CNIL, Décision du 22 mai 2025, n° DR-2025-114

CNIL 22 mai 2025

Arguments

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Signaler une erreur.

Accepté
Conformité aux dispositions légales
La Commission a constaté que le traitement répondait aux conditions légales et éthiques requises, et a émis un avis favorable avec recommandations.
Accepté
Mesures de sécurité appropriées
La Commission a jugé que les mesures de sécurité proposées étaient adéquates et conformes aux exigences réglementaires.

Résumé de la juridiction

Décision DR-2025-114 du 22 mai 2025 autorisant l’INSTITUT DU CERVEAU ET DE LA MOELLE EPINIERE à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur le prodrome des maladies neurodégénératives avec complications motrices et l’impact sur le pronostic, nécessitant un accès aux données du SNIIRAM, du PMSI et du CépiDc, composantes du Système national des données de santé, pour les années 2009 à 2023, intitulée « PRODROBRAIN». (Demande d’autorisation n° 925104)

Commentaire • 0

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées.

Sur la décision

Référence :	CNIL, déc. n° DR-2025-114, 22 mai 2025
Numéro :	DR-2025-114
Nature de la délibération :	Autorisation de recherche
État :	VIGUEUR
Identifiant Légifrance :	CNILTEXT000052248911

Texte intégral

La Commission nationale de l’informatique et des libertés,

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu le décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu la décision du 2 janvier 2025 portant délégation de signature du secrétaire général de la Commission nationale de l’informatique et des libertés ;

Saisie d’une demande d’autorisation relative à un traitement de données à caractère personnel à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé ;

Considérant que ce traitement, dont la finalité présente un caractère d’intérêt public, relève des dispositions de la section 3 du chapitre III du titre II de la loi du 6 janvier 1978 modifiée ;

Considérant que le traitement présente les caractéristiques et répond aux conditions suivantes :

Avis du comité	Avis favorable avec recommandations du Comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé du 13 mars 2025.
Points de non-conformité à la méthodologie de référence concernée	Le dossier de demande mentionne que le traitement envisagé est conforme aux dispositions de la méthodologie de référence MR-004, à l’exception de la nature des données traitées (traitement de données issues du SNDS, notamment en vue de leur appariement avec des données cliniques) et des modalités d’information des personnes concernées. En dehors de ces points, qui font l’objet d’un examen spécifique dans la présente décision, ce traitement devra respecter le cadre prévu par ce référentiel.
Sur les sous-traitants	Le groupement d’intérêt public « Plateforme de données de santé » (GIP PDS) interviendra dans le cadre du ciblage et de l’extraction des données du SNDS depuis le portail de la Caisse nationale de l’assurance maladie (CNAM) en sa qualité de responsable conjoint du SNDS. Seules les données strictement nécessaires et pertinentes au regard des objectifs décrits dans le protocole de recherche seront ciblées puis extraites depuis le portail de la CNAM par la PDS. Tous les filtrages de données seront réalisés en amont de la transmission des données vers la solution technique de la PDS. La vérification de la concordance entre les données nécessaires à la mise en œuvre des traitements décrits dans le dossier et les données extraites sera effectuée en lien avec la CNAM. S’agissant des autres opérations de traitement dont leur hébergement pour analyse, la CNIL estime que la PDS interviendra en qualité de sous-traitant. La répartition des rôles et responsabilités entre l’ICM et le GIP PDS, concernant ces aspects notamment la conservation des données, la sensibilisation des utilisateurs du projet, la surveillance des traces, la gestion des alertes et des incidents ainsi que les gestions des exports de données anonymes, devra être formalisée par une convention entre les deux parties conformément à l’article 28 du RGPD.
Réutilisation des données d’une base existante	Certaines données de l’entrepôt de données de santé de l’AP-HP autorisé par la CNIL (demande d’autorisation n° 198012 – délibération n°2017-013 du 19 janvier 2017) seront réutilisées dans le cadre de cette étude et appariées de façon probabiliste aux données du Système national des données de santé (SNDS).
Utilisation de données issues du SNDS historique	Composantes concernées et années concernées : SNIIRAM et PMSI : 2009 à 2023 CépiDc : 2017 à 2023. Modalités de consultation : plateforme technologique du GIP PDS. Les données traitées étant issues de bases composant le SNDS, l’ensemble des dispositions législatives et réglementaires relatives au SNDS est applicable en l’espèce (articles L. 1461-1 à L. 1461-7 du code de la santé publique), notamment le référentiel de sécurité « SNDS ».
Information et droits des personnes	En application du b) du 5 de l’article 14 du RGPD, l’obligation d’information individuelle de la personne concernée peut faire l’objet d’exceptions, notamment dans l’hypothèse où la fourniture d’une telle information exigerait des efforts disproportionnés. En pareil cas, le responsable de traitement prend des mesures appropriées pour protéger les droits et libertés, ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles. En l’espèce, il sera fait exception au principe d’information individuelle des personnes et des mesures appropriées seront mises en œuvre. Une note d’information relative au projet de recherche comportant l’ensemble des mentions prévues par le RGPD sera diffusée sur les sites web du responsable de traitement de l’étude et sur celui de l’AP-HP.
Mesures de sécurité	Le traitement envisagé comportant des données du SNDS, les mesures de sécurité doivent être conformes au référentiel de sécurité mentionné au 3° du IV de l’article L. 1461-1 et au II de l’article R. 1461-7 du code de la santé publique. La sécurité des données de l’espace projet utilisé pour le traitement des données du SNDS dépend essentiellement de la solution technique du GIP PDS, qui a fait l’objet d’une analyse globale des risques et de l’impact sur la vie privée, suivie d’une homologation selon le référentiel de sécurité applicable au SNDS. Cette homologation, qui inclut les espaces projets mis à disposition du responsable de traitement, a été réalisée par le GIP PDS le 22 juillet 2024, pour une durée de trois ans, sous réserve de la mise en œuvre du plan d’actions qu’elle a défini. L’ICM devra s’assurer que le système d’information hébergeant les données de l’étude respecte ce référentiel pendant toute la durée du traitement.
Transferts hors Union européenne	Les dispositions de l’article R. 1461-1 du CSP prévoient qu’aucun transfert de données à caractère personnel ne peut être réalisé en dehors de l’Union européenne, sauf dans le cas d’accès ponctuels aux données par des personnes situées en dehors de l’Union européenne, pour une finalité relevant du 1° du I de l’article L. 1461-3 du CSP. En l’espèce, le dossier de demande ne fait pas état de tels accès à distance par un membre de l’équipe de recherche.
Durée d’accès aux données du SNDS	Trois ans à compter de mise à disposition des données.
Transparence du traitement	Ce traitement devra être enregistré dans le répertoire public mis à disposition par la Plateforme des données de santé.