Données de santé des Français données à une entreprise américaine : la CNIL a-t-elle fauté ?

Mise en cause dans l'émission Cash Investigation d'Elise Lucet sur France 2, pour avoir autorisé une entreprise américaine, IQVia, à collecter des données de santé auprès des pharmacies françaises, la Commission nationale informatique et libertés (CNIL) se défend sur le fond -le traitement de données est légal d'après elle- et annonce des contrôles auprès des pharmacies qui n'informent pas les patients.
Sylvain Rolland

7 mn

(Crédits : Reuters)

Alors que la question de la souveraineté numérique est sur toutes les lèvres et que les données de santé sont parmi les plus intimes et les plus précieuses, le gardien de la vie privée, la Commission nationale informatique et libertés (CNIL), se serait bien passé d'une telle polémique. Ce jeudi, l'émission Cash Investigation, animée par la journaliste Elise Lucet, va diffuser un numéro consacré au business autour des données de santé. Le reportage comporte une séquence qui révèle que la CNIL a autorisé, en 2018, le groupe américain IQVia, leader mondial de la collecte et de l'analyse des données médicales, à collecter des données de vente de médicaments auprès d'un large réseau de pharmacies partenaires en France.

Lire aussi 5 mnLe Conseil d'Etat laisse Microsoft aux manettes de Health Data Hub, mais alerte d'un risque

Pourquoi une telle polémique ?

Le reportage des équipes d'Elise Lucet soulève trois points problématiques. Tout d'abord, l'autorisation en elle-même : était-il opportun d'autoriser une entreprise privée américaine, leader mondial de l'analyse des données médicales qui plus est, à effectuer une collecte massive de données de santé des Français ? D'autant plus que d'après le reportage, le groupe est présent dans la moitié des officines françaises, dont il exploite les données en échange d'études de marché ciblées. Grâce à un identifiant unique, IQVia peut ainsi tracer le parcours médical des patients entre les différentes officines, ce qui lui offre une base de données médicales unique en France. Or, le gouvernement américain se réserve le droit, grâce au Cloud Act, de récupérer des données même hébergées hors de son territoire, ce qui pose un problème évident de souveraineté numérique, surtout concernant des données aussi sensibles.

Le deuxième point est le manque d'information des patients. Le Règlement général sur la protection des données (RGPD) impose que tout sujet d'un traitement de données en soit informé et puisse s'y opposer. Or, les journalistes de Cash Investigation assurent avoir visité 200 officines sans trouver trace d'information de ce partenariat avec IQVia, ce qui indique que les clients des pharmacies ne sont pas au courant que leurs données sont transmises à une entreprise américaine, et donc ils peuvent encore moins s'y opposer.

Enfin, la troisième polémique est que les données ne sont pas anonymisées avant de rejoindre les serveurs d'IQVia, mais seulement pseudonymisées. Or, la pseudonymisation protège moins : il est possible, via des croisements de données, de ré-identifier les personnes, même si leur nom et leur prénom ont été remplacés par un identifiant unique.

Lire aussi 8 mnHealth Data Hub : 5 questions pour comprendre la polémique de son hébergement par Microsoft

Sur la souveraineté : la CNIL ne peut pas prendre de décision politique du moment que l'entreprise privée, même américaine, respecte la loi

Sous le feu des critiques, la CNIL a répondu sur les trois points sur son site. Sur l'autorisation donnée à IQVia, la CNIL rappelle que la constitution d'entrepôts de données est autorisée par le RGPD, y compris pour les données de santé, lorsque la finalité est la recherche médicale, ce qui était le cas pour la demande d'IQVia.

"Les données ne peuvent en aucun cas être utilisées pour promouvoir commercialement des produits de santé. Chaque étude réalisée à partir des données de l'entrepôt doit présenter un intérêt public", rappelle-t-elle encore, évoquant des "sanctions particulièrement lourdes" en cas de manquements.

IQVia a par ailleurs confirmé ce point en assurant dans un communiqué de presse, ce jeudi, qu'il "ne cherche pas à obtenir de la donnée nominative sur les patients, qui ne présente pas d'intérêt pour (ses) activités." Le groupe réfute par ailleurs tout "conflit d'intérêt dans le parcours" de son directeur général en France, Jean-Marc Aubert, qui avait piloté, en 2017-2018, la création du très controversé Health Data Hub, l'entrepôt de données de santé dont l'hébergement a été confié à Microsoft, déclenchant de vives polémiques.

La CNIL rappelle également que si la finalité est conforme et qu'elle a obtenu des garanties sur la protection des données, elle ne peut pas s'opposer à une demande sous prétexte qu'il s'agit d'une entreprise privée américaine.

