CNIL, Décision du 30 avril 2025, n° DR-2025-092

CNIL 30 avril 2025

Arguments

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Signaler une erreur.

Accepté
Conformité à la législation sur la protection des données
La Commission a constaté que le traitement présente un caractère d'intérêt public et respecte les conditions prévues par la législation applicable, bien qu'il y ait des points de non-conformité qui seront examinés spécifiquement.
Accepté
Mesures de sécurité mises en place
La Commission a jugé que les mesures de sécurité décrites répondent aux exigences du RGPD, notamment en ce qui concerne la réévaluation régulière des risques et la mise à jour des mesures de sécurité.

Résumé de la juridiction

Décision DR-2025-092 du 30 avril 2025 autorisant l’ASSISTANCE PUBLIQUE – HOPITAUX DE PARIS à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur la prise en charge dématérialisée pour le suivi post urgence gynécologique, intitulée « GYNAB ». (Demande d’autorisation n° 924269)

Commentaire • 0

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées.

Sur la décision

Référence :	CNIL, déc. n° DR-2025-092, 30 avr. 2025
Numéro :	DR-2025-092
Nature de la délibération :	Autorisation de recherche
État :	VIGUEUR
Identifiant Légifrance :	CNILTEXT000052248485

Texte intégral

La Commission nationale de l’informatique et des libertés,

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD) ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu le décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu la décision du 21 septembre 2023 portant délégation de signature du secrétaire général de la Commission nationale de l’informatique et des libertés ;

Saisie d’une demande d’autorisation relative à un traitement de données à caractère personnel à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé ;

Considérant que ce traitement, dont la finalité présente un caractère d’intérêt public, relève des dispositions de la section 3 du chapitre III du titre II de la loi du 6 janvier 1978 modifiée ;

Considérant que le traitement présente les caractéristiques et répond aux conditions suivantes :

Sous-traitants	Plusieurs sous-traitants interviendront dans la mise en œuvre de cette étude. Le traitement des données par chacun de ces sous-traitants devra être régi par un contrat ou un acte juridique conformément à l’article 28 du RGPD.
Avis du comité	Avis favorable du Comité de protection des personnes Sud-Ouest et Outre-Mer III du 10 mars 2024.
Point de non-conformité à la méthodologie de référence concernée	Le dossier de demande mentionne que le traitement envisagé est conforme aux dispositions de la méthodologie de référence MR-001, à l’exception des destinataires des données directement identifiantes (suivi à distance). L’analyse du dossier permet d’identifier que le traitement envisagé n’est également pas conforme à la MR-001 s’agissant des catégories de données traitées par le responsable de traitement et son sous-traitant (identifiant permanent du patient dans l’établissement (IPP)). En dehors de ces points, qui font l’objet d’un examen spécifique dans la présente décision, ce traitement devra respecter le cadre prévu par ce référentiel.
Destinataire des données directement identifiantes	Le responsable de traitement prévoit d’étudier l’efficacité d’une solution de suivi à distance qui sera interfacée avec le dossier patient informatisé (DPI) de son établissement. Cette solution est accessible sur internet et via une application mobile pour les patients. La collecte de l’IPP, des nom, prénom et coordonnées (téléphoniques, électroniques) issues du DPI est nécessaire pour assurer l’interfaçage de la solution avec le DPI ainsi que l’accès à l’application mobile et le suivi des patientes qui en sont informées. Les données directement identifiantes doivent être traitées et transmises de façon séparée des données de santé et être enregistrées dans une base de données distincte. En outre, seul un nombre strictement limité de personnes habilitées et soumises au secret professionnel pourra accéder aux données directement identifiantes.
Information et droits des personnes	Toutes les participantes recevront une note d’information individuelle qui devra être complétée avant le début de l’étude afin de comporter l’ensemble des mentions prévues par le RGPD.
Mesures de sécurité	Le responsable de traitement a réalisé et transmis à l’appui de la demande d’autorisation une analyse d’impact relative à la protection des données spécifique à l’étude. L’interfaçage de la solution avec le DPI est opéré par un tiers de confiance, certifié hébergeur de données de santé, qui gère en particulier la table de correspondance entre l’IPP et l’identifiant du patient dans la solution de suivi à distance. Les mesures de sécurité décrites dans le dossier de demande devront répondre aux exigences prévues par le f) du 1 de l’article 5 et l’article 32 du RGPD. A cet égard, ces obligations imposent une réévaluation régulière des risques pour les personnes concernées et une mise à jour, le cas échéant, de ces mesures de sécurité.
Durées de conservation en base active et en archivage	Les données d’identification (nom, prénom), l’IPP ainsi que coordonnées téléphoniques et électroniques seront détruits à la fin du suivi des participantes. Autres données : Base active : six ans Archivage : quinze ans.