Conseil 20192486 Séance du 12/03/2020

Modalités de publication des bases d'hémovigilance et de pharmacovigilance que l'agence envisage de mettre en ligne prochainement, notamment les mesures à prendre pour garantir l'absence de risque d'identification même indirecte des personnes concernées par les signalements.
La commission d'accès aux documents administratifs a examiné dans sa séance du 12 mars 2020 votre demande de conseil relative au modalités de publication d'un extrait de la base de données de pharmacovigilance que l'agence envisage de mettre en ligne au regard en particulier des mesures à prendre pour garantir l'absence de risque d'identification même indirecte des personnes concernées par les signalements. La commission relève que votre demande de conseil s'inscrit dans une stratégie de l'Agence nationale de sécurité du médicament et des produits de santé (ANSM) d'ouverture au public et de valorisation des données de santé, qui se traduit par la publication de bases de données « brutes » d'hémovigilance et de pharmacovigilance, mais également de documents, tels que des rapports d'évaluation, relatifs aux dossiers traités, l'ensemble de ces documents contenant des données qui, si elle permettaient l'identification des patients concernés, présenteraient un caractère sensible. La commission rappelle, à cet égard, que la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique a inséré dans le code des relations entre le public et l'administration un article L312-1-1 ainsi rédigé : « Sous réserve des articles L311-5 et L311-6 et lorsque ces documents sont disponibles sous forme électronique, les administrations mentionnées au premier alinéa de l'article L300-2, à l'exception des personnes morales dont le nombre d'agents ou de salariés est inférieur à un seuil fixé par décret, publient en ligne les documents administratifs suivants : (...) 3° Les bases de données, mises à jour de façon régulière, qu'elles produisent ou qu'elles reçoivent et qui ne font pas l'objet d'une diffusion publique par ailleurs (...). ». Cette obligation de publication en ligne, qui s'applique à la base de donnée entendue comme contenu et architecture, doit se faire dans le respect des dispositions de l'article L312-1-2 du même code, qui impose à l'administration de concevoir des bases de données ou versions de base de données aux fins de leur mise en ligne, en soustrayant, au besoin, des bases existantes les données qui ne constitueraient pas des informations publiques au sens des articles L321-1 et L321-2 de ce code au motif que la communication de telles données ne constitue pas un droit pour toute personne ou porterait atteinte à un droit de propriété intellectuelle (voir, en ce sens, conseil n° 20184341 du 6 décembre 2018). Cet article précise que, sauf dispositions législatives contraires ou si les personnes intéressées ont donné leur accord, lorsque les documents et données mentionnés à l'article L312-1-1 comportent des données à caractère personnel, « ils ne peuvent être rendus publics qu'après avoir fait l'objet d'un traitement permettant de rendre impossible l'identification de ces personnes », hors les cas prévus à l'article D312-1-3 du même code qui fixe la liste des catégories de documents pouvant être rendus publics sans avoir fait l'objet de ce traitement. S'agissant de données à caractère médical, la commission précise qu'en vertu des dispositions du 1° de l'article L311-6 du code des relations entre le public et l'administration, de telles informations ne sont communicables qu'à l'intéressé, et qu'en vertu de l'article L311-7 de ce code, lorsque la demande de communication porte sur un document dont les mentions qui ne sont pas communicables peuvent être occultées ou disjointes, le document est communiqué au demandeur après occultation ou disjonction. Ainsi que la commission l'avait rappelé dans une précédente demande de conseil dont vous l'aviez saisie (conseil n° 20133264 du 10 octobre 2013), une vigilance particulière s'impose en vue de garantir l'anonymat parfait des intéressés dans l'hypothèse d'une communication à des tiers d'éléments qui ne permettent pas d'identifier les personnes concernées, hors des cas susceptibles de relever soit des dispositions de la loi du 6 janvier 1978 relatives aux recherches dans le domaine de la santé et à l'évaluation des activités de soins et de prévention, soit des dispositions du code du patrimoine permettant d'autoriser les chercheurs à accéder de manière anticipée à des archives publiques à caractère médical. En l'espèce, la commission rappelle que la pharmacovigilance, définie à l'article L5121-22 du code de la santé publique, a pour objet la surveillance, l'évaluation, la prévention et la gestion du risque d'effet indésirable résultant de l'utilisation des médicaments à usage humain et repose, notamment, sur le recueil des effets indésirables signalés par les professionnels de santé, les entreprises ou organismes exploitant les médicaments, ainsi que les patients et associations agréées de patients. La commission a pris connaissance de l'étude des risques de ré-identification à laquelle vous avez procédé à la suite d'une réunion entre ses services, ceux de la Commission nationale de l'informatique et des libertés et les vôtres, qui a été jointe à votre demande de conseil. Cette étude, particulièrement bien réalisée, met en relief l'intérêt présenté par la diffusion de telles données, notamment afin de permettre leur analyse et de favoriser l'information des patients sur les risques liés à l'utilisation des produits de santé. La commission relève à cet égard que des données de nature équivalente sont diffusées à l'échelon européen par l'Agence européenne du médicament. Cette étude fait état d'un risque d'impact extrêmement faible sur la vie privée des personnes concernées. Cependant elle n'écarte pas le risque de ré-identification qui est qualifié de « maîtrisé ». Elle indique, ainsi, que le risque de ré-identification, au regard des trois critères de l'avis n° 5/2014 sur les techniques d'anonymisation adopté par le groupe de travail européen sur la protection des données et de la vie privée, dit « Article 29 », par un proche, par le médecin traitant ou par un professionnel de santé participant à leur prise en charge est probable. La commission en déduit que les données en cause ne peuvent donc pas être regardées comme ayant fait l'objet d'un « traitement permettant de rendre impossible » l'identification des personnes concernées et demeurent des données à caractère personnel, qui ne peuvent, en application des dispositions du 2° de l'article L312-1-2 du code des relations entre le public et l'administration précitées être publiées que si une disposition législative le prévoit, si les personnes concernées ont donné leur accord ou si la base de données figure au nombre des catégories de documents définies à l'article D312-1-3 du même code pouvant être publiés sans avoir fait l'objet au préalable d'un processus d'anonymisation. La commission constate cependant qu'il n'existe aucune disposition législative en ce sens, que l'accord des personnes concernées est matériellement impossible à recueillir à posteriori et que la base de données ne peut être rattachée à une des catégories définies par l'article D312-1-3 du code des relations entre le public et l'administration. La commission ne peut donc que vous conseiller, en l'état de la réglementation actuelle, de ne pas mettre en ligne l'extrait de la base de pharmacovigilance que vous lui avez présenté. La commission, sensible à la démarche d'ouverture au public et de transparence des données de santé entreprise par l'Agence nationale de sécurité du médicament et des produits de santé en matière de vigilance sanitaire dans le respect de la vie privée et des données à caractère personnel des patients, précise qu'elle est disponible pour accompagner l'agence, si elle le souhaite, dans la définition d'un cadre juridique adapté.