Inscription
7 jours d’essai gratuit.
Inscription en moins d’une minute. Pas de carte de crédit requise.
CNIL, Décision du 9 février 2024, n° DT-2024-004
CNIL 9 février 2024

Arguments

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Signaler une erreur.
  • Accepté
    Conformité aux dispositions du RGPD

    La Commission a constaté que le traitement présente un caractère d'intérêt public et remplit les conditions nécessaires au traitement des données de santé.

  • Accepté
    Mesures de sécurité mises en place

    La Commission a noté que certaines mesures de sécurité sont en cours d'implémentation et doivent être opérationnelles lors de la mise en œuvre du traitement.

Résumé par Doctrine IA

La Commission nationale de l’informatique et des libertés (CNIL) a été saisie d'une demande d'autorisation pour un traitement de données de santé par la société France Tissue Bank (FTB). Les questions juridiques portaient sur la conformité du traitement aux exigences du RGPD et de la loi Informatique et Libertés, notamment concernant la base légale, les mesures de sécurité, et l'anonymisation des données. La CNIL a constaté des points de non-conformité, mais a jugé que le traitement répondait aux conditions de licéité et d'intérêt public. En conséquence, elle a autorisé FTB à mettre en œuvre le traitement sous certaines conditions de sécurité et d'information des personnes concernées.

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Résumé de la juridiction

Décision DT-2024-004 du 9 février 2024 autorisant la société FRANCE TISSUE BANK à mettre en œuvre un traitement automatisé de données ayant pour finalité la constitution d’un entrepôt de données de santé. (Demande d’autorisation n° 2231429).

Commentaire0

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées. 

Sur la décision

Référence :
CNIL, déc. n° DT-2024-004, 9 févr. 2024
Numéro : DT-2024-004
Nature de la délibération : Autre autorisation
État : VIGUEUR
Identifiant Légifrance : CNILTEXT000049327325

Texte intégral

La Commission nationale de l’informatique et des libertés,

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu le décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu la décision du 21 septembre 2023 portant délégation de signature du secrétaire général de la Commission nationale de l’informatique et des libertés ;

Saisie d’une demande d’autorisation relative à un traitement de données à caractère personnel dans le domaine de la santé ;

Considérant que ce traitement, dont la finalité présente un caractère d’intérêt public, relève des dispositions de la section 3 du chapitre III du titre II de la loi du 6 janvier 1978 modifiée ;

Considérant que le traitement présente les caractéristiques et répond aux conditions suivantes :

Sur la responsabilité de traitement

La société FRANCE TISSUE BANK (FTB) est une société par actions simplifiée dont l’objet est principalement de faciliter l’accès aux échantillons biologiques humains pour les équipes de recherche. Créée en 2019, elle collabore avec différents partenaires industriels, dont principalement le laboratoire d’analyses médicales MEDIPATH ou des équipes de recherche, afin de leur permettre de mener à bien des projets dans le cadre du développement de tests compagnons, de tests basés sur l’intelligence artificielle, du développement de molécules ou de biomarqueurs, etc.

La société FRANCE TISSUE BANK appartient à la société MDP LIFE SCIENCE, elle-même détenue par des médecins et le Directeur général de la société MEDIPATH.

La société FTB interviennent en qualité de responsable de traitement dans le cadre de la constitution de l’entrepôt de données de santé.

Sur les points de non-conformité au référentiel concerné

Le dossier de demande mentionne que le traitement envisagé est conforme aux dispositions du référentiel entrepôt de données dans le domaine de la santé , à l’exception :

  • de la base légale du traitement ;
  • de certaines mesures de sécurité.

Sur la finalité du traitement, sa licéité et les conditions permettant de traiter des données concernant la santé

Le traitement envisagé a pour finalité la constitution d’un entrepôt de données à caractère personnel comprenant notamment des données de santé.

L’entrepôt constitué par la société FRANCE TISSUE BANK a pour objectifs :

  • la réalisation de recherches, d’études ou d’évaluations dans le domaine de la santé et principalement dans le domaine de la cancérologie.
  • la constitution d’un index de données à caractère personnel pseudonymisées permettant de cartographier les données disponibles auprès des apporteurs de données ;
  • le croisement de données multimodales (données d’anatomopathologie, de biologie, de radiologie ou cliniques) ;
  • la réalisation d’études de faisabilité de projets de recherche pouvant être menés à partir de l’entrepôt.

