Novembre 2020

Cette Notice d’information sur la protection des données personnelles s’adresse aux personnes ayant été hospitalisées en France.

En effet, les sociétés Novartis Pharma SAS / Sandoz sont susceptibles de réutiliser des données personnelles issues d’une base de données publique appelée « PMSI » regroupant les données des personnes hospitalisées1. Cette utilisation est très strictement encadrée par la réglementation et par une délibération de la Commission Nationale Informatique et Libertés - « CNIL ». L’objet de cette notice est de vous informer sur les conditions d’accès au PMSI pour le compte de Novartis Pharma SAS / Sandoz.

Lorsque Novartis Pharma SAS / Sandoz fait appel aux données du PMSI pour des besoins légitimes, elle agit comme « responsable du traitement ». Elle peut agir seule ou en coordination avec une autre société du groupe Novartis, qui sera alors « co-responsable du traitement ». Dans cette Notice d’information sur la protection des données personnelles, « nous » ou « notre » désignent Novartis Pharma SAS / Sandoz.

Cette Notice d’information sur la protection des données personnelles est divisée en deux parties. La Partie I contient des informations pratiques sur le type de données personnelles que nous traitons, pourquoi et comment nous les traitons. La Partie II contient des informations plus générales sur le contexte dans lequel nous sommes amenés à traiter des données de patients.

Nous vous invitons à lire attentivement cette Notice d’information sur la protection des données personnelles puisqu’elle contient d’importantes informations dont vous pourriez avoir besoin.

Partie I – Informations spécifiques sur notre traitement de données

Les données personnelles réutilisées

Novartis Pharma SAS / Sandoz n’accède pas à vos données personnelles. Seuls des laboratoires de recherche / bureaux d’études référencés auprès de la CNIL ont un accès direct aux données du PMSI. Ces laboratoires de recherche / bureaux d’études produisent des rapports, le plus souvent présentés sous forme de tableaux agrégés, comportant des résultats anonymes, à la demande et pour les besoins de Novartis Pharma SAS / Sandoz. A la lecture de ces rapports / tableaux agrégés, il est absolument impossible pour Novartis Pharma SAS / Sandoz d’identifier les patients en cause.

Les catégories de données personnelles auxquelles les laboratoires de recherche / bureaux d’étude ont accès sont mises à disposition par l’Agence technique de l’information sur l’hospitalisation (ATIH) dans les champs suivants :

Médecine, chirurgie, obstétrique et odontologie (MCO) / Soins de suite et de réadaptation (SSR) / Recueil d’information médicalisée en psychiatrie (RIM-P) / Hospitalisation à domicile (HAD).

Ces données peuvent notamment être :

  • Pour le champ MCO, les catégories d’information enregistrées sont les suivantes :
    • Des informations dites administratives : identifiants correspondant à l’ensemble du séjour dans les unités de médecine, chirurgie, obstétrique ou odontologie de l’établissement : numéro administratif local de séjour et numéro de RSS (résumé de sortie standardisé) ; numéro de l’établissement dans le fichier national des établissements sanitaires et sociaux (FINESS) ; date de naissance ; sexe ; code postal de résidence ; numéro de l’unité médicale d’hospitalisation ; dates et modes d’entrée et de sortie, provenance et destination ; nombre de séances
    • Des informations médicales : diagnostics (diagnostic principal, diagnostic relié, diagnostics associés) ; actes médicaux ; types de dosimétrie et de machine en radiothérapie ; poids à l’entrée dans l’unité médicale pour le nouveau-né ; âge gestationnel de la mère et du nouveau-né, date des dernières règles de la mère ; indice de gravité simplifié (IGS II) ; données à visée documentaire.
  • Pour le champ SSR, les catégories d’information enregistrées dans les résumés hebdomadaires standardisés (RHS) sont les suivantes :
    • Des informations administratives constantes au cours du séjour : numéro FINESS d’inscription e-PMSI ; numéro administratif de séjour ; numéro de séjour SSR : identifiant correspondant à l’ensemble du séjour dans les unités médicales de soins de suite et de réadaptation de l’établissement de santé ; type d’hospitalisation ; date de naissance : jour, mois et année ; sexe ; code postal du lieu de résidence ; date de début et de fin du séjour ; date de la dernière intervention chirurgicale
    • Des informations variables au cours du séjour : numéro d’unité médicale ; type d’autorisation de l’unité médicale ; date d’entrée dans l’unité médicale ; mode d’entrée dans l’unité médicale ; provenance, si le mode d’entrée le nécessite ; date de sortie de l’unité médicale ; mode de sortie de l’unité médicale ; destination, si le mode de sortie le nécessite
    • Des informations hebdomadaires du RHS : numéro de la semaine ; journées de présence ; type d’autorisation de lit identifié ; type d’unité spécifique.

Des informations hebdomadaires médicales, paramédicales et socio-éducatives : le cas échéant, la déclaration par le médecin de la variable « poursuite du même projet.

Les finalités spécifiques pour lesquelles nous avons besoin de vos données personnelles

La finalité de chaque traitement de données est clairement exposée et détaillée dans le protocole de recherche.

