Inscription
7 jours d’essai gratuit.
Inscription en moins d’une minute. Pas de carte de crédit requise.
CNIL, Décision du 25 avril 2025, n° DT-2025-005
CNIL 25 avril 2025

Arguments

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Signaler une erreur.
  • Accepté
    Conformité aux exigences légales

    La Commission a constaté que le traitement répondait aux finalités légitimes et était conforme aux exigences de sécurité, à l'exception de deux points qui feront l'objet d'un examen spécifique.

  • Accepté
    Mesures de sécurité mises en place

    La Commission a relevé que les mesures de sécurité étaient adéquates, bien que deux écarts aient été identifiés, justifiés par des mesures compensatoires.

Résumé par Doctrine IA

La Commission nationale de l'informatique et des libertés (CNIL) a été saisie d'une demande d'autorisation pour un traitement de données à caractère personnel dans le domaine de la santé, visant à constituer un entrepôt de données au CHU de Poitiers. Les questions juridiques portaient sur la conformité du traitement avec le RGPD et la loi « informatique et libertés », ainsi que sur les mesures de sécurité et d'information des personnes concernées. La CNIL a conclu que, bien que le traitement présente des non-conformités mineures en matière de sécurité, il est globalement conforme aux exigences légales, et a donc autorisé sa mise en œuvre, sous réserve de respecter les conditions spécifiques énoncées dans la décision.

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Résumé de la juridiction

Décision DT-2025-005 du 25 avril 2025 autorisant le CENTRE HOSPITALIER UNIVERSITAIRE DE POITIERS à mettre en œuvre un traitement automatisé de données ayant pour finalité la constitution d’un entrepôt de données de santé. (Demande d’autorisation n° 22236583)

Commentaire0

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées. 

Sur la décision

Référence :
CNIL, déc. n° DT-2025-005, 25 avr. 2025
Numéro : DT-2025-005
Nature de la délibération : Autre autorisation
État : VIGUEUR
Identifiant Légifrance : CNILTEXT000051882744

Texte intégral

La Commission nationale de l’informatique et des libertés,

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu le décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu la décision du 2 janvier 2025 portant délégation de signature du secrétaire général de la Commission nationale de l’informatique et des libertés ;

Saisie d’une demande d’autorisation relative à un traitement de données à caractère personnel dans le domaine de la santé ;

Considérant que ce traitement, dont la finalité présente un caractère d’intérêt public, relève des dispositions de la section 3 du chapitre III du titre II de la loi du 6 janvier 1978 modifiée ;

Considérant que le traitement présente les caractéristiques et répond aux conditions suivantes :

Sur les points de non-conformité au référentiel concerné

Le traitement envisagé est conforme aux dispositions du référentiel « entrepôt de données dans le domaine de la santé », à l’exception de deux exigences de sécurité.

En dehors de ces points, qui font l’objet d’un examen spécifique dans la présente autorisation, ce traitement devra respecter le cadre prévu par le référentiel « entrepôt de données dans le domaine de la santé ».

Sur la finalité du traitement, sa licéité et les conditions permettant de traiter des données concernant la santé

Le traitement envisagé a pour finalité la constitution d’un entrepôt de données à caractère personnel comprenant notamment des données de santé. Ce dernier a pour finalités :

  • l’utilisation secondaire des données dans le cadre de recherches, d’études, d’évaluations dans le domaine de la santé ;
  • la mise en œuvre, exclusivement à partir des données de l’EDS et par le responsable de traitement :
    • d’études de faisabilité (pré-screening) ;
    • de production d’indicateurs ;
    • de pilotage stratégique de l’activité ;
    • de mise en place ou fonctionnement d’outils d’aide au diagnostic médical ou à la prise en charge ;
    • d’amélioration de la qualité de l’information médicale ou de l’optimisation du codage dans le cadre du programme de médicalisation des systèmes d’information (PMSI).

La finalité du traitement est déterminée, explicite et légitime, conformément aux dispositions de l’article 5-1-b) du RGPD.