Les données contenues dans cet entrepôt ne pourront, par analogie avec les finalités interdites d’utilisation du Système national des données de santé (SNDS), être exploitées ni à des fins de promotion des produits mentionnés au II de l’article L. 5311-1 du code de la santé publique en direction de professionnels de santé ou d’établissements de santé, ni à des fins d’exclusion de garanties des contrats d’assurance, ni de modification de cotisations ou de primes d’assurance d’un individu ou d’un groupe d’individus présentant un même risque.

Le traitement mis en œuvre par le responsable de traitement est nécessaire aux fins des intérêts légitimes qu’il poursuit, est licite au regard de l’article 6-1-f) du RGPD et remplit des conditions permettant le traitement des données concernant la santé au regard des dispositions de l’articles 9-2-j) du RGPD et 44-3° de la loi informatique et libertés modifiée.

Sur les données traitées

Les données à caractère personnel des patients sont issues des logiciels de gestion de laboratoire en anatomo-pathologie et biologie médicale des sociétés MEDIPATH et BIOESTEREL.

Le numéro d’inscription au répertoire national d’identification des personnes physiques (NIR) ne sera pas collecté.

Aucune donnée relative aux professionnels de santé ne sera collectée.

L’ajout de toute nouvelle source de données à l’entrepôt devra faire l’objet d’une demande de modification substantielle auprès de la CNIL.

Sur les conditions de mise à disposition des jeux de données traitées

Le dossier de demande d’autorisation indique que les données mises à disposition par l’entrepôt seront :

  • soit des données pseudonymisées auxquelles le porteur de projet accédera au sein d’un espace de travail spécifique de l’entrepôt de données de santé ;
  • soit des données anonymisées transmises en dehors de l’entrepôt de données de santé.


L’utilisation des espaces de travail spécifiques de l’entrepôt sera la priorité d’usage : les exportations de données anonymisées ne seront utilisées qu’en l’absence de possibilité d’utiliser ces espaces de travail.

Le dossier déposé ne matérialise pas le fait que les données exportées peuvent être qualifiées d’anonymes en toutes circonstances : les données soumises au processus d’anonymisation lors d’une exportation sont des données structurées de biologie médicale et d’anatomo-pathologie, ainsi que la classe d’âge et le sexe de la personne. Les mécanismes décrits dans le dossier consistent à inclure uniquement des données concernant la pathologie nécessaire à l’étude, à généraliser certains attributs, comme l’âge, le résultat d’une analyse ou la date de prélèvement, ainsi qu’à supprimer certains attributs si ceux-ci ne sont pas nécessaires à une étude. La granularité des données exportées porterait au niveau individuel et un identifiant non significatif serait ajouté pour chaque exportation.

Au vu de ces éléments, le caractère anonyme ou non des données transmises à l’issue du procédé décrit dans le dossier ne peut pas être déterminé a priori/de manière universelle. En effet, il n’est pas démontré que les données de biologie médicale et d’anatomo-pathologie traitées par FRANCE TISSUE BANK peuvent être rendues anonymes dans le cas général et sans autre hypothèse sur l’extrait de la base considéré ou les données accessibles par ailleurs au destinataire.

Pour se prévaloir de l’anonymat d’un jeu de données exportées, FRANCE TISSUE BANK devra réaliser en coopération avec le porteur de projet une analyse pour chaque exportation permettant de démontrer que les personnes auxquelles les données se rapportent ne sont pas ou plus identifiables, soit en utilisant les critères définis dans l’avis n° 05/2014 sur les techniques d’anonymisation adopté par le groupe de l’Article 29 (G29) le 10 avril 2014, soit, à défaut de respecter ces critères, de mener une étude des risques de réidentification afin de démontrer que ces risques sont négligeables. L’exportation ne pourra être effectuée que s’il est établi et documenté que le risque est négligeable.