En tout état de cause, l’accès aux données personnelles du PMSI est justifié par un motif d’intérêt public ; cela peut être :

  • La préparation des dossiers de discussions et des réunions avec les autorités et comités compétents (exemple : réunions annuelles du comité de prospective des innovations médicamenteuses (CPIM), comité économique des produits de santé (CEPS), etc.) ;
  • La réalisation d’études en conditions réelles d’utilisation à destination ou à la demande des autorités ;
  • Le ciblage des centres et/ou la réalisation d’études de faisabilité dans le cadre d’une recherche impliquant ou n’impliquant pas la personne humaine ;
  • La réalisation d’études dans le cadre de la vigilance et de la surveillance après commercialisation.

Les destinataires des données personnelles traitées

Seul le laboratoire de recherche / bureau d’études a accès aux données du PMSI par l’intermédiaire d’une solution sécurisée. Il est soumis à un référentiel de la CNIL déterminant les critères de confidentialité, d’expertise et d’indépendance pour les laboratoires de recherche et bureaux d’études. Son personnel est soumis au secret professionnel et les personnes chargées de la réalisation de l’étude ont signé un engagement individuel de confidentialité.

Veuillez noter que nous pouvons être amenés à partager les rapports anonymes avec d’autres destinataires (par exemple, toute entité du groupe Novartis).

Comme évoqué précédemment, Novartis Pharma / Sandoz n’a pas accès aux données du PMSI mais uniquement à des rapports anonymes.

Durée de conservation

Les données personnelles du PMSI ne sont pas conservées en dehors de la solution sécurisée utilisée par le laboratoire de recherche ou le bureau d’études avec lequel nous travaillons.

Novartis Pharma SAS / Sandoz ne conserve que des résultats anonymes.

Points de contact

Si vous avez des questions concernant le traitement de vos données personnelles dans le contexte susmentionné, veuillez contacter le responsable local de la protection des données personnelles, à l’adresse [email protected] pour Novartis Pharma SAS ou [email protected] pour Sandoz.

Notre délégué à la protection des données peut être contacté à l’adresse [email protected]

Nous vous informons que vous pouvez exercer vos droits d’accès, de rectification et d’opposition auprès du directeur de l’organisme gestionnaire du régime d’assurance maladie obligatoire auquel vous êtes rattaché.

Vous avez aussi le droit de déposer plainte auprès des autorités de protection des données compétentes (pour la CNIL : www.cnil.fr).

Partie II – Informations générales

La seconde partie de cette Notice d’information sur la protection des données personnelles donne plus de détails sur le contexte dans lequel nous sommes amenés à traiter vos données personnelles et explique nos obligations

1. Fondement juridique et finalités secondaires

1.1 Fondement juridique du traitement

Nous traitons vos données personnelles uniquement si ce traitement est justifié et conforme aux dispositions légales en vigueur. Par conséquent, nous traiterons vos données personnelles uniquement si le traitement présente un caractère d’intérêt public.

1.2 Finalités secondaires du traitement de données

En plus des finalités spécifiques identifiées en Partie I de la présente Notice, nous traitons les rapports anonymes qui nous sont remis pour les finalités générales suivantes :

  • Assurer la pharmacovigilance (surveillance des effets secondaires) ;
  • Et toute autre finalité imposée par la réglementation et les autorités.

2. Comment protégeons-nous vos données personnelles ?

Le laboratoire de recherche / bureau d’études ayant accès aux données PMSI mises à disposition par l’ATIH a l’obligation de réaliser un engagement de conformité auprès de la CNIL à l’arrêté du 17 juillet 2017 relatif au référentiel déterminant les critères de confidentialité, d’expertise et d’indépendance pour les laboratoires de recherche et bureaux d’études, ainsi qu’à l’arrêté du 22 mars 2017 relatif au référentiel de sécurité applicable au SNDS.

Les données PMSI sont mises à disposition par l’intermédiaire d’une solution sécurisée :

  • Soit elles sont mises à disposition par l’intermédiaire du prestataire d’accès sécurisé désigné par l’ATIH ;
  • Soit elles peuvent être exportées vers le laboratoire de recherche / bureau d’études disposant d’une solution sécurisée et ayant conclu une convention avec l’ATIH.

Dans notre contrat avec le laboratoire de recherche / bureau d’études, nous nous assurons de la conformité de son engagement à respecter le droit applicable à la protection des données personnelles.

Par ailleurs, nous avons effectué une déclaration auprès de la CNIL attestant de la conformité de nos projets à la Méthodologie de référence MR-006 relative aux traitements de données nécessitant l’accès pour le compte des personnes produisant ou commercialisant des produits mentionnés au II de l’article L. 5311-1 du code de la santé publique aux données du PMSI.

3. Combien de temps dure l’accès à vos données personnelles ?

La durée d’accès aux données du PMSI est limitée à celle nécessaire à la mise en œuvre du traitement. L’accès aux données peut être maintenu sur justification à l’issue de l’étude dans la limite de deux ans à compter de la dernière publication relative aux résultats.

4. Comment serez-vous informé des changements survenus dans notre Notice d’information sur la protection des données personnelles ?

Vous serez informé de tous futurs changements ou ajouts concernant le traitement de vos données personnelles décrit dans cette Notice d’information à travers nos canaux de communication habituels (par exemple, par le biais de nos sites internet).

1 - « PMSI » signifie « Programme de Médicalisation des Systèmes d’Information ». Il consiste en un recueil synthétique et standardisé d'informations administratives et médicales au sein des établissements de santé, publics ou privés, à but lucratif ou à but non lucratif, dont les objectifs principaux sont d'organiser les soins hospitaliers sur le territoire français (planification) et de financer les établissements en fonction de leur activité (tarification à l'activité).