Inscription
7 jours d’essai gratuit.
Inscription en moins d’une minute. Pas de carte de crédit requise.
CNIL, Délibération du 7 septembre 2023, n° 2023-088
CNIL 7 septembre 2023

Arguments

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Signaler une erreur.
  • Accepté
    Conformité aux dispositions du RGPD

    La Commission a constaté que les modifications proposées par la société Resilience sont conformes aux exigences du RGPD et de la loi 'informatique et libertés', permettant ainsi l'autorisation du traitement.

  • Accepté
    Intérêt public du traitement

    La Commission a reconnu que le traitement des données à des fins de recherche et d'amélioration des soins de santé répond à un intérêt public légitime.

Résumé par Doctrine IA

La société Resilience a demandé à la Commission nationale de l'informatique et des libertés (CNIL) une modification de l'autorisation concernant un traitement automatisé de données à caractère personnel pour la constitution d'un entrepôt de données de santé appelé "Resilience Data Warehouse". La décision porte sur les modifications demandées, les questions juridiques posées et la réponse finale de la juridiction. Les modifications portent sur les finalités du traitement, les catégories de personnes concernées, les sources des données collectées, la gouvernance de l'entrepôt, les catégories de données traitées et les modalités d'information. La CNIL constate des points de non-conformité au référentiel concerné, mais autorise néanmoins la société Resilience à mettre en œuvre le traitement, sous certaines conditions. La finalité du traitement est jugée déterminée, explicite et légitime. La base légale du traitement est considérée comme nécessaire aux intérêts légitimes de Resilience. Les données traitées incluent des données de santé, des données de questionnaires de télésurveillance, des données liées à la qualité de vie et aux habitudes de vie, des données liées à l'histoire de la pathologie, des données d'utilisation de l'application mobile et de la "Solution Resilience PRO", ainsi que des données relatives aux professionnels de santé. Un dispositif de gouvernance est prévu pour maîtriser l'exploitation des données. Des mesures de sécurité sont mises en place pour garantir la conformité aux exigences de sécurité. La société Resilience est autorisée à mettre en œuvre le traitement.

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Résumé de la juridiction

Délibération n° 2023-088 du 7 septembre 2023 autorisant la SOCIETE RESILIENCE à modifier un traitement automatisé de données à caractère personnel ayant pour finalité la constitution d’un entrepôt de données dans le domaine de la santé, dénommé "Resilience Data Warehouse" (Demande d’autorisation n° 2224863v1)

Commentaire0

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées. 

Sur la décision

Référence :
CNIL, délib. n° 2023-088, 7 sept. 2023
Numéro : 2023-088
Nature de la délibération : Autre autorisation
État : VIGUEUR
Identifiant Légifrance : CNILTEXT000048225373

Texte intégral

La Commission nationale de l’informatique et des libertés,

Saisie par la société Resilience d’une demande de modification de l’autorisation concernant un traitement automatisé de données à caractère personnel ayant pour finalité la constitution d’un entrepôt de données de santé dénommé « Resilience Data Warehouse » ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD) ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 44-3° et 66-III ;

Vu la délibération no 2022-049 du 21 avril 2022 autorisant Resilience SAS à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la constitution d’un entrepôt de données de santé, dénommé « Resilience Data Warehouse » ;

Vu le dossier et ses compléments ;

Sur la proposition de Mme Valérie PEUGEOT, commissaire, et après avoir entendu les observations de M. Damien MILIC, commissaire du Gouvernement,

Formule les observations suivantes :

Responsable du traitement

La société Resilience.

Modifications du traitement de données

Les modifications portent sur :

  • les finalités du traitement ;
  • les catégories de personnes concernées ;
  • les sources des données collectées ;
  • la gouvernance de l’entrepôt ;
  • les catégories de données traitées ;
  • les modalités d’information.

Les autres conditions de mise en œuvre du traitement restent inchangées.

Points de non-conformité au référentiel concerné

Le dossier de demande mentionne que le traitement envisagé est conforme aux dispositions du référentiel "entrepôt de données dans le domaine de la santé", à l’exception :

  • de certaines finalités poursuivies ;
  • de la base légale du traitement ;
  • de la gouvernance de l’entrepôt ;
  • des sources des données collectées ;
  • des catégories de données concernées ;
  • des durées de conservation ;
  • des modalités d’information de certaines catégories de personnes concernées.

