Inscription
7 jours d’essai gratuit.
Inscription en moins d’une minute. Pas de carte de crédit requise.
CNIL, Décision du 21 mars 2024, n° DT-2024-003
CNIL 21 mars 2024

Arguments

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Signaler une erreur.
  • Accepté
    Conformité aux exigences légales

    La Commission a constaté que, bien que certaines non-conformités existent, le traitement répond à un intérêt public et que des mesures de sécurité sont en cours d'amélioration.

Résumé par Doctrine IA

La Commission nationale de l'informatique et des libertés (CNIL) a été saisie d'une demande d'autorisation pour un traitement de données de santé, dénommé BOOST DATAS, visant à optimiser la recherche sur l'ostéosarcome. Les questions juridiques portaient sur la conformité du traitement aux exigences de sécurité et à la licéité de l'utilisation des données. La CNIL a constaté des non-conformités relatives aux mesures de sécurité, mais a jugé que celles-ci étaient justifiées pour la recherche. En conséquence, la CNIL a autorisé l'Institut Gustave Roussy à mettre en œuvre le traitement, sous réserve de la mise en place rapide des mesures de sécurité nécessaires.

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Résumé de la juridiction

Décision DT-2024-003 du 21 mars 2024 autorisant l’INSTITUT GUSTAVE ROUSSY à mettre en œuvre un traitement de données ayant pour finalité la constitution d’un entrepôt de données de santé, intitulé « BOOST DATAS ». (Demande d’autorisation n° 2230692).

Commentaire0

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées. 

Sur la décision

Référence :
CNIL, déc. n° DT-2024-003, 21 mars 2024
Numéro : DT-2024-003
Nature de la délibération : Autre autorisation
État : VIGUEUR
Identifiant Légifrance : CNILTEXT000049327324

Texte intégral

La Commission nationale de l’informatique et des libertés,

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu le décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu la décision du 21 septembre 2023 portant délégation de signature du secrétaire général de la Commission nationale de l’informatique et des libertés ;

Saisie d’une demande d’autorisation relative à un traitement de données à caractère personnel dans le domaine de la santé ;

Considérant que ce traitement, dont la finalité présente un caractère d’intérêt public, relève des dispositions de la section 3 du chapitre III du titre II de la loi du 6 janvier 1978 modifiée ;

Considérant que le traitement présente les caractéristiques et répond aux conditions suivantes :

Sur le point de non-conformité au référentiel concerné

Le dossier de demande mentionne que le traitement envisagé est conforme aux dispositions du référentiel entrepôt de données dans le domaine de la santé à l’exception des mesures de sécurité.

Sur la finalité du traitement, sa licéité et les conditions permettant de traiter des données concernant la santé

Le traitement envisagé a pour finalité la constitution d’un entrepôt de données de santé à caractère personnel comprenant notamment des données de santé, dénommé BOOST DATAS .

Cet entrepôt vise à optimiser la recherche médicale sur l’ostéosarcome grâce à la découverte de nouvelles stratégies thérapeutiques.

Les utilisations futures des données contenues dans cet entrepôt s’inscriront dans le cadre des dispositions des articles 66 et 72 et suivants de la loi informatique et libertés modifiée, qui imposent que chaque projet de recherche, étude ou évaluation soit justifié par l’intérêt public. Ces traitements devront faire l’objet de formalités propres.

Sur les mesures de sécurité

Les mesures de sécurité prévues par le responsable de traitement visent à garantir la conformité de l’entrepôt BOOST DATAS aux exigences de sécurité mentionnées dans le référentiel entrepôt de données dans le domaine de la santé . Les points de non-conformité vis-à-vis de ce référentiel relevés par le responsable de traitement sont les suivants :

  • l’inclusion du sexe, du genre, du mois de naissance, de l’années de naissance dans la base de données principale de l’entrepôt ;
  • le chiffrement au repos des données de génétique somatique ;
  • les exportations de données hors de l’entrepôt et hors des espaces de travail, dont les modalités sont décrites ci-après.

Les non-confomités relatives à l’inclusion des données dans la base principale de l’entrepôt ont été justifiées par le responsable de traitement comme étant nécessaires pour permettre la réalisation de recherches ultérieures au sein des espaces de travail de l’entrepôt.

Aucune donnée de génétique constitutionnelle ne sera collectée au sein de BOOST DATAS .

Les données de génétique somatique seront chiffrées au repos et accessibles via des profils d’accès spécifique conformément à l’exigence SEC-LOG-5 du référentiel entrepôt de données dans le domaine de la santé .

Ces données ne seront pas chiffrées au repos avec une clé différente des autres données de santé en raison des spécificités techniques des outils de recherche et des autres données de santé collectées dans l’entrepôt.

Certaines mesures de sécurité techniques et organisationnelles prévues afin d’améliorer la conformité au référentiel entrepôt de données dans le domaine de la santé sont en cours d’implémentation, notamment :

  • la génération des identifiants patient avec des fonctions de hachage cryptographique à l’état de l’art ;
  • l’authentification multifacteur des utilisateurs et administrateurs ;
  • le chiffrement en transit des données.

L’hébergement des données sera réalisé par un hébergeur certifié pour l’hébergement des données de santé et soumis exclusivement aux lois et juridictions de l’Union européenne.

La mise en œuvre de l’intégralité des mesures de sécurité devra intervenir dans les meilleurs délais. Ces mesures, qui devront être opérationnelles lors de la mise en œuvre du traitement, répondront alors aux exigences prévues par les articles 5-1-f) et 32 du RGPD compte tenu des risques identifiées par le responsable de traitement. Il appartiendra au responsable de traitement de procéder à une réévaluation régulière des risques pour les personnes concernées et une mise à jour, le cas échéant, de ces mesures de sécurité.

