Inscription
7 jours d’essai gratuit.
Inscription en moins d’une minute. Pas de carte de crédit requise.
CNIL, Décision du 19 juin 2024, n° DT-2024-012
CNIL 19 juin 2024

Arguments

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Signaler une erreur.
  • Accepté
    Conformité aux dispositions du RGPD

    La Commission a constaté que le traitement répondait aux conditions de licéité prévues par le RGPD et que les finalités du traitement étaient justifiées par l'intérêt public, autorisant ainsi la mise en œuvre du traitement.

  • Accepté
    Mesures de sécurité et de protection des données

    La Commission a noté que des mesures de sécurité adéquates étaient en cours d'implémentation et que le responsable de traitement devait démontrer leur mise en œuvre avant la mise en service de l'entrepôt.

Résumé de la juridiction

Décision DT-2024-012 du 19 juin 2024 autorisant l’association DAT’AIDS à mettre en œuvre un traitement de données ayant pour finalité la constitution d’un entrepôt de données de santé. (Demande d’autorisation n° 2232066).

Commentaire0

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées. 

Sur la décision

Référence :
CNIL, déc. n° DT-2024-012, 19 juin 2024
Numéro : DT-2024-012
Nature de la délibération : Autre autorisation
État : VIGUEUR
Identifiant Légifrance : CNILTEXT000050216873

Texte intégral

La Commission nationale de l’informatique et des libertés,

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu le décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu la décision du 21 septembre 2023 portant délégation de signature du secrétaire général de la Commission nationale de l’informatique et des libertés ;

Saisie d’une demande d’autorisation relative à un traitement de données à caractère personnel dans le domaine de la santé ;

Considérant que ce traitement, dont la finalité présente un caractère d’intérêt public, relève des dispositions de la section 3 du chapitre III du titre II de la loi du 6 janvier 1978 modifiée ;

Considérant que le traitement présente les caractéristiques et répond aux conditions suivantes :

Sur les sous-traitants

Plusieurs sous-traitants interviendront dans la mise en œuvre de cet entrepôt. Le traitement des données par chacun de ces sous-traitants devra être régi par un contrat ou un acte juridique, conformément à l’article 28 du RGPD.

Sur les points de non-conformité au référentiel concerné

Le dossier de demande mentionne que le traitement envisagé est conforme aux dispositions du référentiel entrepôt de données dans le domaine de la santé , à l’exception de la base légale du traitement et de la nature des données traitées.

Sur la base légale du traitement

Le traitement mis en œuvre par le responsable de traitement est nécessaire aux fins des intérêts légitimes qu’il poursuit. Ce traitement est licite au regard de l’article 6-1-f) du RGPD et remplit des conditions permettant le traitement des données concernant la santé au regard des dispositions de l’articles 9-2-j) du RGPD et 44-3° de la loi informatique et libertés modifiée.

Les utilisations futures des données contenues dans cet entrepôt s’inscriront dans le cadre des dispositions des articles 66 et 72 et suivants de la loi informatique et libertés , qui imposent que chaque projet de recherche, étude ou évaluation soit justifié par l’intérêt public. Ces traitements devront faire l’objet de formalités propres.

Sur la finalité du traitement

Le traitement envisagé a pour finalité la constitution d’un entrepôt de données à caractère personnel comprenant notamment des données de santé en vue de la réutilisation des données à des fins de recherches, d’étude ou d’évaluation dans le domaine de la santé (infection au virus de l’immunodéficience humaine (VIH) et autres infections sexuellement transmissibles).

Les données contenues dans cet entrepôt ne pourront, par analogie avec les finalités interdites d’utilisation du Système national des données de santé (SNDS), être exploitées ni à des fins de promotion des produits mentionnés au II de l’article L. 5311-1 du code de la santé publique en direction de professionnels de santé ou d’établissements de santé, ni à des fins d’exclusion de garanties des contrats d’assurance, ni de modification de cotisations ou de primes d’assurance d’un individu ou d’un groupe d’individus présentant un même risque.