En dehors de ces exceptions, le traitement devra respecter le cadre prévu par le référentiel "entrepôt de données dans le domaine de la santé".

La finalité du traitement

Les modifications envisagées ont vocation à étendre les finalités poursuivies par « Resilience Data Warehouse ». Outre les finalités mentionnées dans la délibération n° 2022-049, le traitement permettra à Resilience de :

  • développer et améliorer en continu un outil numérique d’informations et de bien-être des patients (par exemple proposer des programmes d’activités personnalisés par patient) ;
  • réaliser des analyses sur le pilotage médical pour le déploiement de solutions dans les routines de soins ;
  • réaliser des études sur les technologies de télésurveillance, leur déploiement, leur adoption et leur place dans le paysage des technologies de santé.

La finalité du traitement est déterminée, explicite et légitime, conformément aux dispositions de l’article 5-1- b) du RGPD.

Resilience s’engage à :

  • ne pas traiter les données de l’entrepôt à des fins de promotion des produits de santé en direction des professionnels de santé ou d’établissements de santé, ou à des fins d’exclusion de garanties des contrats d’assurance et de modification de cotisations ou primes d’assurance d’un individu ou d’un groupe d’individus présentant un même risque ;
  • communiquer un rapport annuel à la CNIL sur le fonctionnement de ce traitement et sur les recherches, études ou évaluations en cours ou finalisées.

Il y a lieu de faire application des dispositions des articles 44-3° et 66-III de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (ci-après, loi « informatique et libertés »), qui soumettent à des formalités préalables les traitements comportant des données relatives à la santé et justifiés, comme en l’espèce, par l’intérêt public.

Les utilisations futures des données contenues dans cet entrepôt s’inscriront dans le cadre des dispositions des articles 66 et 72 et suivants de la loi « informatique et libertés » modifiée, qui imposent que chaque traitement soit justifié par l’intérêt public et fasse l’objet de formalités propres.

La base légale du traitement

Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par Resilience. Ce traitement est, à ce titre, licite au sens de l’article 6-1-f) du RGPD. Le traitement de données sensibles est nécessaire aux fins de recherche scientifique (art. 9-2-j) du RGPD) et de garantie des normes élevées de qualité et de sécurité des dispositifs médicaux, sous réserve qu’il soit fondé sur une disposition nationale ou européenne (art. 9-2-i) du RGPD).

Sur les données traitées

« Resilience Data Warehouse » regroupera les données collectées dans le cadre de l’application « Resilience Care » et l’outil de télésurveillance « Solution Resilience PRO » (anciennement Oncolaxy), sous réserve de l’autorisation écrite et spécifique des établissements et professionnels de santé agissant en qualité de responsable de traitement de l’outil de télésurveillance.

S’agissant des données relatives aux patients :

Outre les catégories de données mentionnées dans la délibération n° 2022-049, les données suivantes seront traitées :

  • données de santé : données relatives à la prise en charge, données relatives aux traitements, données concernant la pathologie ;
  • données issues des questionnaires de télésurveillance ;
  • données liées à la qualité de vie et les habitudes de vie ;
  • données liées à l’histoire de la pathologie ;
  • données d’utilisation de l’application mobile et de la « Solution Resilience PRO ».

S’agissant des données relatives aux professionnels de santé :

  • données relatives à la vie professionnelle (dont la spécialité, l’établissement d’exercice et le service) ;
  • données d’utilisation de la « Solution Resilience PRO ».

L’ensemble de ces données seront pseudonymisées avant leur intégration dans « Resilience Data Warehouse » et le NIR ne sera pas collecté.

Ces données sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités du traitement, conformément aux dispositions de l’article 5-1-c) du RGPD.

Sur la gouvernance

Un dispositif de gouvernance de « Resilience Data Warehouse » sera mis en place afin de maîtriser l’exploitation qui sera faite des données, dans le respect des finalités déclarées et de l’intérêt public.

