CNIL, Décision du 2 décembre 2024, n° DR-2024-293

CNIL 2 décembre 2024

Arguments

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Signaler une erreur.

Accepté
Conformité aux dispositions légales et réglementaires
La Commission a constaté que le traitement présente un caractère d'intérêt public et respecte les conditions requises, bien qu'il y ait des points de non-conformité à la méthodologie de référence.
Accepté
Mesures de sécurité adéquates
La Commission a jugé que les mesures de sécurité proposées sont conformes aux exigences du RGPD, bien qu'une mise à jour régulière de l'analyse d'impact soit nécessaire.

Résumé par Doctrine IA

La Commission nationale de l’informatique et des libertés (CNIL) a été saisie d'une demande d'autorisation pour un traitement de données personnelles à des fins de recherche dans le domaine de la santé. Les questions juridiques posées concernaient la conformité du traitement avec le RGPD et la loi "informatique et libertés", notamment en ce qui concerne la nature des données, les droits des participants et les mesures de sécurité. La CNIL a autorisé l'Institut de recherche et de documentation en économie de la santé à procéder au traitement, sous réserve de respecter certaines recommandations, notamment en matière de sécurité des données et d'information des participants.

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Résumé de la juridiction

Décision DR-2024-293 du 2 décembre 2024 autorisant l’INSTITUT DE RECHERCHE ET DE DOCUMENTATION EN ECONOMIE DE LA SANTE à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur l’état de santé, l’accès à la couverture santé et aux soins des personnes en situation de prostitution présents sur les sites internet spécialisés en France, intitulée « Enquête TESSA ». (Demande d’autorisation n° 924214)

Commentaire • 0

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées.

Sur la décision

Référence :	CNIL, déc. n° DR-2024-293, 2 déc. 2024
Numéro :	DR-2024-293
Nature de la délibération :	Autorisation de recherche
État :	VIGUEUR
Identifiant Légifrance :	CNILTEXT000050767322

Texte intégral

La Commission nationale de l’informatique et des libertés,

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu le décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu la décision du 21 septembre 2023 portant délégation de signature du secrétaire général de la Commission nationale de l’informatique et des libertés ;

Saisie d’une demande d’autorisation relative à un traitement de données à caractère personnel à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé ;

Considérant que ce traitement, dont la finalité présente un caractère d’intérêt public, relève des dispositions de la section 3 du chapitre III du titre II de la loi du 6 janvier 1978 modifiée ;

Considérant que le traitement présente les caractéristiques et répond aux conditions suivantes :

Avis du comité	Avis favorable avec recommandations du Comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé du 18 juillet 2024.
Points de non-conformité à la méthodologie de référence concernée	Le dossier de demande mentionne que le traitement envisagé est conforme aux dispositions de la méthodologie de référence MR-004, à l’exception de la nature des données traitées et des modalités d’information des personnes concernée. En dehors de ces points, qui font l’objet d’un examen spécifique dans la présente décision, ce traitement devra respecter le cadre prévu par ce référentiel.
Catégories particulières de données traitées (autres que données de santé)	S’agissant des données administratives d’identification : La collecte des coordonnées téléphoniques est nécessaire pour proposer aux personnes de participer à l’étude, leur adresser la note d’information, ainsi que pour assurer leur suivi. Elles doivent être traitées et transmises de façon séparée des données de santé et être enregistrées dans une base de données distincte. En outre, seul un nombre strictement limité de personnes habilitées et soumises au secret professionnel pourra accéder aux données directement identifiantes. S’agissant des autres catégories particulières de données : La collecte de la nationalité, du pays de naissance, de l’origine ethnique, de la vie sexuelle et de l’orientation sexuelle des participants a été scientifiquement justifiée dans le dossier de demande.
Information et droits des personnes	Tous les participants recevront une note d’information individuelle. Par ailleurs, conformément aux dispositions de l’article 74 de la loi « informatique et libertés », les personnes disposent du droit de s’opposer au traitement de leurs données à des fins de recherche. Les personnes ayant fait exercice de leur droit d’opposition en refusant de participer à l’enquête ne devront pas être contactées à nouveau.
Mesures de sécurité	Les données de l’étude seront collectées par l’intermédiaire d’un questionnaire envoyé aux participants grâce à une plateforme tierce en ligne. Eu égard aux caractéristiques du traitement, les mesures suivantes devront être opérationnelles lors de sa mise en œuvre : la mise en place d’une authentification multifacteur pour l’administrateur de la plateforme en ligne hébergeant le questionnaire ; le chiffrement des réponses au questionnaire au repos et en transit. Les réponses transiteront temporairement par les serveurs de la plateforme et seront supprimées au moment de leur extraction vers le Centre d’accès sécurisé aux données (CASD) toutes les 48 heures. Les autres mesures de sécurité décrites par le responsable de traitement paraissent conformes à l’exigence de sécurité prévue par les articles 5.1.f et 32 du RGPD. La CNIL rappelle toutefois que cette obligation nécessite la mise à jour de l’analyse d’impact relative à la protection des données (AIPD) et de ses mesures de sécurité au regard de la réévaluation régulière des risques.
Transferts hors Union européenne	La présente décision ne vaut pas autorisation de transfert de données en dehors de l’Union européenne vers un pays ne présentant pas un niveau de protection adéquat.
Durées de conservation en base active et en archivage	Les coordonnées téléphoniques seront détruites après la constitution de l’échantillon d’enquête et au plus tard dans les six mois suivant le début de l’étude. Autres données : Base active : cinq ans Archivage : quinze ans.
Transparence du traitement	Ce traitement devra être enregistré dans le répertoire public mis à disposition par la Plateforme des données de santé.