Résumé de la juridiction
Décision DR-2025-122 du 5 juin 2025 autorisant le CENTRE HOSPITALIER UNIVERSITAIRE DE GRENOBLE ALPES à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur l’impact du repérage et d’une intervention motivationnelle brève en pharmacie d’officine sur la déprescription des benzodiazépines et apparentées chez les patients adultes consommateurs chroniques. (Demande d’autorisation n° 924253).
Commentaire • 0
Sur la décision
| Référence : | CNIL, déc. n° DR-2025-122, 5 juin 2025 |
|---|---|
| Numéro : | DR-2025-122 |
| Nature de la délibération : | Autorisation de recherche |
| État : | VIGUEUR |
| Identifiant Légifrance : | CNILTEXT000052249165 |
Texte intégral
La Commission nationale de l’informatique et des libertés,
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;
Vu le décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;
Vu la décision du 2 juin 2025 portant délégation de signature du secrétaire général de la Commission nationale de l’informatique et des libertés ;
Saisie d’une demande d’autorisation relative à un traitement de données à caractère personnel à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé ;
Considérant que ce traitement, dont la finalité présente un caractère d’intérêt public, relève des dispositions de la section 3 du chapitre III du titre II de la loi du 6 janvier 1978 modifiée ;
Considérant que le traitement présente les caractéristiques et répond aux conditions suivantes :
|
Avis du comité |
Avis favorable du Comité de protection des personnes Sud-Ouest et Outre-Mer II du 24 juin 2024 |
|
Point de non-conformité à la méthodologie de référence concernée |
Le dossier de demande mentionne que le traitement envisagé est conforme aux dispositions de la méthodologie de référence MR-001, à l’exception des destinataires des données directement identifiantes. En dehors de ce point, qui fait l’objet d’un examen spécifique dans la présente décision, ce traitement devra respecter le cadre prévu par ce référentiel. |
|
Destinataires des données directement identifiantes |
Le responsable de traitement prévoit l’utilisation d’une solution technique permettant d’effectuer un contrôle qualité à distance. Cela implique que le sous-traitant sera destinataire de certaines données administratives d’identification des participants (nom, prénom, date de naissance complète et coordonnées). |
|
Catégorie particulière de données traitées |
La collecte des coordonnées téléphoniques est nécessaire pour assurer le suivi des patients qui en sont informés. Les données directement identifiantes doivent être traitées et transmises de façon séparée des données de santé et être enregistrées dans une base de données distincte. En outre, seul un nombre strictement limité de personnes habilitées et soumises au secret professionnel pourra accéder aux données directement identifiantes. |
|
Information et droits des personnes |
Tous les participants recevront une note d’information individuelle qui devra comporter l’ensemble des mentions prévues par le Règlement général sur la protection des données. |
|
Mesures de sécurité |
La solution technique permettant le contrôle qualité à distance consiste en une solution de vidéoconférence sécurisée permettant aux centres investigateurs d’afficher les données sources nécessaires au contrôle qualité à distance des consentements par les attachés de recherche clinique du promoteur. Le dossier de demande mentionne que le contrôle qualité sera réalisé conformément aux bonnes pratiques émises par la CNIL pour le contrôle qualité à distance des essais cliniques, notamment aux conditions de sécurité communes aux différentes solutions pouvant être utilisées. La solution de contrôle qualité à distance sera hébergée en France par un sous-traitant certifié pour l’hébergement de données de santé. Tous les mots de passe utilisés devront être conformes à la délibération n° 2022-100 du 21 juillet 2022 portant adoption d’une recommandation relative aux mots de passe et autres secrets partagés. Les journaux et traces techniques seront conservés conformément aux recommandations de sa délibération n° 2021-122 du 14 octobre 2021 portant adoption d’une recommandation relative à la journalisation. Une analyse manuelle des journaux d’accès et de connexion sera réalisée hebdomadairement. Outre ces mesures relatives au contrôle qualité à distance, les mesures de sécurité décrites dans le dossier de demande ont pour objectif de répondre aux exigences prévues par les articles 5,1, f) et 32 du RGPD. A cet égard, ces obligations imposent une réévaluation régulière des risques pour les personnes concernées et une mise à jour, le cas échéant, de ces mesures de sécurité. Par ailleurs, le responsable de traitement demeure pleinement responsable du niveau de sécurité effectif du traitement mis en œuvre et les textes applicables lui imposent d’être en mesure de justifier de leur conformité à tout moment. |
|
Durées de conservation en base active et en archivage |
Les données administratives d’identification (coordonnées téléphoniques) seront détruites à la fin du suivi des participants. Autres données : Base active : dix ans Archivage : quinze ans. |
AUTORISE LE CENTRE HOSPITALIER UNIVERSITAIRE DE GRENOBLE ALPES à mettre en œuvre le traitement décrit ci-dessus.
