CNIL, Décision du 6 mars 2025, n° DR-2025-043

CNIL 6 mars 2025

Arguments

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Signaler une erreur.

Accepté
Conformité avec la législation sur la protection des données
La Commission a constaté que le traitement répondait aux exigences légales et que les finalités étaient d'intérêt public, justifiant ainsi l'autorisation demandée.
Accepté
Mesures de sécurité mises en place
La Commission a jugé que les mesures de sécurité proposées étaient adéquates pour garantir la confidentialité et la protection des données des participants.

Résumé par Doctrine IA

La Commission nationale de l'informatique et des libertés (CNIL) a été saisie d'une demande d'autorisation pour un traitement de données personnelles à des fins de recherche dans le domaine de la santé. Les questions juridiques posées concernaient la conformité du traitement avec le RGPD et la loi "informatique et libertés", notamment en ce qui concerne la gestion des données identifiantes et de géolocalisation. La CNIL a répondu favorablement à la demande, en précisant que le traitement doit respecter certaines conditions, notamment la séparation des données identifiantes et des données de santé, ainsi que des mesures de sécurité appropriées. L'autorisation a été accordée à l'Institut national de la santé et de la recherche médicale (INSERM) pour mettre en œuvre ce traitement.

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Résumé de la juridiction

Décision DR-2025-043 du 6 mars 2025 autorisant l’INSTITUT NATIONAL DE LA SANTÉ ET DE LA RECHERCHE MÉDICALE à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur l’exposition environnementale au bruit et le risque de maladies cardio-métaboliques, intitulée « BROUHAHA ». (Demande d’autorisation n° 924135)

Commentaire • 0

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées.

Sur la décision

Référence :	CNIL, déc. n° DR-2025-043, 6 mars 2025
Numéro :	DR-2025-043
Nature de la délibération :	Autorisation de recherche
État :	VIGUEUR
Identifiant Légifrance :	CNILTEXT000051605929

Texte intégral

La Commission nationale de l’informatique et des libertés,

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu le décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu la décision du 2 janvier 2025 portant délégation de signature du secrétaire général de la Commission nationale de l’informatique et des libertés ;

Saisie d’une demande d’autorisation relative à un traitement de données à caractère personnel à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé ;

Considérant que ce traitement, dont la finalité présente un caractère d’intérêt public, relève des dispositions de la section 3 du chapitre III du titre II de la loi du 6 janvier 1978 modifiée ;

Considérant que le traitement présente les caractéristiques et répond aux conditions suivantes :

Sous-traitant	Plusieurs sous-traitants interviendront dans la mise en œuvre de cette étude. Le traitement des données par chacun de ces sous-traitants devra être régi par un contrat ou un acte juridique conformément à l’article 28 du Règlement général sur la protection des données.
Avis du comité	Avis favorable du Comité de protection des personnes Sud Méditerranée I du 13 mars 2024.
Points de non-conformité à la méthodologie de référence concernée	Le dossier de demande mentionne que le traitement envisagé est conforme aux dispositions de la méthodologie de référence MR-001, à l’exception de la nature des données traitées et des destinataires des données directement identifiantes. En dehors de ces points, qui font l’objet d’un examen spécifique dans la présente décision, ce traitement devra respecter le cadre prévu par ce référentiel.
Réutilisation des données d’une base existante	Les données de l’étude « E3N-Générations 2 » (demande d’autorisation n°916200) seront réutilisées afin de leur proposer de participer à l’étude « BROUHAHA ».
Catégories particulières de données traitées (autres que données de santé)	S’agissant de la collecte des données nominatives et des coordonnées postales, électroniques et téléphoniques : La collecte de ces données est nécessaire pour : sélectionner les participants selon le critère du lieu de résidence ; préparer les kits de mesures en fonction du lieu de résidence des participants ; proposer aux participants de participer à l’étude ; contacter les participants pour le retour des kits de mesure (par mail et courrier, puis par appel téléphonique en cas de relance infructueuses) ; permettre au sous-traitant de créer des comptes personnels sur les applications utilisées dan le cadre de la recherche. Les données directement identifiantes doivent être traitées et transmises de façon séparée des données de santé et être enregistrées dans une base de données distincte. En outre, seul un nombre strictement limité de personnes habilitées et soumises au secret professionnel pourra accéder aux données directement identifiantes. S’agissant du recueil des données de géolocalisation des participants : Les participants seront invités à télécharger une application dédiée sur les mobiles multifonctions (smartphones) des participants du qui permettra la collecte des données de géolocalisation (GPS) suivantes : position comprise entre 10 et 15 mètres ; toutes les quinze secondes ; pendant une durée de sept jours. L’application mobile ne disposant pas de la permission système d’accès au réseau, les données GPS seront exportées depuis l’application et transmises manuellement par les personnes concernées aux équipes en charge de leur analyse. Les participants pourront interrompre ou suspendre la collecte des données de géolocalisation pendant la fenêtre des sept jours et en seront expressément informés. Cette collecte a été justifiée scientifiquement dans le dossier de demande.
Information et droits des personnes	Tous les participants recevront une note d’information individuelle. Les courriers électroniques adressés aux participants ne devront révéler aucune information sur l’état de santé réel ou supposé du participant auquel il est proposé de participer à l’étude. Conformément aux dispositions de l’article 74 de la loi « informatique et libertés », les personnes disposent du droit de s’opposer au traitement de leurs données à des fins de recherche. Les personnes ayant fait exercice de leur droit d’opposition en refusant de participer à l’étude ne devront pas être contactées à nouveau.
Mesures de sécurité	Le responsable de traitement a réalisé et transmis à l’appui de la demande d’autorisation une analyse d’impact relative à la protection des données. Afin de limiter les risques liés au traitement des données de géolocalisation collectées par l’application mobile, le responsable de traitement met en œuvre les mesures suivantes : aucune donnée de localisation n’est hébergée sur le serveur de l’éditeur de l’application ; les données sont enregistrées sur le mobile multifonctions (smartphones) du participant ; les données de géolocalisation seront dégradées afin d’obtenir une précision approximative de dix à quinze mètres. Au regard des dispositions de l’article 32 du RGPD, la CNIL considère que la transmission des données de géolocalisation à l’INSERM devrait être chiffrée, de sorte à garantir la confidentialité des données traitées. À cet égard, elle recommande de mettre à disposition des participants une plate-forme sécurisée de dépôt de fichier. Les mesures de sécurité devront être opérationnelles lors de la mise en œuvre du traitement. Il appartiendra au responsable de traitement de procéder à une réévaluation régulière des risques pour les personnes concernées et une mise à jour, le cas échéant, de ces mesures de sécurité.
Transferts hors Union européenne	Des transferts de données directement identifiantes vers la Suisse, pays disposant d’un niveau de protection adéquat, seront réalisés.
Durées de conservation en base active et en archivage	Les données de géolocalisation prétraitées des participants seront conservées en base active pendant quatre ans au maximum et détruites à l’issue des analyses et de la publication des résultats. Les données administratives d’identification (nom, prénom, coordonnées téléphoniques, électroniques et postales) conservées par le responsable de traitement seront détruites. Les échantillons biologiques seront conservés six mois puis détruits. Autres données : Base active : quatre ans Archivage : quinze ans.