Données des pharmacies et IQVIA : la CNIL s'explique et va mener des contrôles

Données des pharmacies et IQVIA : la CNIL s’explique et va mener des contrôles

Les pharmacies dans le viseur

71

Données des pharmacies et IQVIA : la CNIL s'explique et va mener des contrôles

Hier, nous évoquions en détails le contenu du prochain numéro de Cash Investigation s'intéressant à la question des données personnelles. En particulier celles récoltées par IQVIA via de nombreuses pharmacies, sans que l'information ou le droit d'opposition des clients soit mis en œuvre.

Le reportage est clair sur ce point : sur 200 officines visitées, aucune ne présentait aux clients l'affichette relative à ce traitement des données à destination d'IQVIA... Dès lors, impossible pour eux de s'y opposer. 

La société rémunère quelques euros par mois les pharmaciens pour récolter les données issues de leurs ventes et leur fournit des études de marché. Elle utilise ensuite cette matière première pour vendre de coûteuses études sur le parcours médical lié à telle ou telle pathologie par exemple. Se vantant d'être seule sur ce secteur avec un tel accès.

Ce flux emprunte le réseau Pharmastat, qui concerne « plus de 14 000 pharmacies sur l'ensemble du territoire, soit plus de 60% des pharmacies françaises (métropole et DOM) ». 

Comme rappelé hier, ce traitement passe par l'entrepôt de données LRX d'IQVIA. Dans un communiqué publié en réaction, la CNIL « rappelle les conditions et le cadre légal ayant permis son autorisation en 2018 » précisant que l'utilisation des données de santé « est interdite, sauf dans certains cas limitativement énumérés ».

Quelques rappels et des contrôles à venir

Si « elle n’a pas reçu de plainte relative au fonctionnement de cet entrepôt, [la commission] annonce, au regard des éléments portés à la connaissance du public, qu’elle diligentera des contrôles ». Notamment pour vérifier que les engagements pris dans le cadre de l'autorisation ont bel et bien été respectés. Leur « non-respect par le responsable de traitement peut conduire à des sanctions particulièrement lourdes ».

Car les données de santé « destinées au secteur public, à la sécurité sociale ou aux professionnels de santé ne peuvent être réutilisées que pour des projets "d’intérêt public". Il est ainsi possible d’utiliser ces données pour conduire des projets de recherche. Il est également possible de créer des "entrepôts" de données de santé, c’est-à-dire des bases de données contenant un grand nombre d’informations, sur une certaine profondeur historique, pour favoriser la recherche médicale » par des acteurs privés ou publics, ajoute la Commission.

« Dans un certain nombre de cas précisés par la loi, l’entrepôt ou la recherche médicale ne peut être mis en œuvre qu’après avoir reçu l’autorisation de la CNIL. La CNIL exige alors un certain nombre de garanties de nature à préserver la vie privée des personnes ». C'est le cas de l'entrepôt LRX d'IQVIA. 

Les engagements d'IQVIA pour LRX

Ainsi, IQVIA s'est engagée à mettre en place un niveau de pseudonymisation « élevé » et la CNIL s'est dit attentive à ce qu'il « rende la réidentification des personnes la plus difficile possible ».

De même, l'entreprise ne peut recevoir le numéro de sécurité sociale « en clair », ni ne peut « procéder à des rapprochements, interconnexions, mises en relation, appariements avec tout fichier de données directement ou indirectement nominatives ou toute information susceptible de révéler l’identité d’une personne et/ou son état de santé ».

Les données « ne peuvent, en particulier, en aucun cas être utilisées pour promouvoir commercialement des produits de santé, notamment en direction des professionnels de santé ». Les études réalisées à partir des données de LRX doivent présenter un « intérêt public », prévient encore la CNIL qui rappelle que la finalité est « circonscrite ».

Ainsi, elles ne doivent être exploitées que dans le cadre d'études « non interventionnelles visant à l’évaluation de la bonne utilisation du médicament en vie réelle, l’analyse scientifique et statistique des phénomènes liés à la persistance, la conformité, le respect des prescriptions et des contre-indications ».

IQVIA doit, de plus, mettre en place « deux comités ad hoc chargés d’examiner les projets de recherche ou d’étude des futurs clients de la société au regard de l’intérêt public qu’ils présentent » et « publier un rapport annuel présentant une synthèse globale des types d’analyses effectuées ».

L'accès doit être sécurisé « par des mesures d’authentification, un chiffrement des données, une traçabilité des actions et une architecture technique agréée « HDS » (hébergement de données de santé) ». En dehors d'IQVIA et de ses sous-traitants « seuls des partenaires scientifiques peuvent accéder aux données de l’entrepôt, à condition de présenter à leur tour les garanties requises. Les "clients" d’IQVIA ne peuvent être destinataires d’aucune données à caractère personnel de l‘entrepôt ».

Information et consentement des clients en pharmacie

Une fois la question de la sécurisation, du traitement et de l'exploitation de ces données réglée, reste l'un des gros problèmes relevés par l'enquête de Cash Investigation : le respect, par les pharmaciens, des droits de leurs clients.

Ici, la CNIL est claire : ces professionnels « sont chargés, contractuellement, d’informer individuellement leurs clients du traitement des données les concernant, ainsi que de permettre l’exercice des droits d’accès, de rectification et d’opposition qui leur sont reconnus (notice d’information et mise en place d’une affiche dans la pharmacie). La CNIL avait par ailleurs demandé que les supports soient complétés pour être conformes au RGPD ».

Le droit d’opposition ne s'exerce pas auprès d'IQVIA, mais là où les données sont récoltées, donc auprès des pharmaciens partenaires. « Si la personne s’oppose au traitement, ses données ne doivent plus alimenter l’entrepôt de données. L’ensemble des données déjà collectées devra également être supprimé ».