L’exigence SEC-EXP-1 du référentiel entrepôts de données de santé prévoit que seuls des jeux de données anonymes peuvent faire l’objet d’une exportation hors de l’entrepôt ou d’un espace de travail, à l’exception des données relatives aux procédures de ré-identification SEC-REI-1 à SEC-REI-3.

Dans l’hypothèse où l’exportation de données hors de l’entrepôt ou d’un espace de travail de l’entrepôt serait envisagé dans le cadre d’un projet de recherche, d’étude ou d’évaluation dans le domaine de la santé, la nécessité de cette exportation de données pseudonymisées devra être étudiée par le comité de pilotage de l’entrepôt, qui devra donner son accord exprès et spécifique à cette fin.

Le comité scientifique et éthique s’assure ensuite pour chaque projet de recherche que celui-ci ne pourra pas être réalisé sur une espace projet de l’entrepôt et que les principes de minimisation et de proportionnalité seront respectés quant aux données qui font l’objet de l’exportation.

Il appartient également au responsable de traitement d’encadrer contractuellement toute mise à disposition de données afin de s’assurer que l’exportation :

  • est entreprise vers un environnement dont les mesures de sécurité sont adaptées au niveau de risque, conformément aux article 5.1.f) et 32 du RGPD ;
  • permettra uniquement la réutilisation des données aux fins approuvées par le comité scientifique et éthique et pour le traitement ayant fait l’objet de formalités requises auprès de la CNIL.

AUTORISE l’INSTITUT GUSTAVE ROUSSY à mettre en œuvre le traitement décrit ci-dessus.

Le Directeur de l’accompagnement juridique

Thomas DAUTIEU

Décisions similaires

Citées dans les mêmes commentaires3

  • Sanction ·
  • Juriste ·
  • Protection ·
  • Service ·
  • Innovation ·
  • Technologie ·
  • Plainte ·
  • Contrôle ·
  • Contentieux ·
  • Système d'information
  • Sécurité nucléaire ·
  • Données ·
  • Habilitation ·
  • Traitement ·
  • Cnil ·
  • Autorisation ·
  • Accès ·
  • Personnes ·
  • Conservation ·
  • Informatique et libertés
  • Videosurveillance ·
  • Dispositif ·
  • Personne concernée ·
  • Installation ·
  • Traitement ·
  • Établissement ·
  • Informatique et libertés ·
  • Salarié ·
  • Protection des données ·
  • Respect

Citant les mêmes articles de loi3

  • Prévention ·
  • Message ·
  • Cnil ·
  • Santé ·
  • Traitement ·
  • Ministère ·
  • Décret ·
  • Protection des données ·
  • Secret médical ·
  • Personnes
  • Formation restreinte ·
  • Journal officiel ·
  • Autorité administrative indépendante ·
  • Informatique ·
  • Commission nationale ·
  • Règlement (ue) ·
  • Délibération ·
  • Site internet ·
  • Règlement ·
  • Internet
1 commentaire
  • Cnil ·
  • Attestation ·
  • Personne concernée ·
  • Contrôle ·
  • Décret ·
  • Enfance ·
  • Assistant ·
  • Information ·
  • Identifiants ·
  • Conservation

De référence sur les mêmes thèmes3

  • Protection des données ·
  • Cnil ·
  • Intelligence artificielle ·
  • Recommandation ·
  • Informatique ·
  • Commission nationale ·
  • Acteur ·
  • Système ·
  • Fiche ·
  • Réutilisation de données
  • Plateforme ·
  • Données de santé ·
  • Cnil ·
  • Entrepôt ·
  • Accès ·
  • Consortium ·
  • Traitement de données ·
  • Base de données ·
  • Information ·
  • Scientifique
  • Traitement de données ·
  • Cnil ·
  • Accès aux données ·
  • Finalité ·
  • Responsable ·
  • Informatique et libertés ·
  • Données de santé ·
  • Cadre ·
  • Anonymisation ·
  • Accès
3 commentaires

Sur les mêmes thèmes3

  • Entrepôt ·
  • Données de santé ·
  • Information ·
  • Exportation ·
  • Identifiants ·
  • Responsable ·
  • Personne concernée ·
  • Personnes ·
  • Traitement de données ·
  • Anonymisation
  • Informatique ·
  • Commission nationale ·
  • Liberté ·
  • Fichier ·
  • Formation restreinte ·
  • Délibération ·
  • Commissaire du gouvernement ·
  • Journal officiel ·
  • Règlement intérieur ·
  • Vote
1 commentaire
  • Commission nationale ·
  • Informatique ·
  • Traitement de données ·
  • Parlement européen ·
  • Liberté ·
  • Habilitation ·
  • Protection ·
  • Directive (ue) ·
  • Commission ·
  • Personnes physiques

Textes cités dans la décision

  1. RGPD - Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données
  2. Loi n° 78-17 du 6 janvier 1978
  3. Décret n°2019-536 du 29 mai 2019
Extraits similaires à la sélection

Aucune décision de référence ou d'espèce avec un extrait similaire.

Inscrivez-vous gratuitement pour imprimer votre décision
CNIL, Décision du 21 mars 2024, n° DT-2024-003
  1. Doctrine
  2. Décisions de justice
  3. 2024
  4. CNIL, déc. n° DT-2024-003, 21 mars 2024
Contactez notre service commercial au 01 84 80 33 48