CNIL, Décision du 25 février 2025, n° DR-2025-031

CNIL 25 février 2025

Arguments

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Signaler une erreur.

Accepté
Conformité à la législation sur la protection des données
La Commission a constaté que le traitement répondait aux conditions légales et que l'avis du comité de protection des personnes était favorable, justifiant ainsi l'autorisation.
Accepté
Mesures de sécurité et de confidentialité
La Commission a jugé que les mesures de sécurité proposées étaient adéquates pour garantir la confidentialité et la protection des données personnelles, ce qui a contribué à l'acceptation de la demande.

Résumé de la juridiction

Décision DR-2025-031 du 25 février 2025 autorisant les HOSPICES CIVILS DE LYON à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur l’intérêt médico-économique de la chirurgie bariatrique robotique comparée à la laparoscopie, nécessitant un accès aux données du SNIIRAM, PMSI et CépiDc, composantes du Système national des données de santé (SNDS), pour les années 2025 à 2029, intitulée « ROBOBAR ». (Demande d’autorisation n° 925009)

Commentaire • 0

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées.

Sur la décision

Référence :	CNIL, déc. n° DR-2025-031, 25 févr. 2025
Numéro :	DR-2025-031
Nature de la délibération :	Autorisation de recherche
État :	VIGUEUR
Identifiant Légifrance :	CNILTEXT000051394062

Texte intégral

La Commission nationale de l’informatique et des libertés,

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu le décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu la décision du 2 janvier 2025 portant délégation de signature du secrétaire général de la Commission nationale de l’informatique et des libertés ;

Saisie d’une demande d’autorisation relative à un traitement de données à caractère personnel à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé ;

Considérant que ce traitement, dont la finalité présente un caractère d’intérêt public, relève des dispositions de la section 3 du chapitre III du titre II de la loi du 6 janvier 1978 modifiée ;

Considérant que le traitement présente les caractéristiques et répond aux conditions suivantes :

Avis du comité	Avis favorable du Comité de protection des personnes Ouest III du 2 décembre 2024.
Point de non-conformité à la méthodologie de référence concernée	Le dossier de demande mentionne que le traitement envisagé est conforme aux dispositions de la méthodologie de référence MR-001, à l’exception de la nature des données traitées. En dehors de ce point, qui fait l’objet d’un examen spécifique dans la présente décision, ce traitement devra respecter le cadre prévu par ce référentiel.
Catégories particulières de données traitées (autres que données de santé)	Les données de l’étude feront l’objet d’un rapprochement avec les données issues du Système national des données de santé (SNDS) par l’utilisation du numéro d’inscription au répertoire national d’identification des personnes physiques (NIR), du sexe et de la date de naissance complète des participants.
Circuit d’appariement	Le dossier de demande mentionne que le circuit d’appariement sera conforme à la fiche pratique « circuit multi-centres / ECRF sans NIR » publiée par la CNIL. Les différents centres transmettront les données identifiantes (NIR, sexe et date de naissance complète des participants) à un tiers de confiance centralisateur habilité à utiliser le téléservice SAFE qui les transmettra à la CNAM pour extraction des données du SNDS correspondantes. Ces données devront être chiffrées au sein des centres et être transmises sous forme de fichiers chiffrés. Les algorithmes utilisés et les procédures de gestion de clés associées devront être conformes au référentiel général de sécurité (annexes B1 et B2) et aux recommandations correspondantes de l’ANSSI. Des mesures de sécurité renforcées devront être mises en place pour protéger les tables de correspondance. Les équipements mobiles devront faire l’objet de mesures de chiffrement afin de garantir la confidentialité des données qu’ils contiennent en cas de perte ou de vol de l’équipement.
Utilisation de données issues du SNDS historique	Composantes concernées : SNIIRAM, PMSI et CépiDc Années concernées : 2025 à 2029, sous réserve qu’elles soient diffusables par la CNAM. Modalités de consultation : portail de la CNAM Les données traitées étant issues de bases composant le SNDS, l’ensemble des dispositions législatives et réglementaires relatives au SNDS est applicable en l’espèce (articles L. 1461-1 à L. 1461-7 du code de la santé publique), notamment le référentiel de sécurité « SNDS ».
Information et droits des personnes	Tous les participants recevront une note d’information individuelle.
Durée d’accès/ durées de conservation en base active et en archivage	Les NIR et les dates de naissance complètes des participants ne seront pas conservés après l’appariement. Données du SNDS : cinq ans à compter de la mise à disposition des données. Autres données : Base active : huit ans Archivage : quinze ans.
Transparence du traitement	Ce traitement devra être enregistré dans le répertoire public mis à disposition par la Plateforme des données de santé.