CNIL, Décision du 23 septembre 2024, n° DR-2024-228

CNIL 23 septembre 2024

Arguments

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Signaler une erreur.

Accepté
Conformité à la législation sur la protection des données
La CNIL a estimé que le traitement présente un caractère d'intérêt public et a donné son autorisation, sous réserve de respecter les recommandations et les points de non-conformité identifiés.

Résumé de la juridiction

Décision DR-2024-228 du 23 septembre 2024 autorisant la société CLINITYX et les CENTRES HOSPITALIERS UNIVERSITAIRES DE POITIERS et de BORDEAUX à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur la chirurgie cardiaque sous circulation extra-corporelle et l’identification des facteurs pré-opératoires prédictifs de mortalité́ à moyen-terme, nécessitant un accès à certaines données du Système national des données de santé (SNDS) contenues dans l’entrepôt de données de santé Magellan. (Demande d’autorisation n° 924193)

Commentaire • 0

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées.

Sur la décision

Référence :	CNIL, déc. n° DR-2024-228, 23 sept. 2024
Numéro :	DR-2024-228
Nature de la délibération :	Autorisation de recherche
État :	VIGUEUR
Identifiant Légifrance :	CNILTEXT000050382921

Texte intégral

La Commission nationale de l’informatique et des libertés,

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu le décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu la décision du 21 septembre 2023 portant délégation de signature du secrétaire général de la Commission nationale de l’informatique et des libertés ;

Saisie d’une demande d’autorisation relative à un traitement de données à caractère personnel à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé ;

Considérant que ce traitement, dont la finalité présente un caractère d’intérêt public, relève des dispositions de la section 3 du chapitre III du titre II de la loi du 6 janvier 1978 modifiée ;

Considérant que le traitement présente les caractéristiques et répond aux conditions suivantes :

