Inscription
7 jours d’essai gratuit.
Inscription en moins d’une minute. Pas de carte de crédit requise.
CNIL, Délibération du 14 mars 2024, n° 2024-023
CNIL 14 mars 2024

Arguments

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Signaler une erreur.
  • Accepté
    Conformité aux réglementations en matière de protection des données

    La CNIL a constaté que les traitements envisagés sont conformes aux dispositions du RGPD et de la loi Informatique et Libertés, et que les données collectées sont adéquates et limitées à ce qui est nécessaire.

  • Accepté
    Information des personnes concernées

    La CNIL a noté que des mesures appropriées d'information des personnes concernées ont été prévues, bien que des exceptions puissent s'appliquer dans certains cas.

Résumé par Doctrine IA

La décision concerne une demande de modification de l'autorisation d'un traitement automatisé de données à caractère personnel ayant pour finalité la constitution d'un entrepôt de données de santé appelé "Plateforme Agoria santé". Les sociétés Takeda France et AstraZeneca, responsables conjoints du traitement, souhaitent alimenter l'entrepôt avec des données provenant de dossiers médicaux de patients, de recherches et du Système national des données de santé (SNDS). La Commission nationale de l'informatique et des libertés (CNIL) rappelle que l'identifiant patient sera remplacé par un nouvel identifiant lors de l'intégration des données dans l'entrepôt. La CNIL autorise la modification du traitement et précise les conditions de conservation des données, l'information des personnes concernées et demande un bilan régulier des recherches et études réalisées à partir de l'entrepôt.

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Résumé de la juridiction

Délibération n° 2024-023 du 14 mars 2024 autorisant le consortium AGORIA SANTE composé des sociétés Docaposte, AstraZeneca, Impact Healthcare et Takeda à modifier un traitement automatisé de données à caractère personnel ayant pour finalité la constitution d’un entrepôt de données de santé, dénommé "Plateforme Agoria santé" (Demande d’autorisation n° 2225091v2)

Commentaire0

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées. 

Sur la décision

Référence :
CNIL, délib. n° 2024-023, 14 mars 2024
Numéro : 2024-023
Nature de la délibération : Autre autorisation
État : VIGUEUR
Identifiant Légifrance : CNILTEXT000049398981

Texte intégral

La Commission nationale de l’informatique et des libertés,

Saisie par les sociétés Docaposte, AstraZeneca, Impact Healthcare et Takeda d’une demande de modification de l’autorisation concernant un traitement automatisé de données à caractère personnel ayant pour finalité la constitution d’un entrepôt de données de santé dénommé « Plateforme Agoria santé » ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD) ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 44 3° et 66 ;

Vu la délibération no 2022-063 du 23 mai 2022 autorisant le consortium AGORIA SANTE composé des sociétés Docaposte, AstraZeneca et Impact Healthcare à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la constitution d’un entrepôt de données de santé, dénommé « Plateforme Agoria santé » ;

Vu la délibération n° 2022-104 du 20 octobre 2022 autorisant le consortium AGORIA SANTE composé des sociétés Docaposte, AstraZeneca, Impact Healthcare et Takeda à modifier un traitement automatisé de données à caractère personnel ayant pour finalité la constitution d’un entrepôt de données de santé, dénommé « Plateforme Agoria santé » ;

Vu le dossier et ses compléments ;

Sur la proposition de Mme Marie Zins, commissaire et après avoir entendu les observations de M. Damien Milic, commissaire du Gouvernement,

Formule les observations suivantes :

Modification substantielle du traitement de données

Les sociétés Takeda France et AstraZeneca, responsables conjoints du traitement, alimenteront l’entrepôt par des données à caractère personnel issues :

  • de dossiers médicaux de patients pris en charge dans le cadre de programmes d’accès précoces ou compassionnels ;
  • de recherches impliquant ou n’impliquant pas la personne humaine ;
  • du Système national des données de santé (SNDS).

A titre liminaire, la CNIL rappelle que conformément à la délibération n° 2022-063 du 23 mai 2022, l’identifiant patient présent dans les données sources sera remplacé par un nouvel identifiant, qui devra être généré selon les recommandations de la CNIL, lors de leur intégration dans l’entrepôt.

