Inscription
7 jours d’essai gratuit.
Inscription en moins d’une minute. Pas de carte de crédit requise.
CNIL, Décision du 25 juillet 2025, n° DR-2025-167
CNIL 25 juillet 2025

Arguments

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Signaler une erreur.
  • Accepté
    Conformité à la législation sur la protection des données

    La Commission a constaté que le traitement présente un caractère d'intérêt public et respecte les conditions légales, bien que des points de non-conformité aient été identifiés, ceux-ci ne remettent pas en cause l'autorisation accordée.

  • Accepté
    Mesures de sécurité mises en place

    La Commission a jugé que les mesures de sécurité proposées sont adéquates pour garantir la confidentialité et la protection des données, ce qui justifie l'autorisation du traitement.

Résumé de la juridiction

Décision DR-2025-167 du 25 juillet 2025 autorisant le CENTRE HOSPITALIER UNIVERSITAIRE DE TOURS à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur l’efficience du modèle de pratique de soutien à l’emploi comparé à la méthode conventionnelle de suivi par les travailleurs sociaux chez les patients atteints de pathologie mentale sévère, nécessitant un accès aux données du SNIIRAM et du PMSI, composantes du Système national des données de santé (SNDS), pour les années 2025 à 2030, intitulée « MEDECO-IPS ». (Demande d’autorisation n° 925081)

Commentaire0

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées. 

Sur la décision

Référence :
CNIL, déc. n° DR-2025-167, 25 juil. 2025
Numéro : DR-2025-167
Nature de la délibération : Autorisation de recherche
État : VIGUEUR
Identifiant Légifrance : CNILTEXT000053434314

Texte intégral

La Commission nationale de l’informatique et des libertés,

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu le décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu la décision du 2 juin 2025 portant délégation de signature du secrétaire général de la Commission nationale de l’informatique et des libertés ;

Saisie d’une demande d’autorisation relative à un traitement de données à caractère personnel à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé ;

Considérant que ce traitement, dont la finalité présente un caractère d’intérêt public, relève des dispositions de la section 3 du chapitre III du titre II de la loi du 6 janvier 1978 modifiée ;

Considérant que le traitement présente les caractéristiques et répond aux conditions suivantes :

Avis du comité

Avis favorable du Comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé du 3 avril 2025.

Point de non-conformité à la méthodologie de référence concernée

Le dossier de demande mentionne que le traitement envisagé est conforme aux dispositions de la méthodologie de référence MR-004, à l’exception de la nature des données traitées et des destinataires des données directement identifiantes.

En dehors de ces points, qui font l’objet d’un examen spécifique dans la présente décision, ce traitement devra respecter le cadre prévu par ce référentiel.

Destinataires des données directement identifiantes

Un sous-traitant du responsable de traitement aura accès aux coordonnées électroniques des participants (pouvant inclure des données nominatives) ainsi qu’aux données de santé dans le cadre du suivi des participants (auto-questionnaires).

Les données directement identifiantes sont traitées et transmises de façon séparée des données de santé et sont enregistrées dans une base de données distincte. En outre, seul un nombre strictement limité de personnes habilitées et soumises au secret professionnel pourra accéder aux données directement identifiantes.

Nature des données traitées et circuit d’appariement aux données du SNDS

Les données de l’étude feront l’objet d’un rapprochement avec les données issues du Système national des données de santé (SNDS) par l’utilisation du numéro d’inscription au répertoire national d’identification des personnes physiques (NIR).

S’agissant du traitement du NIR :

Le dossier de demande mentionne que le circuit d’appariement sera conforme à la fiche pratique Circuit multi-centres / eCRF sans NIR publiée par la CNIL. Les différents centres transmettront les données identifiantes (NIR) à un tiers de confiance centralisateur habilité à utiliser le téléservice SAFE qui les transmettra à la CNAM pour extraction des données du SNDS correspondantes.

Ces données devront être chiffrées au sein des centres et être transmises sous forme de fichiers chiffrés. Les algorithmes utilisés et les procédures de gestion de clés associées devront être conformes au référentiel général de sécurité (annexes B1 et B2) et aux recommandations correspondantes de l’ANSSI.

