Délibération n° 2024‑45 du 20 mars 2024 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre de la modification du traitement automatisé d'informations nominatives ayant pour finalité « Collecter et analyser les données des patients ayant consenti à participer à la cohorte de patients suivis en Structures Douleur Chronique et à domicile en vie réelle », dénommé « eDOL » présentée par le Centre Hospitalier Universitaire de Clermont‑Ferrand représenté en Principauté de Monaco par le Centre Hospitalier Princesse Grace.

Vu la Constitution ;

Vu la Convention de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;

Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;

Vu la Déclaration d’Helsinki de l’Association Médicale Mondiale sur les principes éthiques applicables à la recherche médicale impliquant des êtres humains, amendée ;

Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée, et notamment son article 7‑1 ;

Vu la loi n° 1.267 du 23 décembre 2002 relative aux dispositifs médicaux ;

Vu l’Ordonnance Souveraine n° 16.312 du 6 mai 2004 rendant exécutoire l’Accord entre la Communauté Européenne et la Principauté de Monaco sur l’application de certains actes communautaires au territoire de la Principauté de Monaco, fait à Bruxelles le 4 décembre 2003 ;

Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;

Vu le Code de déontologie médicale ;

Vu la Recommandation n° R(97) 5 du Conseil de l’Europe du 13 février 1997 relative à la protection des données médicales ;

Vu la délibération n° 2011‑82 du 21 octobre 2011 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;

Vu la délibération n° 2022‑2 du 19 janvier 2022 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre à la mise en œuvre du traitement automatisé d’informations nominatives ayant pour finalité « Collecter et analyser les données des patients ayant consenti à participer à la cohorte de patients suivis en Structures Douleur Chronique et à domicile en vie réelle », dénommé « eDOL » présenté par le Centre Hospitalier Universitaire de Clermont‑Ferrand, représenté en Principauté de Monaco par le Centre Hospitalier Princesse Grace ;

Vu la demande d’avis, reçue le 15 décembre 2023, concernant la mise en œuvre par le Centre Hospitalier Universitaire de Clermont‑Ferrand, localisé en France, représenté en Principauté de Monaco par le Centre Hospitalier Princesse Grace, de la modification du traitement automatisé ayant pour finalité « Collecter et analyser les données des patients ayant consenti à participer à la cohorte de patients suivis en Structures Douleur Chronique et à domicile en vie réelle », dénommé « eDOL » ;

Vu la prorogation du délai d’examen de ladite demande d’avis notifiée au représentant du responsable de traitement le 14 février 2024, conformément à l’article 19 de l’Ordonnance Souveraine n° 2.230 du 19 juin 2009, modifiée, susvisée ;

Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 20 mars 2024 portant analyse dudit traitement automatisé ;

La Commission de Contrôle des Informations Nominatives,

Préambule

Le 19 janvier 2022, la Commission a émis un avis favorable à la mise en œuvre par le Centre Hospitalier Universitaire de Clermont‑Ferrand, localisé en France et représenté en Principauté par le Centre Hospitalier Princesse Grace (CHPG), d’un traitement automatisé d’informations nominatives ayant pour finalité « Collecter et analyser les données des patients ayant consenti à participer à la cohorte de patients suivis en Structures Douleur Chronique et à domicile en vie réelle, dénommé « eDOL ».

Le Centre Hospitalier Universitaire de Clermont‑Ferrand souhaite désormais modifier le traitement dont s’agit, en application de l’article 9 de la loi n° 1.165 du 23 décembre 1993, afin de prendre en compte le changement de prestataire concernant la maintenance et le support de la solution e-DOL ainsi que le prestataire d’hébergement de l’infrastructure technique de ladite solution.

La finalité, les fonctionnalités, la licéité et la justification du traitement, les informations objets du traitement, les droits des personnes concernées et la durée de conservation des données sont inchangés.

I.   Sur les personnes ayant accès au traitement et les destinataires

>   Sur les personnes ayant accès au traitement

Les habilitations permettant l’accès au traitement et aux informations relèvent de l’autorité du responsable de traitement qui assure la pleine et entière responsabilité de la conduite du projet.

Les personnes ayant accès aux informations sont :

>   Pour la base de données eDOL :

-    le personnel habilité (Médecin investigateur, ARCs) du CHPG : inscription des patients, modification et consultation des données de leurs patients uniquement ;

-    le personnel habilité de l’Institut Analgesia (administrateurs de la solution eDOL) : inscription des professionnels de santé, modification et consultation. Pas d’accès au NIR. Pas d’accès aux données identifiantes ;

-    le personnel habilité d’AGAETIS : accès pour leurs missions de maintenance et de support de la solution. Pas d’accès au NIR. Pas d’accès aux données identifiantes ;

-    le personnel habilité de Scalingo : hébergement de la solution eDOL, accès au NIR des patients français pour le chaînage SNDS (Système national des données de santé).