S’agissant des données provenant d’ « accès précoces » et d’« accès compassionnels » :

Certaines données à caractère personnel recueillies dans le cadre de protocoles d’utilisation thérapeutique et de recueil de données (PUT-RD) d’accès précoce ou de protocoles d’utilisation thérapeutique et de suivi des patients (PUT-SP) d’accès compassionnel suivants alimenteront la plateforme AGORIA :

  • PUT-RD de données issues du programme d’accès précoce Lynparza (Olaparib) 100 et 150 mg dans l’indication de cancer de la prostate métastatique (« Propel ») ;
  • PUT-RD de données issues du programme d’accès précoce Imfinzi (Durvalumab) 50 mg/ml dans l’indication de cancer des voies biliaires (« Topaz ») ;
  • PUT-RD de données issues du programme d’accès précoce Imfinzi (Durvalumab) 50 mg/ml et Imjudo (Tremelimumab) 20 mg/ml dans l’indication de carcinome hépatocellulaire (« Himalaya ») ;
  • PUT-SP de données issues du programme compassionnel AZD-3152 dans l’indication en prophylaxie pré-exposition de la COVID-19 et sous réserve de la décision rendue par la Haute autorité de santé, PUT-RD du programme d’accès précoce AZD 3152 (« AZD-3152 ») ;
  • PUT-RD et PUT-SP de données issues des programmes d’accès précoce et compassionnel Livtencity (maribavir 200mg) dans l’indication de l’infection et/ou de la maladie à cytomégalovirus (CMV) réfractaire (« Maribavir »).

Dans chacune de ces bases, seront collectées :

  • des données administratives d’identification (numéro identifiant patient, âge ou mois et année de naissance, poids, taille, sexe) ;
  • des données de santé ;
  • des données relatives aux conditions d’utilisation du médicament et à sa tolérance.

Ces traitements ont été réalisés dans le cadre d’une déclaration de conformité aux référentiels RS-003 et RS-004 de la CNIL.

S’agissant des données provenant de recherches, d’études ou d’évaluation :

La plateforme AGORIA sera enrichie à partir des données à caractère personnel provenant des recherches, études ou évaluations suivantes :

  • « Arsenal » et « Prowess », dont le traitement a été réalisé dans le cadre d’une déclaration de conformité à la méthodologie de référence MR-003 ;
  • « Oval-1 », « Liver-R » et « Naos », dont le traitement a été réalisé dans le cadre d’une déclaration de conformité à la méthodologie de référence MR-004.

S’agissant des traitements de données du SNDS :

Certaines données du SNDS seront traitées, d’une part, aux fins de mise en œuvre d’un suivi passif des patients dont les données sont issues des bases susmentionnées et d’autre part, en vue de la constitution de cohortes témoins.

Sur l’appariement des données issues des dix bases de données susmentionnées avec celles contenues dans le SNDS :

Les données du SNDS qui seront appariées avec ces bases sources de la « plateforme Agoria Santé » proviendront :

  • du Système national d’information inter-régimes de l’Assurance maladie (SNIIRAM) ;
  • du Programme de médicalisation des systèmes d’information (PMSI) ;
  • du Centre d’épidémiologie sur les causes médicales de décès (CépiDC) ;
  • de la base de données relative au dépistage des cas de covid-19, dénommée « SI-DEP » ;
  • de la base de données relative aux vaccinations contre la covid-19, dénommée « Vaccin-covid ».

Les données du SNIIRAM, du PMSI et du CépiDc des années 2017 à 2030 et des bases de données « SI-DEP » et « Vaccin-covid » des années 2019 à 2030 mises à dispositions par la Caisse nationale de l’assurance maladie (CNAM) alimenteront la « plateforme Agoria Santé » aux fins de mise en œuvre du suivi passif des personnes concernées.

Les responsables conjoints de traitement ont transmis, à l’appui de leur demande, plusieurs expressions de besoins précisant, pour chaque base de données, les données du SNDS ayant vocation à alimenter la « plateforme Agoria santé ».

L’appariement sera réalisé de manière probabiliste et itérative à l’aide de variables communes (par exemple, l’année de naissance, le sexe, la date de soins, le code FINESS du lieu de prise en charge).

Seules les variables communes d’appariement des bases sources seront transmises à la CNAM en vue de l’extraction des données du SNDS. Un nouveau numéro d’identification pseudonymisé est généré par la CNAM pour chaque personne dont les données sont extraites du SNDS. Afin d’assurer la cohérence des extractions récurrentes, une table de correspondance avec les bases sources est créée et conservée par la CNAM.

