Inscription
7 jours d’essai gratuit.
Inscription en moins d’une minute. Pas de carte de crédit requise.
CNIL, Délibération du 17 octobre 2024, n° DT-2024-022
CNIL 17 octobre 2024

Arguments

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Signaler une erreur.
  • Accepté
    Conformité au référentiel 'entrepôt de données dans le domaine de la santé'

    La Commission a jugé que, malgré les points de non-conformité, le traitement répondait aux exigences de l'intérêt public et respectait les finalités déclarées.

  • Accepté
    Mise en place d'un dispositif de gouvernance

    La Commission a constaté que la gouvernance mise en place garantissait le respect des finalités et des conditions de traitement des données.

  • Accepté
    Sécurité des données

    La Commission a jugé que les mesures de sécurité proposées étaient adéquates et conformes aux exigences du RGPD.

Résumé par Doctrine IA

La Commission nationale de l'informatique et des libertés (CNIL) a été saisie d'une demande d'autorisation pour un traitement de données personnelles dans le domaine de la santé, visant à constituer un entrepôt de données pour évaluer le dispositif de prévention des suicides « VigilanS ». Les questions juridiques portaient sur la conformité du traitement avec le RGPD et la loi « informatique et libertés », notamment en matière de sécurité et de gouvernance. La CNIL a autorisé ce traitement, sous réserve de respecter les conditions de sécurité et de gouvernance établies, tout en soulignant que certaines non-conformités doivent être corrigées.

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Résumé de la juridiction

Décision DT-2024-022 du 17 octobre 2024 autorisant l’AGENCE NATIONALE DE SANTE PUBLIQUE à mettre en œuvre un traitement automatisé de données ayant pour finalité la constitution d’un entrepôt de données de santé. (Demande d’autorisation n° 2234164).

Commentaire0

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées. 

Sur la décision

Référence :
CNIL, délib. n° DT-2024-022, 17 oct. 2024
Numéro : DT-2024-022
Nature de la délibération : Autre autorisation
État : VIGUEUR
Identifiant Légifrance : CNILTEXT000050477400

Texte intégral

La Commission nationale de l’informatique et des libertés,

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu le décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu la décision du 21 septembre 2023 portant délégation de signature du secrétaire général de la Commission nationale de l’informatique et des libertés ;

Saisie d’une demande d’autorisation relative à un traitement de données à caractère personnel dans le domaine de la santé ;

Considérant que ce traitement, dont la finalité présente un caractère d’intérêt public, relève des dispositions de la section 3 du chapitre III du titre II de la loi du 6 janvier 1978 modifiée ;

Considérant que le traitement présente les caractéristiques et répond aux conditions suivantes :

Sur les points de non-conformité au référentiel concerné

Le dossier de demande mentionne que le traitement envisagé est conforme aux dispositions du référentiel « entrepôt de données dans le domaine de la santé », à l’exception de :

  • la gouvernance de l’entrepôt ;
  • de certaines mesures de sécurité.

En dehors de ces points, qui font l’objet d’un examen spécifique dans la présente autorisation, ce traitement devra respecter le cadre prévu par le référentiel « entrepôt de données dans le domaine de la santé ».

Sur la finalité du traitement, sa licéité et les conditions permettant de traiter des données concernant la santé

Le traitement envisagé a pour finalité la constitution d’un entrepôt de données à caractère personnel comprenant notamment des données de santé.

Ce dernier vise la réalisation d’évaluations dans le domaine de la santé. Il a notamment pour finalités l’analyse et l’évaluation du dispositif de prévention des suicides « VigilanS ». Ce dispositif de soin post-hospitalier consiste à organiser un suivi systématique des personnes suicidantes. Il est intégré à la stratégie nationale de prévention du suicide, mise en place par l’instruction DGS/SP4/2022/171 du 6 juillet 2022 du ministre de la santé et de la prévention. Cette instruction confie à l’Agence nationale de santé publique la centralisation de l’ensemble des bases de données régionales « VigilanS » aux fins de surveillance et d’évaluation.

