Délibération n° 2017-171 du 25 octobre 2017 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Collecter et analyser les données des patients ayant consenti à participer à la recherche en soins courants ayant pour objet l'évaluation multicentrique de l'utilisation et de l'interprétation des dosages de protéine S100B chez les patients des urgences se présentant pour un traumatisme crânien léger », dénommé « Étude PROMETHEE - n° EudraCT : 2016-A00901-50 », présenté par le Centre Hospitalier Princesse Grace.
Vu la Constitution ;
Vu la Convention de Sauvegarde des Droits de l'Homme et des Libertés Fondamentales du Conseil de l'Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la Déclaration d'Helsinki de l'Association Médicale Mondiale sur les principes éthiques applicables à la recherche médicale impliquant des êtres humains, amendée ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée, et notamment son article 7-1 ;
Vu l'Ordonnance Souveraine n° 16.312 du 6 mai 2004 rendant exécutoire l'Accord entre la Communauté Européenne et la Principauté de Monaco sur l'application de certains actes communautaires au territoire de la Principauté de Monaco, fait à Bruxelles le 4 décembre 2003 ;
Vu l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d'application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu le Code de déontologie médicale ;
Vu la Recommandation n° R(97) 5 du Conseil de l'Europe du 13 février 1997 relative à la protection des données médicales ;
Vu la délibération n° 2011-82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d'informations nominatives ;
Vu l'avis favorable de la Direction de l'Action Sanitaire du 12 juillet 2017 reçu par la Commission le 28 juillet 2017 ;
Vu la demande d'avis, reçue le 1er juin 2017, concernant la mise en œuvre par le Centre Hospitalier Princesse Grace, d'un traitement automatisé ayant pour finalité « Collecter et analyser les informations des patients se présentant aux urgences pour un traumatisme crânien léger », dénommé « Étude PROMETHEE » ;
Vu la prorogation du délai d'examen de ladite demande d'avis notifiée au responsable de traitement le 28 août 2017, conformément à l'article 19 de l'Ordonnance Souveraine n° 2.230 du 19 juin 2009, modifiée, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 25 octobre 2017 ;
La Commission de Contrôle des Informations Nominatives,
Préambule
Le traitement automatisé d'informations nominatives soumis à l'avis de la Commission a pour fin une recherche en soins courants.
Le Centre Hospitalier Princesse Grace (CHPG), établissement public, est responsable de traitement.
Conformément à l'article 7-1 alinéa 3 de la loi n° 1.165 du 23 décembre 1993, la mise en œuvre de ce traitement est soumise à l'avis préalable de la Commission de Contrôle des Informations Nominatives.
I. Sur la finalité et les fonctionnalités du traitement
La finalité du traitement est « Collecter et analyser les informations des patients se présentant aux urgences pour un traumatisme crânien léger ». Il est dénommé « Étude PROMETHEE ».
Le traitement porte sur un registre établi dans le cadre d'une étude prospective, multicentrique en soins courants. Cette étude a, notamment, pour objectif de recueillir les données de patients se présentant dans un service d'urgences pour un traumatisme crânien léger afin d'évaluer le nombre de scanners épargnés chez les patients ayant bénéficié d'un dosage de protéine S100B, de comparer les modalités de prises en charge et les consommations de soins liées à cette pathologie.
Le CHPG est responsable de traitement de cette étude qui se déroulera en France et en Principauté de Monaco, avec un objectif de 784 patients, dont 52 suivis en Principauté de Monaco. Au CHPG elle sera réalisée sous la responsabilité du Chef de Service médecine d'urgences.
Le traitement automatisé concerne l'ensemble des patients ainsi que les médecins investigateurs et médecins recruteurs de l'étude, les attachés de recherche clinique en charge de la recherche et les personnels intervenant au cours de l'étude sur autorisation du médecin investigateur.
Ses fonctionnalités sont les suivantes :
- organiser l'inclusion des patients ;
- collecter et analyser les données des sujets conformément aux objectifs scientifiques et au protocole de l'étude ;
- conserver les données traitées dans le respect des réglementations applicables ;
- assurer la sécurité de l'étude en veillant, notamment, à l'identification des acteurs de la recherche, la qualité et la traçabilité des données, ainsi que celle des actions automatisées réalisées.
La Commission rappelle que la finalité d'un traitement doit être déterminée et explicite, conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993\.
À l'examen de la demande d'avis, elle considère que la finalité doit être modifiée en tenant compte de l'intitulé de l'étude figurant dans l'information destinée aux patients et de l'enregistrement de l'étude à l'EudraCT.