Sur les données traitées

Les données à caractère personnel des patients issues du dossier médical informatisé Nadis et versées dans l’entrepôt sont :

  • données d’identification et démographiques des patients : Numéro de pseudonymisation (numéro de centre hospitalier et numéro d’inclusion), mois, année et pays de naissance, sexe, année d’arrivée en France et nationalité ;
  • données de santé des patients : Pathologies, antécédents médicaux et familiaux, traitements, données relatives au soin, données de suivi des infections VIH et autres infections sexuellement transmissibles, poids, taille, résultats d’examens, résultats issus d’analyse d’échantillons biologiques, données relatives aux effets et événements indésirables, prescriptions ;
  • données de vie personnelle : Habitudes de vie (consommation de tabac, alcool, drogues, pratique d’une activité physique), situation familiale, statut matrimonial ;
  • données de vie professionnelle : Situation professionnelle (en activité ou non), catégorie INSEE socioprofessionnelle, niveau d’études ;
  • données de vie sexuelle : Mode de contamination du VIH, VHC, VHB, et autres infections sexuellement transmissibles, caractéristiques de l’accident d’exposition viral, dates et lieux de dépistages, sexualité, moyens de prévention, situation ou comportement à risque ;
  • données de vie sociale : Bénéficiaire d’une couverture sociale et Affection Longue Durée (ALD) ;
  • données biologiques : Données de sérologies VIH, VHB, VHC et autres infections sexuellement transmissibles
  • décès des patients : Statut vital, mois, année et cause de décès
  • données d’activité hospitalière : Type de recours (consultation, hospitalisation de jour, hospitalisation classique).

Ces données seront pseudonymisées avant leur intégration dans l’entrepôt.

Sur l’information des personnes

S’agissant des patients pris en charge antérieurement à la constitution de l’entrepôt :

Une note d’information individuelle qui devra comporter l’ensemble des mentions prévues par le RGPD, sera remise en main propre par le médecin au moment de leur prise en charge.

En application de l’article 14 du RGPD, l’obligation d’information individuelle de la personne concernée peut faire l’objet d’exceptions, notamment dans l’hypothèse où la fourniture d’une telle information se révélerait impossible, exigerait des efforts disproportionnés ou compromettrait gravement la réalisation des objectifs du traitement. En pareils cas, le responsable de traitement prend des mesures appropriées pour protéger les droits et libertés, ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles.

En l’espèce, il sera fait exception au principe d’information individuelle des patients pris en charge antérieurement à la constitution de l’entrepôt et n’étant plus suivis. Des mesures appropriées seront mises en œuvre, notamment par voie d’affichage dans les établissements centres participants ainsi que par la diffusion sur le site web du responsable de traitement et celui de chaque centre participant, d’une information comportant l’ensemble des mentions prévues par le RGPD.

S’agissant des patients pris en charge postérieurement à la constitution de l’entrepôt :

Une note d’information individuelle sera remise aux patients et, le cas échéant, à leurs représentants légaux par le médecin au moment de leur prise en charge.

Une note d’information spécifique est également prévue pour les majeurs faisant l’objet d’une mesure de protection ainsi que pour leurs représentants légaux.

S’agissant des utilisateurs de l’entrepôt :

Les utilisateurs de l’entrepôt sont informés de la collecte de leurs données au moment de leur connexion.

Enfin, le responsable de traitement diffusera sur son site web une information relative à la base de données ainsi que des informations sur les projets de recherches, études et évaluations dans le domaine de la santé menés à partir des données qu’elle contient. Ces documents d’information devront comporter l’ensemble des mentions prévues par le RGPD.

Sur la conservation des données

Les données versées dans l’entrepôt sont conservées dans l’entrepôt 20 ans à compter de la collecte dans l’entrepôt puis supprimées manuellement.

Une procédure relative à cette suppression devra être formalisée par le responsable de traitement et une suppression automatique de ces données devra être mise en place.

Sur la sécurité des données et la traçabilité des actions

Le responsable de traitement a réalisé et transmis à l’appui de la demande d’autorisation une analyse d’impact relative à la protection des données spécifique à la création de l’entrepôt DAT’AIDS , ainsi qu’une comparaison détaillée des mesures de sécurité planifiées ou mises en place dans l’entrepôt avec les exigences de sécurité mentionnées dans le référentiel entrepôt de données dans le domaine de la santé . Le point de non-conformité vis-à-vis de ces mesures de sécurité est le suivant : l’inclusion du sexe, du mois de naissance, de l’année de naissance, de l’année d’arrivée en France et de la nationalité dans la base de données principale de l’entrepôt.

Certaines mesures de sécurité techniques et organisationnelles prévues afin d’améliorer la conformité au référentiel entrepôt de données dans le domaine de la santé sont actuellement en cours d’implémentation, notamment :

  • la génération des identifiants patients avec des fonctions de hachage cryptographique à l’état de l’art ;
  • la mise en place d’espaces de travail conformément aux exigences SEC-ESP du référentiel, afin que les données nécessaires aux études soient traitées dans des espaces internes cloisonnés sans exportation de données pseudonymisées hors de l’entrepôt ;
  • le chiffrement au repos des données de l’entrepôt ;
  • la mise en place d’une authentification multifacteur des utilisateurs et administrateurs auprès de l’intégralité des sous-traitants hébergeant des données de santé pour le compte du responsable de traitement.