Pour rappel, dans le reportage, le président de la fédération des pharmaciens a répondu que ce défaut d'information « n'est pas bien », évoquant un besoin de sensibilisation en la matière. Pour lui, les manquements constatés sont le fait que les pharmaciens sont « noyés sous la règlementation ». Pas sûr que l'argument soit du goût de la CNIL.

Notez enfin que la Commission ne s'est pas exprimée publiquement sur les autres sujets soulevés dans le reportage, qu'il s'agisse de la collecte et la revente de données personnelles comme des numéros de téléphones portables par des services spécialisés ou du cas de Doctissimo qui a fait l'objet d'une plainte

Commentaires (71)


“Si la personne s’oppose au traitement, ses données ne doivent plus alimenter l’entrepôt de données. L’ensemble des données déjà collectées devra également être supprimé ».



Est ce que les journalistes ont tenté de faire appliquer cette opposition? Non juste histoire de voir le bug que cela provoque dans la pharmacie car, le pharmacien ne sait pas comment faire etc;



Qui a envi d’essayer?


Dans le reportage, le patron de la boite explique qu’il y a un code spécifique a introduire pour que les données ne soient pas transmises.
Je suppose que c’est écrit en tout petit caractère à l’arrière d’un document que les pharmaciens n’ont jamais lut


Dj

Dans le reportage, le patron de la boite explique qu’il y a un code spécifique a introduire pour que les données ne soient pas transmises.
Je suppose que c’est écrit en tout petit caractère à l’arrière d’un document que les pharmaciens n’ont jamais lut


Ok merci pour l’info


Dj

Dans le reportage, le patron de la boite explique qu’il y a un code spécifique a introduire pour que les données ne soient pas transmises.
Je suppose que c’est écrit en tout petit caractère à l’arrière d’un document que les pharmaciens n’ont jamais lut


Je serais curieux de la mise en œuvre de ce code. Autant pour le DP, on peut bloquer la transmission ou l’adhésion, autant pour Pharmastat je n’en ai jamais vu dans LGPI, SmartRX.


Noyés dans un verre d’eau… lamentable.


Ça me rend fou ce genre de dérive…
Un citoyen lambda a très certainement la conviction que tout reste absolument confidentiel entre sa carte vital et les professionnels de santé… et on nous apprends que “non et on ne vous a même pas averti !”.



ces professionnels « sont chargés, contractuellement, d’informer individuellement leurs clients du traitement des données les concernant, ainsi que de permettre l’exercice des droits d’accès, de rectification et d’opposition qui leur sont reconnus (notice d’information et mise en place d’une affiche dans la pharmacie).




Je ne comprends pas la précision dans la parenthèse. Une affiche collée à un mur, noyée dans les publicités pour tel ou tel produit, mises en garde, coordonnées d’autres établissements de santé, etc., est suffisante pour informer et donc permettre le recueil du consentement ? On est au delà du bandeau qu’on ferme par habitude, car dans ce cas on voit le bandeau, libre à nous de le lire ou pas.
Je me demande comment la CNIL peut considérer qu’un tel recueil du consentement peut être « libre, spécifique, éclairé et univoque » comme décrit dans le RGPD. Vu la sensibilité des données recueillies, même une information orale me semblerait insuffisante.


Il ne faut pas confondre les objectifs. L’affichette vise une information des personnes, à savoir le respect des articles 12 à 14 du RGPD.



Elle ne vise pas, à priori, la collecte d’un consentement des patients, au titre de l’article 6 du RGPD (bases légales permettant de mettre en œuvre un traitement). Le traitement étant, dans le cas du traitement LRX d’IQVIA mis en œuvre sur le fondement de l’intérêt public.



Fournir une information n’est pas équivalent, en termes de modalités, à récolter un consentement.



Pour autant, l’on peut tout de même s’interroger sur la transparence de cette information (affichette) pour les raisons que tu évoques (affichette noyée parmi d’autres contenus, pas forcément visible, etc.). Il semble compliqué de respecter les modalités de l’article 12 du RGPD (qui précise les modalités devant être respectés en matière d’information) avec un mécanisme d’affichette. Pourtant, c’est un mécanisme que la CNIL semble admettre pour les professionnels de santé, depuis longue date.



Dans tous les cas, le contenu de l’affichette ne semble pas non plus conforme :non: avec les lignes directrices sur la transparence au sens du règlement (UE) 2016679 (WP260 rev.0) du 11 avril 2018, de l’EDPB.


Fl0Wer

Il ne faut pas confondre les objectifs. L’affichette vise une information des personnes, à savoir le respect des articles 12 à 14 du RGPD.



Elle ne vise pas, à priori, la collecte d’un consentement des patients, au titre de l’article 6 du RGPD (bases légales permettant de mettre en œuvre un traitement). Le traitement étant, dans le cas du traitement LRX d’IQVIA mis en œuvre sur le fondement de l’intérêt public.



Fournir une information n’est pas équivalent, en termes de modalités, à récolter un consentement.



Pour autant, l’on peut tout de même s’interroger sur la transparence de cette information (affichette) pour les raisons que tu évoques (affichette noyée parmi d’autres contenus, pas forcément visible, etc.). Il semble compliqué de respecter les modalités de l’article 12 du RGPD (qui précise les modalités devant être respectés en matière d’information) avec un mécanisme d’affichette. Pourtant, c’est un mécanisme que la CNIL semble admettre pour les professionnels de santé, depuis longue date.



Dans tous les cas, le contenu de l’affichette ne semble pas non plus conforme :non: avec les lignes directrices sur la transparence au sens du règlement (UE) 2016679 (WP260 rev.0) du 11 avril 2018, de l’EDPB.


Selon moi, les pharmaciens devraient rendre l’argent récupéré, et IQVIA tout supprimer ce qui vient d’elles. C’est il-légal donc ça doit avoir valeur nulle.