Elle modifie donc la finalité par : « Collecter et analyser les données des patients ayant consenti à participer à la recherche en soins courants ayant pour objet l'évaluation multicentrique de l'utilisation et de l'interprétation des dosages de protéine S100B chez les patients des urgences se présentant pour un traumatisme crânien léger », dénommé « Étude PROMETHEE - n° EudraCT : 2016-A00901-50 ».
II. Sur la licéité et la justification du traitement
- Sur la licéité du traitement
L'étude sera menée conformément, notamment, aux principes de la Déclaration d'Helsinki, aux bonnes pratiques cliniques (BPC), aux recommandations de l'ICH (Conférence internationale sur l'harmonisation des exigences techniques pour l'enregistrement de médicaments à usage humain) et au Code de la santé publique français.
En outre, la Commission prend acte de l'avis favorable de la Direction de l'Action Sanitaire (DASA), susvisé et de l'avis favorable du Comité de Protection des Personnes Sud-Est III le 17 janvier 2017 pour les opérations de collecte qui seront effectuées sur le territoire français.
Par ailleurs, la Commission observe que la mise en œuvre de la collecte des données sur le territoire français a été autorisée par la Commission Nationale Informatique et Libertés française (CNIL) par délibération DR-2017-278 du 4 septembre 2017 prise en application des articles 54 et suivant de la loi du 6 janvier 1978, modifiée, relative à l'informatique, aux fichiers et aux libertés.
- Sur la justification du traitement
Le traitement est tout d'abord justifié par le consentement des patients à participer à l'étude, ou par celui d'un proche si le patient est hors d'état de l'exprimer.
La Commission rappelle que dans cette dernière hypothèse, le consentement de l'intéressé devra être demandé dès qu'il sera à nouveau en état de l'exprimer.
Puis, le traitement est justifié par la réalisation d'un intérêt légitime poursuivi par le responsable de traitement qui ne méconnaît ni l'intérêt, ni les droits et libertés fondamentaux des personnes concernées. L'intérêt légitime mis en avant est celui de la recherche dans le respect du protocole.
Enfin, toute personne intervenant dans le processus du traitement des informations est soumise à une obligation de secret.
La Commission relève que le traitement est licite et justifié conformément aux articles 7-1, 10-1, 10-2 et 12 de la loi n° 1.165 du 23 décembre 1993.
III. Sur les informations traitées
- Sur la pseudo-anonymisation des informations nominatives relatives aux sujets
Les informations traitées sur les patients sont pseudo-anonymisées par l'attribution d'un « Code Sujet », code alphanumérique, composé d'un numéro de Centre, d'un numéro de patient, d'une lettre pour le nom et d'une lettre pour le prénom.
Le médecin investigateur disposera au sein du CHPG d'un document non automatisé permettant, si nécessaire, l'identification du sujet.
Ce document comporte les informations suivantes :
- identité du sujet : nom, prénom, initiales, numéro d'inclusion, date de naissance, date d'inclusion, numéro du dossier hospitalier, date de signature du consentement, date de sortie de l'étude ;
- identité du médecin investigateur : nom, prénom, centre.
- Sur les informations directement nominatives traitées dans le cahier d'observations et dans les documents liés à l'étude
L'étude implique une prise de contact avec le patient ou le proche ayant formalisé le consentement à participer à l'étude, comme précédemment évoqué.
Les informations directement nominatives qui seront collectées à cette fin sont :
- identification du patient : nom, prénom, sexe, date de naissance ;
- données administratives : date d'admission ;
- adresses et coordonnées : numéro de téléphone, adresse postale, adresse électronique, moyen de communication permettant de contacter le patient ou le proche.
En outre, sont collectées le nom, prénom et téléphone du médecin traitant.
Le responsable de traitement précise que « ces données sont nécessaires au rappel pour le suivi des patients » à 7 jours. Le protocole indique ainsi que l'analyse des données sera effectuée après anonymisation complète des données.
La Commission prend acte de ces précisons.
Le protocole présente la collecte de ces informations dans un document unique comportant les données de santé et les données d'identification des patients. La Commission considère qu'afin de préserver la confidentialité des données de santé, les données directement identifiables ne doivent pas être collectées et traitées dans la même base de données, que ce soit pour les données collectées en Principauté ou pour celles collectées en France, dans le respect pour ces dernières de la décision précitée de la CNIL.
Aussi, elle demande au responsable de traitement de prévoir une organisation permettant de collecter dans des bases de données distinctes et de se voir transmettre séparément d'une part les données directement identifiables et d'autre part les données de santé.
