CNIL, Décision du 28 mai 2025, n° DR-2025-118

CNIL 28 mai 2025

Arguments

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Signaler une erreur.

Accepté
Conformité à la législation sur la protection des données
La Commission a constaté que le traitement présente un caractère d'intérêt public et respecte les conditions légales, notamment en matière de sécurité et de protection des données personnelles.
Accepté
Mesures de sécurité adéquates
La Commission a jugé que les mesures de sécurité proposées répondent aux exigences du RGPD et sont suffisantes pour garantir la protection des données personnelles.

Résumé de la juridiction

Décision DR-2025-118 du 28 mai 2025 autorisant le CENTRE HOSPITALIER UNIVERSITAIRE DIJON BOURGOGNE à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur l’analyse et la comparaison des coûts associés aux traitements méthotrexate et tocilizumab pour le traitement de l’artérite à cellules géantes, nécessitant un accès aux données du PMSI, composantes du Système national des données de santé (SNDS), pour les années 2020 à 2024, intitulée « METOGIA – volet médico-économique ». (Demande d’autorisation n° 925018).

Commentaire • 0

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées.

Sur la décision

Référence :	CNIL, déc. n° DR-2025-118, 28 mai 2025
Numéro :	DR-2025-118
Nature de la délibération :	Autorisation de recherche
État :	VIGUEUR
Identifiant Légifrance :	CNILTEXT000052249009

Texte intégral

La Commission nationale de l’informatique et des libertés,

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu le décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu la décision du 2 janvier 2025 portant délégation de signature du secrétaire général de la Commission nationale de l’informatique et des libertés ;

Saisie d’une demande de modification d’une autorisation relative à un traitement de données à caractère personnel à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé ;

Considérant que ce traitement, dont la finalité présente un caractère d’intérêt public, relève des dispositions de la section 3 du chapitre III du titre II de la loi du 6 janvier 1978 modifiée ;

Considérant que le traitement présente les caractéristiques et répond aux conditions suivantes :

Avis du comité	Avis favorable du Comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé du 16 janvier 2025.
Point de non-conformité à la méthodologie de référence concernée	Le dossier de demande mentionne que le traitement envisagé est conforme aux dispositions de la méthodologie de référence MR-004, à l’exception de la nature des données traitées (appariement probabiliste des données cliniques avec celles du SNDS). En dehors de ce point, qui fait l’objet d’un examen spécifique dans la présente décision, ce traitement devra respecter le cadre prévu par ce référentiel.
Réutilisation des données d’une base existante (étude précédente)	Les données de l’étude "METOGIA – volet clinique" (dont le traitement a été réalisé dans le cadre d’une déclaration de conformité à la méthodologie de référence MR-001) seront réutilisées dans le cadre de la présente recherche.
Catégories particulières de données traitées	Aux fins de l’appariement des données de l’étude "METOGIA – volet clinique" avec le PMSI, chaque centre d’inclusion transmettra au responsable de traitement le résumé de sortie anonyme (RSA) de chaque patient concerné. Les données identifiantes servant à l’extraction des RSA seront traitées uniquement au sein du centre d’inclusion et ne seront pas communiquées au responsable du traitement.
Circuit d’appariement	Les données de l’étude feront l’objet d’un rapprochement avec les données du PMSI au moyen d’un chaînage probabiliste, afin de collecter le groupe homogène de malade (GHM) associé à chaque séjour hospitalier et de permettre l’estimation du coût correspondant.
Utilisation de données issues du SNDS historique	Composantes concernées : PMSI. Années concernées : 2020 à 2024, sous réserve qu’elles soient diffusables par la CNAM. Modalités de consultation : portail de la CNAM. Les données traitées étant issues de bases composant le SNDS, l’ensemble des dispositions législatives et réglementaires relatives au SNDS est applicable en l’espèce (articles L. 1461-1 à L. 1461-7 du code de la santé publique), notamment le référentiel de sécurité « SNDS ».
Information et droits des personnes	Tous les participants recevront une note d’information individuelle.
Mesures de sécurité	Les échanges de données, internes et avec les centres, devront intervenir sous forme de fichiers chiffrés avec des algorithmes et des procédures de gestion de clés conformes à l’annexe B1 du référentiel général de sécurité. Les mesures de sécurité, qui devront être opérationnelles lors de la mise en oeuvre du traitement, devront répondre aux exigences prévues par les articles 5,1, f) et 32 du RGPD compte tenu des risques identifiés par le responsable de traitement. Il appartiendra au responsable de traitement de procéder à une réévaluation régulière des risques pour les personnes concernées et une mise à jour, le cas échéant, de ces mesures de sécurité.
Durée d’accès aux données	5 ans
Transparence du traitement	Ce traitement devra être enregistré dans le répertoire public mis à disposition par la Plateforme des données de santé.