S’agissant de la constitution de cohortes témoins à partir des données du SNDS :

Des cohortes témoins seront constituées à partir des données du SNDS afin d’être réutilisées en vue de la réalisation de recherches, d’études ou d’évaluations dans le domaine de la santé (études comparatives et études en vie réelle).

À cet égard, la CNIL demande que, conformément à l’avis du comité éthique et scientifique de la « plateforme Agoria Santé » les cohortes témoins soient utilisées, dans un premier temps, uniquement dans le cadre d’études comparatives avec les données sources et seulement, dans un second temps, réutilisées dans le cadre d’études en vie réelle.

En l’absence de conformité à une méthodologie de référence, ces dernières nécessiteront la réalisation de demandes d’autorisation auprès de la CNIL qui se prononcera après avis du Comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé (CESREES).

Dans le cadre de la constitution de ces cohortes témoins, les données proviendront, sous réserve qu’elles soient diffusables par la CNAM :

  • pour la cohorte témoin « Maribavir » :
    • du SNIIRAM : 2017-2029
    • du PMSI : 2017-2029
    • du CépiDC : 2021-2029
  • pour la cohorte témoin « AZD-3152 » :
    • du SNIIRAM : 2018-2030
    • du PMSI : 2018-2030
    • du CépiDC : 2021-2030
    • de la base SI-DEP : 2020-2030
    • de la base Vaccin-covid : 2020-2030

Les données dont le traitement est envisagé sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités du traitement, conformément aux dispositions de l’article 5-1-c du RGPD.

Sur la durée de conservation

Les données du SNDS sont conservées au sein de la « plateforme Agoria Santé » pendant quatre ans à compter de la première mise à disposition des données.

Sur l’information et les modalités d’exercice des droits

S’agissant des personnes dont les données proviennent des PUT-RD et PUT-SP de données issues des programmes d’accès précoce et compassionnel (« Propel », « Topaz », « Himalaya », « AZ-3152 » et « Maribavir ») et des études « Arsenal », « Prowess » et « Liver-r » :

Elles ont été ou seront informées individuellement du versement des données au sein de la « plateforme Agoria Santé » par la diffusion d’une note d’information comportant l’ensemble des mentions prévues par le RGPD.

S’agissant des personnes dont les données proviennent de l’étude « Naos », placée sous la responsabilité de la société AstraZeneca :

Lors de leur inclusion dans l’étude, elles ont reçu une note d’information individuelle prévoyant un dispositif spécifique d’information auquel elles peuvent se reporter préalablement à la mise en œuvre de chaque nouveau traitement de données. Une note d’information relative au versement des données dans l’entrepôt « plateforme Agoria Santé » comportant l’ensemble des mentions du RGPD sera diffusée sur ce site web.

S’agissant des personnes dont les données proviennent de l’étude « Oval-1 » ou du SNDS exclusivement :

En application de l’article 69 de la loi « informatique et libertés » et de l’article 14-5-b) du RGPD, l’obligation d’information individuelle de la personne concernée peut faire l’objet d’exceptions, notamment dans l’hypothèse où la fourniture d’une telle information se révélerait impossible, exigerait des efforts disproportionnés ou compromettrait gravement la réalisation des objectifs du traitement.

En pareils cas, le responsable de traitement prend des mesures appropriées pour protéger les droits et libertés, ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles.

En l’espèce, il sera fait exception au principe d’information individuelle des personnes et des mesures appropriées seront mises en œuvre, notamment par la diffusion sur les sites web des apporteurs de données, responsables conjoints du traitement, ainsi que sur celui du consortium, d’une information relative au versement des données au sein de la « plateforme Agoria Santé » comportant l’ensemble des mentions prévues par le RGPD.

Observations complémentaires

La CNIL demande qu’un bilan relatif aux recherches, études et évaluations dans le domaine de la santé mises en œuvre à partir des données de l’entrepôt lui soit adressé tous les deux ans. Il devra comporter :

  • le nombre d’études mises en œuvre, leurs finalités, les composantes du SNDS et la profondeur historique sollicitées ;
  • le nombre moyen et médian de personnes concernées par ces études ;
  • la durée d’accès ou de conservation moyenne et médiane des données sollicitée ;
  • les modalités d’information des personnes concernées ;
  • le nombre de publications scientifiques découlant des recherche, études et évaluations réalisées ;
  • les bénéfices, apports scientifiques observés et/ou mesurés.