L’analyse du caractère anonyme du jeu de données mis à disposition devra être contextuelle au projet et prendre en compte notamment :

  • la nature des données faisant l’objet d’une demande d’exportation ;
  • la quantité de données répondant à un projet ;
  • la résolution des données répondant à un projet ;
  • le nombre de personnes concernées auxquelles les données destinées à être anonymisées se rapportent ;
  • les moyens raisonnablement susceptibles d’être utilisés pour identifier une personne par le responsable de traitement ou par toute autre personne ;
  • les moyens raisonnablement susceptibles d’être utilisés pour identifier une personne par le destinataire qui sollicite le jeu de données, notamment :
    • les informations auxiliaires, c’est-à-dire qui permettraient l’identification, dont ce destinataire dispose ou pourrait disposer, y compris des jeux de données présumément anonymes issus de la même base ;
    • les moyens (puissance de calcul, en particulier) dont il dispose ou pourrait disposer ;
    • les différents accès qu’il a pu avoir aux données pseudonymisées originales dans un espace de travail spécifique de l’entrepôt.

Concernant les méthodes d’anonymisation, il est rappelé que l’identifiant non signifiant devra être unique pour chaque exportation. Le fait que les données exportées contiennent des enregistrements individuels, c’est-à-dire attachés à un individu déterminé, distingué par cet identifiant, est un élément qui peut grandement influer sur la possibilité d’identification d’une personne. L’utilisation de méthodes comme la randomisation, l’ajout de bruit ou l’agrégation des données de plusieurs individus en combinaison des méthodes de généralisation déjà prévues par FRANCE TISSUE BANK contribuerait en outre à réduire les risques de réidentification.

En complément de cette analyse, il est souhaitable que le responsable de traitement mette en œuvre des mesures contractuelles avec un destinataire/porteur de projet imposant notamment :

  • la destruction des données exportées après une certaine période dont le point de départ est la fin d’un projet ;
  • l’interdiction pour les destinataires de tenter une réidentification des personnes ;
  • l’interdiction de toute diffusion des données mises à disposition par FRANCE TISSUE BANK ;
  • l’interdiction de toute utilisation des données mises à disposition pour une finalité autre que celle prévue par le contrat ;

des mesures de sécurité encadrant l’accès aux données exportées au sein des systèmes des destinataires, permettant ainsi d’assurer une confidentialité des données (chiffrement des données, contrôles d’accès ne permettant qu’à un nombre restreint de personnes d’avoir accès aux données).

Sur l’information des personnes

Il appartient à FRANCE TISSUE BANK, en sa qualité de responsable de traitement de l’entrepôt, de transmettre aux apporteurs de données MEDIPATH et BIOESTEREL, une note d’information à destination des patients et de leurs représentants légaux, conforme aux dispositions du RGPD et de s’assurer que cette information leur sera remise. Les supports d’information devront, en tout état de cause, mentionner explicitement, que l’exercice des droits par les personnes, notamment leur droit d’opposition, n’aura pas de conséquence sur leur prise en charge médicale.

S’agissant des patients dont les données ont été collectées antérieurement à la constitution de l’entrepôt et n’étant plus suivis :

Lorsque les coordonnées sont connues, une note d’information individuelle, comportant l’ensemble des mentions prévues par le RGPD, sera adressée aux patients, par ordre de préférence :

  • soit par l’envoi d’un courrier électronique ;
  • soit par l’envoi d’un SMS sur le téléphone portable de la personne concernée ;
  • soit par l’envoi d’un courrier postal.

Cette information pourra être réalisée via le logiciel de gestion dynamique de l’information des personnes utilisé par la société MEDIPATH, dans le cadre de son activité.

Les courriers électroniques et SMS adressés aux personnes concernées ne devront révéler aucune information sur leur état de santé réel ou supposé.

Toutefois, en application de l’article 69 de la loi et de l’article 14-5-b) du RGPD, l’obligation d’information individuelle de la personne concernée peut faire l’objet d’exceptions, notamment dans l’hypothèse où la fourniture d’une telle information se révélerait impossible, exigerait des efforts disproportionnés ou compromettrait gravement la réalisation des objectifs du traitement. En pareils cas, le responsable de traitement prend des mesures appropriées pour protéger les droits et libertés, ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles.

