M. Jean MASSOT CNIL Commissaire en charge du secteur de la santé

1. L’informatisation des données de santé et la législation Informatique et LibertésFormation Collectif Interassociatif Sur la Santé de Bretagne30 mars 2010 M. Jean MASSOT CNIL Commissaire en charge du secteur de la santé

2. une autorité administrative indépendante composée de 17 membres (hauts magistrats, parlementaires, conseillers économiques et sociaux, personnalités qualifiées) un président élu par ses pairs : actuellement Alex Türk, sénateur du Nord L’absence de contrôle financier préalable des dépenses L’établissement de son règlement intérieur les membres de la CNIL ne reçoivent d’instruction d’aucune autorité. budget: de l’ordre de 13 millions d’euros, services : 140 personnes. La CNIL: statut et composition

3. Une dimension résolument européenne La convention européenne du 28 janvier 1981 du Conseil de l’Europe La directive européenne du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel

4. La CNIL: de nouvelles missions, des pouvoirs de contrôle renforcés Un contrôle allégé sur la création des fichiers Un renforcement des pouvoirs de contrôle sur place et sur pièces (270 contrôles en 2009, 11 agents). De nouveaux pouvoirs de sanctions administratives et pécuniaires Une mission de conseil et d’information élargie: avis sur la conformité à la loi des projets de règles professionnelles et sur les produits tendant à la protection des données ou à l’anonymisation des données; délivrance de labels . L’institution du correspondant à la protection des données

5. Le champ d’application de la loi Informatique et Libertés : les notions clés Les principes fondamentaux applicables aux traitements : les5 règles d’or Déclarer son fichier à la CNIL Ce qu’il faut savoir sur laloi informatique et libertés

6. Le champ d’application de la loi Informatique et Libertés : Les notions clésTrois notions clés commandent l’application de la loi :- la donnée à caractère personnel- le fichier et le traitement de données- le responsable du traitement

7. Toute information relative à une personne identifiée ou susceptible de l’être. Identification directe (le nom) ou indirecte, notamment par référence à un numéro d’identification (le plus célèbre est le numéro de sécurité sociale), un élément biométrique ou un ou plusieurs éléments qui lui sont propres. Appréciation au cas par cas : - n° d'ordre renvoyant à une liste nominative même établie sur papier, ou détenue par un tiers, - prélèvement biologique identifiant, - identification par recoupement de données qui prises séparément ne permettent pas d’identifier un individu. La prise en compte par la loi des méthodes d’anonymisation des données (suivi épidémiologique du sida PMSI, SNIIRAM, codage des actes pour l’assurance maladie complémentaire...) La donnée à caractère personnel

8. fichier : tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés ; traitement : toute opération ou tout ensemble d’opérations portant sur de telles données, quelque soit le procédé utilisé Tout le processus de traitement des données, de la collecte, y compris sur support papier, à la conservation, l’archivage et le cas échéant, la destruction des données Exemples : Constitution de fichiers, de bases de données, toute procédure de télétransmission d’information quel que soit le moyen de télécommunication (réseaux, cartes Vitale, Internet) Le traitement de données à caractère personnel

9. Enjeux les obligations prévues par la loi reposent sur lui Il encourt les sanctions pénales en cas de non-respect Son lieu d’établissement constitue le premier critère de la loi applicable (installation stable sur le territoire français ou recours à des moyens de traitement situés sur ce territoire) Critères de détermination La personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens, sauf désignation expresse par les dispositions législatives ou réglementaires relatives au traitement. Mise en œuvre de la notion parfois délicate les réseaux de soins qui recourent à un hébergeur Promoteurs et investigateurs d’une recherche Le responsable de traitement

10. Les conditions de licéité des traitements: Les principes de la protection des données - Finalité du traitement :déterminée, explicite et légitime (art. 226.21 c. pénal); pas d’utilisation commerciale ou politique des fichiers administratifs (fichiers captifs) - Pertinence des données: Les données traitées sont adéquates, pertinentes et non excessives au regard de la finalité poursuivie; un encadrement particulier pour les données « sensibles »  - Durée de conservation limitéedes donnéesen adéquation avec la finalité poursuivie par le traitement, - Collecte loyale des données: respect des droits des personnes: information, droits d’accès et d’opposition -Obligation de sécurité: non divulgation et respect de l’intégrité des informations;

11. Les droits des personnes : une information renforcée (art 32 et 39) les personnes doivent être informées, lors du recueil, de l’enregistrement ou de la première communication des données: de l’identité du responsable du traitement; de la finalité du traitement du caractère obligatoire ou facultatif des réponses et des conséquences d’un défaut de réponse; des destinataires des données, de leurs droits: droit d’accès et de rectification, droit de s’opposer sous certaines conditions à l’informatisation de ses données; le cas échéant, des transferts de données vers des pays hors UE. elles peuvent, à leur demande, être informées sur les données enregistrées et l’origine de celles-ci.

