Délibération n° 2021-208 du 20 octobre 2021 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre de la modification du traitement automatisé d'informations nominatives ayant pour finalité « Collecter et analyser les données des patients ayant consenti à participer à la cohorte observationnelle évaluant l'impact du traitement par Ventilation Auto-Asservie (VAA) sur la qualité du sommeil de patients avec un syndrome d'apnée du sommeil central ou combiné hors insuffisance cardiaque systolique à fraction d'éjection altérée », dénommé « Étude FACIL-VAA » présenté par la Société Française de Recherche et Médecine du Sommeil (SFRMS) représentée en Principauté de Monaco par le Centre Hospitalier Princesse Grace.
Vu la Constitution ;
Vu la Convention de Sauvegarde des Droits de l'Homme et des Libertés Fondamentales du Conseil de l'Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la Déclaration d'Helsinki de l'Association Médicale Mondiale sur les principes éthiques applicables à la recherche médicale impliquant des êtres humains, amendée ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée, et notamment son article 7-1 ;
Vu la loi n° 1.267 du 23 décembre 2002 relative aux dispositifs médicaux ;
Vu l'Ordonnance Souveraine n° 16.312 du 6 mai 2004 rendant exécutoire l'Accord entre la Communauté Européenne et la Principauté de Monaco sur l'application de certains actes communautaires au territoire de la Principauté de Monaco, fait à Bruxelles le 4 décembre 2003 ;
Vu l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d'application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu le Code de déontologie médicale ;
Vu la Recommandation n° R(97) 5 du Conseil de l'Europe du 13 février 1997 relative à la protection des données médicales ;
Vu la délibération n° 2011-82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d'informations nominatives ;
Vu la délibération n° 2018-194 du 19 décembre 2018 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Collecter et analyser les données des patients ayant consenti à participer à la cohorte observationnelle évaluant l'impact du traitement par Ventilation Auto-Asservie (VAA) sur la qualité du sommeil des patients avec un syndrome d'apnée du sommeil central ou combiné hors insuffisance cardiaque systolique à fraction d'éjection altérée » présenté par la Société Française de Recherche et Médecine du Sommeil (SFRMS) localisée en France, représentée en Principauté par le Centre Hospitalier Princesse Grace ;
Vu la demande d'avis, reçue le 9 juillet 2021, concernant la mise en œuvre par la Société Française de Recherche et Médecine du Sommeil (SFRMS) localisée en France, représentée en Principauté de Monaco par le Centre Hospitalier Princesse Grace, de la modification du traitement automatisé ayant pour finalité « Collecter et analyser les données des patients ayant consenti à participer à la cohorte observationnelle évaluant l'impact du traitement par Ventilation Auto-Asservie (VAA) sur la qualité du sommeil des patients avec un syndrome d'apnée du sommeil central ou combiné hors insuffisance cardiaque systolique à fraction d'éjection altérée » ;
Vu la prorogation du délai d'examen de ladite demande d'avis notifiée au représentant du responsable de traitement le 7 septembre 2021, conformément à l'article 19 de l'Ordonnance Souveraine n° 2.230 du 19 juin 2009, modifiée, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 20 octobre 2021 portant analyse dudit traitement automatisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
Le 19 décembre 2018 la Commission a émis un avis favorable à la mise en œuvre par la Société Française de Recherche et Médecine du Sommeil (SFRMS), localisée en France, représentée en Principauté par le Centre Hospitalier Princesse Grace (CHPG), d'un traitement automatisé d'informations nominatives ayant pour finalité « Collecter et analyser les données des patients ayant consenti à participer à la cohorte observationnelle évaluant l'impact du traitement par Ventilation Auto-Asservie (VAA) sur la qualité du sommeil des patients avec un syndrome d'apnée du sommeil central ou combiné hors insuffisance cardiaque systolique à fraction d'éjection altérée ».
La Société Française de Recherche et Médecine du Sommeil (SFRMS) souhaite modifier le traitement dont s'agit en application de l'article 9 de la loi n° 1.165 du 23 décembre 1993, afin de prendre en compte la mise en place d'une nouvelle plateforme (eCRF) pour l'hébergement de la base de données pseudonymisées.
La finalité, les fonctionnalités, la licéité, la justification, les informations objets du traitement, les droits des personnes concernées et la durée de conservation des données sont en revanche inchangés.
I. Sur les destinataires et les personnes ayant accès au traitement
- Sur les personnes ayant accès au traitement
Le responsable de traitement indique que les personnes ayant accès aux informations sont les suivantes :
- l'attaché de Recherche Clinique (ARC) du CHPG : en lecture, écriture et modification ;
- le médecin investigateur du CHPG : en lecture, écriture et modification ;
- le chef de projet de la SFRMS pour la conservation et la consultation : en lecture ;
- le data-manageur du laboratoire HP2 : en lecture ;
- l'ARC moniteur du laboratoire HP2 : en lecture ;
- le statisticien de ICURESearch : en lecture ;
- le statisticien de l'URC Eco : en lecture.
