L’enquête de Cash Investigation

 

Dans une enquête diffusée le 20 mai 2021 par France TV, Cash Investigation a mis en lumière la transmission de données de santé par des pharmacies françaises à des entreprises américaines tel que IQVIA.

 

La société américaine IQVIA est « un leader mondial dans l'utilisation des données, de la technologie, de l'analyse avancée et de l'expertise pour aider ses clients à faire progresser les soins de santé ». 

 

Aux États-Unis, elle collecte des données de santé pour les revendre à des partenaires commerciaux.

 

Cette société américaine possède une société française : IQVIA Opérations France « dont le cœur de métier historique est la fourniture de données actualisées régulièrement sur les volumes de médicaments vendus en pharmacie ».

 

L’enquête de Cash Investigation fait état d’une délibération de la Cnil du 12 septembre 2018 qui autorise les pharmaciens à collecter les données suivantes, pour les transmettre à IQVIA France : 

• le numéro de sécurité sociale ; 

• l’année de naissance ;

• le prénom et le sexe ;

• les données dites de « délivrance » qui font référence aux médicaments achetés. 

 

Les règles relatives au traitement de données de santé 

 

Le règlement général sur la protection des données personnelles (ci-après « RGPD ») qualifie les données de santé de « particulières » ou « sensibles ». 

 

Leur traitement et en principe interdit d’après l’article 9 du RGPD, sauf certaines exceptions et notamment si les personnes concernées par le traitement donnent leur consentement « explicite ».  

 

D’après l’article 9§2 du RGPD, le traitement des données particulières et notamment de santé peut être autorisé si : « 

 

• la personne concernée a donné son consentement explicite au traitement de ces données à caractère personnel pour une ou plusieurs finalités spécifiques, sauf lorsque le droit de l'Union ou le droit de l'État membre prévoit que l'inter­ diction visée au paragraphe 1 ne peut pas être levée par la personne concernée ; 

​

• le traitement est nécessaire aux fins de l'exécution des obligations et de l'exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale, dans la mesure où ce traitement est autorisé́ par le droit de l'Union, par le droit d'un État membre ou par une convention collective conclue en vertu du droit d'un État membre qui prévoit des garanties appropriées pour les droits fondamentaux et les intérêts de la personne concernée ; 

​

• le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique, dans le cas où la personne concernée se trouve dans l'incapacité physique ou juridique de donner son consentement ; 

​

• le traitement est effectué, dans le cadre de leurs activités légitimes et moyennant les garanties appropriées, par une fondation, une association ou tout autre organisme à but non lucratif et poursuivant une finalité politique, philosophique, religieuse ou syndicale, à condition que ledit traitement se rapporte exclusivement aux membres ou aux anciens membres dudit organisme ou aux personnes entretenant avec celui-ci des contacts réguliers en liaison avec ses finalités et que les données à caractère personnel ne soient pas communiquées en dehors de cet organisme sans le consentement des personnes concernées ; 

​

• le traitement porte sur des données à caractère personnel qui sont manifestement rendues publiques par la personne concernée ; 

​

• le traitement est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice ou chaque fois que des juridictions agissent dans le cadre de leur fonction juridictionnelle ; 

​

• le traitement est nécessaire pour des motifs d'intérêt public important, sur la base du droit de l'Union ou du droit d'un État membre qui doit être proportionné à l'objectif poursuivi, respecter l'essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée ;

​

• le traitement est nécessaire aux fins de la médecine préventive ou de la médecine du travail, de l'appréciation de la capacité de travail du travailleur, de diagnostics médicaux, de la prise en charge sanitaire ou sociale, ou de la gestion des systèmes et des services de soins de santé ou de protection sociale sur la base du droit de l'Union, du droit d'un État membre ou en vertu d'un contrat conclu avec un professionnel de la santé et soumis aux conditions et garanties visées au paragraphe 3 ; 

​

• le traitement est nécessaire pour des motifs d'intérêt public dans le domaine de la santé publique, tels que la protection contre les menaces transfrontalières graves pesant sur la santé, ou aux fins de garantir des normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux, sur la base du droit de l'Union ou du droit de l'État membre qui prévoit des mesures appropriées et spécifiques pour la sauvegarde des droits et libertés de la personne concernée, notamment le secret professionnel ; 

​

• le traitement est nécessaire à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, conformément à l'article 89, paragraphe 1, sur la base du droit de l'Union ou du droit d'un État membre qui doit être proportionné à l'objectif poursuivi, respecter l'essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée ».

