Inscription
7 jours d’essai gratuit.
Inscription en moins d’une minute. Pas de carte de crédit requise.
CNIL, Décision du 11 mars 2025, n° DR-2025-045
CNIL 11 mars 2025

Arguments

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Signaler une erreur.
  • Accepté
    Conformité à la législation sur la protection des données

    La Commission a constaté que le traitement répond aux conditions prévues par la législation applicable et a émis un avis favorable, considérant l'intérêt public de la recherche.

  • Accepté
    Respect des mesures de sécurité

    La Commission a jugé que les mesures de sécurité proposées sont conformes aux exigences réglementaires, garantissant la protection des données personnelles.

Résumé par Doctrine IA

La Commission nationale de l'informatique et des libertés (CNIL) a été saisie d'une demande d'autorisation pour un traitement de données personnelles à des fins de recherche dans le domaine de la santé. Les questions juridiques posées concernaient la conformité du traitement avec le RGPD et la loi française sur l'informatique, ainsi que les modalités d'information des personnes concernées. La CNIL a constaté que, malgré quelques points de non-conformité, le traitement répondait aux exigences légales et a émis un avis favorable du comité éthique. En conséquence, la CNIL a autorisé l'association ICTAL GROUP à mettre en œuvre le traitement proposé, sous réserve de respecter les conditions établies.

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Résumé de la juridiction

Décision DR-2025-045 du 11 mars 2025 autorisant l’association ICTAL GROUP à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur la recherche d’association entre le pronostic des états de mal épileptiques et le parcours de soins pré et post événement, nécessitant un accès aux données du SNIIRAM et du PMSI, composantes du Système national des données de santé (SNDS), pour les années 2013 à 2027, intitulée « ODISSÉE ». (Demande d’autorisation n° 924293)

Commentaire0

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées. 

Sur la décision

Référence :
CNIL, déc. n° DR-2025-045, 11 mars 2025
Numéro : DR-2025-045
Nature de la délibération : Autorisation de recherche
État : VIGUEUR
Identifiant Légifrance : CNILTEXT000051605951

Texte intégral

La Commission nationale de l’informatique et des libertés,

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu le décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu la décision du 2 janvier 2025 portant délégation de signature du secrétaire général de la Commission nationale de l’informatique et des libertés ;

Saisie d’une demande d’autorisation relative à un traitement de données à caractère personnel à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé ;

Considérant que ce traitement, dont la finalité présente un caractère d’intérêt public, relève des dispositions de la section 3 du chapitre III du titre II de la loi du 6 janvier 1978 modifiée ;

Considérant que le traitement présente les caractéristiques et répond aux conditions suivantes :

Avis du comité

Avis favorable du Comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé du 3 octobre 2024.

Points de non-conformité à la méthodologie de référence concernée

Le dossier de demande mentionne que le traitement envisagé est conforme aux dispositions de la méthodologie de référence MR-004, à l’exception de la nature des données traitées et des modalités d’information des personnes concernées.

En dehors de ces points, qui font l’objet d’un examen spécifique dans la présente décision, ce traitement devra respecter le cadre prévu par ce référentiel.

Sur les sous-traitants

Le groupement d’intérêt public « Plateforme de données de santé » (GIP PDS) interviendra dans le cadre du ciblage et de l’extraction des données du SNDS depuis le portail de la Caisse nationale de l’assurance maladie (CNAM) en sa qualité de responsable conjoint du SNDS.

Seules les données strictement nécessaires et pertinentes au regard des objectifs décrits dans le protocole de recherche seront ciblées puis extraites depuis le portail de la CNAM par la PDS. Tous les filtrages de données seront réalisés en amont de la transmission des données vers la solution technique de la PDS. La vérification de la concordance entre les données nécessaires à la mise en œuvre des traitements décrits dans le dossier et les données extraites sera effectuée en lien avec la CNAM.

S’agissant des autres opérations de traitement dont l’hébergement pour analyse, la CNIL estime que la PDS interviendra en qualité de sous-traitant.

La répartition des rôles et responsabilités entre l’association ICTAL GROUP et le GIP PDS, concernant ces aspects notamment la conservation des données, la sensibilisation des utilisateurs du projet, la surveillance des traces, la gestion des alertes et des incidents ainsi que les gestions des exports de données anonymes, devra être formalisée par une convention entre les deux parties conformément à l’article 28 du RGPD.

