Inscription
7 jours d’essai gratuit.
Inscription en moins d’une minute. Pas de carte de crédit requise.
CNIL, Décision du 31 décembre 2024, n° DT-2024-029
CNIL 31 décembre 2024

Arguments

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Signaler une erreur.
  • Accepté
    Conformité aux dispositions légales et réglementaires

    La Commission a constaté que le traitement envisagé répond aux conditions de licéité et d'intérêt public, et respecte les exigences de sécurité et de protection des données.

Résumé par Doctrine IA

La Commission nationale de l’informatique et des libertés (CNIL) a été saisie d'une demande d'autorisation pour un traitement de données à caractère personnel dans le domaine de la santé, visant à constituer un entrepôt de données. Les questions juridiques posées concernaient la conformité du traitement avec le RGPD et la loi "informatique et libertés", notamment en ce qui concerne la base légale, la nature des données et les modalités d'information des personnes concernées. La CNIL a constaté des points de non-conformité, mais a jugé que le traitement répondait aux conditions de licéité et d'intérêt public. En conséquence, elle a autorisé la Fondation d'entreprise MGEN pour la santé publique à mettre en œuvre ce traitement pour une durée de trois ans.

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Résumé de la juridiction

Décision DT-2024-029 du 31 décembre 2024 autorisant la FONDATION D’ENTREPRISE MGEN POUR LA SANTE PUBLIQUE à mettre en œuvre un traitement automatisé de données ayant pour finalité la constitution d’un entrepôt de données de santé. (Demande d’autorisation n° 2235299)

Commentaire0

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées. 

Sur la décision

Référence :
CNIL, déc. n° DT-2024-029, 31 déc. 2024
Numéro : DT-2024-029
Nature de la délibération : Autre autorisation
État : VIGUEUR
Identifiant Légifrance : CNILTEXT000050956324

Texte intégral

La Commission nationale de l’informatique et des libertés,

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu le décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu la décision du 21 septembre 2023 portant délégation de signature du secrétaire général de la Commission nationale de l’informatique et des libertés ;

Saisie d’une demande d’autorisation relative à un traitement de données à caractère personnel dans le domaine de la santé ;

Considérant que ce traitement, dont la finalité présente un caractère d’intérêt public, relève des dispositions de la section 3 du chapitre III du titre II de la loi du 6 janvier 1978 modifiée ;

Considérant que le traitement présente les caractéristiques et répond aux conditions suivantes :

Sur les points de non-conformité au référentiel concerné

Le dossier de demande mentionne que le traitement envisagé est conforme aux dispositions du référentiel « entrepôt de données dans le domaine de la santé » à l’exception :

  • de la base légale du traitement ;
  • de la nature des données traitées (professionnels de santé) ;
  • des modalités d’information des personnes concernées (professionnels de santé).

La CNIL relève également que la nature des données des assurés dont le traitement est envisagé n’est pas conforme au référentiel.

En dehors de ces points, qui font l’objet d’un examen spécifique dans la présente autorisation, ce traitement devra respecter le cadre prévu par le référentiel.

Sur la finalité du traitement, sa licéité et les conditions permettant de traiter des données concernant la santé

Le traitement envisagé a pour finalité la constitution d’un entrepôt de données à caractère personnel comprenant notamment des données de santé. Les données de cet entrepôt seront utilisées dans le cadre de la mise en œuvre d’études, recherches et évaluations portant sur le parcours de santé des assurés et les mesures d’accompagnement dont ils peuvent bénéficier, afin d’identifier des leviers pour améliorer la prévention et la prise en charge en santé des populations.

Les données contenues dans cet entrepôt ne devront être exploitées ni à des fins de promotion des produits mentionnés au II de l’article L. 5311-1 du code de la santé publique en direction de professionnels de santé ou d’établissements de santé, ni à des fins d’exclusion de garanties des contrats d’assurance, ni de modification de cotisations ou de primes d’assurance d’un individu ou d’un groupe d’individus présentant un même risque.

Le traitement envisagé par le responsable de traitement est nécessaire aux fins des intérêts légitimes qu’il poursuit. Ce traitement est licite au regard de l’article 6-1-f) du RGPD et remplit des conditions permettant le traitement des données concernant la santé au regard des dispositions de l’articles 9-2-j) du RGPD et 44-3° de la loi « informatique et libertés ».

