Comment Clinityx a construit un entrepôt de données de santé avec la SFC et la Cnil

Le projet CardioHub, porté par la Société française de cardiologie (SFC) et Clinityx, bureau d’études spécialisé en datascience, est une infrastructure de collecte et de réutilisation de données de santé. Il s’appuie sur un véhicule réglementaire, conçu de concert avec la Cnil. CardioHub constitue le premier entrepôt de données extrahospitalier. Un cas d’école inédit nécessitant expertises techniques et réglementaires.

Un contexte complexe

“Lorsque l’idée de CardioHub est née, en 2019, nous avons été confrontés à des difficultés d’appropriation de la démarche par la SFC. Le protocole, sans finalité scientifique précise, interrogeait. Les porteurs de projets de la SFC craignaient d’être dépossédés de leurs projets et des données. La Cnil, quant à elle, ne disposait pas de l’ensemble des textes et décrets nécessaires à l’établissement de sa doctrine”, relate Nicolas Glatt, CEO de Clinityx.

“Jusqu’à présent, la Cnil n’avait jamais autorisé un responsable de traitement ne disposant pas d’un accès permanent aux données du SNDS à constituer un entrepôt comportant ces dernières. Depuis 2017, des centres hospitaliers (comme l’AP-HP ou le CHU de Lille) et des sociétés privées (comme IQVIA ou OpenHealth) ont été autorisés par la Cnil à constituer des entrepôts de données de santé alimentés soit à partir des données recueillies dans le cadre de la prise en charge des patients, soit à partir de données provenant de recherches précédentes. Ce qui était nouveau, c’était de constituer un entrepôt nourri de données issues d’un registre existant et de les apparier de façon prolongée, et non pour un projet de recherche en particulier, avec les données du SNDS, comme l’autorise la loi du 24 juillet 2019”, complète Manon de Fallois, adjointe à la cheffe du service santé de la Cnil.

“Contrairement à un essai clinique randomisé, ponctuel, d’une très grande valeur mais constitué de patients sélectionnés et comportant par définition des facteurs confondants, un registre est un recueil de données permettant le suivi des patients en vie réelle. C’est plus pérenne, ajoute Martine Gilard, professeur hospitalier au CHU de Brest et ex-présidente de la société savante. À partir de ces données, vous êtes amenés à réaliser d’autres études que la ‘princeps’. Ce n’est donc plus un registre que l’on peut lier au SNDS mais un entrepôt.” Le traitement unique des données issues d’un projet de recherche clinique est autorisé par la Cnil, mais la réutilisation de ces mêmes données, au sein d’une base dont les finalités sont multiples, relève d’un régime réglementaire différent.

S’accorder sur la finalité du projet, sa définition et son périmètre

Clinityx n’en était pas à son coup d’essai. La société avait en effet déjà créé une “bulle” sécurisée pour pouvoir héberger les données du SNDS. “En décembre 2018, la SFC a été autorisée par la Cnil à apparier France Tavi au SNDS pendant cinq ans, sans que les objectifs poursuivis ne soient jugés trop larges”, poursuit Nicolas Glatt. “En 2019, nous avons observé un changement de doctrine. La Cnil a accordé un appariement unique en précisant que si l’on souhaitait le rendre pérenne, il fallait effectuer une demande de création d’entrepôt de données de santé (EDS). Cette demande devait prévoir les conditions de réutilisation des données”, explique le CEO de Clinityx.

“Nous sommes donc partis du postulat que l’EDS de la SFC serait alimenté dans un premier temps par un registre et serait nativement apparié [au SNDS]. Parmi les registres de la SFC, MITRAGISTER a reçu une autorisation d’appariement unique, a vocation à être pérenne pour répondre aux demandes de la HAS et dispose d’un financement. Il a, pour ces raisons, été retenu pour alimenter la première version de l’EDS CardioHub”.

