Inscription
7 jours d’essai gratuit.
Inscription en moins d’une minute. Pas de carte de crédit requise.
CNIL, Décision du 31 décembre 2024, n° DT-2024-027
CNIL 31 décembre 2024

Arguments

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Signaler une erreur.
  • Accepté
    Conformité aux dispositions légales

    La Commission a constaté que le traitement répond aux conditions de licéité et de finalité prévues par le RGPD, et qu'il est nécessaire à l'exécution d'une mission d'intérêt public.

  • Accepté
    Mesures de sécurité et conservation des données

    La Commission a jugé que les mesures de sécurité proposées, bien que nécessitant des améliorations, sont de nature à répondre aux exigences du RGPD, et a autorisé le traitement sous réserve de la mise en œuvre des mesures dans un délai d'un an.

Résumé par Doctrine IA

La Commission nationale de l’informatique et des libertés (CNIL) a été saisie d'une demande d'autorisation pour un traitement de données de santé dans le cadre de la création d'un entrepôt de données, dénommé « UroCCR », visant à favoriser la recherche sur le cancer du rein. Les questions juridiques portaient sur la conformité du traitement avec le RGPD et la loi « informatique et libertés », notamment en ce qui concerne la finalité, la licéité, la conservation et la sécurité des données. La CNIL a autorisé le traitement, sous réserve de respecter certaines conditions, notamment l'amélioration des mesures de sécurité et la conservation des données pendant vingt ans. Elle a également précisé que le transfert de données en dehors de l'UE n'était pas autorisé.

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Résumé de la juridiction

Décision DT-2024-027 du 31 décembre 2024 autorisant le CENTRE HOSPITALIER UNIVERSITAIRE DE BORDEAUX à mettre en œuvre un traitement automatisé de données ayant pour finalité la constitution d’un entrepôt de données de santé, dénommé « UroCCR ». (Demande d’autorisation n°2231991)

Commentaire0

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées. 

Sur la décision

Référence :
CNIL, déc. n° DT-2024-027, 31 déc. 2024
Numéro : DT-2024-027
Nature de la délibération : Autre autorisation
État : VIGUEUR
Identifiant Légifrance : CNILTEXT000050956287

Texte intégral

La Commission nationale de l’informatique et des libertés,

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu le décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu la décision du 21 septembre 2023 portant délégation de signature du secrétaire général de la Commission nationale de l’informatique et des libertés ;

Saisie d’une demande d’autorisation relative à un traitement de données à caractère personnel dans le domaine de la santé ;

Considérant que ce traitement, dont la finalité présente un caractère d’intérêt public, relève des dispositions de la section 3 du chapitre III du titre II de la loi du 6 janvier 1978 modifiée ;

Considérant que le traitement présente les caractéristiques et répond aux conditions suivantes :

Sur les points de non-conformité au référentiel concerné

Le dossier de demande mentionne que le traitement envisagé est conforme aux dispositions du référentiel « entrepôt de données dans le domaine de la santé », à l’exception :

  • des durées de conservation des données ;
  • des mesures de sécurité.

En dehors de ces points, qui font l’objet d’un examen spécifique dans la présente autorisation, ce traitement devra respecter le cadre prévu par le référentiel « entrepôt de données dans le domaine de la santé ».

Sur la finalité du traitement, sa licéité et les conditions permettant de traiter des données concernant la santé

Le traitement envisagé a pour finalité la constitution d’un entrepôt de données à caractère personnel comprenant notamment des données de santé, dénommé « UroCCR ».

La constitution de cet entrepôt multicentrique spécifique au cancer du rein aura pour finalités :

  • de favoriser les recherches, études ou évaluations en structurant les ressources et capacités nationales ;
  • de créer une base de données associée à une collection d’échantillons biologiques annotée multicentrique.

Sont concernés par cet entrepôt de données de santé tous les patients présentant une tumeur du rein et consultant ou ayant consulté dans un centre participant à UroCCR, à l’exception des majeurs protégés et des mineurs.

La finalité du traitement est déterminée, explicite et légitime, conformément aux dispositions de l’article 5-1-b) du RGPD.

Le traitement mis en œuvre par le responsable de traitement est nécessaire à l’exécution d’une mission d’intérêt public dont il est investi. Ce traitement est licite au regard de l’article 6-1-e) du RGPD et remplit des conditions permettant le traitement des données concernant la santé au regard des dispositions de l’article 9-2-j) du RGPD et 44-3° de la loi « informatique et libertés » modifiée.

Les utilisations futures des données contenues dans cet entrepôt s’inscriront dans le cadre des dispositions des articles 66 et 72 et suivants de la loi « informatique et libertés », qui imposent que chaque projet de recherche, étude ou évaluation soit justifié par l’intérêt public. Ces traitements devront faire l’objet de formalités propres.

Sur la conservation des données

Les données versées dans l’entrepôt sont conservées vingt ans à compter du dernier suivi du patient puis supprimées ou anonymisées.

Sur les transferts de données

La présente décision ne vaut pas autorisation de transfert de données en dehors de l’Union européenne, vers un pays ne présentant pas un niveau de protection adéquat.

Sur la sécurité des données et la traçabilité des actions

La plupart des mesures de sécurité du traitement mises en œuvre sont conformes à celles prévues par le référentiel « entrepôt de données dans le domaine de la santé ».

Le responsable de traitement a réalisé et transmis à l’appui de la demande d’autorisation une analyse d’impact relative à la protection des données spécifique à la création de l’entrepôt, ainsi qu’une comparaison détaillée des mesures de sécurité planifiées ou mises en place dans l’entrepôt avec les exigences de sécurité mentionnées dans le référentiel entrepôt de données dans le domaine de la santé . L’entrepôt comporte le point de non-conformité suivant vis-à-vis des mesures de sécurité : l’inclusion du mois de naissance, de l’année de naissance, de l’année et du sexe dans la base de données principale de l’entrepôt.