Ce dispositif est composé :

  • d’un comité data (ou comité de pilotage) se réunissant tous les trois mois. Il déterminera les orientations stratégiques et scientifiques de l’entrepôt, définira les utilisations possibles des données conservées dans celui-ci et tiendra à jour une liste exhaustive des données qui y sont contenues en justifiant de leur nécessité ;
  • d’un comité patient, composé de patients non-salariés de Resilience, se réunissant une fois par an. Il s’assure que les projets de Resilience permettent d’améliorer les soins des personnes ;
  • d’un comité scientifique et éthique, composé de professionnels de santé spécialisés en cancérologie et en innovation non-salariés de Resilience. Il rendra, de manière systématique, un avis préalable et motivé sur les projets de recherche, étude ou évaluation nécessitant la réutilisation des données de l’entrepôt.

L’information et l’exercice des droits

Il est rappelé que, lorsque le responsable de traitement souhaite adopter une approche à plusieurs niveaux pour informer les personnes, la première modalité d’information devrait contenir, conformément aux lignes directrices sur la transparence au sens du RGPD du 29 novembre 2017 du groupe de travail "de l’Article 29" (G29), les informations relatives à la finalité du traitement, l’identité du responsable de traitement, une description des droits des personnes concernées, ainsi que toute information sur le traitement qui aurait une forte incidence sur la personne concernée. En l’espèce, l’ensemble des supports d’information devront indiquer que l’exercice des droits par les personnes, notamment leur droit d’opposition, n’aura pas de conséquence sur leur prise en charge médicale.

Par ailleurs, la note d’information publiée sur le site web de Resilience devra comporter l’ensemble des mentions prévues par l’article 14 du RGPD.

S’agissant de l’information des personnes déjà incluses dans l’entrepôt :

Ces personnes recevront un premier niveau d’information renvoyant au site web dédié aux modifications apportées à « Resilience Data Warehouse » lors de leur prochaine connexion à l’application « Resilience Care » et l’outil de télésurveillance « Solution Resilience PRO ».

S’agissant de l’information des nouveaux utilisateurs de l’application mobile et des nouveaux patients utilisant la « Solution Resilience PRO » :

Ces personnes recevront, après la consultation de trois articles pour les utilisateurs de l’application « Resilience Care » ou la transmission du troisième questionnaire de télésuivi pour les utilisations de la « Solution Resilience PRO », un premier niveau d’information renvoyant au site web dédié à « Resilience Data Warehouse ».

S’agissant de l’information des professionnels de santé utilisant la « Solution Resilience PRO » :

Ces personnes recevront une information individuelle après la création de leur compte sur la « Solution Resilience PRO » ou lors de leur prochaine connexion. Cette note d’information devra comporter l’ensemble des mentions prévues par le RGPD.

S’agissant de l’exercice des droits :

Les personnes concernées pourront exercer leurs droits directement auprès de Resilience par voie postale ou électronique.

Les accédants et les destinataires

Seuls les personnels habilités de Resilience pourront accéder aux données, dans la limite de leurs attributions respectives et de leurs besoins d’en connaître.

Sécurité des données et la traçabilité des actions

Les mesures de sécurité mises en place par le responsable de traitement visent à garantir la conformité de « Resilience Data Warehouse » aux exigences de sécurité mentionnées dans le référentiel "entrepôt de données dans le domaine de la santé". Aucune non-conformité à ce référentiel concernant les exigences de sécurité n’a été relevé par le responsable de traitement.

L’ensemble du plan d’action défini précédemment et mentionné dans la délibération n° 2022-049 a été mis en œuvre avec les précisions suivantes :

  • l’anonymisation des exportations de données a été mise en place via des agrégations d’au moins 100 patients ;
  • un audit trimestriel des traces, journaux techniques et volumes de données de l’entrepôt a été mis en place, qui évoluera à terme vers une surveillance continue.

Il est rappelé que la pseudonymisation des champs en texte brut doit être associée à un audit manuel de ces champs, par échantillonnage, afin de s’assurer de la qualité des algorithmes et modèles utilisés pour ce processus.