Il est rappelé que l’hébergeur fournissant les prestations de stockage des sauvegardes doit également être certifié pour l’hébergement de données de santé.

Les mesures de sécurité, qui devront être opérationnelles lors de la mise en œuvre du traitement, devront répondre aux exigences prévues par les articles 5,1, f) et 32 du règlement général sur la protection des données compte tenu des risques identifiés par le responsable de traitement. Le responsable de traitement devra être en mesure de démontrer la mise en œuvre des mesures de sécurité avant la mise en service de l’entrepôt. Il appartiendra au responsable de traitement de procéder à une réévaluation régulière des risques pour les personnes concernées et une mise à jour, le cas échéant, de ces mesures de sécurité.

AUTORISE l’association DAT’AIDS à mettre en œuvre le traitement décrit ci-dessus.

Le Directeur de l’accompagnement juridique

Thomas DAUTIEU

Décisions similaires

Citées dans les mêmes commentaires3

  • Intérêt légitime ·
  • Cnil ·
  • Données ·
  • Bénéficiaire ·
  • Directive ·
  • Action représentative ·
  • Accès ·
  • Prestataire ·
  • Registre ·
  • Information
  • Entrepôt ·
  • Finalité ·
  • Données de santé ·
  • Protection des données ·
  • Collecte ·
  • Informatique et libertés ·
  • Liberté ·
  • Médecin ·
  • Traitement de données ·
  • Professionnel
1 commentaire
  • Entrepôt ·
  • Traitement ·
  • Finalité ·
  • Données de santé ·
  • Suicide ·
  • Dispositif ·
  • Évaluation ·
  • Santé publique ·
  • Gouvernance ·
  • Informatique

Citant les mêmes articles de loi3

  • Traitement ·
  • Données ·
  • Santé ·
  • Entrepôt ·
  • Information ·
  • Personne concernée ·
  • Informatique ·
  • Finalité ·
  • Bourgogne ·
  • Liberté
  • Données de santé ·
  • Informatique ·
  • Traitement de données ·
  • Archivage ·
  • Méthodologie ·
  • Commission nationale ·
  • Liberté ·
  • Réutilisation de données ·
  • Prénom ·
  • Fichier
  • Données de santé ·
  • Collecte ·
  • Informatique ·
  • Personne concernée ·
  • Traitement de données ·
  • Information ·
  • Archivage ·
  • Méthodologie ·
  • Commission nationale ·
  • Urgence

De référence sur les mêmes thèmes3

  • Traitement ·
  • Entrepôt ·
  • Cnil ·
  • Personne concernée ·
  • Données de santé ·
  • Centre hospitalier ·
  • Anonymisation ·
  • Méthodologie ·
  • Information ·
  • Technique
  • Entrepôt ·
  • Données ·
  • Traitement ·
  • Information ·
  • Santé ·
  • Exportation ·
  • Finalité ·
  • Enseignement ·
  • Responsable ·
  • Constitution
  • Cnil ·
  • Cyber-securité ·
  • Projet de loi ·
  • Directive ·
  • Protection des données ·
  • Sanction ·
  • Nom de domaine ·
  • Manquement ·
  • Protection ·
  • Bureau d'enregistrement

Sur les mêmes thèmes3

  • Entrepôt ·
  • Données de santé ·
  • Base de données ·
  • Traitement de données ·
  • Responsable ·
  • Extraction ·
  • Gouvernance ·
  • Informatique ·
  • Constitution ·
  • Informatique et libertés
  • Entrepôt ·
  • Pharmacie ·
  • Information ·
  • Personne concernée ·
  • Client ·
  • Finalité ·
  • Responsable ·
  • Traitement de données ·
  • Santé ·
  • Informatique et libertés
  • Cnil ·
  • Données ·
  • Traitement ·
  • Véhicule ·
  • Immatriculation ·
  • Sécurité ·
  • Système ·
  • Mise en relation ·
  • Durée de conservation ·
  • Accès

Textes cités dans la décision

  1. RGPD - Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données
  2. Loi n° 78-17 du 6 janvier 1978
  3. Décret n°2019-536 du 29 mai 2019
  4. Code de la santé publique
Extraits similaires à la sélection

Aucune décision de référence ou d'espèce avec un extrait similaire.

Inscrivez-vous gratuitement pour imprimer votre décision
CNIL, Décision du 19 juin 2024, n° DT-2024-012
  1. Doctrine
  2. Décisions de justice
  3. 2024
  4. CNIL, déc. n° DT-2024-012, 19 juin 2024
Contactez notre service commercial au 01 84 80 33 48