CNIL, Décision du 13 décembre 2024, n° DR-2024-312

CNIL 13 décembre 2024

Arguments

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Signaler une erreur.

Accepté
Conformité aux dispositions légales et réglementaires
La Commission a constaté que le traitement présente un caractère d'intérêt public et respecte les conditions prévues par la législation applicable, justifiant ainsi l'autorisation.
Accepté
Mesures de sécurité et protection des données
La Commission a jugé que les mesures de sécurité proposées répondent aux exigences du RGPD et garantissent la protection des données des participantes.

Résumé par Doctrine IA

La Commission nationale de l’informatique et des libertés (CNIL) a été saisie d'une demande d'autorisation pour un traitement de données personnelles à des fins de recherche dans le domaine de la santé. Les questions juridiques posées concernaient la conformité du traitement avec le RGPD et la loi française sur la protection des données. La CNIL a constaté que le traitement présente un intérêt public et a donné un avis favorable, sous réserve de respecter certaines conditions, notamment la séparation des données identifiantes et des données de santé, ainsi que des mesures de sécurité appropriées. En conclusion, la CNIL autorise le Centre régional de coordination du dépistage des cancers de l’Occitanie et le CIRC-OMS à mettre en œuvre ce traitement.

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Résumé de la juridiction

Décision DR-2024-312 du 13 décembre 2024 autorisant LE CENTRE REGIONAL DE COORDINATION DU DEPISTAGE DES CANCERS DE L’OCCITANIE ET LE CENTRE INTERNATIONAL DE RECHERCHE SUR LE CANCER- ORGANISATION MONDIALE DE LA SANTE à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur l’aide de l’intelligence artificielle à la prise de décision pour améliorer la participation des femmes au dépistage du cancer du col de l’utérus en Région Occitanie, « APPDATE-YOU ». (Demande d’autorisation n° 924033v1)

Commentaire • 0

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées.

Sur la décision

Référence :	CNIL, déc. n° DR-2024-312, 13 déc. 2024
Numéro :	DR-2024-312
Nature de la délibération :	Autorisation de recherche
État :	VIGUEUR
Identifiant Légifrance :	CNILTEXT000050952359

Texte intégral

La Commission nationale de l’informatique et des libertés,

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu le décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu la décision du 21 septembre 2023 portant délégation de signature du secrétaire général de la Commission nationale de l’informatique et des libertés ;

Saisie d’une demande d’autorisation relative à un traitement de données à caractère personnel à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé ;

Considérant que ce traitement, dont la finalité présente un caractère d’intérêt public, relève des dispositions de la section 3 du chapitre III du titre II de la loi du 6 janvier 1978 modifiée ;

Considérant que le traitement présente les caractéristiques et répond aux conditions suivantes :

Responsables de traitement	En tant que responsables conjoints de traitement, le centre régional de coordination du dépistage des cancers (CRCDC) de l’Occitanie et le centre international de recherche sur le cancer-organisation mondiale de la santé (CIRC-OMS) doivent définir de manière transparente leurs obligations respectives conformément à l’article 26 du RGPD.
Avis du comité	Avis favorable avec recommandations du Comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé du 11 janvier 2024.
Points de non-conformité à la méthodologie de référence concernée	Le dossier de demande mentionne que le traitement envisagé est conforme aux dispositions de la méthodologie de référence MR-004, à l’exception de la nature des données traitées, des destinataires des données directement identifiantes et des modalités d’information des personnes concernées. En dehors de ces points, qui font l’objet d’un examen spécifique dans la présente décision, le traitement devra respecter le cadre prévu par ce référentiel.
Réutilisation des données d’une base existante	Les données de la base du CRCDC de l’Occitanie seront réutilisées dans le cadre de la présente étude.
Catégories particulières de données traitées (autres que données de santé) et leurs destinataires	Les participantes seront amenées à interagir avec un agent conversationnel disponible via une application de messagerie instantanée dans le cadre de cette étude. La collecte de l’identifiant de connexion à l’application (numéro de téléphone ou identifiant spécifique) est nécessaire pour assurer leur suivi. Les données directement identifiantes doivent être traitées et transmises de façon séparée des données de santé et être enregistrées dans une base de données distincte. En outre, seul un nombre strictement limité de personnes habilitées et soumises au secret professionnel pourra accéder aux données directement identifiantes. Les informations transmises lors de l’usage de l’agent conversationnel doivent être pertinentes, adéquates et non excessives au regard de la finalité du traitement. Les participantes seront explicitement invitées à ne partager ni des données personnelles sensibles, en particulier des informations de santé, ni des données directement identifiantes lors des interactions avec l’agent conversationnel. Des mécanismes seront mis en place pour supprimer automatiquement ces données partagées par erreur. Aucun historique de conversation ne devra être conservé.
Information et droits des personnes	Toutes les participantes recevront une note d’information individuelle qui devra être complétée afin de comporter l’ensemble des mentions prévues par le RGPD. Une note d’information collective sera également publiée sur le site web du CIRC-OMS.
Mesures de sécurité	Les identifiants de connexion à l’application devront être pseudonymisés à l’aide d’une fonction de hachage cryptographique résistante aux attaques par force brute. Les mesures de sécurité décrites dans le dossier de demande ont pour objectif de répondre aux exigences prévues par les articles 5,1, f) et 32 du RGPD. A cet égard ces obligations imposent une réévaluation régulière des risques pour les personnes concernées et une mise à jour, le cas échéant, de ces mesures de sécurité. Par ailleurs, le responsable de traitement demeure pleinement responsable du niveau de sécurité effectif du traitement mis en œuvre et les textes applicables lui imposent d’être en mesure de justifier de sa conformité à tout moment.
Durées de conservation des données.	Les identifiants de connexion et les données techniques seront conservés pendant un an. Les autres données seront conservées pendant quatre ans en base active.

AUTORISE le CENTRE REGIONAL DE COORDINATION DU DEPISTAGE DES CANCERS DE L’OCCITANIE ET LE CENTRE INTERNATIONAL DE RECHERCHE SUR LE CANCER- ORGANISATION MONDIALE DE LA SANTE à mettre en œuvre le traitement décrit ci-dessus.

La Cheffe du service de la santé

Hélène GUIMIOT