Les mesures de sécurité, qui devront être opérationnelles lors de la mise en œuvre du traitement, répondront alors aux exigences prévues par les articles 5-1-f) et 32 du RGPD compte tenu des risques identifiés par le responsable de traitement. Il appartiendra au responsable de traitement de procéder à une réévaluation régulière des risques pour les personnes concernées et une mise à jour, le cas échéant, de ces mesures de sécurité.

Autorise, conformément à la présente délibération, la société Resilience à mettre en œuvre le traitement mentionné ci-dessus.


La Présidente

Marie-Laure DENIS

Décisions similaires

Citées dans les mêmes commentaires3

  • Génétique ·
  • Sport ·
  • Dopage ·
  • Cnil ·
  • Transfert de données ·
  • Traitement de données ·
  • Décret ·
  • Information ·
  • Organisation ·
  • Jeux olympiques
  • Navire ·
  • Cnil ·
  • Traitement ·
  • Informatique et libertés ·
  • Personnes ·
  • Fraude douanière ·
  • Infractions pénales ·
  • Données de localisation ·
  • Fraudes ·
  • Informatique
  • Sanction ·
  • Juriste ·
  • Protection ·
  • Service ·
  • Innovation ·
  • Technologie ·
  • Plainte ·
  • Contrôle ·
  • Système d'information ·
  • Contentieux

Citant les mêmes articles de loi3

  • Traitement ·
  • Informatique et libertés ·
  • Responsable ·
  • Information ·
  • Personne concernée ·
  • Base de données ·
  • Données de santé ·
  • Prénom ·
  • Liberté ·
  • Finalité
  • Traitement ·
  • Base de données ·
  • Informatique et libertés ·
  • Information ·
  • Responsable ·
  • Finalité ·
  • Santé publique ·
  • Personne concernée ·
  • Électronique ·
  • Informatique
  • Protection des données ·
  • Responsable du traitement ·
  • Pays tiers ·
  • Groupe d'entreprises ·
  • Transfert ·
  • Autorité de contrôle ·
  • Approbation ·
  • Personne concernée ·
  • Cnil ·
  • Responsable

De référence sur les mêmes thèmes3

  • Entrepôt ·
  • Collecte ·
  • Finalité ·
  • Données de santé ·
  • Information ·
  • Responsable ·
  • Personne concernée ·
  • Traitement de données ·
  • Personnel ·
  • Informatique et libertés
  • Protection des données ·
  • Durée de conservation ·
  • Informatique ·
  • Traitement de données ·
  • Règlement (ue) ·
  • Parlement européen ·
  • Commission nationale ·
  • Liberté ·
  • Commissaire du gouvernement ·
  • Journal officiel
  • Vidéoprotection ·
  • Cnil ·
  • Système ·
  • Image ·
  • Traitement de données ·
  • Droit d'accès ·
  • Décret ·
  • Responsable ·
  • Accès ·
  • Protection des données

Sur les mêmes thèmes3

  • Traitement ·
  • Informatique et libertés ·
  • Finalité ·
  • Protection des données ·
  • Union européenne ·
  • Données de santé ·
  • Maladie ·
  • Responsable ·
  • Université ·
  • Informatique
  • Cnil ·
  • Traitement ·
  • Personnes ·
  • Mise en relation ·
  • Fichier ·
  • Décret ·
  • Données biométriques ·
  • Fiche ·
  • Informatique et libertés ·
  • Système d'information
  • Cnil ·
  • Traitement ·
  • Données ·
  • Harcèlement ·
  • Statistique ·
  • Établissement ·
  • Finalité ·
  • École ·
  • Élève ·
  • Informatique et libertés

Textes cités dans la décision

  1. RGPD - Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données
  2. Directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données
  3. Loi n° 78-17 du 6 janvier 1978
Extraits similaires à la sélection

Aucune décision de référence ou d'espèce avec un extrait similaire.

Inscrivez-vous gratuitement pour imprimer votre décision
CNIL, Délibération du 7 septembre 2023, n° 2023-088
  1. Doctrine
  2. Décisions de justice
  3. 2023
  4. CNIL, délib. n° 2023-088, 7 sept. 2023
Contactez notre service commercial au 01 84 80 33 48