Inscription
7 jours d’essai gratuit.
Inscription en moins d’une minute. Pas de carte de crédit requise.
CNIL, Délibération du 25 janvier 2024, n° 2024-005
CNIL 25 janvier 2024
>
CE 25 juillet 2024
>
CE
Rejet 15 avril 2025

Arguments

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Signaler une erreur.
  • Accepté
    Conformité aux exigences légales

    La CNIL a estimé que les traitements proposés par la société HEVA sont nécessaires aux fins des intérêts légitimes qu'elle poursuit et qu'ils respectent les conditions de licéité prévues par le RGPD.

  • Accepté
    Finalité légitime des traitements

    La CNIL a confirmé que la finalité des traitements est conforme aux exigences du RGPD et présente un intérêt public, justifiant ainsi le renouvellement de l'autorisation.

Résumé par Doctrine IA

La décision concerne la demande de la société HEVA de modifier son autorisation pour des traitements automatisés à des fins de recherche, d'étude et d'évaluation nécessitant un accès aux données de l'échantillon du Système national des données de santé (ESND). La question juridique posée est de savoir si la société HEVA peut obtenir un renouvellement de son autorisation pour continuer à effectuer ces traitements. La réponse finale de la Commission nationale de l'informatique et des libertés (CNIL) est positive, autorisant la société HEVA à mettre en œuvre les traitements pendant une durée d'un an, avec l'obligation de remettre un bilan à la CNIL à la fin de cette période.

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Résumé de la juridiction

Délibération n° 2024-005 du 25 janvier 2024 portant décision unique et autorisant la société HEVA à mettre en œuvre des traitements automatisés à des fins de recherche, d’étude et d’évaluation nécessitant un accès aux données de l’échantillon du Système national des données de santé (ESND) (Saisine n° 921273v1)

Commentaires3

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées. 
1Revues françaises
Institut National de la Propriété Industrielle · 7 août 2025
2Reconquête 0 - RGPD 1
blog.landot-avocats.net · 17 avril 2025
3Revues françaises
Institut National de la Propriété Industrielle · 14 décembre 2024
Testez Doctrine gratuitement
pendant 7 jours
Démarrer
Vous avez déjà un compte ?Connexion

Sur la décision

Référence :
CNIL, délib. n° 2024-005, 25 janv. 2024
Numéro : 2024-005
Nature de la délibération : Autre autorisation
État : VIGUEUR
Identifiant Légifrance : CNILTEXT000049400237

Texte intégral

La Commission nationale de l’informatique et des libertés,

Saisie par la société HEVA d’une demande de modification de l’autorisation concernant des traitements automatisés à des fins de recherche, d’étude et d’évaluation nécessitant un accès aux données de l’échantillon du Système national des données de santé (ESND) ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 66, 72 et suivants ;

Vu l’avis favorable du Comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé du 16 novembre 2023 ;

Vu la délibération n° 2022-039 du 31 mars 2022 portant décision unique et autorisant la société HEVA à mettre en œuvre des traitements automatisés à des fins de recherche, d’étude et d’évaluation nécessitant un accès aux données d’un échantillon du Système national d’information inter-régimes de l’assurance maladie (SNIIRAM) ;

Vu le dossier et ses compléments ;

Sur la proposition de Mme Valérie Peugeot, commissaire, et après avoir entendu les observations de M. Damien Milic, commissaire du Gouvernement,

Formule les observations suivantes :

Responsable du traitement

Créée en 2005, la société HEVA est un bureau d’études qui réalise des recherches dans le domaine de la santé notamment à partir des données du Système national des données de santé (SNDS).

Sur l’opportunité du recours à la décision unique

Le 31 mars 2022, la société HEVA a été autorisée par la CNIL à mettre en œuvre pendant un an des traitements de données à caractère personnel sur les données de l’ESND. Ces traitements avaient pour finalité de permettre à la société HEVA, dans le cadre d’appels à projets présentés par les industriels de santé, de déterminer si certains projets de recherche pouvaient être mis en œuvre uniquement à partir des données de l’échantillon, lorsque celui-ci est suffisamment représentatif de la population d’intérêt, ou si un traitement de données du SNIIRAM est nécessaire.