Responsables de traitement	La société Clinityx et les Centres hospitaliers universitaires de Poitiers et Bordeaux déterminent conjointement les finalités et les moyens du traitement. Conformément à l’article 26 du Règlement général sur la protection des données (RGPD), elles doivent définir de manière transparente leurs obligations respectives.
Avis du comité	Avis favorable avec recommandations du Comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé du 20 juin 2024.
Point de non-conformité à la méthodologie de référence concernée	Le dossier de demande mentionne que le traitement envisagé est conforme aux dispositions de la méthodologie de référence MR-008, à l’exception de la nature des données traitées. La CNIL relève également que la base légale n’est pas conforme aux dispositions de la méthodologie de référence, le traitement étant nécessaire à l’exécution d’une mission d’intérêt public, dont sont investis les centres hospitaliers universitaires, co-responsables de traitement En dehors de ces points, qui font l’objet d’un examen spécifique dans la présente autorisation, ce traitement devra respecter le cadre prévu par ce référentiel.
Réutilisation des données d’une base existante	Les données réutilisées dans le cadre de cette étude proviendront exclusivement de l’entrepôt de données de santé dénommé « Magellan » autorisé par la CNIL (délibération n° 2022-009 du 27 janvier 2022).
Utilisation de données issues du SNDS historique	Les données traitées, décrites dans le dossier de demande, concerneront : la date de décès ; la ré-hospitalisation en service de cardiologie ou en chirurgie cardiaque ; la réintervention cardiologique (chirurgie cardiaque, cardiologie interventionnelle). Seule la société Clinityx traitera les données individuelles des personnes concernées dans le cadre de cette étude. L’ensemble des dispositions législatives et réglementaires relatives au SNDS est applicable en l’espèce, et notamment l’interdiction d’utiliser ces données pour les finalités décrites à l’article L. 1461-1 V du code de la santé publique (CSP).
Information et droits des personnes	S’agissant des modalités d’information : Conformément aux dispositions de l’article 14 du RGPD, dans l’hypothèse où la fourniture d’une information individuelle se révélerait impossible, exigerait des efforts disproportionnés ou compromettrait gravement la réalisation des objectifs du traitement, des mesures appropriées devront être mises en œuvre par les responsables de traitement afin de protéger les droits et libertés, ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles. En l’espèce, il sera fait exception au principe d’information individuelle des personnes et des mesures appropriées seront mises en œuvre par la société Clinityx afin de rendre l’information publiquement disponible concernant la réalisation de cette étude.
	Le traitement sera enregistré au sein du portail de transparence de la Plateforme des données de santé. Une note d’information sera rendue publique sur le portail de transparence dédié à l’entrepôt « Magellan » (via l’outil Sémaphore ) mis en place par la société Clinityx, ainsi que sur le site web des centres hospitaliers universitaires de Poitiers et de Bordeaux. Elle devra comporter l’ensemble des mentions prévues par l’article 14 du RGPD. S’agissant des modalités d’exercice des droits : Les personnes concernées pourront exercer leurs droits auprès du délégué à la protection des données de la société Clinityx.
Mesures de sécurité	L’infrastructure technique de la société Clinityx utilisée pour l’hébergement de systèmes fils du SNDS (notamment l’entrepôt « Magellan ») a été analysée par la CNIL à diverses reprises, notamment dans le cadre de précédentes demandes d’autorisation. Une homologation de la bulle sécurisée a été réalisée par l’autorité d’homologation le 31 janvier 2023, conformément à l’arrêté du 22 mars 2017 relatif au référentiel de sécurité applicable au SNDS. Cette décision d’homologation n’est valable que jusqu’au 31 décembre 2024. Conformément aux dispositions de l’arrêté du 6 mai 2024, relatif au référentiel de sécurité applicable au SNDS et notamment son article 3, il appartiendra à la société Clinityx de s’assurer que le système d’information hébergeant les données de l’étude respecte ce référentiel pendant toute la durée du traitement. Des mesures techniques et organisationnelles ont été prévues par la société Clinityx afin de cloisonner les différentes extractions de données du SNDS pouvant être stockées au sein de sa solution technique. Des environnements distincts, fondés sur des solutions de conteneurisation logicielle, sont notamment mis en œuvre afin d’empêcher toute fusion des données. L’outil de requêtage, les données manipulées par cet outil, ainsi que les espaces projet contenant les données servant à la production des indicateurs seront cloisonnés entre eux grâce à l’utilisation de ces solutions. L’accès à l’outil de requêtage et aux espaces projet de la présente étude ne sera possible que pour des personnes spécifiquement habilitées faisant partie du personnel de la société Clinityx, à l’exclusion de toute autre personne extérieure. Des mesures techniques et organisationnelles devront être mises en œuvre dans la solution technique afin de différencier les personnels pouvant accéder à la base de données de l’entrepôt « Magellan » contenant l’extraction des données du SNDS sur lequel repose l’outil de requêtage et ceux ne pouvant accéder qu’aux données minimisées contenues dans les espaces projets. L’exportation de données hors de l’entrepôt « Magellan » et des espaces projet associés consistera exclusivement en des rapports statistiques comprenant des indicateurs anonymes ne permettant aucune ré-identification des personnes, et qui seront transmis exclusivement aux responsables de traitement suite aux requêtes réalisées via l’outil « Magellan ». A cette fin, un seuil minimal de onze individus sera retenu pour chaque agrégation. Pour se prévaloir de l’anonymat d’un jeu de données, les responsables de traitement devront réaliser une analyse permettant de démontrer que leurs processus d’anonymisation respectent les trois critères définis par l’avis n° 05/2014 sur les techniques d’anonymisation adopté par le groupe de l’Article 29 (G29) le 10 avril 2014. À défaut de remplir parfaitement ces trois critères, les responsables de traitement doivent démontrer, via une évaluation approfondie, que le risque d’identification d’une personne à l’aide de moyens raisonnablement susceptibles d’être utilisés, par eux-mêmes ou par toute autre personne, est négligeable. Les mesures de sécurité décrites répondent aux exigences prévues par les articles 5-1-f et 32 du RGPD, compte tenu des risques identifiés par les responsables de traitement. Il appartiendra à ces derniers de procéder à une réévaluation régulière des risques pour les personnes concernées et une mise à jour, le cas échéant, de ces mesures de sécurité.
Durées de conservation en base active et en archivage	Base active : un an Archivage : deux ans.

AUTORISE LA SOCIETE CLINITYX ET LES CENTRES HOSPITALIERS UNIVERSITAIRES DE POITIERS ET DE BORDEAUX à mettre en œuvre le traitement décrit ci-dessus.

La Cheffe du service de la santé

Hélène GUIMIOT