Sur les données traitées

Les données à caractère personnel de patients pris en charge au sein du CHU de Poitiers et versées dans l’entrepôt sont :

  • les données administratives des patients : identifiant pseudonyme du patient, identifiant pseudonyme du séjour, année de naissance, sexe, date de décès intra-hospitalier, date de décès extra-hospitalier issue des données de l’INSEE ;
  • les données de santé des patients : données du dossier patient informatisé, données biologiques ;
  • les données du PMSI de l’établissement ;
  • les données sur les prescriptions ;
  • les données de réanimation.

Ces données seront pseudonymisées avant leur intégration dans l’entrepôt.

Le numéro d’inscription au répertoire national d’identification des personnes physiques (NIR) ne sera pas collecté.

Aucune donnée relative aux professionnels de santé ne sera collectée.

Ces données sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités du traitement, conformément aux dispositions de l’article 5-1-c) du RGPD.

Sur l’information des personnes

S’agissant des patients pris en charge antérieurement à la constitution de l’entrepôt et n’étant plus suivis :

En application de l’article 69 de la loi « informatique et libertés » et de l’article 14-5-b) du RGPD, l’obligation d’information individuelle de la personne concernée peut faire l’objet d’exceptions, notamment dans l’hypothèse où la fourniture d’une telle information se révélerait impossible, exigerait des efforts disproportionnés ou compromettrait gravement la réalisation des objectifs du traitement. En pareils cas, le responsable de traitement prend des mesures appropriées pour protéger les droits et libertés, ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles.

En l’espèce, il sera fait exception au principe d’information individuelle des patients pris en charge antérieurement à la constitution de l’entrepôt et n’étant plus suivis. Des mesures appropriées seront mises en œuvre, notamment par des communiqués de presse publiés au sein de la presse locale et régionale, par la sollicitation des associations de patients afin qu’ils diffusent la note d’information, par voie d’affichage dans les établissements, sur les réseaux sociaux, ainsi que par la diffusion sur le site web du responsable de traitement, d’une information comportant l’ensemble des mentions prévues par le RGPD.

S’agissant des patients toujours suivis et des patients pris en charge postérieurement à la constitution de l’entrepôt :

Une note d’information individuelle, comportant l’ensemble des mentions prévues par le RGPD, est remise aux patients et le cas échéant, à leurs représentants légaux, au moment de leur prise en charge.

Une note d’information spécifique est également prévue pour les mineurs et majeurs faisant l’objet d’une mesure de protection.

S’agissant des utilisateurs de l’entrepôt :

  • Les utilisateurs de l’entrepôt sont informés de la collecte de leurs données au moment de leur connexion et préalablement à l’envoi de l’identifiant et du mot de passe.
  • Les utilisateurs sont informés lors de la connexion à leur compte personnel notamment via les CGU, qui seront accessibles librement sur l’interface d’accès à l’EDS et qui détailleront les conditions de traitement de leurs données ainsi que les modalités d’exercice de leurs droits sur leurs données personnelles.
  • Une information courte renvoyant à la notice du site web est fournie avec le formulaire de demande d’accès préalablement à l’envoi de l’identifiant et du mot de passe. Une information plus détaillée est mise à disposition dans le contrat conclu avec les responsables de traitement.

Par ailleurs, le responsable de traitement diffusera sur son site web une information relative à la base de données ainsi que des informations sur les projets de recherches, études et évaluations dans le domaine de la santé menés à partir des données qu’elle contient. Ces documents d’information devront comporter l’ensemble des mentions prévues par le RGPD.

L’information relative à la constitution de la base de données ne peut se substituer à l’information individuelle préalable prévue par les dispositions du RGPD et de la loi « informatique et libertés », qui devra être réalisée pour chaque traitement de données réalisé à partir des données de la base.

Sur les droits des personnes

Les droits des personnes s’exerceront auprès du délégué à la protection des données du centre hospitalier universitaire de Poitiers.

Sur les transferts de données

La présente décision ne vaut pas autorisation de transfert de données en dehors de l’Union européenne, vers un pays ne présentant pas un niveau de protection adéquat.