- Sur les informations indirectement nominatives traitées dans le cahier d'observations et dans les documents liés à l'étude
Les informations traitées dans le cadre de cette étude sont :
- identité du patient : numéro de site, initiales du patient, numéro d'inclusion ;
- habitudes de vie et comportements : lieu de vie ;
- données de santé : date de la visite, date de signature du consentement, critères d'inclusion, critères de non-inclusion, prise de toxique (alcool, drogue…), antécédents médicaux et pathologies associées, traitements concomitants, examens biologiques et d'imagerie, examen médical et clinique, orientation, suivi thérapeutique, suivi à J7 (date du suivi, survie, suivi thérapeutique), sortie de l'étude (date, cause).
Les informations ont pour origine le patient, son dossier médical au sein du Centre d'Étude, ainsi que toutes les informations portées à la connaissance des médecins investigateurs dans le cadre du suivi du sujet qu'ils estiment être utiles à l'étude, comme les documents et analyses établis ou reçus de professionnels de santé intervenant dans le processus de suivi du patient.
Au cas particulier des patients du CHPG, la Commission constate que les informations ont ainsi pour origine le traitement automatisé d'informations nominatives ayant pour finalité « Gérer les informations médicales du patient afin d'assurer sa prise en charge lors de ses venues au CHPG », susvisé, et que le traitement envisagé est compatible avec le traitement d'origine des informations conformément à l'article 10-1 de la loi n° 1.165 du 23 décembre 1993.
- Les données traitées sur le personnel chargé de la saisine des données
Les informations traitées sur le personnel des Centres participant à la recherche sont :
- identifiants électroniques : code identifiant et mot de passe ;
- données de connexion : données d'horodatage et opérations effectuées en ajout, modification et suppression des données de l'étude.
Elles ont pour origine le système d'information permettant la conservation des traces lors des connexions.
Sous réserve de la distinction des bases de données comme précédemment demandée, la Commission constate que les informations collectées au sein dudit traitement sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément à l'article 10-1 de la loi n° 1.165 du 23 décembre 1993\.
IV. Sur les droits des personnes concernées
- Sur l'information préalable
L'information préalable des patients est réalisée par un document spécifique et par une mention particulière intégrée dans un document remis à l'intéressé.
- Sur l'exercice du droit d'accès, de modification et de mise à jour
Le droit d'accès s'exerce auprès du médecin signataire du consentement au sein du CHPG. Il peut s'exercer par voie postale ou sur place.
La Commission constate que les sujets auront la possibilité de retirer leur consentement à tout moment et qu'ils disposeront de la faculté de solliciter la destruction ou l'effacement des informations les concernant s'ils le souhaitent.
La Commission constate que les modalités d'exercice des droits des personnes concernées sont conformes aux dispositions des articles 12, 13, 15 et 16 de la loi n° 1.165 du 23 décembre 1993.
V. Sur les destinataires et les personnes ayant accès au traitement
- Sur les personnes ayant accès au traitement
Les habilitations permettant l'accès au traitement et aux informations relèvent de l'autorité du responsable de traitement qui assure la pleine et entière responsabilité de la conduite du projet.
Les personnes ayant accès aux informations sont :
- les médecins investigateurs : en inscription, modification, mise à jour et consultation des données de leurs patients ;
- le médecin investigateur du CHPG : en consultation et extraction sur l'ensemble des données ;
- les ARC : en inscription s'agissant des données des patients de leur Centre ;
- le statisticien du CHU de Clermont-Ferrant : en consultation des données anonymisées ;
- les Autorités compétentes françaises ou monégasques : en consultation ;
- les prestataires : pour leurs missions de maintenance et d'hébergement.
Par ailleurs, s'agissant des prestataires techniques, la Commission relève que conformément aux dispositions de l'article 17 de la loi n° 1.165 du 23 décembre 1993 leurs droits d'accès sont limités à ce qui est strictement nécessaire à l'exécution de leur contrat de prestation de service, et qu'ils sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.
- Sur les destinataires des informations
Les données sont communiquées anonymisées au médecin chargé de l'établissement des statistiques en France.
En outre, les données et documents seront transmis, de manière sécurisée au prestataire du CHPG en charge de leur archivage, également localisé en France, Pays disposant d'un niveau de protection adéquat en matière de protection des informations nominatives.
Ces personnes sont soumises au secret médical et au secret professionnel.