"Le législateur n'a pas à créer de distinction entre les acteurs publics et les acteurs privés. Ils peuvent, les uns comme les autres, mettre en œuvre des entrepôts ou des projets de recherche présentant un caractère d'intérêt public. Il en va par exemple ainsi pour les recherches visant à permettre le développement de nouveaux médicaments (essais cliniques), d'évaluation médico-économique des consommations ou d'analyse des parcours de soins", précise-t-elle.

Dit plus clairement, l'argument de la souveraineté numérique ne se justifie pas légalement. Refuser serait une décision politique que la CNIL, dont la mission est de veiller à ce que les collectes de données personnelles soient conformes à la réglementation, n'est pas habilitée à prendre.

Lire aussi 6 mnPublicité : attention, la fin des cookies ne signifie pas la fin du traçage

La CNIL va serrer la vis auprès des pharmacies

Sur la question du manque d'information des patients, la CNIL admet le problème. "Les personnes concernées doivent pouvoir s'opposer au traitement de leurs données et avoir préalablement reçu une information individuelle", rappelle-t-elle. L'institution liste les garanties qui ont été exigées d'IQVia en 2018 : une finalité circonscrite à la recherche médicale, une information individuelle des personnes par les pharmacies, un droit d'opposition à exercer auprès des pharmaciens et une sécurité des données renforcées à cause de leur nature sensible.

Cash Investigation révélant des manquements flagrants dans l'information des Français, la CNIL en prend note et annonce qu'elle "diligentera des contrôles". Elle précise toutefois qu'elle n'a "pas reçu de plainte relative au fonctionnement de cet entrepôt".

Sur la sécurité des données, le gendarme français admet que la pseudonymisation comporte des risques de ré-identification, et que les données pseudonymisées ne sont pas "anonymes au sens du RGPD". Toutefois, elle précise que le degré de pseudonymisation demandé est élevé.

Le numéro de sécurité sociale (NIR), qui permet de chainer les données contenues dans l'entrepôt, c'est-à-dire de faire le lien entre plusieurs dispensations de médicaments dans des officines différentes, ne peut être transmis « en clair » à la société IQVIA. La société n'est pas autorisée à procéder à des rapprochements, interconnexions, mises en relation, appariements avec tout fichier de données directement ou indirectement nominatives ou toute information susceptible de révéler l'identité d'une personne et/ou son état de santé.

Lire aussi 4 mnLa CNIL valide la méthode d'anonymisation des données de WeData

Sylvain Rolland

7 mn

Replay I Nantes zéro carbone

Sujets les + lus

|

Sujets les + commentés

Commentaires 9
à écrit le 21/05/2021 à 8:50
Signaler
C'est pas nouveau de la part de la CNIL : 2016 : Branle-bas de combat chez les mormons. Après de nombreux mois de discussions, FamilySearch International, l’entreprise généalogique des mormons, a obtenu le feu vert de la Commission nationale de l...

à écrit le 21/05/2021 à 8:48
Signaler
Encore un bon cash investigation hier soir qui nous exposait l'hypocrisie totale de ces institutions censées protéger nos données. Le pognon les aura complètement rendu dingos tous.

à écrit le 21/05/2021 à 8:38
Signaler
Scandaleux et effarants de la part de la cnil ou est le conte pouvoir democratique? ... la cnil se défausse de ses responsabilités sur les pharmacies qui de toute façon n’ ont pas nos mails ou qui se garderont bien de nous prévenir : c est pas comm...

à écrit le 21/05/2021 à 8:33
Signaler
Scandaleux et effarants de la part delà cible ... nous a ton demande notre avis ? Moi je refuse que les données médicales sortent du pays pour une exploitation lucrative sur mon dos!! En 2018 le gouvernement a déjà autorisé l exploitation des données...

à écrit le 21/05/2021 à 6:44
Signaler
Les pharmaciens ont profité de la crise du CODIV.

le 21/05/2021 à 8:34
Signaler
Comme le disent les financiers, bad news is good news ou encore comme dirait Lavoisier, rien ne se perd tout se transforme... Manifestement il n'a pas de petit profit peu importe les crises.

à écrit le 21/05/2021 à 0:09
Signaler
La présidente de la CNIL doit démissionner.

le 21/05/2021 à 3:29
Signaler
Tout simplement scandaleux,cet organisme doit être dissous et les politiques qui ont autorisé en jugement pour connaître les dessous de table qu'ils ont touché ou les promessess de financement pour les prochaines elections. Rien ne justifie que nos ...

à écrit le 20/05/2021 à 13:43
Signaler
Les pharmaciens, mal nommés puisqu'ils ne sont que les péripatéticiens( es) de l'industrie pharmaceutique n'en sont pas à leur coup d'essai pour toujours faire plus de pognon, car la transmission de nos données ne doit pas se faire gratuitement. La C...

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.