Inscription
7 jours d’essai gratuit.
Inscription en moins d’une minute. Pas de carte de crédit requise.
CNIL, Décision du 27 décembre 2024, n° DR-2024-342
CNIL 27 décembre 2024

Arguments

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Signaler une erreur.
  • Accepté
    Conformité aux dispositions légales

    La Commission a constaté que le traitement présente un caractère d'intérêt public et respecte les conditions prévues par la législation applicable.

  • Accepté
    Avis favorable du comité éthique

    La Commission a pris en compte l'avis favorable du comité éthique et scientifique, ce qui renforce la légitimité de la demande.

Résumé de la juridiction

Décision DR-2024-342 du 27 décembre 2024 autorisant la CLINIQUE BEAU SOLEIL à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur la validation d’un algorithme d’identification des patients porteurs d’un cancer du poumon en 2019, nécessitant un accès aux données du SNIIRAM, du PMSI et du CépiDc, composantes du Système national des données de santé (SNDS), pour les années 2014 à 2019, intitulée « POUMALGO ». (Demande d’autorisation n° 924255)

Commentaire0

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées. 

Sur la décision

Référence :
CNIL, déc. n° DR-2024-342, 27 déc. 2024
Numéro : DR-2024-342
Nature de la délibération : Autorisation de recherche
État : VIGUEUR
Identifiant Légifrance : CNILTEXT000051016045

Texte intégral

La Commission nationale de l’informatique et des libertés,

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu le décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu la décision du 21 septembre 2023 portant délégation de signature du secrétaire général de la Commission nationale de l’informatique et des libertés ;

Saisie d’une demande d’autorisation relative à un traitement de données à caractère personnel à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé ;

Considérant que ce traitement, dont la finalité présente un caractère d’intérêt public, relève des dispositions de la section 3 du chapitre III du titre II de la loi du 6 janvier 1978 modifiée ;

Considérant que le traitement présente les caractéristiques et répond aux conditions suivantes :

Avis du comité

Avis favorable avec recommandations du Comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé du 11 janvier 2024.

Points de non-conformité à la méthodologie de référence concernée

Le dossier de demande mentionne que le traitement envisagé est conforme aux dispositions de la méthodologie de référence MR-004, à l’exception de la nature des données traitées (traitement du numéro d’inscription au répertoire national d’identification des personnes physiques (NIR) aux fins d’appariement des données cliniques avec les données du Système national des données de santé (SNDS)) et des modalités d’information des personnes concernées.

En dehors de ces points, qui font l’objet d’un examen spécifique dans la présente décision, ce traitement devra respecter le cadre prévu par ce référentiel.

Nature des données et circuit d’appariement

Les données issues du registre des cancers de l’Hérault (demande d’autorisation n°914055v1) et du registre des cancers de l’Isère (demande d’autorisation n°982002v5) seront réutilisées et appariées de façon déterministe avec les données du SNDS.

Les données administratives d’identification (nom, prénoms, sexe, date de naissance complète et lieu de naissance) des participants seront transmises au service Concentrateur , proposé par le GIP PDS et opéré par un de ses sous-traitants, qui les utilisera pour interroger la Caisse nationale d’assurance vieillesse aux fins de reconstitution du NIR. Le concentrateur transmettra ensuite les NIR, sexe et date de naissance complète des participants à la CNAM pour extraction des données du SNDS correspondantes.

Les données nominatives devront être chiffrées au sein des centres et être transmises sous forme de fichiers chiffrés. Les algorithmes utilisés et les procédures de gestion de clés associées devront être conformes au référentiel général de sécurité (annexes B1 et B2) et aux recommandations correspondantes de l’ANSSI.

Des mesures de sécurité renforcées devront être mises en place pour protéger les tables de correspondance. Les équipements mobiles devront faire l’objet de mesures de chiffrement afin de garantir la confidentialité des données qu’ils contiennent en cas de perte ou de vol de l’équipement.

S’agissant du traitement de données du SNDS :

  • composantes concernées : SNIIRAM, PMSI et CépiDc ;
  • années concernées : 2014 à 2019 ;
  • modalités de consultation : portail de la CNAM.

Information et droits des personnes

En application du b) du 5 de l’article 14 du RGPD, l’obligation d’information individuelle de la personne concernée peut faire l’objet d’exceptions, notamment dans l’hypothèse où la fourniture d’une telle information exigerait des efforts disproportionnés.

En pareil cas, le responsable de traitement prend des mesures appropriées pour protéger les droits et libertés ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles.

En l’espèce, il sera fait exception au principe d’information individuelle des personnes et des mesures appropriées seront mises en œuvre, notamment par la diffusion de notes d’informations collectives :

  • sur le site web du responsable de traitement ;
  • sur le site web du réseau FRANCIM ;
  • sur le site web de chaque registre des cancers dont les données seront réutilisées (également référencés sur le site web du réseau FRANCIM) ;
  • sur le site web de l’Institut national du cancer comportant une page dédiée à chaque registre réutilisé dans le cadre de cette étude ;
  • par le biais d’affichages dans les différents lieux de prise en charge des patients atteints de cancer du département ;
  • par la diffusion de la notice d’information aux médecins susceptibles de prendre en charge ces patients atteints de cancer.