>   Pour la base de données eCRF :

-    le personnel habilité du CHU de Clermont‑Ferrand : consultation des données pseudonymisées afin de réaliser les analyses statistiques ;

-    le personnel habilité de l’Institut Analgesia : consultation des données pseudonymisées afin de gérer la plateforme et ses habilitations ;

-    le personnel habilité de LIMOS : hébergement de la plateforme et gestion de la base de données pseudonymisées.

Les accès au présent traitement sont dévolus en considération des missions et des fonctions des personnes auxquelles ils sont attribués, conformément aux articles 8 et 17 de la loi n° 1.165 du 23 décembre 1993.

La Commission rappelle par ailleurs que si des prestataires techniques devaient avoir accès au traitement, leurs droits d’accès devront être limités à ce qui est strictement nécessaire à l’exécution de leur contrat de prestation de service, et qu’ils seront soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de l’article 17 de la loi n° 1.165 du 23 décembre 1993.

>   Sur les destinataires des informations

Les informations seront communiquées de manière sécurisée aux prestataires du responsable de traitement et du CHPG en charge de leur archivage, localisés en France, pays disposant d’un niveau de protection adéquat en matière de protection des informations nominatives.

Par ailleurs, le NIR est communiqué au SNDS à des fins d’appariement de données de santé.

Tous les organismes recevant ces communications sont soumis au secret professionnel et agissent dans le cadre de prescriptions fixées par le responsable de traitement.

Un engagement de confidentialité est en outre imposé à toute personne travaillant sur les informations.

II. Sur les rapprochements et interconnexions

Le responsable de traitement indique que le traitement fait désormais l’objet des 5 rapprochements suivants :

-    un document de correspondance établi au format numérique chiffré par le médecin investigateur principal comportant le numéro patient et son identité complète, document obligatoire pour retrouver les dossiers médicaux des patients pendant la durée de suivi et de l’archivage de l’étude ;

-    avec le traitement ayant pour finalité « Gérer les informations médicales du patient afin d’assurer sa prise en charge lors de ses venues au CHPG », permettant la collecte par rapprochement d’informations à partir du dossier patient, légalement mis en œuvre ;

-    avec le traitement ayant pour finalité « Gestion des droits d’accès du personnel, des patients et des personnes en relation avec le CHPG », aux fins de garantir la sécurité du traitement quant à ses accès, légalement mis en oeuvre ;

-    avec le traitement ayant pour finalité « Gestion de la messagerie électronique professionnelle du CHPG », s’agissant des modalités de communication des informations, légalement mis en oeuvre ;

-    avec le traitement ayant pour finalité « Dossier médical du patient informatisé », permettant la collecte par rapprochement d’informations à partir du dossier patient, légalement mis en oeuvre.

La Commission relève que les traitements susmentionnés ont été légalement mis en œuvre et que les opérations réalisées sont compatibles avec les finalités initiales des traitements dans le respect de l’article 10‑1 de la loi n° 1.165 du 23 décembre 1993.

III.   Sur la sécurité du traitement et des informations

Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation de la part de la Commission.

La Commission rappelle toutefois que si un médecin ou un ARC rejoignait la recherche après son début, l’identifiant et le mot de passe doivent lui être communiqués par deux canaux distincts.

La Commission rappelle par ailleurs que les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.

Elle précise enfin que, conformément à l’article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui‑ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.

IV.   Sur la durée de conservation

La durée minimale de participation des patients est toujours de 24 mois.

En revanche, le responsable de traitement indique que la durée totale de l’étude est désormais de 7 ans et non plus de 5 ans.

À la fin de l’étude, les informations seront conservées 15 ans.

La Commission considère que la durée de conservation est conforme aux exigences légales.

Après en avoir délibéré, la Commission :

Rappelle que :

-    si un médecin ou un ARC rejoignait la recherche après son début, l’identifiant et le mot de passe doivent lui être communiqués par deux canaux distincts ;

-    les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.

Sous le bénéfice de la prise en compte de ce qui précède,

la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre par le Centre Hospitalier Universitaire de Clermont‑Ferrand, représenté en Principauté de Monaco par le Centre Hospitalier Princesse Grace de la modification du traitement automatisé d’informations nominatives ayant pour finalité « Collecter et analyser les données des patients ayant consenti à participer à la cohorte de patients suivis en Structures Douleur Chronique et à domicile en vie réelle », dénommé « eDOL ».

Le Président de la Commission de Contrôle

des Informations Nominatives.