Tu aurais du mieux lire l’article:
“Le droit d’opposition ne s’exerce pas auprès d’IQVIA, mais là où les données sont récoltées, donc auprès des pharmaciens partenaires”



Ici, la CNIL est claire : ces professionnels « sont chargés, contractuellement, d’informer individuellement leurs clients du traitement des données les concernant, ainsi que de permettre l’exercice des droits d’accès, de rectification et d’opposition qui leur sont reconnus (notice d’information et mise en place d’une affiche dans la pharmacie). La CNIL avait par ailleurs demandé que les supports soient complétés pour être conformes au RGPD ».




C’est étonnant, car la même CNIL avait reconnu la responsabilité de la société Vectaury qui propose un SDK et qui se déchargeait de la responsabilité de recueillir le consentement de l’utilisateur par voie contractuel, mais avait laissé tranquille les applications utilisant le SDK…


Mais qui en doutait ? Parce que IQVIA dit “c’est ok, on fait tout ça”, alors on est supposé les croire ?
Ils n’en ont certainement, comme beaucoup, rien à foutre. Que ce soit les obligations de la CNIL, de nos données persos…. Pas vu, pas pris, hein…



Et quand bien même il y a une obligation de résultats, dont l’amende coule la société fautive, nos données sont, de toutes façons, dans la nature.



Affligeant. Il me tarde le pass sanitaire ! :D


Comment savoir si ma pharmacie utilise le logiciel de cette entreprise?
Bien envie de les appeler pour savoir.



Dj a dit:


Dans le reportage, le patron de la boite explique qu’il y a un code spécifique a introduire pour que les données ne soient pas transmises.




Enfin, de ce que j’ai compris, c’est très récent comme modification, et probablement lié au fait de l’enquête de Cash, vu qu’ils ont mis longtemps à répondre, ça leur a laissé le temps de faire des modif et pouvoir répondre : vous voyez c’est possible…


Je sens que mon pharmacien ne va pas m’aimer :non:


ma femme est pharmacienne, elle ne pense pas être concernée par cette affaire
mais d’un autre côté, impossible de savoir si un module de son logiciel n’extrait pas les données pour les transmettre à IQVIA ou autre
comme dit dans un commentaire précédent, c’est peut-être écrit dans en petits caractères dans un contrat de 20 pages qui la lie à son fournisseur de logiciel…
seule solution, elle va appeler pour être certaine de pas être impactée
les pharmaciens sont formés à la dispensations des médicaments (certains plus à la vente qu’au conseil, mais c’est un autre débat), mais clairement pas aux technologies
ma femme est bien consciente du problème des données de santé, freine autant qu’elle peut au sujet du DMP (Dossier Medical Partagé), mais on ne peut pas transformer les pharmaciens en spécialistes des données ou en experts cyber-sécurité
et oui, ils sont surchargés de démarches administratives


Elle est titulaire ??
Seul les titulaires sont au courant, car ce sont eux qui ont signé le contrat. Les adjoints et les préparateurs sont au courant de rien.


Soriatane

Elle est titulaire ??
Seul les titulaires sont au courant, car ce sont eux qui ont signé le contrat. Les adjoints et les préparateurs sont au courant de rien.


oui elle est titulaire, logiciel Caduciel



Jarodd a dit:


Je ne comprends pas la précision dans la parenthèse. Une affiche collée à un mur, noyée dans les publicités pour tel ou tel produit, mises en garde, coordonnées d’autres établissements de santé, etc., est suffisante pour informer et donc permettre le recueil du consentement ? On est au delà du bandeau qu’on ferme par habitude, car dans ce cas on voit le bandeau, libre à nous de le lire ou pas. Je me demande comment la CNIL peut considérer qu’un tel recueil du consentement peut être « libre, spécifique, éclairé et univoque » comme décrit dans le RGPD. Vu la sensibilité des données recueillies, même une information orale me semblerait insuffisante.




Oui c’est vraiment lamentable d’avoir encore ce genre de situation.
Depuis le temps que le sujet est sur la table tout le monde un tant soit peu professionnelle est au courant ou de mauvaise foi.
Par défaut la transmission d’information personnelle devrait devrait être en “opt out” partout avec sanction direct en cas de non respect et l’acceptation c’est un formulaire papier ou électronique et validé sciemment par l’utilisateur…



luc83 a dit:


ma femme est pharmacienne, elle ne pense pas être concernée par cette affaire




Si elle a un contrat avec IQVIA, elle l’est :D Si c’est avec un de leurs concurrents: alors aussi…



Perso j’ai l’affiche sur la porte de l’officine, par contre si un client/patient me faisait part de son opposition, je serais bien emmerdé: il n’y a pas de possibilité, depuis mon logiciel, d’empêcher la remontée à IQVIA pour une personne en particulier…


Tu utilises quel logiciel métier??


Donc si on résume le truc, et si j’ai bien compris, IQVIA fournit un logiciel de gestion aux officines gratos et siphonnent les données de leurs clients en échange. Les officines font donc des économies sur le dos de leur clients.
Vu qu’il y a des propriétaires d’officine ici, combien ça coûte un logiciel de gestion d’officine fournit par un éditeur qui fait son beurre sur la vente du logiciel et non pas sur la vente des données clients ? A moins que tous les logiciels d’officine récupère les données clients.


les logiciels de gestion d’officine ne sont pas gratuits, loin de là, c’est même scandaleux que des trucs aussi simples soient aussi chers
mais il n’y a que quelques acteurs, ils font ce qu’ils veulent, surtout face à la majorité des pharmaciens qui ne captent rien en informatique


Non c’est un module/logiciel à part du logiciel métier qui tape dans la base de données.



Je ne connais pas de logiciel métiers qui ont Pharmastat inclus. Après, je ne serais pas surpris que certains éditeurs le fassent +/- en douce du titulaire. Je crois que certains font ce genre d’entourloupe pour les frais de télé transmissions.