Un changement de paradigme réglementaire

Pour la Cnil, ce nouveau projet ne relève pas du statut de simple recherche. Par sa multi-finalité, il requiert des données potentiellement réutilisables. “Ce cas d’usage constituait donc une première. La première brique à élaborer face à cette demande consistait à encadrer la constitution de cet entrepôt. La seconde, à réfléchir et à anticiper les modalités de réutilisation de cette base de données”, détaille Manon de Fallois, en charge de l’instruction juridique du dossier. Clinityx s’astreint alors à définir le périmètre des données contenues par le futur EDS : administratives d’identification (la SFC collecte directement les données nominatives pour réaliser un suivi transverse des patients), les données de prise en charge (cliniques, collectées par les médecins) et celles du SNDS.

Les modalités d’appariement prévues jusqu’en 2032 s’effectueront soit par le NIR [numéro de Sécurité sociale], soit par la Cnam, soit de manière probabiliste. Le protocole retenu ne comprend pas d’objectif de recherche mais prévoit :
– la description du flux des données,
– leur gouvernance
– l’information des patients et leurs droits.
Une analyse d’impact pour répertorier les risques inhérents aux personnes et une étude IBIOS [Expression des Besoins et Identification des Objectifs de Sécurité] concernant les solutions de sécurité informatique sont également prévues. Elles permettent à la Cnil de vérifier que tout soit conforme aux référentiels relatifs au SNDS et à l’EDS.

Différents régimes réglementaires

“Pour instruire cette demande d’autorisation, nous avons procédé par itérations successives, relate Manon de Fallois. Il s’agissait de conjuguer la possibilité prévue par les textes de constituer un EDS avec les données du SNDS, avec les principes promus par le RGPD, la loi informatique et libertés et les dispositions spécifiques applicables aux traitements de données du SNDS”, poursuit la juriste. Selon elle, tout dépend de la finalité initiale de la constitution de la base. “Il y a un potentiel assez démesuré avec les EDS, a fortiori lorsqu’ils sont alimentés avec des données du SNDS. Tous les entrepôts de données de santé ne sont pas soumis à l’autorisation de la Cnil”.

Sauf en cas de recueil du consentement des personnes concernées, les entrepôts de données de santé ne comportant pas de données du SNDS relèvent du régime de formalités auprès de la Cnil : soit le traitement est conforme à un référentiel; soit il ne l’est pas et nécessite alors une autorisation spéciale. Il existe toutefois une spécificité : en raison des règles encadrant les traitements de données du SNDS, tous les entrepôts qui en comportent nécessitent une autorisation de la Cnil”, poursuit Manon de Fallois. Lorsque l’on ne dispose pas du consentement, on bascule sur une information individuelle et le recueil d’une non opposition, ce qui est moins contraignant. “Dès lors qu’un organisme souhaite alimenter un entrepôt de données de santé exclusivement à partir des données du SNDS, qui contient des données pseudonymisées concernant l’ensemble de la population française, la réalisation d’une information individuelle s’avère difficile. Dans le cadre de l’entrepôt CardioHub, une information individuelle de l’ensemble des personnes concernées est prévue et un portail de transparence va être mis en place pour informer les personnes concernées de la réutilisation de leurs données. Cet effort de transparence doit être souligné”, insiste la juriste.

Assurer la sécurité des données

La Cnil a été particulièrement attentive à l’hébergement et au transfert des données de CardioHub. “Le régime juridique d’un EDS apparié au SNDS comprend un certain nombre de critères de sécurité à respecter pour un responsable de traitement de données. Pour CardioHub, le choix d’hébergeurs agréés ou certifiés HDS, l’absence de transfert hors UE et la location des datacenters de ces deux hébergeurs [Claranet et Coreye] en France ont facilité l’instruction du dossier”, souligne Vincent Rasneur. Le recours à des prestataires n’est par ailleurs possible que si ces derniers relèvent du régime de juridiction européenne.“Si le traitement envisagé n’entre pas dans le cadre du référentiel EDS, comme pour CardioHub, celui-ci constitue un socle de bonnes pratiques à intégrer pour la création d’un EDS, notamment pour la sécurité des données. Dans le cas de CardioHub, le référentiel de sécurité applicable au SNDS était par ailleurs applicable et se combinait à ce socle de recommandations”, précise-t-il.