Sur la sécurité des données et la traçabilité des actions

Le responsable de traitement a réalisé et transmis à l’appui de la demande d’autorisation une analyse d’impact relative à la protection des données spécifique à la création de l’EDS, ainsi qu’une comparaison détaillée des mesures de sécurité planifiées ou mises en place dans l’entrepôt avec les exigences de sécurité mentionnées dans le référentiel « entrepôt de données dans le domaine de la santé ». La CNIL relève deux écarts aux exigences de sécurité du référentiel :

  • l’inclusion du sexe, de l’année de naissance et de la date de décès dans la base de données principale de l’entrepôt ;
  • l’exportation de données pseudonymisées.

S’agissant de l’inclusion du sexe et de l’année de naissance dans la base de données principale de l’entrepôt :

Cette non-conformité a été dûment justifiée et compensée par la mise en œuvre de mesures techniques et organisationnelles à l’état de l’art.

S’agissant de l’ exportation de données pseudonymisées :

Des exportations de données pseudonymisées pourront être mises en œuvre uniquement pour la réalisation d’études multicentriques, uniquement vers des espaces de travail d’EDS conformes au référentiel ou autorisés par la CNIL. Le comité de pilotage de l’entrepôt devra donner un accord exprès et spécifique, tandis que le comité scientifique et éthique s’assurera que le projet ne peut effectivement pas être réalisé dans un espace de l’entrepôt du CHU de Poitiers uniquement et que les principes de minimisation et de proportionnalité des données exportées sont respectés. Il appartiendra également au responsable de traitement de l’entrepôt d’encadrer contractuellement l’exportation en particulier sur la conformité et la sécurité du système recevant les données et sur les finalités de leur traitement par le destinataire.

S’agissant du cloisonnement de l’EDS avec le SI Soins :

L’alimentation de l’EDS sera réalisée à partir d’une consolidation pseudonymisée des données du dossier patient informatisé, un lac de données (« datalake ») situé dans le SI Soins et administré exclusivement par le DIM pour répondre à ses missions (codage PMSI, qualité des soins, vigilances) en appliquant les règles de conservation du DPI. Des procédures automatiques exécutées sur le lac de données versent les données directement dans le SI EDS sous un format adapté et avec un identifiant pseudonyme dédié. Une table de correspondance est conservée dans le lac de données, dans une zone cloisonnée dédiée et avec un accès restreint à une habilitation spécifique du SI Soins.

Conformément à l’exigence SEC-HAB-1, différents profils d’habilitation sont prévus afin de gérer les accès aux données en tant que besoin et de façon exclusive. À cet égard, la CNIL recommande d’éviter le cumul de profils par un même administrateur et de veiller à la séparation des rôles entre le système d’information utilisé dans le cadre des soins (SI Soins) et le système d’information de l’EDS (SI EDS).

En outre, afin de limiter les risques sur la vie privée des patients, la réidentification de patients à l’aide de la table de correspondance conservée dans le lac de données ne pourra être réalisée que dans le cadre des procédures prévues par le référentiel EDS ou la présente autorisation.

D’une part, la CNIL estime que la réidentification en routine de patients ou de séjours individuels ne devra pas être effectuée à partir de l’EDS dans le cadre des missions du DIM liées au codage du PMSI, à la qualité des soins et aux vigilances. Le DIM dispose des outils et données du SI Soins pour remplir ces missions.

D’autre part, l’EDS poursuit des finalités de recherche non couvertes par le référentiel et n’entrant pas dans le régime de formalités prévues par la loi « informatique et libertés », qui prévoient la possibilité de réidentifier des patients. La CNIL estime que les traitements relatifs à ces finalités nécessitent des mesures sécurité appropriées.

Une procédure de réidentification spécifique a ainsi été définie et sera mise en œuvre uniquement pour les études internes (traitements visés à l’article 65-2° de la loi « informatique et libertés ») dans le cas où celles-ci nécessiteraient d’accéder à des données non disponibles dans l’EDS (notamment les dossiers « papier » des patients). Après validation de la demande par le comité scientifique et éthique, une table de correspondance avec les identifiants de prise en charge des patients, portant uniquement sur les participants inclus dans l’étude, pourra être mise à disposition dans un eCRF dédié ; elle sera accessible uniquement à l’investigateur principal ou à la personne spécifiquement habilitée dans le cadre du projet, sans possibilité de téléchargement.

