Inscription
7 jours d’essai gratuit.
Inscription en moins d’une minute. Pas de carte de crédit requise.
CNIL, Décision du 31 décembre 2024, n° DT-2024-028
CNIL 31 décembre 2024

Arguments

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Signaler une erreur.
  • Accepté
    Conformité aux dispositions légales

    La Commission a jugé que le traitement répondait aux conditions de licéité et d'intérêt public, et qu'il était conforme aux exigences réglementaires, malgré quelques points de non-conformité qui feront l'objet d'un examen spécifique.

  • Accepté
    Mesures de sécurité mises en place

    La Commission a constaté que les mesures de sécurité proposées étaient adéquates et conformes aux exigences du RGPD, malgré certaines non-conformités justifiées par des mesures compensatoires.

Résumé par Doctrine IA

La Commission nationale de l’informatique et des libertés (CNIL) a été saisie d'une demande d'autorisation pour un traitement de données personnelles dans le domaine de la santé, visant à constituer un entrepôt de données pour des recherches et évaluations. Les questions juridiques portaient sur la conformité du traitement avec le RGPD et la loi "informatique et libertés", notamment concernant la base légale, la nature des données et les mesures de sécurité. La CNIL a conclu que, malgré certaines non-conformités, le traitement est licite et d'intérêt public, et a autorisé la société STANE GROUPE à le mettre en œuvre pour une durée de trois ans, sous réserve de respecter les conditions établies.

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Résumé de la juridiction

Décision DT-2024-028 du 31 décembre 2024 autorisant la société STANE GROUPE à mettre en œuvre un traitement automatisé de données ayant pour finalité la constitution d’un entrepôt de données de santé. (Demande d’autorisation n°2235659)

Commentaire0

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées. 

Sur la décision

Référence :
CNIL, déc. n° DT-2024-028, 31 déc. 2024
Numéro : DT-2024-028
Nature de la délibération : Autre autorisation
État : VIGUEUR
Identifiant Légifrance : CNILTEXT000050956315

Texte intégral

La Commission nationale de l’informatique et des libertés,

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu le décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu la décision du 21 septembre 2023 portant délégation de signature du secrétaire général de la Commission nationale de l’informatique et des libertés ;

Saisie d’une demande d’autorisation relative à un traitement de données à caractère personnel dans le domaine de la santé ;

Considérant que ce traitement, dont la finalité présente un caractère d’intérêt public, relève des dispositions de la section 3 du chapitre III du titre II de la loi du 6 janvier 1978 modifiée ;

Considérant que le traitement présente les caractéristiques et répond aux conditions suivantes :

Sur les points de non-conformité au référentiel concerné

Le dossier de demande mentionne que le traitement envisagé est conforme aux dispositions du référentiel « entrepôt de données dans le domaine de la santé », à l’exception :

  • de la base légale du traitement ;
  • de la nature des données traitées ;
  • des mesures de sécurité.

En dehors de ces points, qui font l’objet d’un examen spécifique dans la présente autorisation, ce traitement devra respecter le cadre prévu par le référentiel « entrepôt de données dans le domaine de la santé ».

Sur la finalité du traitement, sa licéité et les conditions permettant de traiter des données concernant la santé

Le traitement envisagé a pour finalité la constitution d’un entrepôt de données à caractère personnel comprenant notamment des données de santé, ayant pour finalités la réalisation de recherches, études ou évaluations dans le domaine de la santé et d’études relatives au pilotage d’établissement.

Les données contenues dans cet entrepôt ne devront être exploitées ni à des fins de promotion des produits mentionnés au II de l’article L. 5311-1 du code de la santé publique en direction de professionnels de santé ou d’établissements de santé, ni à des fins d’exclusion de garanties des contrats d’assurance, ni de modification de cotisations ou de primes d’assurance d’un individu ou d’un groupe d’individus présentant un même risque.

Le traitement mis en œuvre par le responsable de traitement est nécessaire aux fins des intérêts légitimes qu’il poursuit. Ce traitement est licite au regard de l’article 6-1-f) du RGPD et remplit des conditions permettant le traitement des données concernant la santé au regard des dispositions de l’articles 9-2-j) du RGPD et 44-3° de la loi « informatique et libertés » modifiée.