Ce bilan devra également faire état des avis préalables délivrés par le comité éthique et scientifique de l’entrepôt.

Les autres conditions de mise en œuvre de la « plateforme Agoria santé » restent inchangées.

Autorise, conformément à la présente délibération, le consortium AGORIA SANTE composé des sociétés Docaposte, AstraZeneca, Impact Healthcare et Takeda à mettre en œuvre le traitement mentionné ci-dessus.

La présidente

M.-L. Denis

Décisions similaires

Citées dans les mêmes commentaires3

  • Cnil ·
  • Attestation ·
  • Personne concernée ·
  • Contrôle ·
  • Décret ·
  • Enfance ·
  • Assistant ·
  • Information ·
  • Identifiants ·
  • Conservation
  • Cnil ·
  • Accès ·
  • Casier judiciaire ·
  • Marchés publics ·
  • Cyber-securité ·
  • Transport ·
  • Recrutement ·
  • Décret ·
  • Cyberattaque ·
  • Consultation
  • Traitement de données ·
  • Informatique ·
  • Commission nationale ·
  • Liberté ·
  • Fichier ·
  • Modification ·
  • Règlement (ue) ·
  • Comités ·
  • Protection ·
  • Délégation de signature

Citant les mêmes articles de loi3

  • Données de santé ·
  • Accès aux données ·
  • Habilitation ·
  • Informatique ·
  • Traitement de données ·
  • Personnes ·
  • Archivage ·
  • Méthodologie ·
  • Commission nationale ·
  • Liberté
  • Traitement ·
  • Données de santé ·
  • Réutilisation ·
  • Information ·
  • Protection des données ·
  • Informatique ·
  • Sécurité des données ·
  • Responsable ·
  • Cancer ·
  • Serveur
  • Commission nationale ·
  • Informatique ·
  • Traitement de données ·
  • Parlement européen ·
  • Liberté ·
  • Habilitation ·
  • Protection ·
  • Directive (ue) ·
  • Commission ·
  • Personnes physiques

De référence sur les mêmes thèmes3

  • Videosurveillance ·
  • Dispositif ·
  • Personne concernée ·
  • Installation ·
  • Traitement ·
  • Établissement ·
  • Informatique et libertés ·
  • Salarié ·
  • Protection des données ·
  • Respect
  • Prévention ·
  • Message ·
  • Cnil ·
  • Santé ·
  • Traitement ·
  • Ministère ·
  • Décret ·
  • Protection des données ·
  • Secret médical ·
  • Personnes
  • Formation restreinte ·
  • Journal officiel ·
  • Autorité administrative indépendante ·
  • Informatique ·
  • Commission nationale ·
  • Règlement (ue) ·
  • Délibération ·
  • Site internet ·
  • Règlement ·
  • Internet
1 commentaire

Sur les mêmes thèmes3

  • Traitement de données ·
  • Cnil ·
  • Accès aux données ·
  • Finalité ·
  • Responsable ·
  • Informatique et libertés ·
  • Données de santé ·
  • Cadre ·
  • Anonymisation ·
  • Accès
3 commentaires
  • Sanction ·
  • Juriste ·
  • Protection ·
  • Service ·
  • Innovation ·
  • Technologie ·
  • Plainte ·
  • Contrôle ·
  • Contentieux ·
  • Système d'information
  • Sécurité nucléaire ·
  • Données ·
  • Habilitation ·
  • Traitement ·
  • Cnil ·
  • Autorisation ·
  • Accès ·
  • Personnes ·
  • Conservation ·
  • Informatique et libertés

Textes cités dans la décision

  1. RGPD - Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données
  2. Directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données
  3. Loi n° 78-17 du 6 janvier 1978
Extraits similaires à la sélection

Aucune décision de référence ou d'espèce avec un extrait similaire.

Inscrivez-vous gratuitement pour imprimer votre décision
CNIL, Délibération du 14 mars 2024, n° 2024-023
  1. Doctrine
  2. Décisions de justice
  3. 2024
  4. CNIL, délib. n° 2024-023, 14 mars 2024
Contactez notre service commercial au 01 84 80 33 48