Les accès au présent traitement sont dévolus en considération des missions et des fonctions des personnes auxquelles ils sont attribués, conformément aux articles 8 et 17 de la loi n° 1.165 du 23 décembre 1993.
La Commission rappelle par ailleurs que si des prestataires techniques devaient avoir accès au traitement, même partiellement, leurs droits d'accès devront être limités à ce qui est strictement nécessaire à l'exécution de leur contrat de prestation de service, et qu'ils seront soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de l'article 17 de la loi n° 1.165 du 23 décembre 1993.
- Sur les destinataires des informations
Les données et documents seront transmis, de manière sécurisée, au prestataire du CHPG en charge de leur archivage.
Ils seront également transmis au responsable de traitement ainsi qu'à ses prestataires en charge du contrôle qualité des données, de l'analyse statistique desdites données et de leur archivage.
Ces organismes sont localisés en France, pays disposant d'un niveau de protection adéquat en matière de protection des informations nominatives.
Ces organismes sont également soumis au secret professionnel et agissent dans le cadre de prescriptions fixées par le responsable de traitement.
Un engagement de confidentialité est en outre imposé à toute personne travaillant sur les informations. Ces personnes sont soumises au secret médical et au secret professionnel.
II. Sur les rapprochements et interconnexions
Le responsable de traitement indique que le traitement fait désormais l'objet des rapprochements suivants :
- avec un traitement non automatisé : le document de correspondance établi sous format papier par le médecin investigateur principal comportant le numéro patient et son identité complète, document obligatoire pour retrouver les dossiers médicaux des patients pendant la durée de suivi et de l'archivage de l'étude, légalement mis en œuvre ;
- avec le traitement ayant pour finalité « Gérer les informations médicales du patient afin d'assurer sa prise en charge lors de ses venues au CHPG », permettant la collecte par rapprochement d'informations à partir du dossier patient, légalement mis en œuvre ;
- avec le traitement ayant pour finalité « Gestion des droits d'accès du personnel, des patients et des personnes en relation avec le CHPG », aux fins de garantir la sécurité du traitement quant à ses accès, légalement mis en œuvre ;
- avec le traitement ayant pour finalité « Gestion de la messagerie électronique professionnelle du CHPG », s'agissant des modalités de communication des informations, légalement mis en œuvre ;
- avec le traitement ayant pour finalité « Dossier médical du patient informatisé », permettant la collecte par rapprochement d'informations à partir du dossier patient, concomitamment soumis.
Concernant ce dernier traitement, la Commission rappelle qu'un tel rapprochement ne peut être effectué qu'entre des traitements légalement mis en œuvre.
III. Sur la sécurité du traitement
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu'il contient n'appellent pas d'observation de la part de la Commission.
La Commission rappelle toutefois que si un médecin ou un ARC rejoignait la recherche après son début, l'identifiant et le mot de passe doivent lui être communiqués par deux canaux distincts.
Elle rappelle par ailleurs que la communication des données pseudonymisées chiffrées et des clés de déchiffrement doit être effectuée par deux canaux distincts.
La Commission rappelle également que les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
Elle précise enfin que, conformément à l'article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d'assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui-ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l'état de l'art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d'exploitation du présent traitement.
Après en avoir délibéré, la Commission :
Rappelle que :
- si des prestataires techniques devaient avoir accès au traitement, leurs droits d'accès devront être limités à ce qui est strictement nécessaire à l'exécution de leur contrat de prestation de service, et qu'ils seront soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de l'article 17 de la loi n° 1.165 du 23 décembre 1993 ;
- le rapprochement avec le traitement ayant pour finalité « Dossier médical du patient informatisé » ne peut être effectué qu'entre des traitements légalement mis en œuvre ;
- si un médecin ou un ARC rejoignait la recherche après son début, l'identifiant et le mot de passe doivent lui être communiqués par deux canaux distincts ;
- la communication des données pseudonymisées chiffrées et des clés de déchiffrement doit être effectuée par deux canaux distincts ;
- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
Sous le bénéfice de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre par la Société Française de Recherche et Médecine du Sommeil (SFRMS), représentée en Principauté de Monaco par le Centre Hospitalier Princesse Grace de la modification du traitement automatisé d'informations nominatives ayant pour finalité « Collecter et analyser les données des patients ayant consenti à participer à la cohorte observationnelle évaluant l'impact du traitement par Ventilation Auto-Asservie (VAA) sur la qualité du sommeil de patients avec un syndrome d'apnée du sommeil central ou combiné hors insuffisance cardiaque systolique à fraction d'éjection altérée », dénommé « Étude FACIL-VAA ».
Le Président de la Commission de
Contrôle des Informations Nominatives.