Dans ce cadre, quatorze requêtes ont été réalisées à partir des données de l’échantillon. Celles-ci ont conduit la société HEVA à recommander la mise en œuvre de sept études à partir des données de l’échantillon.

La Commission relève que lui ont été transmis :

  • un bilan relatif à ces requêtes ;
  • le rapport d’un audit externe indépendant, réalisé sur la base de déclarations du responsable de traitement, portant sur les finalités poursuivies et l’utilisation par le responsable de traitement des résultats des études réalisées.

La société HEVA sollicite un renouvellement de l’autorisation précédemment délivrée par la CNIL afin de pouvoir requêter l’échantillon pendant une année supplémentaire.

Elle estime entre douze et vingt le nombre de traitements susceptibles d’être mis en œuvre dans le cadre de la présente décision.

Ces traitements répondent à une même finalité, portent sur des catégories de données identiques – en l’espèce, les données de l’ESND – et dont les catégories de destinataires sont identiques – les personnes habilitées par le responsable de traitement.

Les traitements décrits relevant du régime prévu par les dispositions des articles 66, 72 et suivants de la loi n° 78-17 du 6 janvier 1978 modifiée (ci-après loi « informatique et libertés »), la Commission estime opportun, au vu des éléments présentés dans le dossier de demande, d’autoriser la mise en œuvre de ces traitements dans le cadre d’une décision unique.

Sur la licéité des traitements et les conditions permettant de traiter des données concernant la santé

Les traitements mis en œuvre par la société HEVA sont nécessaires aux fins des intérêts légitimes qu’elle poursuit, prenant en considération, d’une part, le caractère pseudonymisé des données issues de l’ESND et, d’autre part, les garanties, notamment en termes de droits des personnes, prévues par les textes encadrant la mise à disposition des données du SNDS.

Ces traitements sont, à ce titre, licites au regard de l’article 6.1.f du règlement général sur la protection des données (ci-après « RGPD »).

Sur la finalité des traitements et leur caractère d’intérêt public

Les traitements envisagés ont pour finalité de permettre à la société HEVA, dans le cadre d’appels à projets présentés par les industriels de santé, de déterminer si certains projets de recherche peuvent être mis en œuvre uniquement à partir des données de l’ESND, lorsque celui-ci est suffisamment représentatif de la population d’intérêt, ou si un traitement de données du SNIIRAM est nécessaire.

La CNIL considère, d’une part, que la finalité des traitements est déterminée, explicite et légitime, conformément à l’article 5.1.b du RGPD et, d’autre part, qu’elle présente un intérêt public, conformément à l’article 66 I de la loi « informatique et libertés ».

Les traitements ultérieurs de données du SNDS susceptibles d’être mis en œuvre, suite à ces requêtes exploratoires, s’inscriront dans le cadre des dispositions des articles 66, 72 et suivants de la loi « informatique et libertés », qui imposent que chaque projet de recherche, étude ou évaluation soit justifié par l’intérêt public et fasse l’objet de formalités propres.

Sur le traitement de données issues du SNDS

Les traitements inclus dans le cadre de la décision unique portent sur les données de l’ESND, sous réserve qu’elles soient diffusables par la Caisse nationale de l’assurance maladie (CNAM).

Les traitements mis en œuvre par la société HEVA porteront sur une profondeur historique maximale de cinq ans (données de l’échantillon des années 2018 à 2022).

Le responsable de traitement ne devra traiter, pour chacun des traitements mis en œuvre dans le cadre de la présente décision unique, que les données strictement nécessaires et pertinentes au regard des objectifs des traitements, dans la limite de la profondeur historique de traitements de données du SNDS autorisée par la CNIL.

Conformément à l’article 30 du RGPD, le responsable de traitement devra tenir à jour, au sein de son registre des activités de traitement, la liste des traitements mis en œuvre dans le cadre de la présente décision unique. Par ailleurs, le caractère adéquat, pertinent et limité à ce qui est nécessaire au regard des finalités pour lesquelles les données sont traitées, la zone géographique concernée et la profondeur historique des données consultées, devront être justifiés dans ce registre pour chaque traitement mis en œuvre dans le cadre cette décision unique.