Pour ce faire, l’EDS a pour objectif la production d’indicateurs concernant :

  • le dispositif de veille des patients ;
  • le profil des patients inclus dans le dispositif ;
  • le taux de couverture du dispositif « VigilanS » ;
  • le taux d’inclusion de patients dans le dispositif par rapport au nombre total de patients suicidants au plan national.

Les utilisations ultérieures des données contenues dans cet entrepôt, constituant d’études, recherches ou évaluations dans le domaine de la santé, s’inscriront dans le cadre des dispositions des articles 66 et 72 et suivants de la loi « informatique et libertés », qui imposent que chaque projet de recherche, étude ou évaluation soit justifié par l’intérêt public. Ces traitements devront faire l’objet de formalités propres.

Sur la gouvernance de l’entrepôt

Le responsable de traitement a mis en place un dispositif de gouvernance de l’entrepôt afin de maîtriser l’exploitation qui en sera faite dans le respect des finalités déclarées et de l’intérêt public.

Un comité de pilotage est mis en place et composé de membres :

  • de l’Agence nationale de santé publique (ANSP) ;
  • de la Direction générale de la santé (DGS) ;
  • de la Direction générale de l’organisation des soins (DGOS) ;
  • de la mission nationale d’appui aux cellules Vigilans ;
  • de la société Acsantis, prestataire d’infogérance.

Ce comité a été mis en place pour piloter la totalité du dispositif Vigilans. Dans ce cadre, la DGS et la DGOS ont confié à l’ANSP une mission de surveillance et d’évaluation du dispositif, en adéquation avec ses missions d’intérêt public.

A ce titre, seule l’ANSP accèdera aux données de l’entrepôt pour la réalisation des finalités visées plus haut.

L’EDS a vocation à intégrer le catalogue de la Plateforme des données de santé (PDS), mentionné à l’article R. 1461-2 du code de la santé publique. C’est dans ce cadre que les données de l’entrepôt seront mises à la disposition de tiers en vue de la réalisation d’études, recherches et évaluations dans le domaine de la santé.

Sur les données traitées

Les données à caractère personnel des patients ayant accepté d’être suivis par un centre « VigilanS » et versées dans l’entrepôt sont :

  • données administratives/d’identification des patients : code pseudonyme, date de naissance, sexe, code postal de résidence, commune de résidence, cause de décès, situation maritale, mesure de protection, situation professionnelle/scolaire ;
  • données de santé des patients : état de santé somatique, état de santé psychique, antécédents psychiatriques ;
  • données liées à la tentative de suicide : date, FINESS géographique du centre prescripteur, mode de tentative de suicide, lieu, hospitalisation, association d’alcool, récidive ;
  • données liées au suivi des patients : date de l’appel, destinataire, date d’envoi du courrier, appels entrants.

La date de naissance complète devra être supprimée lorsque des tranches d’âge harmonisées auront été déterminées.

Ces données seront pseudonymisées avant leur intégration dans l’entrepôt.

Le numéro d’inscription au répertoire national d’identification des personnes physiques (NIR) ne sera pas collecté.

Aucune donnée relative aux professionnels de santé ne sera collectée.

Sur la conservation des données

Les données versées dans l’entrepôt sont conservées vingt ans à compter de leur collecte puis archivées conformément au régime général des archives publiques et notamment aux article L. 211-1 et suivants et L. 212-3 du code de la santé publique.

Ces durées de conservation des données n’excèdent pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées, conformément aux dispositions de l’article 5-1-e) du RGPD.

Sur la sécurité des données et la traçabilité des actions

Le responsable de traitement a réalisé et transmis à l’appui de la demande d’autorisation une analyse d’impact relative à la protection des données spécifique à la création de l’entrepôt.

Le dossier de demande mentionne que le traitement envisagé est conforme à la plupart des mesures de sécurité prévues dans le référentiel « entrepôt de données dans le domaine de la santé », à l’exception de certaines d’entre elles qui ont été précisément identifiées. Pour ces dernières, la non-conformité a été dûment justifiée et compensée par la mise en œuvre de mesures techniques et organisationnelles à l’état de l’art.

Les mesures de sécurité doivent répondre aux exigences prévues par les articles 5.1.f) et 32 du RGPD, compte tenu des risques identifiés par les responsables de traitement. Il appartiendra au responsable de traitement de procéder à une réévaluation régulière des risques pour les personnes concernées et une mise à jour, le cas échéant, de ces mesures de sécurité.