12. Respect de l’intégrité et de la confidentialité des données : empêcher que les données soient déformées, endommagées ou que des tiers non autorisés y aient accès. Une obligation qui pèse sur le responsable du traitement. Les mesures de sécurité physique et logique doivent être adaptées à la nature des données et aux risques présentés par le traitement Accès à l’application Existence d’un tableau des habilitations Carte de professionnel de santé ou à défaut, login/mot de passe Journalisation des connexions Transfert des données : chiffrement des données et/ ou du transport Consécration des recommandations de la CNIL par le décret « confidentialité » du 15 mai 2007. L’obligation de sécurité des données

13. Le traitement particulier des données de santé

14. Le Principe de l’interdiction de leur traitement Il est interdit (…) de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celui-ci. La donnée de santé : une donnée sensible (article 8)

15. Le consentement exprès de la personne, sauf dans le cas où la loi prévoit qu’il ne suffit pas Les traitements mis en œuvre par des médecins ou des biologistes et qui sont nécessaires aux fins de la médecine préventive, des diagnostics médicaux, de l’administration de soins ou de traitements, ou de la gestion de services de santé La recherche dans le domaine de la santé L’intérêt public Les traitements de données à caractère personnel qui font l’objet à bref délai d’un procédé d’anonymisation Des exceptions qui permettent leur traitement

16. Déclarer son fichier à la CNIL

17. La traduction d’un nouvel esprit inspiré de la directive européenne La loi consacre un recentrage d’un contrôle a priori, à un contrôle a posteriori. Conséquence : Contrôle allégé de la CNIL sur la création des fichiers par le biais des formalités préalables. Seuls les traitements considérés « à risque » sont soumis à son contrôle préalable. Simplification des formalités déclaratives pour les autres traitements. Les nouvelles formalités préalables : vers une simplification

18. Les fichiers de gestion administrative et médicale mis en œuvre à l’hôpital dès lors qu’ils sont nécessaires pour établir des diagnostics médicaux, administrer des soins ou des traitements, gérer des services de santé ou mettre en œuvre des actions de médecine préventive. La déclaration doit être complétée d’une description des mesures de sécurité mise en oeuvre pour garantir la confidentialité des données La déclaration normale : régime de droit commun

19. La norme simplifiée n° 50 : les cabinets médicaux et paramédicaux La norme simplifiée n° 52 : les pharmacies La norme simplifiée n° 53 : les laboratoires La norme simplifiée n° 54 : les centres d’optique - un champ d’application défini - des règles de sécurité et d’information précisées : la CPS et la politique de confidentialité - l’interdiction de toute exploitation à des fins commerciales Les normes simplifiées pour les traitements exempts de risques

20. Les régimes d’autorisation

21. La prise en compte de l’intérêt public Les réseaux de soins Le dossier médical personnel Un instrument de coordination des soins dans l’intérêt du patient Le dossier pharmaceutique Un outil professionnel visant à lutter contre les interactions médicamenteuses à l’usage des pharmaciens Le web médecin La pharmacovigilance : autorisation unique adoptée le 10 janvier 2008

22. Création d’un identifiant national de santé Fondement juridique La loi du 13 août 2004 portant réforme de l’assurance maladie, art. 5 Article L.1111-8-1 du Code de la santé publique, issu de la loi du 30 janvier 2007 Nécessité fonctionnelle Garantir contre les doublons et collisions Faciliter les échanges et le partage de données de santé en permettant de rattacher ces données à un même individu Qualités requises de l’identifiant : fiabilité, unicité, pérennité Conclusions du groupe de travail du 20 février 2007 La question de l’identifiant national de santé

23. L’article L. 1110-4 du CSP et le décret du 15 mai 2007 impose l’utilisation de la CPS pour tout accès aux données de santé y compris au sein d’une même structure de soins pour la conservation des données médicales sur support informatique pour leur transmission électronique entre professionnel, sans distinction du mode d’exercice du professionnel Le décret prévoit la création de référentiels sécurité pris après avis de la CNIL. Un référentiel pour les établissements publics de santé est actuellement en cours d’élaboration La sécurité des données de santé : une priorité renforcée Le décret confidentialité

24. L’encadrement de l’activité d’hébergement de données de santé L'article L. 1111-8 du CSP issu de la loi du 4 mars 2002 relative aux droits des malades autorise et donne un cadre juridique à l’hébergement de données de santé. Les conditions de l’agrément ont été fixées par le décret n°2006-6 du 4 janvier 2006 qui organise la procédure d’agrément et fixe le contenu du dossier qui doit être fourni à l’appui de la demande. Cet agrément est délivré par le ministre chargé de la Santé, qui se prononce après avis de la CNIL et du Comité d’agrément créé auprès de lui. L. 30 janvier 2007 : Suspension pendant deux ans de la procédure d’agrément des hébergeurs Fin de la suspension à compter du 2 février 2009 Les premiers hébergeurs viennent d’être agréés.