“Dans notre référentiel EDS, il est bien indiqué qu’il ne peut y avoir de transfert en dehors de l’UE à destination d’un pays ne disposant pas d’un niveau de protection adéquat.” Un sous-traitant états-unien, au hasard. “Nous avons demandé à ce qu’il y ait deux hébergeurs afin d’assurer un cloisonnement entre les données de santé et les données administratives des patients. La sécurité repose notamment sur cette logique de cloisonnement et l’anonymisation”, poursuit l’expert technique. Elle est régie par le référentiel et l’arrêté relatifs au traitement des données du SNDS. “Le risque associé à l’usage de ces données personnelles réside dans la ré-identification par liens successifs avec d’autres sources de données parfois libres d’accès. Une personne malveillante pourrait ainsi reconstituer l’identité du patient. L’anonymisation des résultats d’analyse est un enjeu considérable. Anonymiser signifie bien que vous ne pourrez jamais ré-identifier le patient dans le jeu de données, quel que soit le moyen utilisé”, explique Vincent Rasneur. Selon ce dernier, des techniques plus compliquées existent, comme l’ajout de bruit ou de confidentialité différentielle, mais sont difficiles à mettre en pratique.

Les compétences expertes requises

Pour Nicolas Glatt, les aspects techniques et réglementaires sont “indissociables” et constituent une ressource “indispensable aujourd’hui”. Technique pour monter l’infrastructure, assurer la sécurité et la mise en place du suivi. Et réglementaire, en interne via le Data Protection Officer DPO) de Clinityx, Romain Boidin. “Clinityx dispose d’expertise réglementaire sur la réutilisation des données de vie réelle. Nous avons géré le projet seuls avec la SFC. Globalement, nous avons dépensé une vingtaine de milliers d’euros pour le réglementaire, la conception et le conseil. Auxquels s’ajoutent 50 000 euros par an pour l’hébergement et l’exploitation de l’infrastructure qui traite les données de santé nominatives (chez un premier HDS), et les données de santé appariées au SNDS, chez un second HDS”, confie le CEO de Clinityx. L’élaboration d’un registre sans appariement SNDS se chiffre à plusieurs centaines de milliers d’euros. “Apparier au SNDS coûte cher car il faut effectuer le lien avec la Cnam”, souligne Martine Gilard. À la Cnil, Manon de Fallois, juriste en Droit de la santé et protection des données des données de santé, et Vincent Rasneur, avocat et ingénieur expert au service technologique, ont assuré en binôme l’instruction juridico-technique du dossier.

Le modèle économique du hub, basé sur la donnée

“Nous avons construit un framework : protocole réglementaire et technique qui répond aux attentes de la Cnil en matière de gouvernance et sécurité vis-à-vis des deux référentiels applicables (EDS et SNDS). Les processus de collecte des données, de l’appariement, du chargement du SNDS Fils sont décrits, comme les conditions de la réutilisation des données de l’EDS dans des projets de recherche”, résume Nicolas Glatt. La rémunération du patient est interdite en France. “Dans le contexte des études sur l’EDS, Clinityx peut soit agréger, minimiser et mettre à disposition les données d’un projet de recherche autorisé, soit orchestrer l’ensemble de l’étude depuis le dépôt d’autorisation CESREES [Comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé]  jusqu’à la validation du rapport final, rédaction médicale, gestion de l’autorisation Cnil, et des analyses statistiques. Le responsable de traitement de données de l’entrepôt ne vend pas la donnée, mais apporte une expertise médicale et du sens de la collecte indispensable à nos yeux”, assure-t-il. Clinityx se donne pour mission, en partenariat avec des acteurs académiques, hospitaliers et sociétés savantes, de faciliter la réutilisation des données de santé. Notamment en assurant leur qualité et la transparence de leur usage vis-à-vis des patients.

“La création de cet environnement réglementaire, technique et transparent est un investissement important difficile à financer pour de nombreux acteurs de la recherche”, insiste le CEO. C’est pourquoi il a décidé d’agir en tant que partenaire de ces acteurs dans une optique de mise en conformité de cette réutilisation. Clinityx se rémunère exclusivement si les données sont réutilisées”.

