Cegedim Santé : Précisions concernant la décision de sanction de la CNIL

Cette décision concerne uniquement le logiciel Crossway utilisé par 2 000 contributeurs ayant signé un contrat spécifique de participation à l’Observatoire et s’inscrit en contradiction avec les deux précédents contrôles de la CNIL

Boulogne-Billancourt, le 12 septembre 2024 – Cegedim Santé, acteur majeur du numérique en santé, souhaite apporter des précisions sur la décision de la CNIL du 5 septembre 2024 concernant le traitement des données issues du logiciel Crossway dans le cadre d’un programme de recherche, porté par un réseau restreint de 2 000 médecins volontaires dans un intérêt de santé publique.
Dans cette décision contestée par Cegedim Santé, la CNIL estime que ce traitement aurait dû faire l’objet de formalités préalables, pour la période allant de 2018 (adoption du RGPD) à 2021 (date du contrôle). Pour autant, la CNIL, qui avait connaissance du traitement depuis de très nombreuses années, ne remet pas en cause la robustesse des process, la sécurité des données, ou l’utilisation qui en est faite, ni la poursuite des activités de ce programme de recherche.
C’est le non-accomplissement de cette formalité administrative, lié à un désaccord d’experts sur le caractère anonyme des données, sur cette version ancienne du logiciel qui justifie pour la CNIL le prononcé de la sanction plus de 3 ans après le contrôle réalisé. La CNIL confirme dans son communiqué que Cegedim Santé est désormais en conformité avec la règlementation.
Au vu de ces éléments et de la jurisprudence européenne, Cegedim Santé examine la possibilité de contester la décision de la CNIL devant le Conseil d’Etat.

Un observatoire réalisé dans un intérêt de santé publique depuis plus de 30 ans avec un haut niveau de sécurité reconnu par la CNIL

Depuis plus de 30 ans, le programme de recherche Observatoire épidémiologique de Cegedim Santé permet à ses partenaires la réalisation d’analyses et d’études statistiques dans un intérêt de santé publique, dans des conditions préservant la confidentialité des données collectées. Ces études sont reconnues par l’ensemble des acteurs de santé (autorités de santé, chercheurs, professionnels de santé, industriels du médicament, …).
Ces données sont utilisées comme données de référence par l’Agence Européenne des Médicaments, le CEPS, la HAS, l’ANSM, le Ministère de la Santé.
L’observatoire a permis la réalisation de plus de 2 000 publications scientifiques internationales.

Les activités observatoires n’ont jamais connu la moindre défaillance en termes de sécurité, d’intégrité ou de fuite de données. Elles sont régulièrement auditées par la CNIL qui a même reconnu la validité des process d’anonymisation dans un courrier post-contrôle de 2014.
A la suite d’un audit réalisé il y a plus de 3 ans et d’une évolution de sa doctrine, la CNIL remet soudainement en cause dans sa décision du 5 septembre 2024, le caractère anonyme des données pourtant reconnu comme tel jusque-là. Après de longs échanges et l’intervention d’experts indépendants prouvant l’impossibilité de réidentifier un patient, Cegedim Santé regrette cette nouvelle position doctrinale adoptée par la CNIL.

Néanmoins, Cegedim Santé entend poursuivre toutes les actions de mise en conformité et accroître la collaboration avec la CNIL afin que ces écarts d’interprétation réglementaire à l’avenir soient mieux maitrisés collectivement notamment au regard des enjeux du numérique en santé dans lesquels Cegedim Santé est un contributeur clé.

La décision rendue par la CNIL n’a aucun impact sur la continuité du programme de recherche, sur les modalités de contribution des professionnels de santé volontaires et sur les conditions visant à garantir la sécurité des données. Cegedim Santé continue ainsi à accompagner les médecins et tous les acteurs de santé dans la valorisation de leurs différentes missions de santé publique et à faciliter l’accès aux données pour la recherche.

La décision de la CNIL apporte en outre des clarifications importantes concernant les modalités techniques de remontée de certaines données d’historique nécessaires aux médecins pour une meilleure prise en charge du patient, ce dont la CNIL avait été informée par courrier spécifique dès 2013.

Cegedim Santé regrette toutefois que la CNIL ait choisi d’adopter sur ces aspects la voie répressive malgré la transparence et la collaboration dont Cegedim Santé a toujours fait preuve depuis plus de 20 ans concernant les modalités de mise en oeuvre de ses activités, et notamment lors des contrôles favorables et constructifs de 2001 et 2012.
Cegedim Santé regrette également la formulation du communiqué publié sur le site de la CNIL qui jette l’opprobre sur l’ensemble de ses logiciels alors que seul un usage particulier par 2 000 utilisateurs panélistes du logiciel Crossway et de surcroit sur une période limitée est concerné.

Cegedim Santé remercie la communauté des panélistes pour leur engagement et leur implication dans cette mission essentielle pour la recherche en santé publique.

A propos de Cegedim Santé :
Cegedim Santé est un acteur majeur du numérique en santé qui propose un écosystème de solutions interopérables aux professions médicales et paramédicales pour la gestion de leur activité, leur pratique au quotidien et la coordination des parcours de soins. Sa vocation est de les aider à se concentrer sur le soin de leurs patients, d’améliorer l’accès à la santé pour tous et de fluidifier les parcours de soins.
L’hébergement des données est réalisé en France par cegedim.cloud, certifié ISO 27001 et 50001 mais aussi hébergeur de données de santé (HDS). Présent dans toutes les régions au plus près des organisations territoriales de santé, Cegedim Santé rassemble près de 1 000 collaborateurs.
Pour en savoir plus : www.cegedim-sante.com