Il me semble que CEGEDIM vend des infos tirés des logiciels de ses clients (pharmacies, médecins).



Un logiciel d’officine c’est déjà un serveur sous linux avec obligation d’acheter du matériel informatique pour les postes clients auprès de l’éditeur.


Soriatane

Non c’est un module/logiciel à part du logiciel métier qui tape dans la base de données.



Je ne connais pas de logiciel métiers qui ont Pharmastat inclus. Après, je ne serais pas surpris que certains éditeurs le fassent +/- en douce du titulaire. Je crois que certains font ce genre d’entourloupe pour les frais de télé transmissions.



Il me semble que CEGEDIM vend des infos tirés des logiciels de ses clients (pharmacies, médecins).



Un logiciel d’officine c’est déjà un serveur sous linux avec obligation d’acheter du matériel informatique pour les postes clients auprès de l’éditeur.


OK, donc iqvia a un module qui s’adapte au logiciels existant et ne fourni pas lui même le logiciel. Merci de la précision ;-)
Par contre, je comprends pas l’interet pour les officines de souscrire à iqvia du coup.


fate1

OK, donc iqvia a un module qui s’adapte au logiciels existant et ne fourni pas lui même le logiciel. Merci de la précision ;-)
Par contre, je comprends pas l’interet pour les officines de souscrire à iqvia du coup.


Ça a plusieurs intérêts comme connaitre les fourchettes de prix de ventes de certains médicaments chez les concurrents, dans le secteur, permet de connaitre mieux le profil de sa patientèle, …


durthu

Ça a plusieurs intérêts comme connaitre les fourchettes de prix de ventes de certains médicaments chez les concurrents, dans le secteur, permet de connaitre mieux le profil de sa patientèle, …


Le spyware dont vous êtes le héros. :mdr:
J’avoue qu’à la place d’un pharmacien lire des notices ne doit pas être très fun mais tout de même.


Tu n’imagines pas le prix d’un logiciel de gestion d’officine…
En plus, c’est quasiment tout le temps lié à du matos et tu dois payer la maintenance, SAV, …



Quand j’étais à la fac, j’avais proposé à notre prof d’info d’étudier la possibilité de faire un logiciel de gestion libre via toutes les fac française. C’était surement trop ambitieux, démesuré mais j’aurais bien aimé que ça aboutisse à quelque chose.


En regardant la page wikipedia d’IQVIA, je constate que c’est une multinationale américaine. En ces temps où on nous informe sur l’enjeu stratégique de la souveraineté numérique et en particulier le stockage cloud des données des citoyens FR sur le territoire national pour lutter contre les GAFAM, on peut penser que les données liées à la santé des citoyens FR - jugées hautement sensibles - partent à l’étranger pour nourrir les industries Pharma et autres groupes de mutuelles privées…



dematbreizh a dit:


Tu aurais du mieux lire l’article: “Le droit d’opposition ne s’exerce pas auprès d’IQVIA, mais là où les données sont récoltées, donc auprès des pharmaciens partenaires”




L’ami, je ne vois pas le rapport avec mon explication précédente …


“Elle ne vise pas, à priori, la collecte d’un consentement des patients”
Si. le consentement c’est la non opposition, pas besoin de jouer sur les mots.



Donc l’affiche empêche les gens de ne PAS consentir.


dematbreizh

“Elle ne vise pas, à priori, la collecte d’un consentement des patients”
Si. le consentement c’est la non opposition, pas besoin de jouer sur les mots.



Donc l’affiche empêche les gens de ne PAS consentir.


Non.



Relis le RGPD, le consentement et l’opposition sont 2 choses très différentes.


Pourquoi demander le consentement dans ce cas précis ? L’autorisation de la CNIL permet d’obtenir la garantie que les données sont traitées de manière respectueuse des personnes (doublement pseudonymisées et tutti quanti). Allez y pour retrouver la personne derrière la carte vitale !



C’est justement dans un intérêt public (la santé publique) que ce traitement est autorisé. Si l’on devait consentir à tout mes amis, vous ne sauriez plus où donner de la tête !



Que des contrôles soient déclenchés pour ne pas oublier le cadre de l’autorisation est par contre très bien venu !


Il ne s’agit pas de demander le consentement mais d’informer du traitement, comme expliqué en #14.



Par contre, une fois informé, on peut s’opposer au traitement.


fred42

Il ne s’agit pas de demander le consentement mais d’informer du traitement, comme expliqué en #14.



Par contre, une fois informé, on peut s’opposer au traitement.


J’ai bien compris, je réagis plutôt aux commentaires. Je me fais l’avocat du diable :) Sous prétexte qu’il s’agit de données concernant notre santé, il faudrait le consentement à tout prix parce que c’est une société privée derrière, pardon, une société américaine, le mal absolu et qui en plus gagne beaucoup d’argent, le diable en personne !



luc83 a dit:


ma femme est pharmacienne, elle ne pense pas être concernée par cette affaire mais d’un autre côté, impossible de savoir si un module de son logiciel n’extrait pas les données pour les transmettre à IQVIA ou autre




Bien sûr que si:
L - Paramétrage
1- Préférences -> Transmissions -> Organismes statistiques.



