La Commission nationale de l’informatique et des libertés,

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu le décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu la décision du 21 septembre 2023 portant délégation de signature du secrétaire général de la Commission nationale de l’informatique et des libertés ;

Saisie d’une demande d’autorisation relative à un traitement de données à caractère personnel dans le domaine de la santé ;

Considérant que ce traitement, dont la finalité présente un caractère d’intérêt public, relève des dispositions de la section 3 du chapitre III du titre II de la loi du 6 janvier 1978 modifiée ;

Considérant que le traitement présente les caractéristiques et répond aux conditions suivantes :

Cet entrepôt sera alimenté par des données à caractère personnel issues de :

• l’étude « ALARM3 » dont le responsable de traitement est l’Assistance publique – Hôpitaux de Paris (AP-HP). Cette étude a été réalisée dans le cadre d’une déclaration de conformité à la méthodologie de référence MR-001 ;
• l’étude « MyeCHILD01 » dont le responsable de traitement est l’AP-HP. Cette étude a été réalisée dans le cadre d’une déclaration de conformité à la méthodologie de référence MR-001 ;
• l’étude « OSCARE » dont le responsable de traitement est le Centre hospitalier universitaire de Bordeaux. Cette étude a été réalisée dans le cadre d’une déclaration de conformité à la méthodologie de référence MR-003 ;
• l’étude « LEA » dont le responsable de traitement est l’AP-HP (demande d’autorisation n°904547) ;
• l’étude « co-DOREMy » dont le responsable de traitement est l’AP-HP. Cette étude a été a été réalisée dans le cadre d’une déclaration de conformité à la méthodologie de référence MR-001 ;
• l’étude « observatoire post-ELAM02 » dont le responsable de traitement est le Centre hospitalier universitaire de Rennes (demande d’autorisation n°1923380).

Sur la conservation des données

Les données, dont les données directement identifiantes et les dates de naissance, sont conservées vingt ans à compter de leur versement dans l’entrepôt.

Sur la sécurité des données

Les mesures de sécurité, qui devront être opérationnelles lors de la mise en œuvre du traitement, répondront alors aux exigences prévues par le f) du 1 de l’article 5 et de l’article 32 du RGPD compte tenu des risques identifiés par le responsable de traitement. Il appartiendra au responsable de traitement de procéder à une réévaluation régulière des risques pour les personnes concernées et une mise à jour, le cas échéant, de ces mesures de sécurité.

AUTORISE l’ASSISTANCE PUBLIQUE – HÔPITAUX DE PARIS à mettre en œuvre le traitement décrit ci-dessus.

Le Directeur adjoint de l’accompagnement juridique

Paul HEBERT