Inscription
7 jours d’essai gratuit.
Inscription en moins d’une minute. Pas de carte de crédit requise.
CNIL, Délibération du 21 décembre 2023, n° 2023-148
CNIL 21 décembre 2023

Arguments

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Signaler une erreur.
  • Accepté
    Conformité avec le RGPD et la loi 'informatique et libertés'

    La Commission a jugé que les traitements envisagés sont nécessaires à l'exécution de la mission d'intérêt public de la FNORS et respectent les conditions légales pour le traitement de données de santé.

  • Accepté
    Finalité légitime des traitements

    La Commission a confirmé que la finalité des traitements est déterminée, explicite et légitime, et qu'elle présente un intérêt public.

Résumé par Doctrine IA

La Commission nationale de l’informatique et des libertés (CNIL) a été saisie par la Fédération nationale des observatoires régionaux de la santé (FNORS) pour obtenir une autorisation de traitements automatisés de données du programme de médicalisation des systèmes d’information (PMSI) à des fins de recherche. Les questions juridiques portaient sur la licéité des traitements, leur finalité d'intérêt public, et le respect des dispositions du RGPD et de la loi "informatique et libertés". La CNIL a répondu favorablement, autorisant la FNORS à réaliser ces traitements pour une durée de cinq ans, sous conditions de transparence et de respect des droits des personnes concernées, avec obligation de rendre un bilan à l'issue de cette période.

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Résumé de la juridiction

Délibération n° 2023-148 du 21 décembre 2023 portant décision unique et autorisant la Fédération nationale des observatoires régionaux de la santé à mettre en œuvre des traitements automatisés à des fins de recherche, d’étude et d’évaluation nécessitant un accès aux données nationales du programme de médicalisation des systèmes d’information (PMSI) (Saisine n° 923249)

Commentaire0

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées. 

Sur la décision

Référence :
CNIL, délib. n° 2023-148, 21 déc. 2023
Numéro : 2023-148
Nature de la délibération : Autre autorisation
État : VIGUEUR
Identifiant Légifrance : CNILTEXT000048686964

Texte intégral

La Commission nationale de l’informatique et des libertés,

Saisie le 3 octobre 2023 par la Fédération nationale des observatoires régionaux de la santé d’une demande d’autorisation concernant des traitements automatisés à des fins de recherche, d’étude et d’évaluation nécessitant un accès aux données nationales du programme de médicalisation des systèmes d’information (PMSI) ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD) ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 66, 72 et suivants ;

Vu l’avis favorable du Comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé du 21 septembre 2023 ;

Vu le dossier et ses compléments ;

Sur la proposition de Mme Valérie PEUGEOT, commissaire, et après avoir entendu les observations de M. Damien MILIC, commissaire du Gouvernement,

Formule les observations suivantes :

Responsable du traitement

La Fédération nationale des observatoires régionaux de la santé (FNORS) est une association régie par la loi de 1901 qui coordonne les travaux des observatoires régionaux de la santé (ORS). Depuis 1998, elle a développé le site d’information « SCORE-Santé » avec le concours des ORS, avec pour objectif de mettre à disposition des décideurs, des professionnels de santé et du grand public des informations fiables, homogènes et comparables sur la santé de la population ainsi que ses déterminants.

La FNORS souhaite désormais enrichir ce site d’information avec des indicateurs relatifs aux séjours hospitaliers et à l’activité des établissements calculés directement à partir des données du programme de médicalisation des systèmes d’information (PMSI) et des résumés de passages aux urgences (RPU) mises à disposition par l’Agence technique de l’information sur l’hospitalisation (ATIH).

Sur l’opportunité du recours à la décision unique

La production de l’ensemble de ces indicateurs implique la mise en œuvre annuelle de plusieurs dizaines de traitements répondant à une même finalité, portent sur des catégories de données identiques et dont les catégories de destinataires sont identiques (les personnes habilitées par le responsable de traitement).

Ces traitements relevant du régime prévu par les dispositions des articles 66 et 72 et suivants de la loi n° 78-17 du 6 janvier 1978 modifiée (ci-après la loi « informatique et libertés »), la CNIL estime opportun, au vu des éléments présentés dans le dossier de demande, de faire application des dispositions de l’article 66 IV, qui lui permettent, par décision unique, de délivrer à un même demandeur une autorisation pour des traitements répondant à une même finalité, portant sur des catégories de données identiques et ayant des catégories de destinataires identiques.