Mais pour transmettre les données à IQVIA, il faut avoir signé un contrat avec eux. Impossible que ça se passe à l’insu du titulaire.


on a notre monsieur jesaistout, ma femme et moi sommes sûrement des abrutis



alors pour te répondre quand même :
1-tu ne connais pas son logiciel
2-des fonctionnalités cachées (volontairement ou non) dans des logiciels, ça existe, et pas qu’un peu
3-des petites lignes dans des contrats de plusieurs pages, tu ne connais pas ?
4-le ton péremptoire tu te le gardes


luc83

on a notre monsieur jesaistout, ma femme et moi sommes sûrement des abrutis



alors pour te répondre quand même :
1-tu ne connais pas son logiciel
2-des fonctionnalités cachées (volontairement ou non) dans des logiciels, ça existe, et pas qu’un peu
3-des petites lignes dans des contrats de plusieurs pages, tu ne connais pas ?
4-le ton péremptoire tu te le gardes


1- J’ai commencé à l’utiliser quand j’étais étudiant dans les années 90, je l’utilise au quotidien de façon exclusive depuis 15 ans, donc je le connais un peu quand même…
2 et 3- Des fournisseurs, des éditeurs qui entubent leurs clients, il y en a. Celui-là n’en fait pas partie. Par contre, je ne suis pas sûr de pouvoir en dire autant autant du leader du marché…
4- euh, je suis dans mon domaine d’expertise et toi non, c’est normal, il ne faut pas te sentir rabaissé ou te vexer. Et je ne crois pas avoir pris un ton péremptoire, si c’est comme ça que tu l’as perçu, tu m’en excuseras :chinois:



loser a dit:


Si elle a un contrat avec IQVIA, elle l’est :D Si c’est avec un de leurs concurrents: alors aussi…




remarque stupide à laquelle j’avais préféré ne pas répondre à la 1ere lecture, mais vu que tu persistes à vouloir faire croire que tu sais tout mieux que tout le monde…


Surtout quand est-ce que cela deviendra la norme du non par default….


Le RGPD exige que le concentement soit fait via une acte positif explicite.
Il faudrait donc que les pharmaciens soient en mesure de prouver le consentement donné par chacune des personnes dont les données personnelles sont collectées pour traitement par IQVIA.



Pourquoi renverse-t-on la logique et doit-on donc exercer un droit de retrait ?
Si en posant des questions, l’on s’aperçoit qu’un pharmacien collecte ces informations, il est en violation du RGPD, non ?
Pourquoi l’exigence n’est-elle pas aux pharmaciens d’arrêter la collecte des données de toutes les personnes pour lesquelles il ne sont pas en mesure de prouver un consentement effectué par acte positif explicite ?


Comme déjà expliqué plus haut, parce qu’il n’y a pas que le consentement qui autorise le traitement de données personnelles, il y a plusieurs bases légales possibles.



La seule chose qu’impose le RGPD ici, c’est l’information. Edit : et de pouvoir s’opposer au traitement.


fred42

Comme déjà expliqué plus haut, parce qu’il n’y a pas que le consentement qui autorise le traitement de données personnelles, il y a plusieurs bases légales possibles.



La seule chose qu’impose le RGPD ici, c’est l’information. Edit : et de pouvoir s’opposer au traitement.


OK merci. J’avais effectivement lu trop vite.



J’ai donc une autre question : comment se fait-il que l’information & l’exercice du droit d’opposition soit liés à l’endroit de la collecte et non à la source des données collectées ?
Il est expliqué que l’exercice de retrait doit se faire dans une pharmacie. Une fois ceci fait, et après déménagement, j’en conclus qu’il faudra de nouveau exercer son droit d’opposition dans la nouvelle pharmacie…
Sait-on pourquoi le droit de retrait n’est pas associé, non pas à la pharmacie, mais bien à la source considérée, c’est à dire la personne cible, identifiée via sa carte Vitale ou SSN ? Une fois le refus exercé, les données correspondants aux patients avec la-dite carte Vitale ou le-dit SSN ne pourraient plus être collectées.
Selon moi, le lieu de collecte n’a rien à faire dans l’équation…


Berbe

OK merci. J’avais effectivement lu trop vite.



J’ai donc une autre question : comment se fait-il que l’information & l’exercice du droit d’opposition soit liés à l’endroit de la collecte et non à la source des données collectées ?
Il est expliqué que l’exercice de retrait doit se faire dans une pharmacie. Une fois ceci fait, et après déménagement, j’en conclus qu’il faudra de nouveau exercer son droit d’opposition dans la nouvelle pharmacie…
Sait-on pourquoi le droit de retrait n’est pas associé, non pas à la pharmacie, mais bien à la source considérée, c’est à dire la personne cible, identifiée via sa carte Vitale ou SSN ? Une fois le refus exercé, les données correspondants aux patients avec la-dite carte Vitale ou le-dit SSN ne pourraient plus être collectées.
Selon moi, le lieu de collecte n’a rien à faire dans l’équation…


C’est le cas pour le dossier pharmaceutique, 3 refus et le DP n’est plus proposé.


Dans l’affaire, ce qui me fait sourire, c’est que certaines personnes qui vont s’offusquer du recueil de ces données en principe et normalement anonymisées, mais ne vont rien trouver à redire lorsque leur mutuelle va leur demander une copie de la facture avec parfois l’ordonnance pour se faire rembourser certains produits.
Je conseille à ces personnes de transmettre plutôt le décompte sécurité sociale qui ne comporte pas le nom des médicaments et qui devrait suffire, mais beaucoup de mutuelle ne s’en contentent pas, et les gens s’exécutent pour toucher leurs sous.


Entièrement d’accord.



Comme très (trop) souvent, Cash Investigation détecte un truc un peu foireux dans un secteur, habille le truc en mode sensationnaliste, mais au final se concentre sur le même os à ronger (il y a quelques mois, j’avais tenté le reportage sur les organismes de crédit, ça promettait des révélations fracassantes, tu parles d’un scoop que c’est un secteur de crevards qui sont là pour faire de l’argent).