VI. Sur les rapprochements et interconnexions
La Commission observe que le traitement fait l'objet de rapprochements :
- avec un traitement non automatisé : le document de correspondance établi sous format papier par le médecin investigateur principal comportant le numéro patient et son identité complète, document obligatoire pour retrouver les dossiers médicaux des patients pendant la durée de suivi et de l'archivage de l'étude ;
- avec le traitement ayant pour finalité « Gérer les informations médicales du patient afin d'assurer sa prise en charge lors de ses venues au CHPG », légalement mis en œuvre, permettant la collecte d'informations à partir du dossier patient, évoqué précédemment ;
- avec le traitement automatisé d'informations nominatives ayant pour finalité « Gestion des droits d'accès du personnel, des patients et des personnes en relation avec le CHPG », légalement mis en œuvre, aux fins de garantir la sécurité du traitement quant à ses accès ;
- avec le traitement ayant pour finalité « Gestion de la messagerie électronique professionnelle du CHPG », légalement mis en œuvre, s'agissant des modalités de communication des informations.
La Commission relève que les opérations réalisées sont compatibles avec les finalités initiales des traitements dans le respect de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu'il contient n'appellent pas d'observation particulière.
La Commission demande que toute communication d'informations dites sensibles soit chiffrée et rappelle que les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare feux) ainsi que les comptes utilisateurs et administrateurs doivent être protégés nominativement par un identifiant et un mot de passe réputé fort.
Elle précise également que, conformément à l'article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d'assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l'état de l'art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d'exploitation du présent traitement.
VIII. Sur la durée de conservation
Les informations seront collectées sur une période de 53 semaines, puis conservées 15 ans à compter de la fin des analyses.
La Commission relève que la réglementation monégasque prévoit des durées de conservation des données et documents pour les recherches cliniques, non pour les recherches non biomédicales.
Elle observe ainsi que les BPC monégasques, citées par le responsable de traitement, prévoient en leur point 2.7 que « La durée de conservation est de dix ans après la fin de l'essai ».
Cependant le champ d'application du présent traitement comporte des Centres d'étude localisés en France. Aussi, la Commission prend acte de la volonté du responsable de traitement de tenir compte de la réglementation française en la matière, notamment des BPC françaises et du Code de la santé publique française, en conservant les documents et données relatifs à la recherche pendant quinze ans après la fin de celle-ci.
Toutefois, concernant les données nominatives des patients traitées de manière automatisée, particulièrement leur nom, prénom, numéro de téléphone, adresse du domicile, adresse électronique, elle constate que celles-ci sont nécessaires afin de prendre contact avec le patient sept jours après son passage aux urgences.
Aussi, elle demande donc que ces données ne soient pas conservées au-delà de la durée nécessaire à la prise de contact et à la collecte des informations de suivi des patients, avec un maximum de 6 mois après la visite d'inclusion.
Enfin elle rappelle qu'en aucun cas le patient ne devra être identifiable, particulièrement lors de la publication ou de la diffusion des analyses et résultats de la présente étude.
Après en avoir délibéré, la Commission :
Prend acte :
- de l'avis favorable émis par la Direction de l'Action Sanitaire du 12 juillet 2017 concernant « l'étude Prométhée » ;
- de la décision DR-2017-278 du 4 septembre 2017 de la Commission Nationale Informatique et Libertés.
Rappelle que :
- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare feux) ainsi que les comptes utilisateurs et administrateurs doivent être protégés nominativement par un identifiant et un mot de passe réputé fort ;
- en aucun cas le patient ne devra être identifiable, particulièrement lors de la publication ou de la diffusion des analyses et résultats de la présente étude.
Demande que :
- soit mise en place une organisation permettant de collecter dans des bases de données distinctes les données directement identifiantes et les données de santé dans que les transmissions de ces données s'effectuent séparément ;
- toute communication d'informations dites sensibles soit chiffrée ;
- les données identifiantes des patients ne soient pas conservées au-delà de la durée nécessaire à la prise de contact et à la collecte des informations de suivi des patients, avec un maximum de 6 mois après la visite d'inclusion.
Modifie la finalité du traitement par « Collecter et analyser les données des patients ayant consenti à participer à la recherche en soins courants ayant pour objet l'évaluation multicentrique de l'utilisation et de l'interprétation des dosages de protéine S100B chez les patients des urgences se présentant pour un traumatisme crânien léger », dénommé « Étude PROMETHEE - n° EudraCT : 2016-A00901-50 ».
Sous le bénéfice de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre par le Centre Hospitalier Princesse Grace du traitement automatisé ayant pour finalité « Collecter et analyser les données des patients ayant consenti à participer à la recherche en soins courants ayant pour objet l'évaluation multicentrique de l'utilisation et de l'interprétation des dosages de protéine S100B chez les patients des urgences se présentant pour un traumatisme crânien léger », dénommé « Étude PROMETHEE - n° EudraCT : 2016-A00901-50 ».
Le Président de la Commission
de Contrôle des Informations Nominatives.