800 000 euros, c’est le montant de l’amende prononcée par la Commission nationale de l’informatique et des libertés (Cnil) à l’encontre de Cegedim Santé, éditeur de logiciels et de services numériques pour les professionnels de santé. Cette sanction a été décidée à la suite de contrôles réalisés par le régulateur en 2021 autour l’observatoire THIN, qui permet la réalisation d'études portant sur l'épidémiologie. Ces contrôles ont révélé que « la société avait traité sans autorisation des données de santé non anonymes, transmises à ses clients en vue de produire des études et des statistiques dans le domaine de la santé », indique la Cnil.
Une décision que conteste Cegedim Santé, comme l’explique au Quotidien son directeur général Benoit Garibal : « Nous regrettons fortement que, pendant des années, nous ayons eu une sorte de validation, puis la Cnil, qui nous suit depuis de nombreuses années sur le sujet, a changé de posture et a décidé de nous imposer cette nouvelle doctrine. »
De quelles données s’agit-il ?
La décision de la Cnil porte donc sur un observatoire de Cegedim Santé, réalisé depuis plus de 30 ans à partir de données issues du logiciel Crossway auprès d’un panel de 2 000 médecins volontaires. « Les données collectées sont ensuite utilisées par des clients de la société, notamment pour mener des études », observe l’autorité de régulation.
Chez Cegedim Santé, le DG précise qu’« il s’agit d’une communauté restreinte de médecins qui contribue à un observatoire scientifique. Ils sont volontaires et ont souscrit un contrat qui les engage à remonter un certain nombre de données via le logiciel Crossway, qui est un collecteur, pas un responsable de traitement. Cela alimente une base de données ». Analyses médicales, études pré-lancement, modélisations de patients souffrant de maladies rares, observatoires épidémiologiques, études académiques, en lien avec la pratique de ville, sont quelques-unes des études réalisées via cet observatoire, détaillait le groupe fin 2022, soulignant que 20 projets de recherche étaient en cours (maladie d’Alzheimer, compréhension de la sarcoïdose, détection de maladies rares…).
La base de données est utilisée également par des agences publiques comme l’Agence nationale du médicament (ANSM) ou la Haute Autorité de santé (HAS), mentionne Benoit Garibal. Avant de rappeler que « pendant la pandémie de Covid, on était bien content d’avoir des données en temps réel ».
Pseudonymisation versus anonymisation
Si le système de collecte est en place depuis des dizaines d’années, comment expliquer cette décision aujourd’hui de l’autorité de régulation ? La Cnil motive sa sanction « au regard des manquements à l’article 66 de la loi n° 78-17 du 6 janvier 1978 modifiée (modifié au 31 décembre 2019, NDLR) et à l’article 5, paragraphe 1, a) du RGPD (entrée en application depuis mai 2018, NDLR) », qui s'applique aux traitements automatisés (en tout ou partie) de données à caractère personnel. L’Autorité pointe que les données sont « pseudonymisées » et pas « anonymisées », c’est-à-dire qu’il existe un risque de réidentification des individus dans la base, malgré un système d’identifiant unique. « Nous avons fait appel à des experts internationaux de la data qui ont prouvé qu’il est impossible de réidentifier un patient au travers de nos processus », affirme de son côté Benoit Garibal.
Des conséquences pour les médecins utilisateurs des solutions Cegedim ?
La décision de la Cnil ne concerne pas les utilisateurs des solutions Cegedim. L’autorité précise en effet que la sanction porte spécifiquement sur le système de Cegedim opéré pour son observatoire (logiciel Crossway) auquel participent 2 000 médecins contributeurs (sur les 25 000 professionnels de santé clients de l’entreprise.
Et concernant leurs patients, la décision ne porte pas sur une fuite de données et ne mentionne pas de nécessité d’information spécifique. Benoit Garibal rappelle aussi que les médecins contributeurs à l’observatoire « s‘engagent à une information systématique auprès de leurs patients qui ont le droit de s’opposer à la collecte ».
L’entreprise examine la possibilité de contester la décision de sanction devant le Conseil d’État. De surcroît, la Cnil précise ne pas avoir prononcé « d’injonction de mise en conformité », du fait des mesures prises par la société depuis les contrôles. « La décision rendue par la Cnil n’a aucun impact sur la continuité du programme de recherche, sur les modalités de contribution des professionnels de santé volontaires et sur les conditions visant à garantir la sécurité des données », assure Cegedim. Son DG cite le passage à un statut d’entrepôt de données de santé qui lui permet « la collecte et la conservation des données dans une base unique pendant une plus longue durée », selon la définition de la Cnil.
Accueil du jeune enfant : la Cour des comptes recommande d’améliorer les congés maternel et parental
Pas de surrisque pendant la grossesse, mais un taux d’infertilité élevé pour les femmes médecins
54 % des médecins femmes ont été victimes de violences sexistes et sexuelles, selon une enquête de l’Ordre
Installation : quand un cabinet éphémère séduit les jeunes praticiens