Réutilisation des données d’une base existante

Les données du registre « ICTAL » (dont le traitement a été réalisé dans le cadre d’une déclaration de conformité à la méthodologie de référence MR-004) seront réutilisées dans le cadre de la présente étude et chainées de façon probabiliste avec celles du SNDS.

Utilisation de données issues du SNDS historique

Composantes concernées : SNIIRAM et PMSI.

Années concernées : 2013 à 2027.

Modalités de consultation : plateforme technologique du GIP PDS.

Les données traitées étant issues de bases composant le SNDS, l’ensemble des dispositions législatives et réglementaires relatives au SNDS est applicable en l’espèce (articles L. 1461-1 à L. 1461-7 du code de la santé publique), notamment le référentiel de sécurité « SNDS ».

Information et droits des personnes

S’agissant des patients inclus dans le registre ICTAL :

Ils recevront une note d’information individuelle.

S’agissant des patients inclus dans les populations contrôles et dont les données proviendront exclusivement du SNDS :

En application de l’article 69 de la loi « informatique et libertés » et du b) du 5 de l’article 14 du RGPD, l’obligation d’information individuelle de la personne concernée peut faire l’objet d’exceptions, notamment dans l’hypothèse où la fourniture d’une telle information exigerait des efforts disproportionnés. En pareils cas, le responsable de traitement prend des mesures appropriées pour protéger les droits et libertés, ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles.

En l’espèce, il sera fait exception au principe d’information individuelle des personnes et des mesures appropriées seront mises en œuvre par le responsable de traitement afin de rendre l’information publiquement disponible concernant la réalisation de cette étude. Le traitement sera enregistré au sein du portail de transparence de la Plateforme des données de santé. Une note d’information sera également rendue publique sur le site web du responsable de traitement.

Mesures de sécurité

Le traitement envisagé comportant des données du SNDS, les mesures de sécurité doivent être conformes au référentiel de sécurité mentionné au 3° du IV de l’article L. 1461-1 et au II de l’article R. 1461-7 du code de la santé publique. La sécurité des données de l’espace projet utilisé pour le traitement des données du SNDS dépend essentiellement de la solution technique du GIP PDS, qui a fait l’objet d’une analyse globale des risques et de l’impact sur la vie privée, suivie d’une homologation selon le référentiel de sécurité applicable au SNDS. Cette homologation, qui inclut les espaces projets mis à disposition du responsable de traitement, a été réalisée par le GIP PDS le 22 juillet 2024, pour une durée de trois ans, sous réserve de la mise en œuvre du plan d’actions qu’elle a défini.

L’association ICTAL devra s’assurer que le système d’information hébergeant les données de l’étude respecte ce référentiel pendant toute la durée du traitement.

Transferts hors Union européenne

Les dispositions de l’article R. 1461-1 du CSP prévoient qu’aucun transfert de données à caractère personnel ne peut être réalisé en dehors de l’Union européenne, sauf dans le cas d’accès ponctuels aux données par des personnes situées en dehors de l’Union européenne, pour une finalité relevant du 1° du I de l’article L. 1461-3 du CSP.

En l’espèce, le dossier de demande ne fait pas état de tels accès à distance par un membre de l’équipe de recherche.

Durée d’accès aux données du SNDS

Cinq ans à compter de la dernière mise à disposition des données.

Transparence du traitement

Ce traitement devra être enregistré dans le répertoire public mis à disposition par la Plateforme des données de santé.

Observations particulières

S’agissant de la réalisation d’une analyse d’impact relative à la protection des données :

Dès lors que le traitement remplit au moins deux des neuf critères issus des lignes directrices du Comité européen sur la protection des données sur l’analyse d’impact relative à la protection des données (parmi lesquels la collecte de données sensibles ou de données à caractère hautement personnel, le traitement de données de personnes vulnérables, le traitement de données à grande échelle ou encore le croisement d’ensembles de données), une telle analyse doit être menée préalablement à la mise en œuvre du traitement.

