TOUT COMPRENDRE - Pourquoi la collecte des données de santé en pharmacie fait scandale

Ce 21 mai sur France 2 sera diffusé un nouvel épisode de l’émission Cash Investigation, dédié à la protection des données personnelles des Français et disponible en ligne depuis plusieurs jours. Parmi les sujets abordés, celui d’une collecte massive de données par l’entreprise IQVIA.

Cette dernière, partenaire de 60% des pharmacies françaises (14.000 officines), utilise l’ensemble des informations inscrites sur les ordonnances pour venir alimenter des bases de données servant à l’analyse de la consommation de médicaments. Une utilisation légale sur le papier, mais avec un cadre réglementaire qui ne semble pas toujours avoir été respecté.

• Quelles données sont concernées?

Le 12 septembre 2018, la Commission Nationale de l’Informatique et des Libertés (CNIL) a autorisé une collecte par l’entreprise IQVIA du numéro de sécurité sociale, de l’année de naissance, du prénom, du sexe et de la liste des médicaments inscrit sur l’ordonnance de millions de patients français.

Le système proposé par IQVIA - baptisé Pharmastat - récolte par ailleurs l’identité du médecin prescripteur, sa spécialité et sa zone géographique. La zone géographique de l’officine délivrant les médicaments est également enregistrée.

En échange, les pharmaciens bénéficient d'une rétribution de 6 euros par mois, mais surtout de statistiques liées aux ventes de leur officine, afin de pouvoir gérer au mieux leurs stocks.

• A quoi servent les données?

Comme le précise la CNIL, ces données peuvent être collectées par IQVIA dès lors que leur utilisation revêt un intérêt public. Le but est de fournir aux laboratoires pharmaceutiques des informations sur la bonne utilisation des médicaments ou sur d’éventuelles interactions médicamenteuses.

En aucun cas les données ne peuvent être vendues ou utilisées pour une autre finalité, par exemple pour faire la promotion de médicaments ou pour informer un assureur d’un risque de santé lié à un assuré.

Surtout, les données sont pseudonymisées avant même de venir alimenter la base de données d’IQVIA, qui n’a donc accès à l’identité d’aucun patient.

L’entreprise n’a par exemple jamais en sa possession une liste de médicaments associée à un numéro de sécurité sociale. La base utilisée par l’entreprise va générer un identifiant aléatoire, qui sera ensuite lié à l’année de naissance du patient et son sexe, puis à la liste des médicaments prescrits par son médecin.

Ces données pseudonymisées ont vocation à être utilisées par les laboratoires mais aussi par des organismes publics (comme la Haute Autorité de santé) pour effectuer des études portant sur la consommation de médicaments des Français.

• Cette collecte est-elle légale?

Selon le RGPD (règlement européen sur les données personnelles), le consentement doit être récolté avant toute collecte de données, à l’exception des usages d’intérêt public.

La collecte d’IQVIA répondant à ce dernier critère, l’entreprise a donc le droit de procéder à cette récolte sans consentement préalable des patients, tant que l’usage reste dans le cadre prévu par la CNIL: aucune réutilisation commerciale, pseudonymisation et aucune revente à des tiers.

En revanche, les patients conservent deux droits essentiels: celui d’être informé de cette collecte de données et celui de s’opposer, à titre individuel, à cette collecte. Sur le papier, chaque patient doit donc pouvoir demander à son pharmacien de ne plus voir ses données collectées à l’avenir, et de faire disparaître l’ensemble des données déjà collectées qui lui sont liées.

• Les patients ont-ils été bien informés?

C’est précisément l’obligation d’informer les patients qui semble ne pas avoir été respectée, selon Cash Investigation.

“Les pharmaciens d’officine seront chargés, contractuellement, d’informer individuellement leurs clients du traitement des données les concernant, ainsi que de permettre l’exercice des droits d’accès, de rectification et d’opposition qui leur sont reconnus” précisait ainsi la CNIL en 2018, évoquant la remise d’une notice d’information à chaque patient et l’affichage d’un document expliquant la collecte de données dans les officines partenaires.

Un contrat signé entre IQVIA et une officine de pharmacie qu’a pu consulter BFMTV mentionne clairement cette obligation, qui incombe au pharmacien.

“Le pharmacien s’engage notamment en sa qualité de responsable de traitement à informer les personnes concernées sur les traitements qu’il met en œuvre et les droits dont elles disposent sur les données à caractère personnel conformément à la réglementation” précise le document.

Lors de leur enquête, les équipes de Cash Investigation n'ont trouvé aucune information à ce sujet dans les vitrines de quelque 200 pharmacies visitées.

“Le sujet de l’information du patient est très important et les pharmaciens doivent s’y conformer. Si le pharmacien pense qu’il est trop compliqué de faire respecter le droit du patient, qu’il s’agisse du droit d’information ou d’opposition, on lui conseille de ne pas s’engager dans ces contrats” rappelle Carine Wolf-Thal, présidente du Conseil national de l'Ordre des pharmaciens, auprès de BFMTV.

• Les patients pouvaient-ils faire valoir leur droit d’opposition?

Faute d’information sur l’existence même d’une collecte de données personnelles, impossible pour les patients d’exercer leur droit d’opposition. Mais les difficultés sont également d’ordre technique.

“Depuis août 2020, un système de code a été mis en place, afin que le pharmacien puisse insérer ce code dans le système en le liant à un patient, notifiant ainsi l’arrêt de la collecte de ses données” précise Jean-Marc Aubert, Président d’IQVIA France, à BFMTV.

Avant cette date, le procédé était plus lourd: le patient devait lui-même contacter IQVIA pour se voir communiquer un code à donner à son pharmacien pour faire opposition au traitement de ses données, précise Jean-Marc Aubert.

La situation était encore plus complexe entre mi-2018, date de la mise en place de la collecte de données et 2019: il fallait ainsi manuellement lier le numéro de sécurité sociale à l’identifiant aléatoire existant dans la base, afin de pouvoir “nettoyer” cette dernière et éviter qu’elle soit alimentée à l’avenir.

Pour cela, la seule solution était de désanonymiser la base: chaque patient devait tenter de retrouver son profil pseudonymisé en indiquant à IQVIA sa date de naissance, son sexe et l’ensemble des médicaments consommés, dans l’espoir de faire coïncider son profil avec l’un des profils de la base. Une procédure aussi complexe que paradoxale, lorsqu’il s’agit de destruction de données personnelles.

“Plus on est malade et plus on a de pathologies, plus notre profil est ciblé. Les personnes peu malades, qui ne consomment que du Doliprane, sont par exemple très difficiles à retrouver” confesse Jean-Marc Aubert à BFMTV.

• Des sanctions sont-elles prévues?

Ce 17 mai, la CNIL a annoncé sa volonté de diligenter des contrôles concernant IQVIA ou les quelque 14.000 officines partenaires. Elle ne précise pas si des contrôles seront également effectués au sujet de la base de données de l’entreprise OpenHealth, également mise en place dans des conditions analogues en 2017.

Dans un communiqué de presse, la CNIL précise que l’ensemble des données déjà collectées par IQVIA doivent être supprimées en cas d’opposition du patient. Une procédure qui n’est pourtant pas toujours possible en raison de la pseudonymisation des bases de données, comme expliqué plus haut.

La CNIL rappelle par ailleurs la responsabilité des pharmaciens dans l’information apportée au patient. Ses équipes devront donc évaluer la part des officines ayant manqué à leurs obligations.