la pertinence scientifique du projet, la nécessité du recours à des données identifiantes et la pertinence des données Une autorisation de la CNIL sur la conformité à l’ensemble des principes de la lo informatique et libertés Des exigences strictes en matière de d’information et de sécurité L’information individuelle doit se doubler d’une information dans les lieux de soins L’examen des dérogations à l’obligation d’information (ni générales, ni absolues) Examen attentif de la confidentialité et la sécurité des données qui appellent l développement de procédures d’accès sécurisé aux données, de cryptage des informations voire d’anonymisation des données Une procédure en deux temps • Avis du Comité consultatif sur le traitement de l’information en matière de recherche dans le domaine de la santé (CCTIRS) Il se prononce, préalablement à la demande d’autorisation auprès de la CNIL, sur la méthodologie de la recherche, l’utilité du recours à des données identifiantes et la pertinence de celles-ci au regard de l’objectif de la recherche • Autorisation CNIL - Possibilité d’effectuer une demande d’autorisation en ligne sur le site de la CNIL - Formalités préalables à la mise en œuvre du traitement (pas de formalités à effectuer par les sources) - Ne peut être qualifié qu'un registre justifiant d'un avis favorable du CCTIRS et de l'autorisation de la CNIL Loi du 5 mars 2012 relative aux recherches impliquant la personne humaine • Vise à donner un cadre unique à l’ensemble des recherches sur la personne qui impose le passage devant un CPP quel que soit le type de recherche (interventionnelle ou non) • L’entrée en vigueur de ces dispositions doit intervenir dans les deux ans suivant la publication des décrets d’application et au plus tard le 1er juillet 2014 • La CNIL pourra toujours saisir le CCTIRS • Une simplification louable qui vise à valoriser le recherche française. En pratique, risque d’alourdissement des procédures • Une réflexion commune s’est engagée avec le ministère sur les réformes à envisager pour faciliter le travail de la recherche médicale et les évaluations de santé publique en France. Une nécessaire concertation avec l’ensemble des acteurs Respect des droits des personnes • Information des personnes (art. 57) – Une information individuelle et préalable à la collecte : les personnes dont les données sont collectées doivent être individuellement informées de la nature des données transmises, de la finalité du traitement de données, des personnes physiques et morales destinataires des données et des modalités d’exercice du droit d’accès et de rectification et du droit d’opposition – Examen au cas par cas des demandes de dérogation à l’obligation d’information : – Annonce d’un diagnostic grave – Difficulté de retrouver les personnes • Existence des conditions d’exercice d’un droit d’opposition discrétionnaire et de retrait • Consentement éclairé et exprès en cas de prélèvement biologique identifiant • Existence des conditions d’exercice d’un droit d’accès et de rectification L’information des personnes et alimentation des bases de données : le cas des registres du cancer • • • les professionnels responsables de la prise en charge thérapeutique des patients et en contact direct avec eux refusent de communiquer les informations aux registres tant qu’ils n’ont pas trouvé le moment opportun pour informer le patient ou s’ils ne jugent pas cette information souhaitable. Les anatomopathologistes, les médecins des départements d’information médicale des établissements de santé ou les services des caisses primaires d’assurance maladie, qui ne sont pas en contact direct avec les patients, refusent parfois de transmettre les données faute de garantie que l’information individuelle des patients a bien été effectuée. Pour améliorer le recueil de données et leur exhaustivité et ainsi répondre aux besoins de la surveillance sanitaire, faut-il admettre qu’une information collective en utilisant les supports existants (livret d’accueil des hôpitaux, feuilles de remboursement d’assurance maladie). Une information collective peut-elle être admise en l’état des textes? (affichage, site internet…)? Rappel des textes et éléments d’appréciation • Rappel des textes : L’information individuelle dit se doubler d’une information sur les lieux de soins (article 57) Les demandes de dérogations à l’obligation d’information doivent être motivées et font l’objet d’un examen au cas par cas. • L’information fait partie des garanties reconnues aux patients par le législateur de 1994, en contrepartie de la levée du secret médical et conditionne l’effectivité du droit d’opposition discrétionnaire, de retrait et du droit d’accès reconnus par la loi. • L’information