Sur l’application des dispositions liées au SNDS

Les données du PMSI étant issues d’une des bases composant le Système national des données de santé (SNDS), l’ensemble des dispositions législatives et réglementaires relatives à ce dernier sont applicables en l’espèce, notamment l’interdiction d’utiliser ces données pour les finalités décrites à l’article L. 1461-1 V du code la santé publique (CSP).

Sur la licéité des traitements et les conditions permettant de traiter des données concernant la santé

Les traitements envisagés par la FNORS sont nécessaires à l’exécution de la mission d’intérêt public dont elle est investie.

Ces traitements sont, à ce titre, licites au regard de l’article 6.1.e) du RGPD et remplissent la condition prévue à l’article 9.2.j) du RGPD permettant de traiter des données concernant la santé.

Sur la finalité des traitements et leur caractère d’intérêt public

Les traitements envisagés ont pour finalité la production de l’ensemble des indicateurs relatifs aux séjours hospitaliers et à l’activité des établissements à des niveaux territoriaux fins et sur des périodes temporelles longues, pour l’alimentation de la base de données SCORE-Santé.

La finalité des traitements est déterminée, explicite et légitime, conformément à l’article 5.1.b) du RGPD et présente un intérêt public, conformément à l’article 66.I de la loi « informatique et libertés ».

Sur les catégories de données traitées

Pour chacun des traitements mis en œuvre dans le cadre de la présente décision unique, seules les données strictement nécessaires et pertinentes au regard des objectifs poursuivis devront être traitées.

Sous réserve que ces fichiers soient diffusables par l’ATIH, outre le fichier spécifique permettant de relier toutes les données du PMSI concernant un même patient (fichier « ANO »), les données concernant les activités suivantes sont nécessaires à la réalisation de ces études :

  • médecine, chirurgie, obstétrique et odontologie (MCO) ;
  • hospitalisation à domicile (HAD) ;
  • soins de suite et de réadaptation (SSR) ;
  • recueil d’information médicalisée en psychiatrie (RIM-P).

En outre, les données des RPU mises à disposition par l’ATIH pourront être traitées.

Les traitements inclus dans le cadre de la décision unique portent sur les données nationales du PMSI et les RPU dont la profondeur historique maximale est de neuf ans plus l’année en cours.

Conformément à l’article 30 du RGPD, le responsable de traitement devra tenir à jour, au sein du registre des activités de traitement, la liste des traitements mis en œuvre dans le cadre de la présente décision unique. Par ailleurs, le caractère adéquat, pertinent et limité à ce qui est nécessaire au regard des finalités pour lesquelles les données sont traitées, la zone géographique concernée et la profondeur historique des données consultées devront être justifiés dans ce registre, pour chaque traitement mis en œuvre dans le cadre cette décision unique.

Les données dont le traitement est envisagé sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités du traitement, conformément aux dispositions de l’article 5.1.c) du RGPD.

Sur la durée d’accès aux données

La durée d’accès aux données dans la plateforme sécurisée de l’ATIH doit être limitée à la durée nécessaire à la mise en œuvre du traitement.

Lorsque le responsable de traitement en justifie, l’accès aux données peut être maintenu à l’issue de l’étude, dans la limite de deux ans à compter de la dernière publication relative aux résultats.

Sur la publication des résultats

Lorsque le résultat du traitement de données est rendu public, l’identification directe ou indirecte des personnes concernées doit être impossible, conformément à l’article 68 de la loi « informatique et libertés ».

Sur les catégories de destinataires des données

Seuls le responsable du traitement et les personnes habilitées par celui-ci ont accès aux données dans le cadre de la présente décision unique. Le responsable de traitement tient à jour des documents indiquant la ou les personnes compétentes en son sein pour délivrer l’habilitation à accéder aux données, la liste des personnes habilitées à accéder à celles-ci, leurs profils d’accès respectifs et les modalités d’attribution, de gestion et de contrôle des habilitations.