Bref, ils ont vu qu’effectivement une entreprise de collecte de données avait habilement marié son système à un logiciel très répandu dans les pharmacies, et que la plupart des pharmaciens sont en mode lapin dans les phares “comment ça je dois informer les clients de la possibilité de refus de collecte, je croyais que c’était à l’entreprise de collecte de gérer ça”



Finalement, je n’arrive toujours pas à savoir de manière fiable si cette société pouvait lier les informations aux patients, vu qu’a priori il y avait de l’anonymisation (et que s’agissant de données de santé, la CNIL a donné son autorisation en amont). La réaction assez modérée de la CNIL me laisse penser qu’hormis le manque d’information d’un droit de refus de traitement (anonymisé…), cette histoire va vite se transformer en baudruche dégonflée



Et pour rebondir sur la remarque très juste de RatonLaveur54, pendant ce temps des trucs beaucoup plus ennyeux persistent tranquilou. Qui, parmi les gens qui n’ont pas de praticien médical bien informé dans son entourage, sait que les mutuelles n’ont absolument pas le droit d’exiger d’informations détaillées pour rembourser, et qui pourtant le font ?



Combien de pharmacies, de praticiens ont des adresses en gmail, et y échangent des documents sensibles ? (d’ailleurs, ça ne choque ni les professionnels de santé ni les patients)



3 mois après une fuite de données monstrueuse de laboratoires d’analyses (avec des conséquences tangibles pour un demi-million de personnes), quelques mois après le scandale du Health Data Hub, ils avaient pourtant matière à faire quelque chose d’autrement moins médiocre



Et pendant ce temps, les GAFAM sont morts de rire


L’article mentionne le numéro de sécurité sociale, mais à priori le partage de ce genre d’info constituerait une violation du secret médical, non?



Et si c’est le cas, est-ce qu’il ne s’agit pas simplement d’un délit? Pourquoi aller chercher la RGPD dans un cas comme celui-ci?



Ma pharmacie propose des carte de fidélité pour la parapharmacie (que je n’ai jamais acceptées évidemment, au grand désarroi de mon pharmacien), mais j’étais loin de m’imaginer qu’on avait dérivé à ce point…


Tu as vu beaucoup de tribunaux vides en France ?



Et puis de quoi te plains-tu, tu purges déjà ta perpétuité, de la naissance à la mort, dans la prison de la santé virtuelle. :ouioui:


c’est rigolo, Next Inpact a beaucoup parlé du Health Data Hub dans plusieurs articles mais le dénominateur commun n’a pas été mis en avant dans les deux articles sur les données récupérées par IQVIA.




https://www.lemonde.fr/planete/article/2019/12/24/donnees-de-sante-conflit-d-interets-au-c-ur-de-la-nouvelle-plate-forme_6023918_3244.html



:D



loser a dit:


1- J’ai commencé à l’utiliser quand j’étais étudiant dans les années 90, je l’utilise au quotidien de façon exclusive depuis 15 ans, donc je le connais un peu quand même… 2 et 3- Des fournisseurs, des éditeurs qui entubent leurs clients, il y en a. Celui-là n’en fait pas partie. Par contre, je ne suis pas sûr de pouvoir en dire autant autant du leader du marché… 4- euh, je suis dans mon domaine d’expertise et toi non, c’est normal, il ne faut pas te sentir rabaissé ou te vexer. Et je ne crois pas avoir pris un ton péremptoire, si c’est comme ça que tu l’as perçu, tu m’en excuseras :chinois:




mais que sais-tu de mon domaine d’expertise, toi l’expert en tout qui sait tout ?


Tu-il a(s) un accès root ? :troll:


T’es fatigant, mec.
Oui, je sais que ton domaine d’expertise n’est pas pas la pharmacie d’officine (puisque c’est celui de ta femme). C’est toi qui l’as dit.
Oui, je sais également que le logiciel de ta femme c’est Caduciel; c’est toi qui l’as dit….
Non, je n’ai pas prétendu être expert en autre chose.



Bref, j’espère au moins que ta femme a pu vérifier si elle avait bien un contrat avec IQVIA ou pas.


Bonsoir, pensez-vous qu’il est possible de demander une copie de ses données à IQVIA ? J’aimerai savoir quelle(s) pharmacie(s) à transmises mes données à IQVIA sans m’en informer :d


Bien sûr que c’est possible. Et on peut demander quelle est la ou les source(s) des données.
Voir sur cette page de la CNIL. Il y a même un lien vers un générateur de courrier pour faire cette demande (pas forcément génial, mais ça peut aider).


fred42

Bien sûr que c’est possible. Et on peut demander quelle est la ou les source(s) des données.
Voir sur cette page de la CNIL. Il y a même un lien vers un générateur de courrier pour faire cette demande (pas forcément génial, mais ça peut aider).


:non:
En théorie oui, mais en pratique, IQVIA ne peut pas communiquer aux gens leurs données personnelles qu’ils détiennent, vu qu’ils n’en ont aucune. :D
L’anonymisation est faite avant que les données arrivent chez eux par des organismes indépendants et agréés. Les seules informations dont ils disposent sur une personne sont: le sexe et l’âge. (je cite approximativement un email qu’ils viennent d’envoyer aux pharmaciens partenaires).
Par contre il est possible de s’opposer au traitement de ses données anonymisées, il faut le signaler à sa pharmacie.


loser

:non:
En théorie oui, mais en pratique, IQVIA ne peut pas communiquer aux gens leurs données personnelles qu’ils détiennent, vu qu’ils n’en ont aucune. :D
L’anonymisation est faite avant que les données arrivent chez eux par des organismes indépendants et agréés. Les seules informations dont ils disposent sur une personne sont: le sexe et l’âge. (je cite approximativement un email qu’ils viennent d’envoyer aux pharmaciens partenaires).
Par contre il est possible de s’opposer au traitement de ses données anonymisées, il faut le signaler à sa pharmacie.


OK, donc, je comprends mieux pourquoi c’est auprès des pharmaciens qu’il faut faire opposition. Je me suis un peu fait avoir par la page de la CNIL en lien qui dit :
Le droit d’opposition s’exerce auprès des pharmaciens partenaires. Si la personne s’oppose au traitement, ses données ne doivent plus alimenter l’entrepôt de données. L’ensemble des données déjà collectées devra également être supprimé.



