Inscription
7 jours d’essai gratuit.
Inscription en moins d’une minute. Pas de carte de crédit requise.
CNIL, Décision du 21 mars 2025, n° DR-2025-047
CNIL 21 mars 2025

Arguments

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Signaler une erreur.
  • Accepté
    Conformité aux dispositions légales

    La Commission a constaté que le traitement répond aux conditions légales et présente un intérêt public, justifiant ainsi l'autorisation demandée.

  • Accepté
    Mesures de sécurité adéquates

    La Commission a jugé que les mesures de sécurité proposées sont conformes aux exigences du RGPD et garantissent la protection des données personnelles.

Résumé de la juridiction

Décision DR-2025-047 du 21 mars 2025 autorisant le CENTRE HOSPITALIER UNIVERSITAIRE GRENOBLE ALPES à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur le phénotype du sommeil et le pronostic des patients opérés de chirurgie de l’obésité, intitulée « SOON ». (Demande d’autorisation n° 924317)

Commentaire0

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées. 

Sur la décision

Référence :
CNIL, déc. n° DR-2025-047, 21 mars 2025
Numéro : DR-2025-047
Nature de la délibération : Autorisation de recherche
État : VIGUEUR
Identifiant Légifrance : CNILTEXT000051605969

Texte intégral

La Commission nationale de l’informatique et des libertés,

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu le décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu la décision du 2 janvier 2025 portant délégation de signature du secrétaire général de la Commission nationale de l’informatique et des libertés ;

Saisie d’une demande d’autorisation relative à un traitement de données à caractère personnel à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé ;

Considérant que ce traitement, dont la finalité présente un caractère d’intérêt public, relève des dispositions de la section 3 du chapitre III du titre II de la loi du 6 janvier 1978 modifiée ;

Considérant que le traitement présente les caractéristiques et répond aux conditions suivantes :

Avis du comité

Avis favorable du Comité de protection des personnes Sud-Est IV du 17 septembre 2024.

Point de non-conformité à la méthodologie de référence concernée

Le dossier de demande mentionne que le traitement mis en œuvre pour les besoins de cette étude a débuté dans le cadre d’une déclaration de conformité à la méthodologie de référence MR-001 et qu’à la suite d’une modification apportée au traitement, l’étude demeure conforme à ce référentiel, à l’exception des destinataires des données directement identifiantes.

En dehors de ce point, qui fait l’objet d’un examen spécifique dans la présente décision, ce traitement devra respecter le cadre prévu par ce référentiel.

Destinataires des données directement identifiantes

Un sous-traitant interviendra pour assurer :

  • l’organisation des visioconsultations. Dans ce cadre, il aura accès aux données nominatives ainsi qu’aux coordonnées électroniques, téléphoniques et postales des participants ;
  • la réalisation de prélèvements sanguins.

Le responsable de traitement envisage par ailleurs de recueillir le consentement des participants par voie dématérialisée au moyen d’une signature électronique. Le sous-traitant mettant à disposition la solution sera destinataire de certaines données administratives d’identification des participants (nom, prénom et coordonnées électroniques et téléphoniques), ainsi que du contenu de la note d’information et du formulaire de consentement mentionnant leur pathologie.

Il appartient au responsable de traitement de s’assurer que ce recueil sera réalisé conformément aux dispositions législatives et règlementaires applicables en matière de signature électronique, et notamment celles issues des articles 1366 et 1367 du code civil éclairées par le décret n° 2017-1416 du 28 septembre 2017 relatif à la signature électronique.

Les données directement identifiantes doivent être traitées et transmises de façon séparée des données de santé et être enregistrées dans une base de données distincte. En outre, seul un nombre strictement limité de personnes habilitées et soumises au secret professionnel dans les conditions définies par les articles 226-13 et 226-14 du code pénal pourront accéder aux données directement identifiantes.

Information et droits des personnes

Tous les participants recevront une note d’information individuelle comportant l’ensemble des mentions prévues par le RGPD.

Les courriers électroniques adressés aux participants ne devront révéler aucune information sur leur état de santé réel ou supposé.

Mesures de sécurité

Les mesures de sécurité décrites dans le dossier de demande ont pour objectif de répondre aux exigences prévues par les articles 5,1, f) et 32 du RGPD. A cet égard ces obligations imposent une réévaluation régulière des risques pour les personnes concernées et une mise à jour, le cas échéant, de ces mesures de sécurité. Par ailleurs, le responsable de traitement demeure pleinement responsable du niveau de sécurité effectif du traitement mis en œuvre et les textes applicables lui imposent d’être en mesure de justifier de sa conformité à tout moment.

Sur l’utilisation d’un logiciel de visioconsultation dans le cadre de visite d’inclusions :

Afin d’assurer la confidentialité des informations sensibles échangées entre le personnel des centres investigateurs et les participants à l’étude :

  • les sessions ne seront pas enregistrées par la solution de visioconsultation ;
  • les accès aux données, pour les professionnels et les participants, devront intervenir au moyen d’une une authentification multifacteur.