25. DMP : dossier du patient, permettra aux professionnels de santé désignés par lui, d’avoir accès à toute information médicale relative à ce patient pouvant être utile à la coordination des soins. Une réflexion est en cours sur la stratégie à adopter pour la poursuite de ce projet qui est en cours de relance. Le dossier pharmaceutique (DP) permettra aux pharmaciens d’avoir accès à l’historique des médicaments délivrés à une même personne dans l’ensemble des officines au cours des quatre derniers mois, afin d’éviter les interactions médicamenteuses. Le DP, conduit et financé par l’Ordre des pharmaciens, est en cours de déploiement après avoir été expérimenté. DMP /DP/ Web-médecin : concurrence ou convergence ?

26. Le « Web médecin » (ou historique des remboursements) permettra aux médecins conventionnés d’avoir accès, à l’occasion d’une consultation médicale, à l’historique des soins, médicaments et examens remboursés au patient au cours des douze derniers mois. Le « Web médecin », mis en place par l’assurance maladie, est en cours de déploiement après avoir été expérimenté.

27. Création par la loi du 13 août 2004 portant réforme de l’assurance maladie (CSS, art.L. 161-36-1) Attribution à chaque bénéficiaire de l'assurance maladie d'un DMP comportant les données recueillies ou produites à l’occasion des activités de prévention, de diagnostic ou de soins. Permet aux professionnels de santé choisis par le patient de connaître les soins qui lui ont été dispensés pour assurer une meilleure prise en charge médicale Mise en œuvre du DMP conduite par le GIP-DMP. Le DMP a fait l’objet d’un « audit » (mission d’inspection IGS, IGF et CGTI) et est en cours de relance Création du dossier médical personnel

28. Modes d’accès au DMP sous son contrôle Accès direct du patient à son DMP via internet depuis son ordinateur Désignation nominative par le patient des professionnels de santé habilités à accéder à son DMP (« cercle de confiance ») Contenu sous son contrôle Droit de masquage des informations aux professionnels de santé et, initialement, « masquage de ce masquage ». Particularité du DMP : le « dossier du patient »

29. Préalable jugé indispensable par la CNIL au lancement des expérimentations : Encadrement des transmissions d’informations sur internet La CNIL a pu se prononcer sur la première version du décret « confidentialité » Encadrement de l’activité d’hébergement de données de santé Cadre réglementaire fixé par le décret 4 janvier 2006. Agrément des six hébergeurs : Délibérations du 21 mars 2006 Autorisation du lancement des expérimentations conduites de juin à décembre 2006 dans treize régions et dix-sept sites pilotes : Délibération du 30 mai 2006 Contrôles effectués par la CNIL auprès de l’ensemble des acteurs de l’expérimentations Courte durée de l’expérimentation qui ne permettait pas de mesurer son fonctionnement effectif Niveaux de sécurité disparates et insuffisants en particulier dans les établissements de santé Expérimentation du DMP

30. Une partie du cadre juridique nécessaire au déploiement du DMP reste à définir. La CNIL devra se prononcer sur : Le projet de décret fixant le contenu et modalités d’accès aux informations figurant dans le DMP; Le projet de décret relatif à l’identifiant national de santé (article L.1111-8-1 du Code de la santé publique issu de la loi du 30 janvier 2007) Le projet d’arrêté définissant les référentiels applicables à la conservation sur support informatique et à la transmission des données de santé par voie électronique Un cadre juridique inachevé

31. Grand axes du programme de relance du DMP Concevoir le DMP dans un approche globale des systèmes d’information de santé Réforme de la gouvernance : la création de l’ASIP Santé et de l’ANAP Suppression des sanctions financières en cas de non-ouverture d’un DMP Recentrage sur le caractère professionnel du dossier Reprise des expérimentations et adoption d’un calendrier de déploiement plus réaliste par cycles

