Inscription
7 jours d’essai gratuit.
Inscription en moins d’une minute. Pas de carte de crédit requise.
CNIL, Décision du 21 octobre 2024, n° DT-2024-023
CNIL 21 octobre 2024

Arguments

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Signaler une erreur.
  • Accepté
    Conformité aux dispositions légales et réglementaires

    La Commission a constaté que le traitement répondait aux conditions de licéité et de finalité prévues par la législation en vigueur, et que les mesures de sécurité proposées étaient adéquates, malgré quelques points de non-conformité.

  • Accepté
    Mesures de sécurité et protection des données

    La Commission a jugé que les mesures de sécurité proposées, bien que nécessitant des ajustements, étaient suffisantes pour protéger les données à caractère personnel, sous réserve de la mise en œuvre de l'authentification multifacteur d'ici la fin de l'année 2024.

Résumé de la juridiction

Décision DT-2024-023 du 21 octobre 2024 autorisant le CENTRE HOSPITALIER UNIVERSITAIRE DIJON BOURGOGNE à mettre en œuvre un traitement automatisé de données ayant pour finalité la constitution d’un entrepôt de données de santé, dénommé « EREBIA ». (Demande d’autorisation n° 2234836).

Commentaire0

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées. 

Sur la décision

Référence :
CNIL, déc. n° DT-2024-023, 21 oct. 2024
Numéro : DT-2024-023
Nature de la délibération : Autre autorisation
État : VIGUEUR
Identifiant Légifrance : CNILTEXT000050477417

Texte intégral


La Commission nationale de l’informatique et des libertés,

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu le décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu la décision du 21 septembre 2023 portant délégation de signature du secrétaire général de la Commission nationale de l’informatique et des libertés ;

Saisie d’une demande d’autorisation relative à un traitement de données à caractère personnel dans le domaine de la santé ;

Considérant que ce traitement, dont la finalité présente un caractère d’intérêt public, relève des dispositions de la section 3 du chapitre III du titre II de la loi du 6 janvier 1978 modifiée ;

Considérant que le traitement présente les caractéristiques et répond aux conditions suivantes :

Sur les points de non-conformité au référentiel concerné

Le dossier de demande mentionne que le traitement envisagé est conforme aux dispositions du référentiel « entrepôt de données dans le domaine de la santé », à l’exception :

  • des modalités d’information des personnes concernées ;
  • de certaines mesures de sécurité.

En dehors de ces points, qui font l’objet d’un examen spécifique dans la présente autorisation, ce traitement devra respecter le cadre prévu par le référentiel « entrepôt de données dans le domaine de la santé ».

Sur la finalité du traitement, sa licéité et les conditions permettant de traiter des données concernant la santé

Le traitement envisagé a pour finalité la constitution d’un entrepôt de données à caractère personnel comprenant notamment des données de santé, dénommé « EREBIA ».

Ce dernier a pour finalités :

  • la production d’indicateurs et le pilotage stratégique, tel que des bilans d’activité, des évaluations de la qualité et de la pertinence de la prise en charge ou encore le calcul d’indicateurs ;
  • l’amélioration de la qualité de l’information médicale ou l’optimisation du codage dans le cadre du programme de médicalisation des systèmes d’information (PMSI) ;
  • le fonctionnement d’outils d’aide au diagnostic médical ou à la prise en charge ;
  • la réalisation d’étude de faisabilité (pré-screening) ;
  • la réalisation d’études, recherches et d’évaluations dans le domaine de la santé.

Sur l’information des personnes

S’agissant des professionnels de santé n’exerçant plus au sein de l’établissement dont les données ont été collectées antérieurement à la constitution de l’entrepôt :

Les professionnels de santé dont les coordonnées figurent dans le dossier administratif géré par le CHU de Dijon Bourgogne recevront une information individuelle comportant l’ensemble des mentions prévues par le RGPD.

En application de l’article 69 de la loi « informatique et libertés » et de l’article 14-5-b) du RGPD, l’obligation d’information individuelle de la personne concernée peut faire l’objet d’exceptions, notamment dans l’hypothèse où la fourniture d’une telle information exigerait des efforts disproportionnés.

En pareil cas, le responsable de traitement prend des mesures appropriées pour protéger les droits et libertés ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles.

En l’espèce, il sera fait exception au principe d’information individuelle s’agissant des professionnels de santé n’exerçant plus au sein de l’établissement et dont les coordonnées ne figurent pas dans le dossier administratif géré par le CHU de Dijon Bourgogne.

Des mesures appropriées seront mises en œuvre, telles que la diffusion d’une information comportant l’ensemble des mentions prévues par le RGPD sur le site web du responsable de traitement, sur les réseaux sociaux ainsi que par la publication d’un article dans une presse locale.