Globalement CardioHub permet le traitement de données à des fins diverses : analyse des logiques de trajectoires de soins des patients, étude médico-économique, développement d’algorithmes de prédiction de mortalité ou d’événement, durée de survie après implantation, étude des complications péri-opératoires etc. “Cet EDS sert à répondre aux questions scientifiques des porteurs de projet mais également à des projets de surveillance (PMCF, [Post Market Clinical Follow-up]) ou market access des industriels. La SFC et nos autres partenaires EDC [CHU de Poitiers, Colibri en pneumologie]  reçoivent de nombreuses sollicitations pour mobiliser ces données de santé appariées au SNDS dans des projets de recherche. Clinityx agit alors soit comme un data engineer (transformateur de la donnée) soit comme un bureau d’étude” conclut-il.

VALORISER LES COLLECTEURS

“Ce que recherchent Clinityx et la SFC, c’est de disposer des données du registre MITRAGISTER et de les enrichir avec les données relatives au SNDS, grâce à un suivi passif et dans le respect des droits des personnes, pour favoriser les recherches sur les pathologies cardiaques”, souligne Vincent Rasneur. “Les données brutes ne sont finalement mobilisées qu’une seule fois par an, lors de la production d’un datalake [une méthode de stockage de données brutes et non structurées] largement minimisé et accessibles à un seul type de profil”. Martine Gilard abonde : “Un registre n’a d’intérêt que si le suivi est exhaustif. L’analyse du SNDS seul ne présente pas d’intérêt, voire peut entraîner nombre d’analyses erronées. Dans le registre, la description du patient n’est plus médico-économique mais reflète la réalité de la prise médicamenteuse et pas seulement l’ordonnance par exemple. En France 30 % des patients ne sont pas observants, sans compter les patients qui ignorent leur pathologie. Le registre ‘codifie’ le patient. Le SNDS permet de recueillir des éléments factuels, anonymes permettant une vue d’ensemble de patients et de tendances d’évolution. En appariant les données, on les enrichit et on obtient une réelle valeur ajoutée. L’intérêt pour la SFC est d’observer quel type de patient présente telle évolution.” Or collecter des données nécessite du temps, une infrastructure et l’implication du personnel (sélection des patients, prélèvement). “On constate une inflation des études ces dernières années mais nous ne disposons plus des ressources humaines et financières pour cette activité très astreignante. Les ARC [attaché de recherche clinique] travaillent sur plusieurs études en même temps. Contacter un patient à distance prend 3h. Les attachés sont conscients que dans les registres qu’ils constituent pour 40 % du suivi, l’évolution des patients est perdue, ce qui ‘entâche’ les données des 60 % restants. Les données des registres ont moins de valeur et le personnel s’épuise”, alerte Martine Gilard. Il existe donc un réel défaut de ressource en début de chaîne, sur le terrain. Ces collecteurs de données souhaiteraient être reconnus. “Il faudrait modifier cette valorisation indispensable, c’est un véritable levier d’amélioration”, regrette-t-elle.

Un modèle à disposition

Les trois collaborateurs s’accordent à dire que cette expérience a été formatrice. “Nous l’avons vécue comme un réel défrichement de R&D réglementaire”, note Nicolas Glatt. “C’était un projet très novateur qui peut désormais servir de modèle. L’objectif a toujours été que toutes les spécialités médicales disposant d’études randomisées ou de registres souhaitant évaluer l’efficacité des traitements en vie réelle puissent faire de même. Les registres des sociétés savantes portent chacun sur une thématique, généralement une pathologie pouvant faire l’objet de recherches multiples, donc d’études différentes. Structurées en EDS, leurs données pourront être réutilisées. Il faut désormais trouver un modèle économique”, confirme Martine Gilard.

“Grâce à la doctrine construite dans le cadre de l’instruction de ce dossier, celle des futures demandes en sera facilitée. Nous avons d’ores et déjà capitalisé sur ce projet pour les autres dossiers de ce type reçus par la Cnil. Je ne peux qu’inciter les responsables de traitement à s’appuyer sur cet exemple”, abonde Manon de Fallois.

Clinityx a déposé 3 nouvelles demandes d’autorisation auprès de la Cnil portant sur les domaines de l’asthme, l’obstétrique et la BPCO, aux côtés d’une association de patients et du CHU de Poitiers. Quant à Martine Gilard, elle a obtenu l’obtention du remboursement durant un an d’expérimentation d’un dispositif antalgique pour les patients coronariens et est en train de créer un registre à inclure dans CardioHub.