Les utilisations futures des données contenues dans cet entrepôt s’inscriront dans le cadre des dispositions des articles 66 et 72 et suivants de la loi informatique et libertés , qui imposent que chaque projet de recherche, étude ou évaluation soit justifié par l’intérêt public. Ces traitements devront faire l’objet de formalités propres.

Sur les données traitées

Les données alimentant l’entrepôt seront issues uniquement des logiciels de gestion mentionnés dans le dossier de demande et utilisés par les professionnels du réseau STANE.

Les données dont le traitement n’est pas conforme aux dispositions du référentiel « entrepôt de données dans le domaine de la santé » sont les identifiants locaux des professionnels de santé dans ces logiciels de gestion.

La CNIL relève que le responsable de traitement s’est engagé à réévaluer régulièrement la pertinence de la collecte des données d’identification (notamment directement identifiantes) des patients et des professionnels de santé.

Cette évaluation devra également tenir compte du déploiement progressif de l’INS au sein des logiciels des professionnels de santé partenaires.

Au vu de la sensibilité et du volume des données, la CNIL estime nécessaire qu’un bilan de cette évaluation lui soit transmis.

Les données directement identifiantes devront être traitées et transmises de façon séparée des données de santé et être enregistrées dans une base de données distincte. En outre, seul un nombre strictement limité de personnes habilitées et soumises au secret professionnel devra pouvoir y accéder.

Sur la conservation des données

Les données versées dans l’entrepôt concerneront l’ensemble des personnes ayant consulté au moins une fois un professionnel de santé du réseau STANE dans les 24 mois précédant la présente décision et ne s’étant pas opposées au traitement de leurs données à cette fin.

La profondeur historique des données versées dans l’entrepôt lors de sa constitution sera de cinq ans maximum.

Les données versées dans l’entrepôt seront ensuite conservées vingt ans à compter de leur collecte initiale dans le cadre des soins, puis supprimées.

Sur la sécurité des données et la traçabilité des actions

Le responsable de traitement a réalisé et transmis à l’appui de la demande d’autorisation une analyse d’impact relative à la protection des données spécifique à la création de l’entrepôt « EDS STANE », ainsi qu’une comparaison détaillée des mesures de sécurité planifiées ou mises en place dans l’entrepôt avec les exigences de sécurité mentionnées dans le référentiel « entrepôt de données dans le domaine de la santé ».

Les point de non-conformité vis-à-vis de ces mesures de sécurité sont les suivants :

  • l’inclusion du sexe, mois, année de naissance et zone IRIS du lieu de naissance dans la base de données principale de l’entrepôt ;
  • la pseudonymisation des données dans une zone interne de l’entrepôt avec accès restreint et processus automatisés, comportant des mesures organisationnelles et techniques spécifiques.

Ces non-conformités ont été dûment justifiées et compensées par la mise en œuvre de mesures techniques et organisationnelles à l’état de l’art.

Les mesures de sécurité, qui devront être opérationnelles lors de la mise en œuvre du traitement, devront répondre aux exigences prévues par les articles 5,1, f) et 32 du RGPD compte tenu des risques identifiés par le responsable de traitement.

Par ailleurs, certaines mesures de sécurité techniques et organisationnelles sont actuellement en cours d’implémentation afin d’améliorer le niveau de sécurité vis-à-vis de risques identifiés, notamment :

  • le hachage du matricule INS par un algorithme de hachage cryptographique à l’état de l’art comportant un sel aléatoire avant la mise en œuvre de l’entrepôt ;
  • la mise en place d’alertes automatisées en lien avec un puit de logs ;
  • l’évaluation des techniques de pseudonymisation envisagées (règles fixes, voire apprentissage automatique en fonction des résultats obtenus).

Ces mesures devront être implémentées dans le cadre du plan d’actions communiqué par le responsable de traitement.