AUTORISE, dans ces conditions, l’AGENCE NATIONALE DE SANTE PUBLIQUE à mettre en œuvre le traitement décrit ci-dessus.

Le directeur adjoint à la direction de l’accompagnement juridique

Paul HEBERT

Décisions similaires

Citées dans les mêmes commentaires3

  • Formation restreinte ·
  • Cookies ·
  • Utilisateur ·
  • Orange ·
  • Consentement ·
  • Message ·
  • Courrier électronique ·
  • Informatique et libertés ·
  • Sociétés ·
  • Directive
3 commentaires
  • Données de santé ·
  • Méthodologie ·
  • Informatique et libertés ·
  • Traitement de données ·
  • Commission nationale ·
  • Recherche ·
  • Conformité ·
  • Référence ·
  • Réutilisation de données ·
  • Accès
  • Réutilisation de données ·
  • Informatique ·
  • Données de santé ·
  • Évaluation ·
  • Enfant ·
  • Information ·
  • Traitement de données ·
  • Autorité parentale ·
  • Liberté ·
  • Archivage

Citant les mêmes articles de loi3

  • Données de santé ·
  • Plateforme ·
  • Informatique ·
  • Traitement de données ·
  • Liberté ·
  • Archivage ·
  • Méthodologie ·
  • Commission nationale ·
  • Collecte ·
  • Recherche
  • Traitement ·
  • Nigeria ·
  • Données ·
  • Cnil ·
  • Santé ·
  • Informatique ·
  • Méthodologie ·
  • Responsable ·
  • Recherche médicale ·
  • Maladie infectieuse
  • Données de santé ·
  • Informatique ·
  • Traitement de données ·
  • Archivage ·
  • Méthodologie ·
  • Commission nationale ·
  • Collecte ·
  • Liberté ·
  • Personne concernée ·
  • Réutilisation de données

De référence sur les mêmes thèmes3

  • Traitement de données ·
  • Informatique ·
  • Commission nationale ·
  • Liberté ·
  • Fichier ·
  • Modification ·
  • Règlement (ue) ·
  • Comités ·
  • Éthique ·
  • Délégation de signature
  • Cnil ·
  • Logiciel ·
  • Fonctionnalité ·
  • Ministère ·
  • Informatique et libertés ·
  • Video ·
  • Protection des données ·
  • Parlement ·
  • Commission nationale ·
  • Reconnaissance
  • Sanction ·
  • Juriste ·
  • Protection ·
  • Service ·
  • Innovation ·
  • Technologie ·
  • Plainte ·
  • Contrôle ·
  • Contentieux ·
  • Système d'information

Sur les mêmes thèmes3

  • Traitement ·
  • Données ·
  • Santé ·
  • Entrepôt ·
  • Information ·
  • Personne concernée ·
  • Informatique ·
  • Finalité ·
  • Bourgogne ·
  • Liberté
  • Données de santé ·
  • Informatique ·
  • Traitement de données ·
  • Archivage ·
  • Méthodologie ·
  • Commission nationale ·
  • Liberté ·
  • Réutilisation de données ·
  • Prénom ·
  • Fichier
  • Données de santé ·
  • Collecte ·
  • Informatique ·
  • Personne concernée ·
  • Traitement de données ·
  • Information ·
  • Archivage ·
  • Méthodologie ·
  • Commission nationale ·
  • Urgence

Textes cités dans la décision

  1. RGPD - Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données
  2. Loi n° 78-17 du 6 janvier 1978
  3. Décret n°2019-536 du 29 mai 2019
  4. Code de la santé publique
Extraits similaires à la sélection

Aucune décision de référence ou d'espèce avec un extrait similaire.

Inscrivez-vous gratuitement pour imprimer votre décision
CNIL, Délibération du 17 octobre 2024, n° DT-2024-022
  1. Doctrine
  2. Décisions de justice
  3. 2024
  4. CNIL, délib. n° DT-2024-022, 17 oct. 2024
Contactez notre service commercial au 01 84 80 33 48