Durées de conservation

Les données nominatives ainsi que les coordonnées téléphoniques, électroniques et postales des participants seront supprimées à l’issue des visites réalisées au domicile des participants.

Les échantillons biologiques prélevés seront détruits à la fin de l’étude.

Autres données :

Base active : quatre ans

Archivage : quinze ans.

Réutilisation des données

Toute recherche, étude ou évaluation qui sera mise en œuvre à partir des données recueillies devra faire l’objet de formalités préalables auprès de la CNIL

AUTORISE le CENTRE HOSPITALIER DE GRENOBLE – ALPES à mettre en œuvre le traitement décrit ci-dessus.

La Cheffe du service de la santé

Hélène GUIMIOT

Décisions similaires

Citées dans les mêmes commentaires3

  • Formation restreinte ·
  • Consentement ·
  • Prospection commerciale ·
  • Base de données ·
  • Traitement ·
  • Personne concernée ·
  • Sociétés ·
  • Cnil ·
  • Électronique ·
  • Formation
3 commentaires
  • Protection des données ·
  • Responsable du traitement ·
  • Pays tiers ·
  • Transfert ·
  • Groupe d'entreprises ·
  • Approbation ·
  • Autorité de contrôle ·
  • Responsable ·
  • Personne concernée ·
  • Tiers
  • Protection des données ·
  • Pays tiers ·
  • Groupe d'entreprises ·
  • Autorité de contrôle ·
  • Approbation ·
  • Personne concernée ·
  • Tiers ·
  • Etats membres ·
  • Transfert de données ·
  • Entreprise

Citant les mêmes articles de loi3

  • Commissaire de justice ·
  • Saisie des rémunérations ·
  • Cnil ·
  • Registre ·
  • Durée de conservation ·
  • Décret ·
  • Traitement de données ·
  • Traitement ·
  • Protection des données ·
  • Identification
  • Cnil ·
  • Recommandation ·
  • Consultation publique ·
  • Protection des données ·
  • Discrimination ·
  • Écosystème ·
  • Égalité de chances ·
  • Informatique ·
  • Traitement de données ·
  • Règlement (ue)
1 commentaire
  • Méthodologie ·
  • Informatique ·
  • Traitement de données ·
  • Fichier ·
  • Commission nationale ·
  • Liberté ·
  • Réutilisation de données ·
  • Chiffrement ·
  • Données de santé ·
  • Utilisation des données

De référence sur les mêmes thèmes3

  • Réutilisation de données ·
  • Informatique ·
  • Méthodologie ·
  • Liberté ·
  • Traitement de données ·
  • Information ·
  • Archivage ·
  • Commission nationale ·
  • Personne concernée ·
  • Protection des données
  • Juriste ·
  • Intelligence artificielle ·
  • Service ·
  • Sanction ·
  • Plainte ·
  • Contrôle ·
  • Innovation ·
  • Technologie ·
  • Contentieux ·
  • Système d'information
  • Formation restreinte ·
  • Données ·
  • Consentement ·
  • Prospection commerciale ·
  • Personne concernée ·
  • Sociétés ·
  • Traitement ·
  • Cnil ·
  • Électronique ·
  • Personnes
1 commentaire

Sur les mêmes thèmes3

  • Traitement de données ·
  • Informatique ·
  • Commission nationale ·
  • Liberté ·
  • Fichier ·
  • Modification ·
  • Santé ·
  • Règlement (ue) ·
  • Comités ·
  • Éthique
  • Méthodologie ·
  • Informatique ·
  • Traitement de données ·
  • Archivage ·
  • Commission nationale ·
  • Liberté ·
  • Données de santé ·
  • Fichier ·
  • Hôpitaux ·
  • Durée de conservation
  • Données de santé ·
  • Traitement de données ·
  • Plateforme ·
  • Information ·
  • Réutilisation de données ·
  • Informatique ·
  • Transfert de données ·
  • Liberté ·
  • Portail ·
  • Responsable

Textes cités dans la décision

  1. RGPD - Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données
  2. Loi n° 78-17 du 6 janvier 1978
  3. Décret n°2017-1416 du 28 septembre 2017
  4. Décret n°2019-536 du 29 mai 2019
  5. Code pénal
  6. Code civil
Extraits similaires à la sélection

Aucune décision de référence ou d'espèce avec un extrait similaire.

Inscrivez-vous gratuitement pour imprimer votre décision
CNIL, Décision du 21 mars 2025, n° DR-2025-047
  1. Doctrine
  2. Décisions de justice
  3. 2025
  4. CNIL, déc. n° DR-2025-047, 21 mars 2025
Contactez notre service commercial au 01 84 80 33 48