Alors que la question de la souveraineté numérique est sur toutes les lèvres et que les données de santé sont parmi les plus intimes et les plus précieuses, le gardien de la vie privée, la Commission nationale informatique et libertés (CNIL), se serait bien passé d'une telle polémique. Ce jeudi, l'émission Cash Investigation, animée par la journaliste Elise Lucet, va diffuser un numéro consacré au business autour des données de santé. Le reportage comporte une séquence qui révèle que la CNIL a autorisé, en 2018, le groupe américain IQVia, leader mondial de la collecte et de l'analyse des données médicales, à collecter des données de vente de médicaments auprès d'un large réseau de pharmacies partenaires en France.
Pourquoi une telle polémique ?
Le reportage des équipes d'Elise Lucet soulève trois points problématiques. Tout d'abord, l'autorisation en elle-même : était-il opportun d'autoriser une entreprise privée américaine, leader mondial de l'analyse des données médicales qui plus est, à effectuer une collecte massive de données de santé des Français ? D'autant plus que d'après le reportage, le groupe est présent dans la moitié des officines françaises, dont il exploite les données en échange d'études de marché ciblées. Grâce à un identifiant unique, IQVia peut ainsi tracer le parcours médical des patients entre les différentes officines, ce qui lui offre une base de données médicales unique en France. Or, le gouvernement américain se réserve le droit, grâce au Cloud Act, de récupérer des données même hébergées hors de son territoire, ce qui pose un problème évident de souveraineté numérique, surtout concernant des données aussi sensibles.
Le deuxième point est le manque d'information des patients. Le Règlement général sur la protection des données (RGPD) impose que tout sujet d'un traitement de données en soit informé et puisse s'y opposer. Or, les journalistes de Cash Investigation assurent avoir visité 200 officines sans trouver trace d'information de ce partenariat avec IQVia, ce qui indique que les clients des pharmacies ne sont pas au courant que leurs données sont transmises à une entreprise américaine, et donc ils peuvent encore moins s'y opposer.
Enfin, la troisième polémique est que les données ne sont pas anonymisées avant de rejoindre les serveurs d'IQVia, mais seulement pseudonymisées. Or, la pseudonymisation protège moins : il est possible, via des croisements de données, de ré-identifier les personnes, même si leur nom et leur prénom ont été remplacés par un identifiant unique.
Sur la souveraineté : la CNIL ne peut pas prendre de décision politique du moment que l'entreprise privée, même américaine, respecte la loi
Sous le feu des critiques, la CNIL a répondu sur les trois points sur son site. Sur l'autorisation donnée à IQVia, la CNIL rappelle que la constitution d'entrepôts de données est autorisée par le RGPD, y compris pour les données de santé, lorsque la finalité est la recherche médicale, ce qui était le cas pour la demande d'IQVia.
"Les données ne peuvent en aucun cas être utilisées pour promouvoir commercialement des produits de santé. Chaque étude réalisée à partir des données de l'entrepôt doit présenter un intérêt public", rappelle-t-elle encore, évoquant des "sanctions particulièrement lourdes" en cas de manquements.
IQVia a par ailleurs confirmé ce point en assurant dans un communiqué de presse, ce jeudi, qu'il "ne cherche pas à obtenir de la donnée nominative sur les patients, qui ne présente pas d'intérêt pour (ses) activités." Le groupe réfute par ailleurs tout "conflit d'intérêt dans le parcours" de son directeur général en France, Jean-Marc Aubert, qui avait piloté, en 2017-2018, la création du très controversé Health Data Hub, l'entrepôt de données de santé dont l'hébergement a été confié à Microsoft, déclenchant de vives polémiques.
La CNIL rappelle également que si la finalité est conforme et qu'elle a obtenu des garanties sur la protection des données, elle ne peut pas s'opposer à une demande sous prétexte qu'il s'agit d'une entreprise privée américaine.
"Le législateur n'a pas à créer de distinction entre les acteurs publics et les acteurs privés. Ils peuvent, les uns comme les autres, mettre en œuvre des entrepôts ou des projets de recherche présentant un caractère d'intérêt public. Il en va par exemple ainsi pour les recherches visant à permettre le développement de nouveaux médicaments (essais cliniques), d'évaluation médico-économique des consommations ou d'analyse des parcours de soins", précise-t-elle.
Dit plus clairement, l'argument de la souveraineté numérique ne se justifie pas légalement. Refuser serait une décision politique que la CNIL, dont la mission est de veiller à ce que les collectes de données personnelles soient conformes à la réglementation, n'est pas habilitée à prendre.
La CNIL va serrer la vis auprès des pharmacies
Sur la question du manque d'information des patients, la CNIL admet le problème. "Les personnes concernées doivent pouvoir s'opposer au traitement de leurs données et avoir préalablement reçu une information individuelle", rappelle-t-elle. L'institution liste les garanties qui ont été exigées d'IQVia en 2018 : une finalité circonscrite à la recherche médicale, une information individuelle des personnes par les pharmacies, un droit d'opposition à exercer auprès des pharmaciens et une sécurité des données renforcées à cause de leur nature sensible.
Cash Investigation révélant des manquements flagrants dans l'information des Français, la CNIL en prend note et annonce qu'elle "diligentera des contrôles". Elle précise toutefois qu'elle n'a "pas reçu de plainte relative au fonctionnement de cet entrepôt".
Sur la sécurité des données, le gendarme français admet que la pseudonymisation comporte des risques de ré-identification, et que les données pseudonymisées ne sont pas "anonymes au sens du RGPD". Toutefois, elle précise que le degré de pseudonymisation demandé est élevé.
Le numéro de sécurité sociale (NIR), qui permet de chainer les données contenues dans l'entrepôt, c'est-à-dire de faire le lien entre plusieurs dispensations de médicaments dans des officines différentes, ne peut être transmis « en clair » à la société IQVIA. La société n'est pas autorisée à procéder à des rapprochements, interconnexions, mises en relation, appariements avec tout fichier de données directement ou indirectement nominatives ou toute information susceptible de révéler l'identité d'une personne et/ou son état de santé.
Sujets les + commentés