Inscription
7 jours d’essai gratuit.
Inscription en moins d’une minute. Pas de carte de crédit requise.
CNIL, Décision du 14 février 2025, n° DR-2025-028
CNIL 14 février 2025

Arguments

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Signaler une erreur.
  • Accepté
    Conformité aux dispositions légales

    La Commission a constaté que le traitement répondait aux exigences légales et que les mesures de sécurité proposées étaient adéquates pour protéger les données des participants.

  • Accepté
    Avis favorable du comité de protection des personnes

    La Commission a pris en compte l'avis favorable du comité, ce qui renforce la légitimité de la demande d'autorisation.

Résumé de la juridiction

Décision DR-2025-028 du 14 février 2025 autorisant l’INSTITUT GUSTAVE ROUSSY à mettre en œuvre un traitement de données ayant pour finalité un essai plateforme de première ligne pour optimiser le traitement des patients atteints d’un cancer du rein métastatique, intitulée « CARE 1 ». (Demande d’autorisation n° 924225v1)

Commentaire0

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées. 

Sur la décision

Référence :
CNIL, déc. n° DR-2025-028, 14 févr. 2025
Numéro : DR-2025-028
Nature de la délibération : Autorisation de recherche
État : VIGUEUR
Identifiant Légifrance : CNILTEXT000051327686

Texte intégral

La Commission nationale de l’informatique et des libertés,

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu le décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu la décision du 21 septembre 2023 portant délégation de signature du secrétaire général de la Commission nationale de l’informatique et des libertés ;

Saisie d’une demande d’autorisation relative à un traitement de données à caractère personnel à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé ;

Considérant que ce traitement, dont la finalité présente un caractère d’intérêt public, relève des dispositions de la section 3 du chapitre III du titre II de la loi du 6 janvier 1978 modifiée ;

Considérant que le traitement présente les caractéristiques et répond aux conditions suivantes :

Avis du comité

Avis favorable du Comité de protection des personnes Nord-Ouest II du 2 avril 2024.

Point de non-conformité à la méthodologie de référence concernée

Le dossier de demande mentionne que le traitement envisagé est conforme aux dispositions de la méthodologie de référence MR-001, à l’exception des destinataires des données directement identifiantes.

En dehors de ce point, qui fait l’objet d’un examen spécifique dans la présente décision, ce traitement devra respecter le cadre prévu par ce référentiel.

Destinataires des données directement identifiantes

S’agissant du recours à une solution de surveillance électronique à distance des consentements en vue de la participation à l’essai et de certaines données de l’étude :

Dans ce cadre, le sous-traitant et l’attaché de recherche clinique du responsable de traitement seront destinataires :

  • de certaines données administratives d’identification des participants (nom, prénom, date de naissance) ainsi que du contenu du formulaire, dans le cadre de la surveillance électronique des consentements en vue de la participation à l’essai ;
  • de certaines données de santé (événements indésirables de grade 5, facteurs de stratification, certains critères d’inclusion et d’exclusion, survie sans progression), dans le cadre du contrôle à distance de la qualité des données de l’étude.

Les personnes concernées en seront préalablement informées.

S’agissant du recours à une solution de télésurveillance :

La collecte des coordonnées téléphoniques et électroniques est nécessaire pour assurer le suivi des patients qui en sont informés.

Les données directement identifiantes doivent être traitées et transmises de façon séparée des données de santé et être enregistrées dans une base de données distincte. En outre, seul un nombre strictement limité de personnes habilitées et soumises au secret professionnel pourra accéder aux données directement identifiantes.

Information des personnes

Tous les participants recevront une note d’information individuelle.

Mesures de sécurité

Les consentements des participants à la recherche, ainsi que certaines données de santé seront recueillis au format papier et feront l’objet d’un contrôle qualité réalisé à distance. La solution technique permettant ce contrôle consiste en une plateforme sécurisée permettant aux centres investigateurs de transmettre les documents (format PDF) nécessaires au contrôle qualité des consentements et de certaines données de l’étude à distance par les attachés de recherche clinique du promoteur.

Le responsable de traitement a précisé se conformer aux bonnes pratiques émises par la CNIL pour le contrôle qualité à distance des essais cliniques, notamment aux conditions de sécurité communes aux différentes solutions pouvant être utilisées, ainsi qu’aux conditions de sécurité spécifiques à l’"envoi de données par les centres à l’ attaché de recherche clinique du promoteur via une plateforme sécurisée".

La solution de contrôle qualité à distance sera hébergée en France par un sous-traitant certifié pour l’hébergement de données de santé.

Le dépôt des documents numérisés sur la plateforme sera réalisé par les centres investigateurs. Une procédure devra être mise en place afin d’assurer l’authenticité des copies numérisées des consentements par rapport aux documents manuscrits d’origine, en s’appuyant sur le règlement eIDAS.

Les connexions à la solution nécessitant un accès à des données administratives d’identification ou de santé seront soumises à une authentification multifacteur (mot de passe et code à usage unique). Tous les mots de passe utilisés devront être conformes à la délibération n° 2022-100 du 21 juillet 2022 portant adoption d’une recommandation relative aux mots de passe et autres secrets partagés.

Les connexions à cette plateforme sécurisée s’effectueront depuis des postes de travail maitrisés du responsable de traitement et des centres investigateurs. Il est recommandé que des mesures de filtrage soient mises en place afin de restreindre les accès à cette plateforme à ces seuls postes de travail autorisés.