Ces notes d’information devront être complétées avant le début de l’étude afin de comporter l’ensemble des mentions prévues par le RGPD.

Durée de conservation et d’accès aux données.

Les données administratives d’identification nécessaires à la reconstitution du NIR devront être supprimées une fois celle-ci effectuée.

Les NIR et les dates de naissance complètes des participants ne devront pas être conservés après l’appariement.

Les données appariées seront accessibles pendant deux ans à compter de leur mise à disposition.

Observations particulières

Les bases de données pérennes comprenant des données de santé et constituées en vue de leur réutilisation à des fins de recherche dans le domaine de santé sont des entrepôts de données. Sauf en cas de recueil du consentement des personnes concernées, ces traitements relèvent du régime de formalités préalables prévu par les articles 66 et suivants de la loi « informatique et libertés » (déclaration de conformité au référentiel « entrepôt de données de santé » ou, en cas de non-conformité au référentiel, autorisation de la CNIL).

AUTORISE la CLINIQUE BEAU SOLEIL à mettre en œuvre le traitement décrit ci-dessus.

La Cheffe du service de la santé

Hélène GUIMIOT

Décisions similaires

Citées dans les mêmes commentaires3

  • Cnil ·
  • Données de santé ·
  • Traitement de données ·
  • Médicaments ·
  • Autorisation ·
  • Informatique et libertés ·
  • Finalité ·
  • Accès ·
  • Extraction ·
  • Santé
1 commentaire
  • Cnil ·
  • Données de santé ·
  • Traitement de données ·
  • Autorisation ·
  • Informatique et libertés ·
  • Finalité ·
  • Accès ·
  • Extraction ·
  • Médicaments ·
  • Santé
  • Traitement de données ·
  • Informatique ·
  • Commission nationale ·
  • Liberté ·
  • Fichier ·
  • Accès aux données ·
  • Santé ·
  • Règlement (ue) ·
  • Comités ·
  • Éthique

Citant les mêmes articles de loi3

  • Informatique ·
  • Traitement de données ·
  • Information ·
  • Liberté ·
  • Commission nationale ·
  • Plateforme ·
  • Personne concernée ·
  • Accès ·
  • Données de santé ·
  • Fichier
  • Traitement de données ·
  • Information ·
  • Informatique ·
  • Personne concernée ·
  • Liberté ·
  • Méthodologie ·
  • Commission nationale ·
  • Données de santé ·
  • Médecin ·
  • Personnes
  • Traitement de données ·
  • Informatique ·
  • Identifiants ·
  • Méthodologie ·
  • Commission nationale ·
  • Video ·
  • Liberté ·
  • Évaluation ·
  • Information ·
  • Fichier

De référence sur les mêmes thèmes3

  • Cnil ·
  • Intelligence artificielle ·
  • Protection des données ·
  • Recommandation ·
  • Informatique ·
  • Commission nationale ·
  • Personne concernée ·
  • Liberté ·
  • Traitement de données ·
  • Règlement
  • Juriste ·
  • Intelligence artificielle ·
  • Service ·
  • Sanction ·
  • Plainte ·
  • Contrôle ·
  • Innovation ·
  • Technologie ·
  • Contentieux ·
  • Système d'information
  • Données de santé ·
  • Informatique ·
  • Personnes ·
  • Utilisation des données ·
  • Traitement de données ·
  • Information ·
  • Liberté ·
  • Archivage ·
  • Méthodologie ·
  • Commission nationale

Sur les mêmes thèmes3

  • Cnil ·
  • Traitement ·
  • Informatique et libertés ·
  • Ministère ·
  • Statistique ·
  • Données sensibles ·
  • Finalité ·
  • Infocentre ·
  • Chiffrement ·
  • Liberté
  • Données ·
  • Traitement ·
  • Université ·
  • Collecte ·
  • Statistique ·
  • Identification ·
  • Informatique ·
  • Personnes ·
  • Information ·
  • Correspondance
  • Formation restreinte ·
  • Traitement ·
  • Logiciel ·
  • Salarié ·
  • Cnil ·
  • Données ·
  • Sociétés ·
  • Dispositif ·
  • Travail ·
  • Videosurveillance
9 commentaires

Textes cités dans la décision

  1. Loi n° 78-17 du 6 janvier 1978
  2. Décret n°2019-536 du 29 mai 2019
Extraits similaires à la sélection

Aucune décision de référence ou d'espèce avec un extrait similaire.

Inscrivez-vous gratuitement pour imprimer votre décision
CNIL, Décision du 27 décembre 2024, n° DR-2024-342
  1. Doctrine
  2. Décisions de justice
  3. 2024
  4. CNIL, déc. n° DR-2024-342, 27 déc. 2024
Contactez notre service commercial au 01 84 80 33 48