Il appartiendra au responsable de traitement de procéder à une réévaluation régulière des risques pour les personnes concernées et une mise à jour, le cas échéant, des mesures de sécurité.

AUTORISE, dans ces conditions, la société STANE GROUPE à mettre en œuvre le traitement décrit ci-dessus pendant une durée de trois ans .

Le Directeur adjoint de l’accompagnement juridique

Paul HEBERT

Décisions similaires

Citées dans les mêmes commentaires3

  • Personne concernée ·
  • Informatique ·
  • Traitement de données ·
  • Information ·
  • Santé ·
  • Méthodologie ·
  • Commission nationale ·
  • Liberté ·
  • Enquête ·
  • Personnes
  • Personne concernée ·
  • Informatique ·
  • Traitement de données ·
  • Information ·
  • Santé ·
  • Méthodologie ·
  • Commission nationale ·
  • Liberté ·
  • Enquête ·
  • Personnes
  • Informatique ·
  • Traitement de données ·
  • Archivage ·
  • Santé publique ·
  • Méthodologie ·
  • Commission nationale ·
  • Information ·
  • Liberté ·
  • Personne concernée ·
  • Réutilisation de données

Citant les mêmes articles de loi3

  • Méthodologie ·
  • Information ·
  • Informatique ·
  • Personne concernée ·
  • Traitement de données ·
  • Liberté ·
  • Archivage ·
  • Commission nationale ·
  • Santé ·
  • Personnes
  • États-unis ·
  • Santé ·
  • Comités ·
  • Protection des données ·
  • Recherche ·
  • Informatique ·
  • Traitement de données ·
  • Côte d'ivoire ·
  • Brésil ·
  • Ivoire
  • Données de santé ·
  • León ·
  • Plateforme ·
  • Traitement de données ·
  • Union européenne ·
  • Personne concernée ·
  • Sécurité ·
  • Méthodologie ·
  • Informatique et libertés ·
  • Information

De référence sur les mêmes thèmes3

  • Cnil ·
  • Demandeur d'emploi ·
  • Finalité ·
  • Traitement de données ·
  • Ministère ·
  • Durée de conservation ·
  • Réseau ·
  • Sécurité ·
  • Accès ·
  • Habilitation
  • Données de santé ·
  • Informatique ·
  • Traitement de données ·
  • Archivage ·
  • Méthodologie ·
  • Commission nationale ·
  • Liberté ·
  • Collecte de données ·
  • Fichier ·
  • Durée de conservation
  • Informatique ·
  • Traitement de données ·
  • Archivage ·
  • Méthodologie ·
  • Commission nationale ·
  • Liberté ·
  • Données de santé ·
  • Fichier ·
  • Durée de conservation ·
  • Accès aux données

Sur les mêmes thèmes3

  • Entrepôt ·
  • Santé ·
  • Traitement de données ·
  • Personne concernée ·
  • Informatique ·
  • Responsable ·
  • Liberté ·
  • Protection des données ·
  • Professionnel ·
  • Durée de conservation
  • Cnil ·
  • Utilisateur ·
  • Prénom ·
  • Ministère ·
  • Chiffrement ·
  • Protection des données ·
  • Identité ·
  • Titre ·
  • Fraudes ·
  • Expérimentation
  • Cnil ·
  • Collecte ·
  • Plateforme ·
  • Expérimentation ·
  • Décret ·
  • Réseau social ·
  • Meta-donnée ·
  • Utilisateur ·
  • Finances ·
  • Traitement

Textes cités dans la décision

  1. RGPD - Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données
  2. Loi n° 78-17 du 6 janvier 1978
  3. Décret n°2019-536 du 29 mai 2019
  4. Code de la santé publique
Extraits similaires à la sélection

Aucune décision de référence ou d'espèce avec un extrait similaire.

Inscrivez-vous gratuitement pour imprimer votre décision
CNIL, Décision du 31 décembre 2024, n° DT-2024-028
  1. Doctrine
  2. Décisions de justice
  3. 2024
  4. CNIL, déc. n° DT-2024-028, 31 déc. 2024
Contactez notre service commercial au 01 84 80 33 48