S’agissant du registre ICTAL :

Les bases de données pérennes comprenant des données de santé et constituées en vue de leur réutilisation à des fins de recherche dans le domaine de santé sont des entrepôts de données. Sauf en cas de recueil du consentement des personnes concernées, ces traitements relèvent du régime de formalités préalables prévu par les articles 66 et suivants de la loi « informatique et libertés » (déclaration de conformité au référentiel entrepôt de données de santé ou, en cas de non-conformité au référentiel, autorisation de la CNIL).

AUTORISE l’association ICTAL GROUP à mettre en œuvre le traitement décrit ci-dessus.

La Cheffe du service de la santé

Hélène GUIMIOT

Décisions similaires

Citées dans les mêmes commentaires3

  • Juriste ·
  • Intelligence artificielle ·
  • Service ·
  • Sanction ·
  • Plainte ·
  • Contrôle ·
  • Innovation ·
  • Technologie ·
  • Contentieux ·
  • Système d'information
  • Formation restreinte ·
  • Données ·
  • Consentement ·
  • Prospection commerciale ·
  • Personne concernée ·
  • Sociétés ·
  • Traitement ·
  • Cnil ·
  • Électronique ·
  • Personnes
1 commentaire
  • Formation restreinte ·
  • Consentement ·
  • Prospection commerciale ·
  • Base de données ·
  • Traitement ·
  • Personne concernée ·
  • Sociétés ·
  • Cnil ·
  • Électronique ·
  • Formation
3 commentaires

Citant les mêmes articles de loi3

  • Protection des données ·
  • Responsable du traitement ·
  • Pays tiers ·
  • Transfert ·
  • Groupe d'entreprises ·
  • Approbation ·
  • Autorité de contrôle ·
  • Responsable ·
  • Personne concernée ·
  • Tiers
  • Protection des données ·
  • Pays tiers ·
  • Groupe d'entreprises ·
  • Autorité de contrôle ·
  • Approbation ·
  • Personne concernée ·
  • Tiers ·
  • Etats membres ·
  • Transfert de données ·
  • Entreprise
  • Commissaire de justice ·
  • Saisie des rémunérations ·
  • Cnil ·
  • Registre ·
  • Durée de conservation ·
  • Décret ·
  • Traitement de données ·
  • Traitement ·
  • Protection des données ·
  • Identification

De référence sur les mêmes thèmes3

  • Méthodologie ·
  • Informatique ·
  • Traitement de données ·
  • Archivage ·
  • Commission nationale ·
  • Liberté ·
  • Données de santé ·
  • Fichier ·
  • Hôpitaux ·
  • Durée de conservation
  • Données de santé ·
  • Traitement de données ·
  • Plateforme ·
  • Information ·
  • Réutilisation de données ·
  • Informatique ·
  • Transfert de données ·
  • Liberté ·
  • Portail ·
  • Responsable
  • Réutilisation de données ·
  • Informatique ·
  • Méthodologie ·
  • Liberté ·
  • Traitement de données ·
  • Information ·
  • Archivage ·
  • Commission nationale ·
  • Personne concernée ·
  • Protection des données

Sur les mêmes thèmes3

  • Traitement de données ·
  • Informatique ·
  • Commission nationale ·
  • Liberté ·
  • Fichier ·
  • Modification ·
  • Santé ·
  • Règlement (ue) ·
  • Comités ·
  • Éthique
  • Signature électronique ·
  • Accès aux données ·
  • Informatique ·
  • Traitement de données ·
  • Méthodologie ·
  • Commission nationale ·
  • Information ·
  • Signature ·
  • Liberté ·
  • Santé
  • Traitement de données ·
  • Informatique ·
  • Commission nationale ·
  • Liberté ·
  • Fichier ·
  • Modification ·
  • Santé ·
  • Règlement (ue) ·
  • Comités ·
  • Éthique

Textes cités dans la décision

  1. RGPD - Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données
  2. Loi n° 78-17 du 6 janvier 1978
  3. Décret n°2019-536 du 29 mai 2019
  4. Code de la santé publique
Extraits similaires à la sélection

Aucune décision de référence ou d'espèce avec un extrait similaire.

Inscrivez-vous gratuitement pour imprimer votre décision
CNIL, Décision du 11 mars 2025, n° DR-2025-045
  1. Doctrine
  2. Décisions de justice
  3. 2025
  4. CNIL, déc. n° DR-2025-045, 11 mars 2025
Contactez notre service commercial au 01 84 80 33 48