 

L’explication de la Cnil sur l’autorisation de traitement de données délivrée à IQVIA France en 2018

 

Trois jours avant la diffusion du reportage, la Cnil s’est prononcée sur cette délibération de 2018 à travers un article intitulé « Entrepôt de données santé IQVIA : la CNIL rappelle les conditions et le cadre légal ayant permis son autorisation en 2018 » du 17 mai 2021. 

 

Selon la Cnil, il est possible de « créer des « entrepôts » de données de santé, c’est-à-dire des bases de données contenant un grand nombre d’informations, sur une certaine profondeur historique, pour favoriser la recherche médicale ». 

 

En principe en matière de recherche médicale, le recueil du consentement des personnes dont les données sont traitées n’est pas obligatoire. 

 

Cette règle s’applique donc pour les entrepôts de données de santé qui sont constitués à des fins de recherches médicales. De plus, la Cnil rappelle que les données de santé collectées par IQVIA France sont pseudonymisées.

 

C’est dans ce contexte que la société française IQVIA a été autorisée par la Cnil, le 12 septembre 2018, à collecter des données de santé auprès de pharmacies françaises, pour créer une base de données de santé pseudonymisées. 

 

Les garanties exigées par la Cnil 

 

Dans cet article du 17 mai 2021 publié sur son site, la Cnil rappelle que cette autorisation du 12 septembre 2018 a été délivrée en contrepartie de garanties de la part d’IQVIA France : 

 

• La transmission des données de santé à IQVIA France doit poursuivre une finalité précise : la recherche médicale 

 

Les données de santé françaises sont récupérées par des pharmaciens partenaires, et transmises à IQVIA France à des fins « d’études non interventionnelles visant à l’évaluation de la bonne utilisation du médicament en vie réelle, l’analyse scientifique et statistique des phénomènes liés à la persistance, la conformité, le respect des prescriptions et des contre-indications ». 

 

Ainsi, l’utilisation commerciale de ces données de santé, protégées par le RGPD, est interdite. 

 

• Les personnes concernées doivent être informées : 

 

Les pharmacies partenaires sont dans l’obligation d’informer leurs clients du traitement de leurs données le cas échéant, ainsi que de la possibilité d’exercer leur droit d’accès, de rectification, de limitation, d’opposition, leur droit à la portabilité des données, ainsi que « droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage » (article 15 à 22 du RGPD).

 

• Le droit d’opposition et d’effacement : 

 

Les personnes concernées par le traitement doivent pouvoir s’y opposer, leurs données ne seront plus transmises à IQVIA France et celles existantes dans la base de données doivent être supprimées. 

 

• Les données traitées doivent être pseudonymisées : 

 

Pour garantir la sécurité des données collectées et ainsi des personnes, les données ne doivent pas comporter  d’éléments permettant d’identifier directement les personnes, tels que : 

• le nom ;

• le prénom ;

• l’adresse. 

 

Quant au numéro de sécurité sociale, il doit pouvoir être utilisé par les pharmacies partenaires mais ne doit pas être communiqué à IQVIA. 

 

• La mise en place de comités « chargés d’examiner les projets de recherche ou d’étude des futurs clients de la société au regard de l’intérêt public qu’ils présentent ».

 

• La publication d’un rapport annuel par la société IQVIA France sur les traitements effectués.

 

• Un accès limité à l’entrepôt des données : 

 

L’entrepôt des données de santé se matérialise par une base de données regroupant des informations médicales utiles à la recherche médicale. À l’exclusion de la société IQVIA France et de ses sous-traitants, seuls les partenaires scientifiques doivent être habilités à accéder à l’entrepôt.

 

• Des garanties de sécurité des données :

 

Les données doivent être sécurisées par « des mesures d’authentification, un chiffrement des données, une traçabilité des actions et une architecture technique agréée « HDS » (hébergement de données de santé) ».

 

 

La Cnil affirme qu’au regard des informations diffusées dans le documentaire de Cash Investigation, des contrôles sont envisagés auprès de la société américaine et de ses partenaires.