Comme il faut supprimer les données déjà collectées, il faut que les organismes indépendants envoient un ordre de suppression pour l’identifiant anonyme qu’ils ont généré pour celui qui demande la suppression. Cela ne doit pas leur poser de problème.


Si tu obtiens le nom des pharmacies, c’est qu’il y a un sacré problème dans l’anonymisation :mad2:


Gamble

Si tu obtiens le nom des pharmacies, c’est qu’il y a un sacré problème dans l’anonymisation :mad2:


Tant que c’est bien les données du patient en tant que telles qui sont anonymisées.



Afin de faire des études épidémiologiques géographiques, il faut bien avoir la localisation des pharmacies.



grego_ry a dit:



Et pendant ce temps, les GAFAM sont morts de rire




On avait dit pas d’abus de pillule rouge. :non:
:troll:


Chose amusante, je viens de recevoir via l’application de l’ordre des pharmaciens un rappel intitulé : “ Données personnelles : rappel sur l’obligation d’informer les personnes du traitement de leurs données”….


Voici le lien pour ceux que ça intéresse.


Autant Pharmastat à mis en place un code à scanner dans le LGO pour bloquer (et effacer) l’accès au données, autant personne ne se pose la question sur le droit de retrait pour Ospharm, Santéstat, qui font quasiment les mêmes extractions !


La page RGPD sur le site d’Iqvia



Je cite :



Vous êtes patient
Vous pouvez adresser vos demandes d’exercice de droits directement auprès de votre pharmacien habituel ou toute autre pharmacie partenaire participant au projet LRX.



Vous pouvez également vous adresser au délégué à la protection des données d’IQVIA pour toute question concernant vos données à caractère personnel. Dans ce cas vous reconnaissez que vous établissez un contact direct avec IQVIA qui pourrait, le cas échéant, conduire en fonction des informations partagées à vous identifier.



Les coordonnées du délégué à la protection des données désigné par IQVIA sont : [email protected].



Les différentes notices (pdf) sont disponible dans les menus déroulant “Vous êtes pharmacien” ou “vous êtes patient”


Merci pour cet article en accès libre et aux différentes interventions de connaisseurs en la matière.


J’ai pris le temps de regarder le reportage en entier



Bon, ils ne peuvent pas s’empêcher leur mise en scène usée jusqu’à la moelle. Mais mine de rien avec IQVIA ils ont levé un double loup : le numéro de sécurité sociale ferait bien partie des données collectées (cf. l’autorisation de la CNIL montrée dans le reportage) (mais alors où est l’anonymisation bordel ???), et d’autre part le yolo total de la conception du Health Data Hub par le président du plus gros broker français de données de santé



C’est tout de même très moche


J’ai vu le reportage hier soir.



Je suis pharmacien (en établissement hospitalier) et je n’aime pas forcément la manière de procéder de IQVIA. Je serais le premier à demander la non utilisation de mes données dans ce cas et au vu de ce que la société en fait.



Je n’aime pas forcément comme toi la mise en scène d’Elise Lucet et la tournure qu’elle veut toujours faire prendre pendant les interviews. Par exemple, avec Cédric O, elle voulait absolument lui faire dire que les sanctions sont ridicules pour les GAFAM et que la loi ne sert à rien. J’ai trouvé la réponse du secrétaire d’état très bonne, la loi est là, il ne faut pas hésiter à saisir les autorités compétentes pour la faire respecter.


durthu

J’ai vu le reportage hier soir.



Je suis pharmacien (en établissement hospitalier) et je n’aime pas forcément la manière de procéder de IQVIA. Je serais le premier à demander la non utilisation de mes données dans ce cas et au vu de ce que la société en fait.



Je n’aime pas forcément comme toi la mise en scène d’Elise Lucet et la tournure qu’elle veut toujours faire prendre pendant les interviews. Par exemple, avec Cédric O, elle voulait absolument lui faire dire que les sanctions sont ridicules pour les GAFAM et que la loi ne sert à rien. J’ai trouvé la réponse du secrétaire d’état très bonne, la loi est là, il ne faut pas hésiter à saisir les autorités compétentes pour la faire respecter.


My bad, tu as raison la réalité est beaucoup moins sensationnelle que ce que prétend le reportage



Et entretemps j’ai aussi eu des infos assez précises d’un proche qui travaille dans le milieu de la pharmarcie. Ca nécessiterait une double vérification (je suis pas journaliste :mdr: quoique, ce n’est peut-être pas si compliqué d’être plus factuel que Cash Investigation… :D )



En tout cas, ce qui semblerait avéré, c’est que :
_ déjà ce ne serait pas “plus de la moitié” des pharmacies qui appliqueraient le contrat décrié avec IQVIA : Cash Investigation mélange les 14 000 pharmacies utilisant un système de remontée de statistiques commerciales (sans aucune donnée liée aux clients) (c’est ce type de contrat qui est rémunéré quelques euros par mois) avec celles qui ont un contrat plus complet s’agissant des profils clients
-> Donc soit Cash Investigation ont mal fait leur boulot de journalistes, sans se renseigner sur les différents types de contrats possibles entre les pharmaciens et IQVIA, soit ils ont sciemment préféré tout “simplifier” pour mieux jeter l’opprobe…



_ de plus (et surtout !), le NIR (numéro de sécu) n’est pas transmis à IQVIA ! (contrairement à ce qui est avancé dans le reportage). Le NIR est pseudonisé. Alors on peut discuter de la qualité de cette pseudonisation (possibilité de ré-indentification ou non), mais dire à une heure de grande écoute que les pharmaciens balancent le NIR de leurs clients à une société tierce, c’est tout simplement faux



Avec un tel “niveau” d’investigation, j’en viens à me demander ce que représente vraiment le chiffre de 400 milliards d’euros qu’ils balancent dans l’émission sur le marché des data brokers. Le marché est énorme, mais que représente ce chiffre ? le volume d’échanges commerciaux entre ces sociétés ? leur chiffre d’affaire ? leur marge ? Européen ? Mondial ?