Ces catégories de personnes sont soumises au secret professionnel dans les conditions définies par les articles 226-13 et 226-14 du code pénal.

La qualification des personnes habilitées et leurs droits d’accès doivent être régulièrement réévalués, conformément aux modalités décrites dans la procédure d’habilitation établie par le responsable de traitement.

Sur l’information et les droits des personnes

Conformément aux dispositions de l’article 14 du RGPD, dans l’hypothèse où la fourniture d’une information individuelle se révélerait impossible, exigerait des efforts disproportionnés ou compromettrait gravement la réalisation des objectifs du traitement, des mesures appropriées devront être mises en œuvre par le responsable de traitement afin de protéger les droits et libertés, ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles.

En l’espèce, il sera fait exception au principe d’information individuelle des personnes et des mesures appropriées seront prises par le responsable de traitement afin de rendre publiquement disponible l’information concernant la mise en œuvre de ces traitements.

Un portail de transparence sera mis en place par le responsable de traitement. Il comportera :

  • une note d’information générale sur les traitements mis en œuvre dans le cadre de cette décision unique ;
  • une note d’information spécifique à chaque traitement, qui devra être publiée avant sa mise en œuvre.

Ces notes d’information devront comporter l’ensemble des mentions prévues par le RGPD.

Sur la sécurité des données et la traçabilité des actions

La mise en œuvre de traitements de données à caractère personnel intervenant dans le cadre de l’étude s’effectue sous la responsabilité du responsable de traitement, y compris chez des tiers agissant pour son compte, dans le respect des dispositions des articles 24, 25, 28, 32 à 35 du RGPD ainsi que de l’arrêté du 22 mars 2017 relatif au référentiel de sécurité applicable au SNDS et de ses mises à jour ultérieures.

L’ATIH met à disposition les données sur une plateforme sécurisée et homologuée au sens de l’arrêté précité.

Elle repose sur un canal de transmission sécurisé et une authentification forte (mot de passe à usage unique généré par un token). La traçabilité des accès est assurée et un mécanisme de surveillance informatique enregistre toutes les actions réalisées par l’utilisateur.

Un espace de travail sur la plateforme est fourni par l’ATIH afin que les utilisateurs puissent consulter les données. Seules des statistiques agrégées de telle sorte que l’identification directe ou indirecte des personnes est impossible, peuvent être extraites de la plateforme.

La CNIL rappelle que les responsables de traitement doivent réaliser une analyse permettant de démontrer que leurs processus d’anonymisation respectent les trois critères définis par l’avis n° 05/2014 sur les techniques d’anonymisation adoptés par le groupe de l’Article 29 (G29) le 10 avril 2014. Si ces trois critères ne peuvent être réunis, une analyse approfondie des risques d’identification doit être menée afin de démontrer que ces derniers, avec des moyens raisonnables, sont inexistants.

Une copie de toutes les sorties de données est conservée par l’ATIH, qui se réserve le droit de faire un signalement à la CNIL si elle a connaissance d’informations de nature à révéler de graves manquements.

Sur le principe de transparence

La mise à disposition des données du SNDS et de ses composantes est conçue de façon à permettre de rendre compte de leur utilisation au public. A cette fin, l’article L. 1461-3 du CSP subordonne l’accès aux données du SNDS et de ses composantes à la communication à la Plateforme des données de santé (PDS) de plusieurs éléments par le responsable de traitement, avant et après les études.

Ainsi, le responsable de traitement s’engage à enregistrer auprès du répertoire public tenu par la PDS l’ensemble des études réalisées dans le cadre de cette décision unique. Cet enregistrement, à effectuer par le responsable de traitement ou la personne agissant pour son compte avant le début des traitements, s’accompagne de la transmission à la PDS d’un dossier comportant :

  • le protocole, incluant la justification de l’intérêt public, ainsi qu’un résumé, selon le modèle mis à disposition par la PDS ;
  • la déclaration d’intérêts du responsable de traitement, en rapport avec l’objet des traitements.

À la fin des études ou évaluations, la méthode et les résultats obtenus devront être communiqués à la PDS en vue de leur publication. L’enregistrement des traitements et la transmission des résultats sont effectués conformément aux modalités définies par la PDS.