En l’espèce, lorsque les coordonnées ne sont pas disponibles, il sera fait exception au principe d’information individuelle des patients pris en charge antérieurement à la constitution de l’entrepôt et n’étant plus suivis. Des mesures appropriées seront mises en œuvre, notamment par l’affichage dans les établissements concernés, ainsi que par la diffusion sur les sites web du responsable de traitement et des apporteurs de données d’une information comportant l’ensemble des mentions prévues par le RGPD.

S’agissant des patients pris en charge postérieurement à la constitution de l’entrepôt :

Une note d’information individuelle, comportant l’ensemble des mentions prévues par le RGPD, est remise aux patients, au moment de leur prise en charge.

Par ailleurs :

  • une note d’information sera diffusée par voie d’affichage dans la salle d’accueil/d’attente ou sur le site web des apporteurs de données MEDIPATH et BIOESTEREL ;
  • une note d’information spécifique est prévue pour les mineurs et majeurs faisant l’objet d’une mesure de protection ;
  • une note d’information comportant l’ensemble des mentions prévues par le RGPD devra être remise aux représentants légaux des personnes concernées.

S’agissant des utilisateurs de l’entrepôt :

Ils devront être informés de la collecte de leurs données le cas échéant, au moment de leur connexion et préalablement à l’envoi du login et du mot de passe.

Le responsable de traitement diffusera sur son site web une information relative à la base de données ainsi que des informations sur les projets de recherches, études et évaluations dans le domaine de la santé menés à partir des données qu’elle contient (portail de transparence). Ces documents d’information devront comporter l’ensemble des mentions prévues par le RGPD.

L’information relative à la constitution de la base de données ne peut se substituer à l’information individuelle préalable prévue par les dispositions du RGPD et de la loi informatique et libertés , qui devra être réalisée pour chaque traitement de données réalisé à partir des données de la base.

Sur la sécurité des données et la traçabilité des actions

Les mesures de sécurité mises en place par le responsable de traitement visent à garantir la conformité de l’entrepôt aux exigences de sécurité mentionnées dans le référentiel entrepôt de données dans le domaine de la santé . Le point de non-conformité vis-à-vis de ce référentiel relevé par le responsable de traitement est le suivant : l’inclusion du sexe dans la base de données principale de l’entrepôt.

La non-conformité relative à l’inclusion des données dans la base principale de l’entrepôt a été justifiée par le responsable de traitement comme étant nécessaires pour permettre la réalisation de recherches ultérieures.

En outre, le responsable de traitement indique qu’il souhaite utiliser le numéro pseudonyme unique du cœur de l’entrepôt en tant qu’identifiant dans les espaces de travail. Il est rappelé que l’exigence de sécurité SEC-ESP-2 impose qu’ un numéro pseudonyme unique spécifique à chaque espace de travail devra être généré dans les mêmes conditions qu’à l’exigence SEC-PSE-1 .

En l’absence de contraintes techniques ou opérationnelles justifiant cet écart, un nouvel identifiant devra être généré dans les espaces de travail afin de se conformer à cette exigence.

Certaines mesures de sécurité techniques et organisationnelles prévues afin d’améliorer la conformité au référentiel entrepôt de données dans le domaine de la santé sont en cours d’implémentation, notamment :

  • l’interconnexion sécurisée via des réseaux virtuels privés entre les apporteurs de données et l’entrepôt ;
  • le déploiement et l’alimentation des trois répertoires de l’entrepôt de données de santé (résultat, génomique et table de correspondance) ;
  • la création des espaces de travail ;
  • la mise à disposition des données dans les espaces de travail spécifiques avec calcul d’un identifiant unique.

La mise en œuvre de l’intégralité des mesures de sécurité devra intervenir dans les meilleurs délais. Ces mesures, qui devront être opérationnelles lors de la mise en œuvre du traitement, répondront alors aux exigences prévues par les articles 5-1-f) et 32 du RGPD compte tenu des risques identifiés par le responsable de traitement. Il appartiendra au responsable de traitement de procéder à une réévaluation régulière des risques pour les personnes concernées et une mise à jour, le cas échéant, de ces mesures de sécurité.