Donc finalement ça semble se confirmer : dès qu’on connait le domaine sur lequel cette émission enquête, on se rend compte de leurs grosses ficelles et de leur sensationnalisme qui vire parfois à la fake news (le comble !)



Si « elle n’a pas reçu de plainte relative au fonctionnement de cet entrepôt, [la commission] annonce, au regard des éléments portés à la connaissance du public, qu’elle diligentera des contrôles ».




En même temps ça me parait logique de ne recevoir de plainte pour un système opaque qui est inconnu de tous (professionnels et public).



durthu a dit:


Je n’aime pas forcément comme toi la mise en scène d’Elise Lucet et la tournure qu’elle veut toujours faire prendre pendant les interviews. Par exemple, avec Cédric O, elle voulait absolument lui faire dire que les sanctions sont ridicules pour les GAFAM et que la loi ne sert à rien. J’ai trouvé la réponse du secrétaire d’état très bonne, la loi est là, il ne faut pas hésiter à saisir les autorités compétentes pour la faire respecter.




C’est (à titre personnel) très intéressant d’avoir la perception d’un pharmacien. Je me demandais ce qu’avaient pu penser les gens de cette intervention.



En tant que personne impliquée dans le domaine de la protection des données personnelles, j’ai pour ma part trouvé les réponses formulées par le Secrétaire d’État, au mieux, très légères, au pire, mensongères. :cartonrouge:



Sur l’exemple que tu cites (i.e. la justification par Cédric O des 50 millions d’euros prononcées par la CNIL à l’encontre de Google en date du 21 janvier 2019), le Secrétaire d’État invoque une “infraction minime” qui justifierait le prononcé d’une sanction proportionnellement faible pour Google. Or, c’est une approximation incroyable, dans la mesure où la commission restreinte de la CNIL sanctionna Google pour des manquements à (i) ses obligations de transparence et d’information, mais également pour (ii) une absence de récolte valable du consentement des personnes pour les traitements de personnalisation de la publicité.



Autrement dit, ce sont des manquements aux obligations des articles 6, 7, 12 et 13 du RGPD. Ces articles ont une importance toute particulière dans les obligations fixées par le RGPD (information & bases légales). Ils n’ont rien de sujets annexes et minimes : ce sont des principes fondamentaux pour le respect de la vie privée des individus. Leur non-respect justifie à ce titre (à bien meilleur titre que le non-respect de nombreux autres articles) des sanctions efficaces et dissuasives …



Dans un tout autre domaine (le cas Doctissimo), Cédric O affirma que l’entreprise serait “sans le moindre doute sanctionnée par la CNIL en cas d’illégalité”. Là encore, c’est un discours totalement trompeur, bien éloigné des réalités. La CNIL est une autorité qui sanctionne assez peu, en volume (Cf son rapport 2020), comparé à certains de ses homologues européens (l’AEPD en Espagne par exemple). D’une part car elle n’en a pas les moyens humains (225 agents), et d’autre part car ses procédures de sanctions sont parfois très longues (Cf la récente délibération prononcée à l’égard de Carrefour à titre d’exemple).



En espérant avoir pu vous éclairer sur le contenu de certains propos de notre Secrétaire d’Etat …


C’est tout aussi intéressant d’avoir l’avis de quelqu’un bossant dans le milieu des données personnelles :yes:
Je ne suis peut être pas assez sensibilisé sur le sujet et me suis fait berné par le discours de notre cher secrétaire d’état.
Ce que j’ai surtout retenu de l’intervention de Cédric O, c’est l’impression que rien ne changera si on ne fait pas de déclaration (plainte) à la CNIL. Je suis conscient qu’elle manque de moyens et que si l’état voulait vraiment nous protéger, elle mettrait le paquet.



Je bosse en établissement de santé et plus en officine. Nous travaillons avec un labo pour améliorer et suivre des traitements de chimiothérapie. Tout est très strictement encadré avec plein de papiers à faire remplir au patient, un accord de la CNIL, …
Les données sont réellement anonymisées (je peux les voir avant l’envoi) et ne concerne que des durée de traitements, stade de maladie, réponse au traitement, ordre des lignes de traitements, ….



Je ne peux pas vraiment parler à la place de mes collègues en officine mais je suis sûr que la plupart d’entre eux non pas conscience de la réalité des agissements d’ IQVIA. De même, je suis sûr que ce n’est pas avec ça qu’ils vont s’enrichir.



Je suis très content de pouvoir discuter sans troll ou agression, ça fait plaisir :chinois:


Pour ceux qui ont regardé cette émission attentivement et notamment la transmission des données de la pharmacie vers IQVIA, on a pu observer que les données défilant, assez rapidement évidemment, sur l’écran filmé comportaient bien les numéros de sécurité sociale tout à gauche avec d’autres infos tronquées par la caméra. Vous avez dit anonymisation ? Oui avec les numéros de sécu..! Ces données sont faciles à repérer car commençant par 1 ou 2 avec 11 chiffres. Super, vraiment !


Alors ça c’est un truc que je n’ai pas bien compris.
IQVIA insiste pour dire que les données sont anonymisées mais qu’on peut nous suivre d’officine en officine avec un numéro d’identifiant unique créé lors de notre premier passage.
Je ne trouve pas que cela soit si anonyme, non ?
Ça me fait penser au profil qu’on peut créer sur nous sur internet via pas mal de données (navigateur, résolution d’écran, …) et nous suivre de site en site.


Fermer