32. Institué par la loi du 30 janvier 2007 ratifiant l’ordonnance du 26 août 2005 relative à l’organisation de certaines professions de santé (CSS, art.L. 161-36-4-2) Permet aux pharmaciens d’avoir accès à l’historique des médicaments délivrés à une même personnes dans l’ensemble des officines au cours des 4 derniers mois, pour éviter les interactions médicamenteuses. Ouverture d’un DP facultative et possibilité de le supprimer à tout moment et dans l’officine de son choix. Mise en œuvre sous la responsabilité du CNOP et financé par les pharmaciens Sa mise en œuvre devait être concomitante au DMP qu’il est appelé à alimenter, mais compte tenu du retard pris par le DMP, lancement du DP de façon autonome. Le DP : un outil professionnel au service du pharmacienCréation du dossier pharmaceutique

33. Le 15 mai 2007, elle a autorisé le lancement de l’expérimentation du dossier pharmaceutique auprès de pharmaciens volontaires, dans six départements (Doubs, Meurthe-et-Moselle, Nièvre, Pas-de-Calais, Rhône, et Seine-Maritime)et pendant une durée de six mois. Le 14 février 2008, sur la base d’un bilan d’étape produit par le CNOP et de contrôles diligentés dans plusieurs officines, elle a autorisé l’extension géographique et la prolongation de l’expérimentation dans des conditions identiques de mise en œuvre. Le 17 juillet 2008, elle s’est prononcée sur le projet de décret en Conseil d’Etat qui fixe le cadre réglementaire du dossier pharmaceutique. Le 2 décembre 2008, elle a autorisé la généralisation du dispositif, au vu du bilan des résultats de l’expérimentation qui lui ont été communiqués à sa demande. Le dossier pharmaceutique sera opérationnel d’ici deux ans dans les 23 000 pharmacies françaises. La CNIL a autorisé la généralisation du DP après en avoir validé les déploiements successifs

34. les nom, prénom, nom de naissance, sexe, date de naissance, n° de série de la carte vitale de la personne concernée, l’identification du pharmacien et de l’officine celles relatives aux médicaments délivrés avec ou sans ordonnance au cours des 4 derniers mois (nom du médicament, quantités, dates de délivrance). Le patient est identifié par un numéro de dossier pharmaceutique (NDP) calculé automatiquement par le logiciel d’officine à partir des données d’identification de la carte vitale. Le contenu du DP

35. Les pharmaciens d’officine ont seuls vocation à consulter et alimenter le dossier pharmaceutique. Accès à l’historique des dispensations limité aux quatre derniers mois. Connaissance de la liste exhaustive des médicaments délivrés au patient, qu’ils soient soumis ou non à remboursement, qu’ils aient été prescrits ou procèdent d’une automédication. Pas d’accès aux coordonnées des officines dispensatrices, aux médecins prescripteurs et au prix des médicaments Accès par les pharmaciens aux données contenues dans le DP

36. Caractère facultatif du DP L’ouverture d’un dossier pharmaceutique est facultative. Et si le patient l’a acceptée, il peut demander sa suppression à tout moment dans l’officine de son choix.. Droit d’accès du patient S’exerce auprès de tout pharmacien d’officine sur présentation de sa carte vitale. Remise en main propre du DP imprimé sur papier portant sur le contenu du DP. Droit d’opposition du patient - Le patient qui a ouvert un DP a la possibilité de s’opposer à la consultation de celui-ci. Cette consultation ne peut être effectuée qu’en sa présence puisqu’elle nécessite l’utilisation de sa carte Vitale. - Possibilité de s’opposer à l’alimentation de son dossier pharmaceutique si on ne souhaite pas qu’une information relative à un médicament y figure. Exercice du droit d’opposition signalé par la mention « dossier incomplet ». Possibilité d’exprimer son opposition par la non-remise de la carte Vitale, ce qui fait obstacle à l’indication du caractère incomplet du DP. Les droits des patients

37. Identification et l’authentification des pharmaciens au moyen de leur carte de professionnel de santé (CPS). Journalisation des accès et alimentations  Impossibilité pour l’hébergeur d’avoir accès au contenu des dossiers pharmaceutiques Chiffrement « fort » des transfert de données entre la base de l’hébergeur et les officines Chiffrement de la base de données chez l’hébergeur Mesures de sécurité qui entourent le dispositif

38. Une levée du secret professionnel possible sous certaines conditions Une procédure en deux temps : comité/CNIL Un avis consultatif du Comité rendu sur la pertinence scientifique du projet et la nécessité de recourir à des données à caractère personnel Une autorisation de la CNIL sur la conformité à l’ensemble des principes de la loi informatique et libertés Des exigences strictes en matière de d’information et de sécurité L’information individuelle doit se doubler d’une information dans les lieux de soins L’examen des dérogations à l’obligation d’information: ni générales, ni absolues La recherche dans le domaine de la santé (chapitre IX)