La Cheffe du service de la santé
Hélène GUIMIOT
Décisions similaires
Citées dans les mêmes commentaires • 3
- Démographie ·
- Sécurité ·
- Traitement de données ·
- Santé ·
- Finalité ·
- Protection des données ·
- Fichier ·
- Informatique ·
- Droit d'opposition ·
- Responsable
- Données de santé ·
- Autonomie ·
- Traitement de données ·
- Fichier ·
- Enquête ·
- Personne concernée ·
- Informatique ·
- Durée de conservation ·
- Réutilisation ·
- Cnil
- Méthodologie ·
- Information ·
- Traitement de données ·
- Personne concernée ·
- Informatique ·
- Santé ·
- Recherche médicale ·
- Liberté ·
- Personnes ·
- Recherche
Citant les mêmes articles de loi • 3
- Informatique ·
- Traitement de données ·
- Information ·
- Santé ·
- Archivage ·
- Méthodologie ·
- Commission nationale ·
- Liberté ·
- Personne concernée ·
- Fichier
- Cookies ·
- Orange ·
- Formation restreinte ·
- Site web ·
- Consentement ·
- Utilisateur ·
- Retrait ·
- Tiers ·
- Formation ·
- Sociétés
- Formation restreinte ·
- Protection des données ·
- Videosurveillance ·
- Cnil ·
- Test ·
- Dispositif ·
- Sociétés ·
- Formation ·
- Responsable du traitement ·
- Caractère
De référence sur les mêmes thèmes • 3
- Démographie ·
- Traitement de données ·
- Sécurité ·
- Données de santé ·
- Fichier ·
- Informatique ·
- Droit d'opposition ·
- Sexe ·
- Département ·
- Personnes
- Données de santé ·
- Personne concernée ·
- Information ·
- Informatique ·
- Liberté ·
- Registre ·
- Réutilisation ·
- Traitement de données ·
- Autorisation ·
- Personnes
- Traitement de données ·
- Données de santé ·
- Protection des données ·
- Collecte de données ·
- Personnes ·
- Informatique ·
- Archivage ·
- Protection ·
- Méthodologie ·
- Commission nationale
Sur les mêmes thèmes • 3
- Méthodologie ·
- Informatique ·
- Traitement de données ·
- Archivage ·
- Commission nationale ·
- Liberté ·
- Données de santé ·
- Prénom ·
- Fichier ·
- Durée de conservation
- Informatique ·
- Traitement de données ·
- Archivage ·
- Méthodologie ·
- Commission nationale ·
- Information ·
- Liberté ·
- Personne concernée ·
- Données de santé ·
- Centre hospitalier
- Traitement de données ·
- Information ·
- Informatique ·
- Liberté ·
- Méthodologie ·
- Commission nationale ·
- Personne concernée ·
- Fichier ·
- Modification ·
- Projet de recherche
Aucune décision de référence ou d'espèce avec un extrait similaire.