Les utilisations futures des données contenues dans cet entrepôt s’inscriront dans le cadre des dispositions des articles 66 et 72 et suivants de la loi « informatique et libertés », qui imposent que chaque projet de recherche, étude ou évaluation soit justifié par l’intérêt public. Ces traitements devront faire l’objet de formalités propres.

Sur les données traitées

Les données collectées dans le cadre de l’EDS sont les suivantes :

  • les données individuelles médico-administratives fournies par MGEN, sous réserve qu’elles aient été légalement collectées dans le cadre de la liquidation des prestations de santé et de l’exécution des contrats de prévoyance ;
  • les données individuelles appariées en amont de leur versement dans l’EDS issues de projets de recherches, études et évaluations dans le domaine de la santé précédemment réalisés et dont la durée de conservation n’a pas expiré fournies par des demandeurs internes ou externes ;
  • des données non personnelles fournies par des entités externes, pour la plupart en accès libre sur internet.

Les données collectées dans le cadre de l’EDS concerneront les assurés de la MGEN dans le cadre du régime obligatoire et/ou complémentaire disposant d’un contrat en cours d’exécution dans le mois précédent leur versement et qui n’auront pas exercé leur droit d’opposition.

Chaque mois, de nouvelles données viendront s’ajouter aux données déjà présentes dans l’entrepôt. De nouveaux assurés régime obligatoire et/ou complémentaire pourront être inclus au moment du versement mensuel des données dans l’entrepôt.

Les données seront pseudonymisées avant leur intégration dans l’entrepôt.

Les professionnels de santé concernés seront identifiés via un numéro pseudonyme propre au binôme assuré-professionnel de santé . Les données collectées les concernant seront limitées à leur fonction (catégorie et spécialité), leurs coordonnées professionnelles généralisées au département ainsi que leur secteur de conventionnement.

La CNIL relève en outre que le traitement du code IRIS, issu des coordonnées géographiques des assurés, n’est pas conforme aux dispositions du référentiel.

Le traitement de ces données a été justifié par le responsable de traitement dans le dossier de demande.

Aucune donnée ne pourra être collectée uniquement afin d’alimenter l’entrepôt.

Sur les durées de conservation

La profondeur historique des données versées dans l’entrepôt lors de sa constitution correspondra aux cinq années calendaires passées.

Les données seront ensuite conservées pendant dix ans à compter de leur versement dans l’entrepôt puis supprimées.

Sur les modalités d’information des personnes concernées

S’agissant des assurés :

Ils seront individuellement informés du traitement des données les concernant.

S’agissant des professionnels de santé salariés des centres de santé MGEN :

Ils devront être informés individuellement du traitement de leurs données dans le cadre de la constitution et de la mise en œuvre de l’EDS.

S’agissant des autres professionnels de santé :

En application de l’article 69 de la loi et de l’article 14-5-b) du RGPD, l’obligation d’information individuelle de la personne concernée peut faire l’objet d’exceptions, notamment dans l’hypothèse où la fourniture d’une telle information exigerait des efforts disproportionnés. En pareils cas, le responsable de traitement prend des mesures appropriées pour protéger les droits et libertés, ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles.

En l’espèce, il sera fait exception au principe d’information individuelle des professionnels de santé au regard de la nature peu identifiante des données collectées les concernant. Des mesures appropriées seront mises en œuvre notamment via une notice d’information sur le site du responsable de traitement, des magazines spécialisés ainsi que sur ses réseaux sociaux.

S’agissant des utilisateurs de l’EDS :

Les utilisateurs seront informés individuellement avant toute ouverture des droits d’accès, lors de la signature de la charte d’utilisation détaillant les conditions générales d’utilisation (CGU), incluant les conditions de traitement de leurs données ainsi que les modalités d’exercice de leurs droits sur leurs données personnelles. L’adhésion des utilisateurs aux CGU sera rappelée lors de chaque connexion à leur espace de travail sécurisé. En cas de modification de la charte, cette dernière leur sera adressée par messagerie électronique et ils devront la retourner signée.

Sur la sécurité des données et la traçabilité des actions

Le responsable de traitement a réalisé et transmis à l’appui de la demande d’autorisation une analyse d’impact relative à la protection des données spécifique à la création de l’entrepôt, ainsi qu’une comparaison détaillée des mesures de sécurité planifiées ou mises en place dans l’entrepôt avec les exigences de sécurité mentionnées dans le référentiel « entrepôt de données dans le domaine de la santé ». Aucun écart avec les exigences de sécurité du référentiel n’a été relevé par le responsable de traitement.

