Résumé de la juridiction
Décision DR-2024-304 du 5 décembre 2024 autorisant la société PHYSIO-ASSIST à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur l’évaluation de l’effet d’une prise en charge par télésoin de kinésithérapie sur la qualité de vie et les exacerbations pulmonaires des patients atteints de bronchectasie hors mucoviscidose, intitulée « HOME-BRAC ». (Demande d’autorisation n° 924174)
Commentaire • 0
Sur la décision
| Référence : | CNIL, déc. n° DR-2024-304, 5 déc. 2024 |
|---|---|
| Numéro : | DR-2024-304 |
| Nature de la délibération : | Autorisation de recherche |
| État : | VIGUEUR |
| Identifiant Légifrance : | CNILTEXT000050773575 |
Texte intégral
La Commission nationale de l’informatique et des libertés,
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;
Vu le décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;
Vu la décision du 21 septembre 2023 portant délégation de signature du secrétaire général de la Commission nationale de l’informatique et des libertés ;
Saisie d’une demande d’autorisation relative à un traitement de données à caractère personnel à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé ;
Considérant que ce traitement, dont la finalité présente un caractère d’intérêt public, relève des dispositions de la section 3 du chapitre III du titre II de la loi du 6 janvier 1978 modifiée ;
Considérant que le traitement présente les caractéristiques et répond aux conditions suivantes :
|
Avis du comité |
Avis favorable du Comité de protection des personnes Nord-Ouest IV du 9 août 2024. |
|
Point de non-conformité à la méthodologie de référence concernée |
Le dossier de demande mentionne que le traitement envisagé est conforme aux dispositions de la méthodologie de référence MR-001, à l’exception des destinataires des données directement identifiantes. En dehors de ce point, qui fait l’objet d’un examen spécifique dans la présente décision, ce traitement devra respecter le cadre prévu par ce référentiel. |
|
Destinataires des données directement identifiantes |
Le responsable de traitement envisage de recueillir le consentement des participants par voie dématérialisée au moyen d’une signature électronique. Le sous-traitant mettant à disposition la solution sera destinataire de certaines données administratives d’identification des participants (nom, prénom et coordonnées électroniques), ainsi que du contenu de la note d’information et du formulaire de consentement mentionnant leur pathologie. Il appartient au responsable de traitement de de s’assurer que ce recueil sera réalisé conformément aux dispositions législatives et règlementaires applicables en matière de signature électronique, et notamment celles issues des articles 1366 et 1367 du code civil éclairées par le décret n° 2017-1416 du 28 septembre 2017 relatif à la signature électronique. |
|
Information et droits des personnes |
Tous les participants recevront une note d’information individuelle. |
|
Mesures de sécurité |
Le responsable de traitement a transmis à l’appui de la demande d’autorisation une analyse d’impact relative à la protection des données spécifique au projet HOME-BRAC . Afin d’assurer la confidentialité des informations sensibles échangées entre le personnel des centres investigateurs et les participants à l’étude :
Les données de l’étude seront stockées chez un hébergeur certifié hébergeur de données de santé . Les solutions de télésoin et de suivi patient, permettant la saisie de questionnaires, ne contiendront que des données pseudonymisées. Les données devront être cloisonnées par rapport à celles issues de la solution de consentement électronique. Les mesures de sécurité décrites dans le dossier de demande ont pour objectif de répondre aux exigences prévues par les articles 5,1, f) et 32 du RGPD. A cet égard ces obligations imposent une réévaluation régulière des risques pour les personnes concernées et une mise à jour, le cas échéant, de ces mesures de sécurité. Par ailleurs, le responsable de traitement demeure pleinement responsable du niveau de sécurité effectif du traitement mis en œuvre et les textes applicables lui imposent d’être en mesure de justifier de sa conformité à tout moment. |
|
Transferts hors Union européenne |
Le responsable de traitement prévoit de transférer au Royaume-Uni certaines données pseudonymisées des participants à l’étude. Prenant en considération la décision d’adéquation adoptée par la Commission européenne le 28 juin 2021, ces transferts peuvent s’effectuer sans encadrement spécifique. |
|
Durées de conservation en base active et en archivage |
Les données nominatives et les coordonnées électroniques seront détruites après la signature du formulaire de consentement pour participer à l’étude. Autres données : Base active : sept ans Archivage : quinze ans. |
AUTORISE la société PHYSIO-ASSIST à mettre en œuvre le traitement décrit ci-dessus.
La Cheffe du service de la santé
Hélène GUIMIOT
Décisions similaires
Citées dans les mêmes commentaires • 3
- Données de santé ·
- Méthodologie ·
- Informatique ·
- Traitement de données ·
- Commission nationale ·
- Liberté ·
- Réutilisation de données ·
- Fichier ·
- Utilisation des données ·
- Référence
- Méthodologie ·
- Responsable ·
- Entrepôt ·
- Informatique ·
- Traitement de données ·
- Conformité ·
- Commission nationale ·
- Autorisation ·
- Liberté ·
- Référence
- Traitement de données ·
- Protection des données ·
- Durée de conservation ·
- Cadre ·
- Informatique ·
- Prescription ·
- Finalité ·
- Santé ·
- Médicaments ·
- Liberté
Citant les mêmes articles de loi • 3
- Entrepôt ·
- Données de santé ·
- Sécurité ·
- Plan d'action ·
- Traitement de données ·
- Finalité ·
- Transfert de données ·
- Informatique et libertés ·
- Liberté ·
- Responsable
- Entrepôt ·
- Sécurité ·
- Traitement de données ·
- Données de santé ·
- Finalité ·
- Professionnel ·
- Informatique et libertés ·
- Liberté ·
- Évaluation ·
- Responsable
- Entrepôt ·
- Santé ·
- Traitement de données ·
- Personne concernée ·
- Informatique ·
- Responsable ·
- Liberté ·
- Protection des données ·
- Professionnel ·
- Durée de conservation
De référence sur les mêmes thèmes • 3
- Traitement ·
- Données ·
- Plateforme ·
- Cliniques ·
- Consentement ·
- Mot de passe ·
- Informatique ·
- Responsable ·
- Sécurité ·
- Contrôle
- Informatique ·
- Commission nationale ·
- Formation restreinte ·
- Liberté ·
- Fichier ·
- Délibération ·
- Marais ·
- Journal officiel ·
- Règlement intérieur ·
- Vote
- Identifiants ·
- Données de santé ·
- Connexion ·
- Cancer ·
- Informatique ·
- Traitement de données ·
- Information ·
- Méthodologie ·
- Commission nationale ·
- Recherche
Sur les mêmes thèmes • 3
- Formation restreinte ·
- Personne concernée ·
- Cible ·
- Sociétés ·
- Responsable du traitement ·
- Utilisateur ·
- Cnil ·
- Information ·
- Base de données ·
- Durée de conservation
- Enregistrement ·
- Chiffrement ·
- Données de santé ·
- Informatique ·
- Sexe ·
- Traitement de données ·
- Méthodologie ·
- Commission nationale ·
- Liberté ·
- Santé
- Personne concernée ·
- Anonymisation ·
- Information ·
- Données de santé ·
- Informatique ·
- Responsable ·
- Traitement de données ·
- Liberté ·
- Fichier ·
- Méthodologie
Textes cités dans la décision
- RGPD - Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données
- Loi n° 78-17 du 6 janvier 1978
- Décret n°2017-1416 du 28 septembre 2017
- Décret n°2019-536 du 29 mai 2019
- Code civil
Aucune décision de référence ou d'espèce avec un extrait similaire.