39. Pour les catégories usuelles de traitements de données indirectement nominatives, la loi prévoit la possibilité d’homologuer et de publier des « méthodologies de référence » établies en concertation avec le CCTIRS et les organismes publics et privés représentatifs du milieu de la recherche (L. 6 janv. 1978, modifiée, art. 54, alinéa 4). Le 5 janvier 2006, la CNIL a ainsi adopté une méthodologie de référence en concertation avec le CCTIRS et le syndicat national de l’industrie pharmaceutique applicable aux recherches biomédicales portant sur les médicaments, dispositifs et produits, en vue de l’obtention d’une autorisation de mise sur le marché. Recherches conduites dans le cadre d’exigences législatives et réglementaires strictes (la loi Huriet-Sérusclat du 20 décembre1988 modifiée en 2004), selon des méthodologies standardisées et portant sur des données indirectement nominatives A condition d’entrer dans le champ de la MR001 et de satisfaire à l’ensemble des conditions ainsi définies, un seul engagement de conformité peut être adressé à la CNIL par une procédure de télédéclaration par Internet. Il est valable pour les études présentes et à venir. Une procédure simplifiée de déclaration pour les recherches biomédicales (MR001)

40. Réutilisation de données de santé issues de bases déjà existantes (fichiers des professionnels de santé libéraux, des systèmes d’information hospitaliers (PMSI), ou des systèmes d’information des caisses d’assurance maladie), à des fins d’évaluation des pratiques de soins et de prévention : pas de contact avec les patients Des conditions particulières : appauvrissement des données d’identification (exclusion du nom, du prénom et du NIR) Un engagement de confidentialité particulier à l’étude Des cas d’application très variés : de l’accès aux bases PMSI et aux données du SNIIRAM à la conduite d’études observationnelles L’évaluation des pratiques de soins l’autorisation (chapitre X)

41. Une simplification appliquée aux traitements de pharmacovigilance La pharmacovigilance a pour objet la surveillance du risque d'effet indésirable résultant de l'utilisation des médicaments et produits à usage humain et implique des traitements qui s’imposent à tous les exploitants de médicaments, tenus de conserver des informations détaillées relatives à tous les effets indésirables survenus à l’intérieur et à l’extérieur de la Communauté européenne, ayant été portés à leur connaissance. Un intérêt public évident : la pharmacovigilance et les traitements de données personnelles associées, ainsi que l’échange international de ces données, au-delà de leur caractère obligatoire, présentent un intérêt majeur pour la santé publique et la prise en charge thérapeutique des patients par des médicaments en ce qu’ils permettent de partager toute nouvelle information relative à un potentiel effet indésirable d’un médicament quelque soit le lieu de sa survenue

42. La justification de l’adoption d’une autorisation unique Un encadrement législatif et réglementaire précis : Ces traitements sont bien définis, encadrés par le Code de la santé publique (art. R.5121-150 s.) et conduits selon des méthodes harmonisées au plan communautaire (Directive du 6 novembre 2001 relative aux médicaments à usage humain) Leur nombre est très important et a toujours engendré un flux soutenu de formalités préalables. La CNIL a, par décision du 10 janvier 2008 (AU13), en concertation avec les milieux professionnels concernés (Le LEEM), adopté une autorisation unique, applicable aux traitements mis en œuvre en matière de pharmacovigilance.

43. Quelques informations pratiques La déclaration simplifiée de conformité à l’AU-13 doit être effectuée par internet sur le site de la CNIL, rubrique « déclarer » La CNIL vous adresse un récépissé en 48 heures Les entreprises doivent effectuer cette déclaration de conformité dès lors que leur traitement de pharmacovigilance est conduit dans le respect de l’autorisation unique de façon à actualiser leur dispositif au regard des dispositions tant du code de la santé publique que de l’autorisation unique de la CNIL La présence d’un CIL au sein de l’entreprise ne dispense pas de l’accomplissement de cette déclaration simplifiée dans la mesure où le régime juridique applicable est celui de l’autorisation

44. L’anonymisation « à bref délai » : l’autorisation Le recours à bref délai à un procédé d’anonymisation reconnu conforme permet la communication de données L’exemple de la transmission anonymes des données de santé issues des feuilles de soins électroniques vers les assureurs complémentaires (expérimentations soumises à la CNIL)

45. Adresse 8 rue Vivienne CS 30223 75083 Paris Cedex 02 TEL 01 53 73 22 22 www.cnil.fr COMMISSION NATIONALE DE L’INFORMATIQUE ET DES LIBERTES