Les mesures de sécurité, qui devront être opérationnelles lors de la mise en œuvre du traitement, devront répondre aux exigences prévues par les articles 5,1, f) et 32 du règlement général sur la protection des données compte tenu des risques identifiés par le responsable de traitement. Il appartiendra au responsable de traitement de procéder à une réévaluation régulière des risques pour les personnes concernées et une mise à jour, le cas échéant, de ces mesures de sécurité.

AUTORISE la FONDATION D’ENTREPRISE MGEN POUR LA SANTE PUBLIQUE à mettre en œuvre le traitement décrit ci-dessus pendant une durée de trois ans .

Le Directeur adjoint de l’accompagnement juridique

Paul HEBERT

Décisions similaires

Citées dans les mêmes commentaires3

  • Personne concernée ·
  • Informatique ·
  • Traitement de données ·
  • Information ·
  • Santé ·
  • Méthodologie ·
  • Commission nationale ·
  • Liberté ·
  • Enquête ·
  • Personnes
  • Informatique ·
  • Traitement de données ·
  • Archivage ·
  • Santé publique ·
  • Méthodologie ·
  • Commission nationale ·
  • Information ·
  • Liberté ·
  • Personne concernée ·
  • Réutilisation de données
  • Méthodologie ·
  • Information ·
  • Informatique ·
  • Personne concernée ·
  • Traitement de données ·
  • Liberté ·
  • Archivage ·
  • Commission nationale ·
  • Santé ·
  • Personnes

Citant les mêmes articles de loi3

  • États-unis ·
  • Santé ·
  • Comités ·
  • Protection des données ·
  • Recherche ·
  • Informatique ·
  • Traitement de données ·
  • Côte d'ivoire ·
  • Brésil ·
  • Ivoire
  • Données de santé ·
  • León ·
  • Plateforme ·
  • Traitement de données ·
  • Union européenne ·
  • Personne concernée ·
  • Sécurité ·
  • Méthodologie ·
  • Informatique et libertés ·
  • Information
  • Informatique ·
  • Traitement de données ·
  • Archivage ·
  • Méthodologie ·
  • Commission nationale ·
  • Liberté ·
  • Données de santé ·
  • Fichier ·
  • Durée de conservation ·
  • Accès aux données

De référence sur les mêmes thèmes3

  • Données de santé ·
  • Informatique ·
  • Traitement de données ·
  • Archivage ·
  • Méthodologie ·
  • Commission nationale ·
  • Liberté ·
  • Collecte de données ·
  • Fichier ·
  • Durée de conservation
  • Informatique ·
  • Traitement de données ·
  • Archivage ·
  • Méthodologie ·
  • Commission nationale ·
  • Liberté ·
  • Données de santé ·
  • Fichier ·
  • Durée de conservation ·
  • Accès aux données
  • Personne concernée ·
  • Informatique ·
  • Traitement de données ·
  • Information ·
  • Santé ·
  • Méthodologie ·
  • Commission nationale ·
  • Liberté ·
  • Enquête ·
  • Personnes

Sur les mêmes thèmes3

  • Cnil ·
  • Utilisateur ·
  • Prénom ·
  • Ministère ·
  • Chiffrement ·
  • Protection des données ·
  • Identité ·
  • Titre ·
  • Fraudes ·
  • Expérimentation
  • Cnil ·
  • Collecte ·
  • Plateforme ·
  • Expérimentation ·
  • Décret ·
  • Réseau social ·
  • Meta-donnée ·
  • Utilisateur ·
  • Finances ·
  • Traitement
  • Cnil ·
  • Demandeur d'emploi ·
  • Finalité ·
  • Traitement de données ·
  • Ministère ·
  • Durée de conservation ·
  • Réseau ·
  • Sécurité ·
  • Accès ·
  • Habilitation

Textes cités dans la décision

  1. RGPD - Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données
  2. Loi n° 78-17 du 6 janvier 1978
  3. Décret n°2019-536 du 29 mai 2019
  4. Code de la santé publique
Extraits similaires à la sélection

Aucune décision de référence ou d'espèce avec un extrait similaire.

Inscrivez-vous gratuitement pour imprimer votre décision
CNIL, Décision du 31 décembre 2024, n° DT-2024-029
  1. Doctrine
  2. Décisions de justice
  3. 2024
  4. CNIL, déc. n° DT-2024-029, 31 déc. 2024
Contactez notre service commercial au 01 84 80 33 48