Certaines des mesures nécessaires à la pleine couverture des risques de sécurité sont en cours de déploiement et d’amélioration dans le cadre d’un plan d’actions formalisé. Ce plan d’actions devra être complété afin d’améliorer les mesures relatives à certaines exigences du référentiel « entrepôt de données dans le domaine de la santé », et en particulier :

  • le cloisonnement des données directement identifiantes par rapport aux données de santé contenues dans l’entrepôt ;
  • la génération d’un identifiant pseudonyme unique par une fonction de hachage cryptographique résistante aux attaques par force brute ou un générateur de nombres pseudo-aléatoires cryptographiquement sûr ;
  • l’hébergement des données chez un hébergeur certifié HDS en cas d’externalisation de l’hébergement.

Le responsable de traitement devra mettre en œuvre l’ensemble des mesures décrites dans son plan d’actions dans les meilleurs délais et, au plus tard, dans un délai d’un an. Au vu de la sensibilité et du volume des données, la CNIL estime nécessaire d’évaluer à l’issue de ce délai la réalité des mesures de sécurité mises en œuvre par le responsable de traitement et qu’un bilan lui soit transmis à cette fin.

Les mesures de sécurité, renforcées par ce plan d’actions, sont de nature à répondre aux exigences prévues par les articles 5,1, f) et 32 du RGPD compte tenu des risques identifiés par le responsable de traitement. Le responsable de traitement doit néanmoins procéder à une réévaluation régulière des risques pour les personnes concernées et une mise à jour, le cas échéant, de ces mesures de sécurité.

AUTORISE, dans ces conditions, le CENTRE HOSPITALIER UNIVERSITAIRE DE BORDEAUX à mettre en œuvre le traitement décrit ci-dessus.

Le Directeur adjoint de l’accompagnement juridique

Paul HEBERT

Décisions similaires

Citées dans les mêmes commentaires3

  • Informatique ·
  • Traitement de données ·
  • Archivage ·
  • Méthodologie ·
  • Commission nationale ·
  • Liberté ·
  • Données de santé ·
  • Fichier ·
  • Durée de conservation ·
  • Accès aux données
  • Personne concernée ·
  • Informatique ·
  • Traitement de données ·
  • Information ·
  • Santé ·
  • Méthodologie ·
  • Commission nationale ·
  • Liberté ·
  • Enquête ·
  • Personnes
  • Personne concernée ·
  • Informatique ·
  • Traitement de données ·
  • Information ·
  • Santé ·
  • Méthodologie ·
  • Commission nationale ·
  • Liberté ·
  • Enquête ·
  • Personnes

Citant les mêmes articles de loi3

  • Informatique ·
  • Traitement de données ·
  • Archivage ·
  • Santé publique ·
  • Méthodologie ·
  • Commission nationale ·
  • Information ·
  • Liberté ·
  • Personne concernée ·
  • Réutilisation de données
  • Méthodologie ·
  • Information ·
  • Informatique ·
  • Personne concernée ·
  • Traitement de données ·
  • Liberté ·
  • Archivage ·
  • Commission nationale ·
  • Santé ·
  • Personnes
  • États-unis ·
  • Santé ·
  • Comités ·
  • Protection des données ·
  • Recherche ·
  • Informatique ·
  • Traitement de données ·
  • Côte d'ivoire ·
  • Brésil ·
  • Ivoire

De référence sur les mêmes thèmes3

  • Cnil ·
  • Collecte ·
  • Plateforme ·
  • Expérimentation ·
  • Décret ·
  • Réseau social ·
  • Meta-donnée ·
  • Utilisateur ·
  • Finances ·
  • Traitement
  • Cnil ·
  • Demandeur d'emploi ·
  • Finalité ·
  • Traitement de données ·
  • Ministère ·
  • Durée de conservation ·
  • Réseau ·
  • Sécurité ·
  • Accès ·
  • Habilitation
  • Données de santé ·
  • Informatique ·
  • Traitement de données ·
  • Archivage ·
  • Méthodologie ·
  • Commission nationale ·
  • Liberté ·
  • Collecte de données ·
  • Fichier ·
  • Durée de conservation

Sur les mêmes thèmes3

  • Entrepôt ·
  • Sécurité ·
  • Traitement de données ·
  • Données de santé ·
  • Finalité ·
  • Professionnel ·
  • Informatique et libertés ·
  • Liberté ·
  • Évaluation ·
  • Responsable
  • Entrepôt ·
  • Santé ·
  • Traitement de données ·
  • Personne concernée ·
  • Informatique ·
  • Responsable ·
  • Liberté ·
  • Protection des données ·
  • Professionnel ·
  • Durée de conservation
  • Cnil ·
  • Utilisateur ·
  • Prénom ·
  • Ministère ·
  • Chiffrement ·
  • Protection des données ·
  • Identité ·
  • Titre ·
  • Fraudes ·
  • Expérimentation

Textes cités dans la décision

  1. RGPD - Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données
  2. Loi n° 78-17 du 6 janvier 1978
  3. Décret n°2019-536 du 29 mai 2019
Extraits similaires à la sélection

Aucune décision de référence ou d'espèce avec un extrait similaire.

Inscrivez-vous gratuitement pour imprimer votre décision
CNIL, Décision du 31 décembre 2024, n° DT-2024-027
  1. Doctrine
  2. Décisions de justice
  3. 2024
  4. CNIL, déc. n° DT-2024-027, 31 déc. 2024
Contactez notre service commercial au 01 84 80 33 48