Hier, nous évoquions en détails le contenu du prochain numéro de Cash Investigation s'intéressant à la question des données personnelles. En particulier celles récoltées par IQVIA via de nombreuses pharmacies, sans que l'information ou le droit d'opposition des clients soit mis en œuvre.
Le reportage est clair sur ce point : sur 200 officines visitées, aucune ne présentait aux clients l'affichette relative à ce traitement des données à destination d'IQVIA... Dès lors, impossible pour eux de s'y opposer.
La société rémunère quelques euros par mois les pharmaciens pour récolter les données issues de leurs ventes et leur fournit des études de marché. Elle utilise ensuite cette matière première pour vendre de coûteuses études sur le parcours médical lié à telle ou telle pathologie par exemple. Se vantant d'être seule sur ce secteur avec un tel accès.
Ce flux emprunte le réseau Pharmastat, qui concerne « plus de 14 000 pharmacies sur l'ensemble du territoire, soit plus de 60% des pharmacies françaises (métropole et DOM) ».
Comme rappelé hier, ce traitement passe par l'entrepôt de données LRX d'IQVIA. Dans un communiqué publié en réaction, la CNIL « rappelle les conditions et le cadre légal ayant permis son autorisation en 2018 » précisant que l'utilisation des données de santé « est interdite, sauf dans certains cas limitativement énumérés ».
Quelques rappels et des contrôles à venir
Si « elle n’a pas reçu de plainte relative au fonctionnement de cet entrepôt, [la commission] annonce, au regard des éléments portés à la connaissance du public, qu’elle diligentera des contrôles ». Notamment pour vérifier que les engagements pris dans le cadre de l'autorisation ont bel et bien été respectés. Leur « non-respect par le responsable de traitement peut conduire à des sanctions particulièrement lourdes ».
Car les données de santé « destinées au secteur public, à la sécurité sociale ou aux professionnels de santé ne peuvent être réutilisées que pour des projets "d’intérêt public". Il est ainsi possible d’utiliser ces données pour conduire des projets de recherche. Il est également possible de créer des "entrepôts" de données de santé, c’est-à-dire des bases de données contenant un grand nombre d’informations, sur une certaine profondeur historique, pour favoriser la recherche médicale » par des acteurs privés ou publics, ajoute la Commission.
« Dans un certain nombre de cas précisés par la loi, l’entrepôt ou la recherche médicale ne peut être mis en œuvre qu’après avoir reçu l’autorisation de la CNIL. La CNIL exige alors un certain nombre de garanties de nature à préserver la vie privée des personnes ». C'est le cas de l'entrepôt LRX d'IQVIA.
Les engagements d'IQVIA pour LRX
Ainsi, IQVIA s'est engagée à mettre en place un niveau de pseudonymisation « élevé » et la CNIL s'est dit attentive à ce qu'il « rende la réidentification des personnes la plus difficile possible ».
De même, l'entreprise ne peut recevoir le numéro de sécurité sociale « en clair », ni ne peut « procéder à des rapprochements, interconnexions, mises en relation, appariements avec tout fichier de données directement ou indirectement nominatives ou toute information susceptible de révéler l’identité d’une personne et/ou son état de santé ».
Les données « ne peuvent, en particulier, en aucun cas être utilisées pour promouvoir commercialement des produits de santé, notamment en direction des professionnels de santé ». Les études réalisées à partir des données de LRX doivent présenter un « intérêt public », prévient encore la CNIL qui rappelle que la finalité est « circonscrite ».
Ainsi, elles ne doivent être exploitées que dans le cadre d'études « non interventionnelles visant à l’évaluation de la bonne utilisation du médicament en vie réelle, l’analyse scientifique et statistique des phénomènes liés à la persistance, la conformité, le respect des prescriptions et des contre-indications ».
IQVIA doit, de plus, mettre en place « deux comités ad hoc chargés d’examiner les projets de recherche ou d’étude des futurs clients de la société au regard de l’intérêt public qu’ils présentent » et « publier un rapport annuel présentant une synthèse globale des types d’analyses effectuées ».
L'accès doit être sécurisé « par des mesures d’authentification, un chiffrement des données, une traçabilité des actions et une architecture technique agréée « HDS » (hébergement de données de santé) ». En dehors d'IQVIA et de ses sous-traitants « seuls des partenaires scientifiques peuvent accéder aux données de l’entrepôt, à condition de présenter à leur tour les garanties requises. Les "clients" d’IQVIA ne peuvent être destinataires d’aucune données à caractère personnel de l‘entrepôt ».
Information et consentement des clients en pharmacie
Une fois la question de la sécurisation, du traitement et de l'exploitation de ces données réglée, reste l'un des gros problèmes relevés par l'enquête de Cash Investigation : le respect, par les pharmaciens, des droits de leurs clients.
Ici, la CNIL est claire : ces professionnels « sont chargés, contractuellement, d’informer individuellement leurs clients du traitement des données les concernant, ainsi que de permettre l’exercice des droits d’accès, de rectification et d’opposition qui leur sont reconnus (notice d’information et mise en place d’une affiche dans la pharmacie). La CNIL avait par ailleurs demandé que les supports soient complétés pour être conformes au RGPD ».
Le droit d’opposition ne s'exerce pas auprès d'IQVIA, mais là où les données sont récoltées, donc auprès des pharmaciens partenaires. « Si la personne s’oppose au traitement, ses données ne doivent plus alimenter l’entrepôt de données. L’ensemble des données déjà collectées devra également être supprimé ».
Pour rappel, dans le reportage, le président de la fédération des pharmaciens a répondu que ce défaut d'information « n'est pas bien », évoquant un besoin de sensibilisation en la matière. Pour lui, les manquements constatés sont le fait que les pharmaciens sont « noyés sous la règlementation ». Pas sûr que l'argument soit du goût de la CNIL.
Notez enfin que la Commission ne s'est pas exprimée publiquement sur les autres sujets soulevés dans le reportage, qu'il s'agisse de la collecte et la revente de données personnelles comme des numéros de téléphones portables par des services spécialisés ou du cas de Doctissimo qui a fait l'objet d'une plainte.