individuelle préalable des personnes trouve à se justifier par le caractère sensible des données directement nominatives communiquées aux registres. Délibération n°03-053 du 27 novembre 2003 • La Commission, après avoir procédé à une évaluation auprès des registres du cancer, avait estimé : – Il appartient aux responsables des registres de mettre en ouvre les mesures appropriées afin que les patients soient individuellement informés des conditions dans lesquelles les informations les concernant sont susceptibles d’être communiquées aux registres, de la nature des informations transmises et des conditions dans lesquelles ils peuvent refuser cette transmission. – Seul le médecin, responsable de la prise en charge thérapeutique et en contact direct avec le patient, est en mesure de procéder à cette information, en conscience, au moment qu’il estimera le plus opportun. – Nécessité qu’une note individuelle soit établie conformément à l’article 57 de la loi du 6 janvier 1978 modifiée et remise au patient à l’appui de cette information orale. • Un nécessaire équilibre à trouver entre respect des droits des patients et intérêt de la santé publique • Nécessaire amélioration du niveau de connaissance du public de l’existence et de l’intérêt des registres (associations, pouvoirs Une nouvelle étude de la situation des registres par la CNIL • Nouvelles problématiques (information des personnes, sécurité des systèmes d’information, appariements des données, nouvelles données collectées…) • Adaptation en conséquence de la recommandation du 27 novembre 2003 applicable aux seuls registres du cancer La sécurité une priorité renforcée Une obligation qui pèse sur le responsable du traitement (art. 34) Des mesures de sécurité physiques et logiques adaptées à la nature des données et aux risques présentés par le traitement : – Séparation des données relatives à l’identité des personnes et des renseignements médicaux – Question des habilitation d’accès aux données et traçabilité des accès – Conditions de conservation des données de nature à garantir leur confidentialité – Mode de circulation des données de nature à garantir intégrité et confidentialité – Mesures de chiffrement, voire d’anonymisation des données Durée de conservation limitée des données Le cas des registres du cancer Les préconisations de la CNIL en 2003 Compte tenu de la sensibilité des informations traitées (relatives à une pathologie lourde et directement nominatives), Mesures de sécurité physiques afin de contrôler l’accès aux locaux Conservation des supports d’information dans des conditions de nature à garantir leur confidentialité; Mesures de sécurité logiques pour contrôler l’accès au système informatique Gestion des habilitations d’accès aux données Journalisation des connexions et contrôle des éditions de listes effectuées à partir de données nominatives Chiffrement des bases de données nominatives Elaboration de chartes de sécurité à destination des personnes travaillant au sein du registre Depuis 2003, modification des systèmes d’information La question de l’utilisation du NIR à des fins de recherche et d’évaluation des politiques de santé Les appariements de données émanant de sources diverses sont nécessaires afin de permettre aux chercheurs et aux autorités de santé publique de répondre efficacement aux demandes des pouvoirs publics. Accès aux données issues de ces bases et recoupement problématique de ces bases dans la mesure où la clé d’accès à de nombreux fichiers de l’assurance maladie est le numéro de sécurité sociale, donnée que les chercheurs ne sont pas habilités à collecter dans le cadre de leurs applications. Utilisation de ce numéro strictement encadrée par la loi du 6 janvier 1978 modifiée en 2004 (procédure d’avis préalable ou d’autorisation selon que l’organisme intéressé relève d’un statut public ou privé : articles 27 et 25 de la loi). • Problématique de l’accès aux bases de données et appariement des bases de données Après une série d’auditions, la CNIL a pris l’initiative de proposer aux pouvoirs publics qu’un décret en Conseil d’Etat prévoie et détermine une politique d'accès au NIR « à des fins de recherche et d'études de santé publique ». Un courrier en ce sens a été adressé au Premier ministre, aux ministres et à l’ensemble des acteurs concernés en 2010 et 2011. Constitution d’un groupe de travail DREES en novembre 2012 chargé de faire des propositions en vue de faciliter l’accès des administrations et des chercheurs aux données de santé (notamment issues du SNIIRAM, de la CNAV et de la base de mortalité de l’INSERM) COMMISSION NATIONALE DE L’INFORMATIQUE ET DES LIBERTES • 8 RUE VIVIENNE - CS 30223 75083 PARIS cedex 02 • TEL 01 53 73 22 22 • www.cnil.fr