Enfin, les données de l’ESND étant issues d’une des bases composant le SNDS, l’ensemble des dispositions législatives et réglementaires relatives à ce dernier sont applicables en l’espèce, notamment l’interdiction d’utiliser ces données pour les finalités décrites à l’article L. 1461-1 V du code de la santé publique (CSP).

Sur la durée d’accès aux données

La durée d’accès aux données dans la plateforme sécurisée doit être limitée à la durée nécessaire à la mise en œuvre des traitements, qui ne saurait être supérieure à un an.

Cette durée de conservation des données n’excède pas les durées nécessaires aux finalités pour lesquelles elles sont collectées et traitées, conformément aux dispositions de l’article 5.1.e du RGPD.

Sur le principe de transparence et la publication des résultats

La mise à disposition des données du SNDS et de ses composantes est conçue de façon à rendre compte de leur utilisation au public. À cette fin, l’article L. 1461-3 du CSP subordonne l’accès aux données du SNDS et de ses composantes à la communication à la plateforme des données de santé (PDS) de plusieurs éléments par le responsable de traitement, avant et après les études.

Lorsque le résultat des traitements de données sera rendu public, l’identification directe ou indirecte des personnes concernées doit être impossible, conformément à l’article 68 de la loi « informatique et libertés ».

À l’issue du délai d’un an, un bilan contenant notamment la liste des analyses réalisées dans le cadre de la décision unique ainsi que la méthodologie suivie dans le cadre des analyses devra être adressé à la CNIL.

Sur les catégories de destinataires des données

Seuls le responsable du traitement et les personnes habilitées par celui-ci ont accès aux données dans le cadre de la présente décision unique. Le responsable de traitement tient à jour des documents indiquant la ou les personnes compétentes en son sein pour délivrer l’habilitation à accéder aux données, la liste des personnes habilitées, leurs profils d’accès respectifs et les modalités d’attribution, de gestion et de contrôle des habilitations.

Ces catégories de personnes sont soumises au secret professionnel dans les conditions définies par les articles 226-13 et 226-14 du code pénal.

La qualification des personnes habilitées et leurs droits d’accès doivent être régulièrement réévalués, conformément aux modalités décrites dans la procédure d’habilitation établie par le responsable de traitement.

Sur l’information et les droits des personnes

Conformément aux dispositions de l’article 14 du RGPD, dans l’hypothèse où la fourniture d’une information individuelle se révélerait impossible, exigerait des efforts disproportionnés ou compromettrait gravement la réalisation des objectifs du traitement, des mesures appropriées devront être mises en œuvre par le responsable de traitement afin de protéger les droits et libertés, ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles.

En l’espèce, il sera fait exception au principe d’information individuelle des personnes et des mesures appropriées seront prises par le responsable de traitement afin de rendre publiquement disponible l’information concernant la mise en œuvre de ces traitements.

La CNIL relève qu’une rubrique dédiée aux traitements mis en œuvre dans le cadre de cette décision unique est publiée sur le site web de la société HEVA au sein de laquelle figurent :

  • une note d’information relative à ces traitements comportant l’ensemble des mentions prévues par l’article 14 du RGPD ;
  • un « registre des données requêtées » mentionnant notamment le type de demandeur, le motif de la demande, le champ thérapeutique, le résultat du dénombrement et la suite données à la requête, sera également publié sur ce portail de transparence.

Sur la sécurité des données et la traçabilité des actions

La mise en œuvre de traitements de données à caractère personnel intervenant dans le cadre de l’étude s’effectue sous la responsabilité du responsable de traitement, y compris chez des tiers agissant pour son compte, dans le respect des dispositions des articles 24, 25, 28, 32 à 35 du RGPD ainsi que de l’arrêté du 22 mars 2017 relatif au référentiel de sécurité applicable au SNDS.

Les données seront mises à disposition auprès du responsable de traitement par l’intermédiaire du portail de la CNAM.

Seules des données issues de processus d’anonymisation, de telle sorte que l’identification, directe ou indirecte, des personnes est impossible, peuvent faire l’objet d’une extraction. Pour se prévaloir de l’anonymat d’un jeu de données, le responsable de traitement devra réaliser une analyse permettant de démontrer que ses processus d’anonymisation respectent les trois critères définis par l’avis n° 05/2014 sur les techniques d’anonymisation adoptés par le groupe de l’Article 29 (G29) le 10 avril 2014. Si ces trois critères ne peuvent être réunis, une étude des risques de réidentification doit avoir été menée afin de démontrer que ceux-ci sont négligeables et ainsi conclure à l’anonymat des données.