AUTORISE, dans ces conditions, la société FRANCE TISSUE BANK à mettre en œuvre le traitement décrit ci-dessus.

Le Directeur de l’accompagnement juridique

Thomas DAUTIEU

Décisions similaires

Citées dans les mêmes commentaires3

  • Sécurité nucléaire ·
  • Données ·
  • Habilitation ·
  • Traitement ·
  • Cnil ·
  • Autorisation ·
  • Accès ·
  • Personnes ·
  • Conservation ·
  • Informatique et libertés
  • Videosurveillance ·
  • Dispositif ·
  • Personne concernée ·
  • Installation ·
  • Traitement ·
  • Établissement ·
  • Informatique et libertés ·
  • Salarié ·
  • Protection des données ·
  • Respect
  • Prévention ·
  • Message ·
  • Cnil ·
  • Santé ·
  • Traitement ·
  • Ministère ·
  • Décret ·
  • Protection des données ·
  • Secret médical ·
  • Personnes

Citant les mêmes articles de loi3

  • Formation restreinte ·
  • Journal officiel ·
  • Autorité administrative indépendante ·
  • Informatique ·
  • Commission nationale ·
  • Règlement (ue) ·
  • Délibération ·
  • Site internet ·
  • Règlement ·
  • Internet
1 commentaire
  • Cnil ·
  • Attestation ·
  • Personne concernée ·
  • Contrôle ·
  • Décret ·
  • Enfance ·
  • Assistant ·
  • Information ·
  • Identifiants ·
  • Conservation
  • Cnil ·
  • Accès ·
  • Casier judiciaire ·
  • Marchés publics ·
  • Cyber-securité ·
  • Transport ·
  • Recrutement ·
  • Décret ·
  • Cyberattaque ·
  • Consultation

De référence sur les mêmes thèmes3

  • Plateforme ·
  • Données de santé ·
  • Cnil ·
  • Entrepôt ·
  • Accès ·
  • Consortium ·
  • Traitement de données ·
  • Base de données ·
  • Information ·
  • Scientifique
  • Traitement de données ·
  • Cnil ·
  • Accès aux données ·
  • Finalité ·
  • Responsable ·
  • Informatique et libertés ·
  • Données de santé ·
  • Cadre ·
  • Anonymisation ·
  • Accès
3 commentaires
  • Sanction ·
  • Juriste ·
  • Protection ·
  • Service ·
  • Innovation ·
  • Technologie ·
  • Plainte ·
  • Contrôle ·
  • Contentieux ·
  • Système d'information

Sur les mêmes thèmes3

  • Informatique ·
  • Commission nationale ·
  • Liberté ·
  • Fichier ·
  • Formation restreinte ·
  • Délibération ·
  • Commissaire du gouvernement ·
  • Journal officiel ·
  • Règlement intérieur ·
  • Vote
1 commentaire
  • Commission nationale ·
  • Informatique ·
  • Traitement de données ·
  • Parlement européen ·
  • Liberté ·
  • Habilitation ·
  • Protection ·
  • Directive (ue) ·
  • Commission ·
  • Personnes physiques
  • Protection des données ·
  • Cnil ·
  • Intelligence artificielle ·
  • Recommandation ·
  • Informatique ·
  • Commission nationale ·
  • Acteur ·
  • Système ·
  • Fiche ·
  • Réutilisation de données

Textes cités dans la décision

  1. RGPD - Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données
  2. Loi n° 78-17 du 6 janvier 1978
  3. Décret n°2019-536 du 29 mai 2019
  4. Code de la santé publique
Extraits similaires à la sélection

Aucune décision de référence ou d'espèce avec un extrait similaire.

Inscrivez-vous gratuitement pour imprimer votre décision
CNIL, Décision du 9 février 2024, n° DT-2024-004
  1. Doctrine
  2. Décisions de justice
  3. 2024
  4. CNIL, déc. n° DT-2024-004, 9 févr. 2024
Contactez notre service commercial au 01 84 80 33 48