Sur la sécurité des données et la traçabilité des actions

Le dossier de demande mentionne que le traitement envisagé est conforme à la plupart des mesures de sécurité prévues dans le référentiel « entrepôt de données dans le domaine de la santé », à l’exception de certaines d’entre elles qui ont été précisément identifiées. Pour ces dernières, la non-conformité a été dûment justifiée et compensée par la mise en œuvre de mesures techniques et organisationnelles à l’état de l’art, à l’exception de l’authentification multifacteur dont la mise en place est prévue d’ici la fin de l’année 2024. Elle devra être effective préalablement à la mise en œuvre du traitement.

Les mesures de sécurité, qui devront être opérationnelles lors de la mise en œuvre du traitement, devront répondre aux exigences prévues par les articles 5,1, f) et 32 du RGPD compte tenu des risques identifiés par le responsable de traitement. Il appartiendra au responsable de traitement de procéder à une réévaluation régulière des risques pour les personnes concernées et une mise à jour, le cas échéant, de ces mesures de sécurité.

AUTORISE, le CENTRE HOSPITALIER UNIVERSITAIRE DIJON BOURGOGNE à mettre en œuvre le traitement décrit ci-dessus.

Le Directeur de l’accompagnement juridique

Thomas DAUTIEU

Décisions similaires

Citées dans les mêmes commentaires3

  • Données de santé ·
  • Méthodologie ·
  • Informatique et libertés ·
  • Traitement de données ·
  • Commission nationale ·
  • Recherche ·
  • Conformité ·
  • Référence ·
  • Réutilisation de données ·
  • Accès
  • Réutilisation de données ·
  • Informatique ·
  • Données de santé ·
  • Évaluation ·
  • Enfant ·
  • Information ·
  • Traitement de données ·
  • Autorité parentale ·
  • Liberté ·
  • Archivage
  • Données de santé ·
  • Plateforme ·
  • Informatique ·
  • Traitement de données ·
  • Liberté ·
  • Archivage ·
  • Méthodologie ·
  • Commission nationale ·
  • Collecte ·
  • Recherche

Citant les mêmes articles de loi3

  • Traitement ·
  • Nigeria ·
  • Données ·
  • Cnil ·
  • Santé ·
  • Informatique ·
  • Méthodologie ·
  • Responsable ·
  • Recherche médicale ·
  • Maladie infectieuse
  • Données de santé ·
  • Informatique ·
  • Traitement de données ·
  • Archivage ·
  • Méthodologie ·
  • Commission nationale ·
  • Collecte ·
  • Liberté ·
  • Personne concernée ·
  • Réutilisation de données
  • Informatique ·
  • Méthodologie ·
  • Traitement de données ·
  • Personnes ·
  • Information ·
  • Liberté ·
  • Santé ·
  • Archivage ·
  • Commission nationale ·
  • Données

De référence sur les mêmes thèmes3

  • Cnil ·
  • Logiciel ·
  • Fonctionnalité ·
  • Ministère ·
  • Informatique et libertés ·
  • Video ·
  • Protection des données ·
  • Parlement ·
  • Commission nationale ·
  • Reconnaissance
  • Sanction ·
  • Juriste ·
  • Protection ·
  • Service ·
  • Innovation ·
  • Technologie ·
  • Plainte ·
  • Contrôle ·
  • Contentieux ·
  • Système d'information
  • Formation restreinte ·
  • Cookies ·
  • Utilisateur ·
  • Orange ·
  • Consentement ·
  • Message ·
  • Courrier électronique ·
  • Informatique et libertés ·
  • Sociétés ·
  • Directive
3 commentaires

Sur les mêmes thèmes3

  • Données de santé ·
  • Informatique ·
  • Traitement de données ·
  • Archivage ·
  • Méthodologie ·
  • Commission nationale ·
  • Liberté ·
  • Réutilisation de données ·
  • Prénom ·
  • Fichier
  • Données de santé ·
  • Collecte ·
  • Informatique ·
  • Personne concernée ·
  • Traitement de données ·
  • Information ·
  • Archivage ·
  • Méthodologie ·
  • Commission nationale ·
  • Urgence
  • Traitement de données ·
  • Informatique ·
  • Commission nationale ·
  • Liberté ·
  • Fichier ·
  • Modification ·
  • Règlement (ue) ·
  • Comités ·
  • Éthique ·
  • Délégation de signature

Textes cités dans la décision

  1. RGPD - Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données
  2. Loi n° 78-17 du 6 janvier 1978
  3. Décret n°2019-536 du 29 mai 2019
Extraits similaires à la sélection

Aucune décision de référence ou d'espèce avec un extrait similaire.

Inscrivez-vous gratuitement pour imprimer votre décision
CNIL, Décision du 21 octobre 2024, n° DT-2024-023
  1. Doctrine
  2. Décisions de justice
  3. 2024
  4. CNIL, déc. n° DT-2024-023, 21 oct. 2024
Contactez notre service commercial au 01 84 80 33 48