Les mesures de sécurité, qui devront être opérationnelles lors de la mise en œuvre du traitement, devront répondre aux exigences prévues par les articles 5,1, f) et 32 du règlement général sur la protection des données compte tenu des risques identifiés par le responsable de traitement. Il appartiendra au responsable de traitement de procéder à une réévaluation régulière des risques pour les personnes concernées et une mise à jour, le cas échéant, de ces mesures de sécurité.

AUTORISE le CENTRE HOSPITALIER UNIVERSITAIRE DE POITIERS à mettre en œuvre le traitement décrit ci-dessus.

Le Directeur de l’accompagnement juridique

Thomas DAUTIEU

Décisions similaires

Citées dans les mêmes commentaires3

  • Certification ·
  • Cnil ·
  • Traitement de données ·
  • Protection des données ·
  • Critère ·
  • Approbation ·
  • Autorité de contrôle ·
  • Informatique ·
  • Protection ·
  • Comités
  • Cnil ·
  • Élargissement ·
  • Copropriété ·
  • Information ·
  • Données ·
  • Accès ·
  • Syndicat ·
  • Ministère ·
  • Décret ·
  • Plainte
  • Cnil ·
  • Registre ·
  • Données ·
  • Confidentialité ·
  • Information ·
  • Ministère ·
  • Personnel ·
  • Commerce ·
  • Décret ·
  • Domicile

Citant les mêmes articles de loi3

  • Données ·
  • Expérimentation ·
  • Cnil ·
  • Collecte ·
  • Opérateur ·
  • Activité ·
  • Recherche ·
  • Plateforme ·
  • Intelligence artificielle ·
  • Service
  • Formation restreinte ·
  • Utilisateur ·
  • Cookies ·
  • Électronique ·
  • Annonce ·
  • Traitement ·
  • Publicité ·
  • Cnil ·
  • Informatique et libertés ·
  • Sociétés
  • Cookies ·
  • Formation restreinte ·
  • Utilisateur ·
  • Consentement ·
  • Informatique et libertés ·
  • Cnil ·
  • Site web ·
  • Sociétés ·
  • Traitement ·
  • Informatique

De référence sur les mêmes thèmes3

  • Entrepôt ·
  • Interception ·
  • Traitement ·
  • Données de santé ·
  • Information ·
  • Finalité ·
  • Protection des données ·
  • Sécurité ·
  • Projet de recherche ·
  • Informatique et libertés
  • Cnil ·
  • Données ·
  • Durée de conservation ·
  • Décret ·
  • Activité ·
  • Répertoire ·
  • Contrôle ·
  • Finalité ·
  • Personne concernée ·
  • Étranger
  • Commission nationale ·
  • Informatique ·
  • Traitement de données ·
  • Parlement européen ·
  • Liberté ·
  • Habilitation ·
  • Directive (ue) ·
  • Personnes physiques ·
  • Règlement (ue) ·
  • Cnil

Sur les mêmes thèmes3

  • Traitement de données ·
  • Informatique ·
  • Commission nationale ·
  • Liberté ·
  • Fichier ·
  • Règlement (ue) ·
  • Délégation de signature ·
  • Caractère ·
  • Parlement européen ·
  • Parlement
  • Entrepôt ·
  • Données de santé ·
  • Finalité ·
  • Projet de recherche ·
  • Traitement de données ·
  • Recherche médicale ·
  • Durée de conservation ·
  • Informatique et libertés ·
  • Responsable ·
  • Information
  • Cnil ·
  • Intelligence artificielle ·
  • Protection des données ·
  • Recommandation ·
  • Informatique ·
  • Commission nationale ·
  • Système ·
  • Liberté ·
  • Traitement de données ·
  • Règlement

Textes cités dans la décision

  1. RGPD - Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données
  2. Loi n° 78-17 du 6 janvier 1978
  3. Décret n°2019-536 du 29 mai 2019
Extraits similaires à la sélection

Aucune décision de référence ou d'espèce avec un extrait similaire.

Inscrivez-vous gratuitement pour imprimer votre décision
CNIL, Décision du 25 avril 2025, n° DT-2025-005
  1. Doctrine
  2. Décisions de justice
  3. 2025
  4. CNIL, déc. n° DT-2025-005, 25 avr. 2025
Contactez notre service commercial au 01 84 80 33 48