Autorise, conformément à la présente délibération, la société HEVA à mettre en œuvre les traitements décrits ci-dessus pendant une durée d’un an, avec obligation de remise d’un bilan à la CNIL à l’issue de ce délai.

La présidente

M.-L. Denis

Décisions similaires

Citées dans les mêmes commentaires3

  • Cnil ·
  • Accès ·
  • Casier judiciaire ·
  • Marchés publics ·
  • Cyber-securité ·
  • Transport ·
  • Recrutement ·
  • Décret ·
  • Cyberattaque ·
  • Consultation
  • Traitement de données ·
  • Informatique ·
  • Commission nationale ·
  • Liberté ·
  • Fichier ·
  • Modification ·
  • Règlement (ue) ·
  • Comités ·
  • Protection ·
  • Délégation de signature
  • Données de santé ·
  • Accès aux données ·
  • Habilitation ·
  • Informatique ·
  • Traitement de données ·
  • Personnes ·
  • Archivage ·
  • Méthodologie ·
  • Commission nationale ·
  • Liberté

Citant les mêmes articles de loi3

  • Traitement ·
  • Données de santé ·
  • Réutilisation ·
  • Information ·
  • Protection des données ·
  • Informatique ·
  • Sécurité des données ·
  • Responsable ·
  • Cancer ·
  • Serveur
  • Commission nationale ·
  • Informatique ·
  • Traitement de données ·
  • Parlement européen ·
  • Liberté ·
  • Habilitation ·
  • Protection ·
  • Directive (ue) ·
  • Commission ·
  • Personnes physiques
  • Professionnel ·
  • Sécurité des données ·
  • Commission ·
  • Santé publique ·
  • Traçabilité ·
  • Document ·
  • Droit d'accès ·
  • Dossier médical ·
  • Accès non autorisé ·
  • Identification

De référence sur les mêmes thèmes3

  • Prévention ·
  • Message ·
  • Cnil ·
  • Santé ·
  • Traitement ·
  • Ministère ·
  • Décret ·
  • Protection des données ·
  • Secret médical ·
  • Personnes
  • Formation restreinte ·
  • Journal officiel ·
  • Autorité administrative indépendante ·
  • Informatique ·
  • Commission nationale ·
  • Règlement (ue) ·
  • Délibération ·
  • Site internet ·
  • Règlement ·
  • Internet
1 commentaire
  • Cnil ·
  • Attestation ·
  • Personne concernée ·
  • Contrôle ·
  • Décret ·
  • Enfance ·
  • Assistant ·
  • Information ·
  • Identifiants ·
  • Conservation

Sur les mêmes thèmes3

  • Sanction ·
  • Juriste ·
  • Protection ·
  • Service ·
  • Innovation ·
  • Technologie ·
  • Plainte ·
  • Contrôle ·
  • Contentieux ·
  • Système d'information
  • Sécurité nucléaire ·
  • Données ·
  • Habilitation ·
  • Traitement ·
  • Cnil ·
  • Autorisation ·
  • Accès ·
  • Personnes ·
  • Conservation ·
  • Informatique et libertés
  • Videosurveillance ·
  • Dispositif ·
  • Personne concernée ·
  • Installation ·
  • Traitement ·
  • Établissement ·
  • Informatique et libertés ·
  • Salarié ·
  • Protection des données ·
  • Respect

Textes cités dans la décision

  1. RGPD - Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données
  2. Directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données
  3. Loi n° 78-17 du 6 janvier 1978
  4. Code pénal
  5. Code de la santé publique
Extraits similaires à la sélection

Aucune décision de référence ou d'espèce avec un extrait similaire.

Inscrivez-vous gratuitement pour imprimer votre décision
CNIL, Délibération du 25 janvier 2024, n° 2024-005
  1. Doctrine
  2. Décisions de justice
  3. 2024
  4. CNIL, délib. n° 2024-005, 25 janv. 2024
Contactez notre service commercial au 01 84 80 33 48