Les données stockées et échangées seront chiffrées au repos et en transit par des protocoles et algorithmes à l’état de l’art. Les documents de consentement seront uniquement consultables en ligne, la solution mettra en œuvre une visualisation web en propre afin d’éviter le chargement du document dans le navigateur ou sur le poste de l’attaché d’étude clinique.

Les journaux et traces techniques seront conservés conformément aux recommandations de sa délibération n° 2021-122 du 14 octobre 2021 portant adoption d’une recommandation relative à la journalisation.

Outre ces mesures relatives au contrôle qualité à distance, les mesures de sécurité décrites dans le dossier de demande ont pour objectif de répondre aux exigences prévues par les articles 5,1, f) et 32 du RGPD. A cet égard ces obligations imposent une réévaluation régulière des risques pour les personnes concernées et une mise à jour, le cas échéant, de ces mesures de sécurité. Par ailleurs, le responsable de traitement demeure pleinement responsable du niveau de sécurité effectif du traitement mis en œuvre et les textes applicables lui imposent d’être en mesure de justifier de leur conformité à tout moment.

Durées de conservation en base active et en archivage

À la fin de l’étude, les échantillons biologiques seront soit versés dans une collection pour une durée maximale de vingt-cinq ans, lorsque le participant y aura consenti, soit détruits.

Les données nominatives, la date de naissance du participant ainsi que les données de santé collectées en vue du contrôle qualité à distance seront conservées six jours puis détruits.

Les coordonnées téléphoniques et électroniques seront supprimées à la fin du suivi des participants.

Autres données :

Base active : huit ans

Archivage : vingt-cinq ans.

Réutilisation des données et des échantillons biologiques

Toute nouvelle étude qui sera mise en œuvre à partir des échantillons biologiques et des données cliniques associées devra faire l’objet de formalités auprès de la CNIL.

AUTORISE l’INSTITUT GUSTAVE ROUSSY à mettre en œuvre le traitement décrit ci-dessus.

La Cheffe du service de la santé

Hélène GUIMIOT

Décisions similaires

Citées dans les mêmes commentaires3

  • Cnil ·
  • Chercheur ·
  • Recherche scientifique ·
  • Données sensibles ·
  • Finalité ·
  • Projet de recherche ·
  • Personnes ·
  • Information ·
  • Traitement de données ·
  • Consultation
  • Éditeur ·
  • Cnil ·
  • Traitement ·
  • Règlement (ue) ·
  • Recommandation ·
  • Parlement européen ·
  • Données ·
  • Délibération ·
  • Version ·
  • Directive
  • Plateforme ·
  • Finalité ·
  • Accès ·
  • Cnil ·
  • Habilitation ·
  • Données de santé ·
  • Traitement de données ·
  • Personne concernée ·
  • Personnes ·
  • Union européenne

Citant les mêmes articles de loi3

  • Plateforme ·
  • Finalité ·
  • Cnil ·
  • Habilitation ·
  • Accès ·
  • Données de santé ·
  • Traitement de données ·
  • Personne concernée ·
  • Sociétés ·
  • Union européenne
  • Traitement ·
  • Responsable ·
  • Cnil ·
  • Finalité ·
  • Données de santé ·
  • Protection des données ·
  • Identifiants ·
  • Sécurité ·
  • Union européenne ·
  • Accès
  • Traitement ·
  • Finalité ·
  • Accès ·
  • Sécurité ·
  • Union européenne ·
  • Données de santé ·
  • Pseudonyme ·
  • Cnil ·
  • Risque ·
  • Cancer

De référence sur les mêmes thèmes3

  • Certification ·
  • Cnil ·
  • Hébergeur ·
  • Données de santé ·
  • Accès non autorisé ·
  • Ministère ·
  • Transfert de données ·
  • Protection des données ·
  • Santé ·
  • Hébergement
  • Données de santé ·
  • Informatique ·
  • Traitement de données ·
  • Fichier ·
  • Archivage ·
  • Méthodologie ·
  • Commission nationale ·
  • Liberté ·
  • Sexe ·
  • Chiffrement
  • Juriste ·
  • Intelligence artificielle ·
  • Service ·
  • Sanction ·
  • Plainte ·
  • Contrôle ·
  • Innovation ·
  • Technologie ·
  • Contentieux ·
  • Système d'information

Sur les mêmes thèmes3

  • Traitement de données ·
  • Chiffrement ·
  • Informatique ·
  • Sexe ·
  • Commission nationale ·
  • Liberté ·
  • Personne concernée ·
  • Fichier ·
  • Modification ·
  • Confidentialité des données
  • Données de santé ·
  • Informatique ·
  • Traitement de données ·
  • Archivage ·
  • Enregistrement ·
  • Méthodologie ·
  • Commission nationale ·
  • Video ·
  • Liberté ·
  • Santé
  • Recommandation ·
  • Cnil ·
  • Protection des données ·
  • Traitement de données ·
  • Authentification ·
  • Intelligence artificielle ·
  • Consultation publique ·
  • Sécurité des données ·
  • Écosystème ·
  • Numérisation

Textes cités dans la décision

  1. RGPD - Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données
  2. Loi n° 78-17 du 6 janvier 1978
  3. Décret n°2019-536 du 29 mai 2019
Extraits similaires à la sélection

Aucune décision de référence ou d'espèce avec un extrait similaire.

Inscrivez-vous gratuitement pour imprimer votre décision
CNIL, Décision du 14 février 2025, n° DR-2025-028
  1. Doctrine
  2. Décisions de justice
  3. 2025
  4. CNIL, déc. n° DR-2025-028, 14 févr. 2025
Contactez notre service commercial au 01 84 80 33 48