La CNIL rappelle qu’à l’issue du délai de cinq ans, un bilan contenant notamment la liste des analyses réalisées dans le cadre de la décision unique ainsi que la méthodologie suivie dans le cadre des analyses devra lui être adressé.

Autorise, conformément à la présente délibération, la Fédération nationale des observatoires régionaux de la santé à mettre en œuvre les traitements décrits ci-dessus pendant une durée de cinq ans, avec obligation de remise d’un bilan à la Commission à l’issue de ce délai.

La Présidente

Marie-Laure DENIS

Décisions similaires

Citées dans les mêmes commentaires3

  • Cnil ·
  • Enquête ·
  • Traitement ·
  • Fichier ·
  • Information ·
  • Données sensibles ·
  • Recherche scientifique ·
  • Anonymisation ·
  • Fécondité ·
  • Personnes
  • Cnil ·
  • Recherche scientifique ·
  • Enquête ·
  • Fichier ·
  • Personnes ·
  • Accès ·
  • Traitement de données ·
  • Archives ·
  • Statistique ·
  • Durée de conservation
  • Statistique ·
  • Cnil ·
  • Traitement ·
  • Fichier ·
  • Finalité ·
  • Répertoire ·
  • Identifiants ·
  • Protection des données ·
  • Politique publique ·
  • Logement

Citant les mêmes articles de loi3

  • Vacation ·
  • Commission ·
  • Formation restreinte ·
  • Indemnité ·
  • Participation ·
  • Titre ·
  • Autorité administrative indépendante ·
  • Montant ·
  • Délibération ·
  • Informatique
  • Formation restreinte ·
  • Règlement ·
  • Informatique et libertés ·
  • Etats membres ·
  • Système d'information ·
  • Vis ·
  • Traitement de données ·
  • Contrôle ·
  • Manquement ·
  • Chiffrement
  • Cnil ·
  • Traitement de données ·
  • Finalité ·
  • Méthodologie ·
  • Information ·
  • Public ·
  • Informatique et libertés ·
  • Accès aux données ·
  • Sociétés ·
  • Anonymisation

De référence sur les mêmes thèmes3

  • Données ·
  • Commission ·
  • Traitement ·
  • Personne concernée ·
  • Archives ·
  • Fichier ·
  • Accès ·
  • Recherche scientifique ·
  • Chiffrement ·
  • Anonymisation
  • Données ·
  • Fichier ·
  • Commission ·
  • Enquête ·
  • Traitement ·
  • Sms ·
  • Collecte ·
  • Personnes ·
  • Sexualité ·
  • Diffusion
  • Université ·
  • Base de données ·
  • Commission ·
  • Entrepôt ·
  • Recherche ·
  • Traitement ·
  • Chercheur ·
  • Personne concernée ·
  • Information ·
  • Collecte

Sur les mêmes thèmes3

  • Cnil ·
  • Plateforme ·
  • Compétition sportive ·
  • Traitement de données ·
  • Acteur ·
  • Échange d'information ·
  • Informatique et libertés ·
  • Caractère ·
  • Ministère ·
  • International
  • Cnil ·
  • Traitement ·
  • Image ·
  • Aéronef ·
  • Protection des données ·
  • Doctrine ·
  • Captation ·
  • Décret ·
  • Police judiciaire ·
  • Ministère
  • Formation restreinte ·
  • Mot de passe ·
  • Données ·
  • Compte utilisateur ·
  • Durée de conservation ·
  • Cnil ·
  • Sociétés ·
  • Site web ·
  • Cookies ·
  • Web
2 commentaires

Textes cités dans la décision

  1. RGPD - Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données
  2. Directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données
  3. Loi n° 78-17 du 6 janvier 1978
  4. Code pénal
  5. Code de la santé publique
Extraits similaires à la sélection

Aucune décision de référence ou d'espèce avec un extrait similaire.

Inscrivez-vous gratuitement pour imprimer votre décision
CNIL, Délibération du 21 décembre 2023, n° 2023-148
  1. Doctrine
  2. Décisions de justice
  3. 2023
  4. CNIL, délib. n° 2023-148, 21 déc. 2023
Contactez notre service commercial au 01 84 80 33 48