Des mesures de sécurité renforcées devront être mises en place pour protéger les tables de correspondance. Les équipements mobiles devront faire l’objet de mesures de chiffrement afin de garantir la confidentialité des données qu’ils contiennent en cas de perte ou de vol de l’équipement. Le tiers de confiance devra avoir été désigné avant le début de la collecte du NIR. Ce tiers de confiance devra être indépendant juridiquement et économiquement du responsable de traitement et des sous-traitants (centres investigateurs, etc.). Enfin, le tiers de confiance ne devra pas se trouver en situation de conflit d’intérêts vis-à-vis du responsable de traitement.

S’agissant du traitement de données du SNDS :

Composantes concernées : SNIIRAM, PMSI

Années concernées : 2025 à 2030, sous réserve qu’elles soient diffusables par la CNAM.

Modalités de consultation : portail de la CNAM.

Les données traitées étant issues de bases composant le SNDS, l’ensemble des dispositions législatives et réglementaires relatives au SNDS est applicable en l’espèce (articles L. 1461-1 à L. 1461-7 du code de la santé publique), notamment le référentiel de sécurité SNDS .

Information et droits des personnes

Tous les participants recevront une note d’information individuelle.

Durée d’accès

Les coordonnées électroniques seront détruites dès le dernier recueil de données au moyen des questionnaires en ligne.

Données du SNDS : cinq ans à compter de la mise à disposition des données.

Autres données :

Base active : cinq ans.

Archivage : cinq ans.

Transparence du traitement

Ce traitement devra être enregistré dans le répertoire public mis à disposition par la Plateforme des données de santé.

AUTORISE le CENTRE HOSPITALIER UNIVERSITAIRE DE TOURS à mettre en œuvre le traitement décrit ci-dessus.

La Cheffe du service de la santé

Hélène GUIMIOT

Décisions similaires

Citées dans les mêmes commentaires3

  • Traitement de données ·
  • Informatique ·
  • Commission nationale ·
  • Liberté ·
  • Fichier ·
  • Modification ·
  • Durée de conservation ·
  • Règlement (ue) ·
  • Comités ·
  • Protection
  • Traitement de données ·
  • Informatique ·
  • Commission nationale ·
  • Liberté ·
  • Fichier ·
  • Modification ·
  • Accès aux données ·
  • Règlement (ue) ·
  • Comités ·
  • Éthique
  • Méthodologie ·
  • Informatique ·
  • Traitement de données ·
  • Archivage ·
  • Commission nationale ·
  • Liberté ·
  • Fichier ·
  • Utilisation des données ·
  • Durée de conservation ·
  • Référence

Citant les mêmes articles de loi3

  • Informatique ·
  • Traitement de données ·
  • Archivage ·
  • Méthodologie ·
  • Commission nationale ·
  • Liberté ·
  • Données de santé ·
  • Fichier ·
  • Durée de conservation ·
  • Règlement (ue)
  • Informatique ·
  • Traitement de données ·
  • Cristal ·
  • Archivage ·
  • Méthodologie ·
  • Commission nationale ·
  • Liberté ·
  • Réutilisation de données ·
  • Information ·
  • Fichier
  • Traitement de données ·
  • Informatique ·
  • Homologation ·
  • Commission nationale ·
  • Liberté ·
  • Sécurité des données ·
  • Fichier ·
  • Modification ·
  • Version ·
  • Règlement (ue)

De référence sur les mêmes thèmes3

  • Informatique ·
  • Traitement de données ·
  • Archivage ·
  • Méthodologie ·
  • Commission nationale ·
  • Liberté ·
  • Données de santé ·
  • Fichier ·
  • Durée de conservation ·
  • Règlement (ue)
  • Données de santé ·
  • Informatique ·
  • Traitement de données ·
  • Archivage ·
  • Méthodologie ·
  • Commission nationale ·
  • Liberté ·
  • Fichier ·
  • Durée de conservation ·
  • Accès aux données
  • Données de santé ·
  • Traitement de données ·
  • Méthodologie ·
  • Informatique ·
  • Archivage ·
  • Commission nationale ·
  • Information ·
  • Liberté ·
  • Personne concernée ·
  • Réutilisation de données

Sur les mêmes thèmes3

  • Bénin ·
  • Union européenne ·
  • Transfert de données ·
  • Recherche ·
  • Informatique et libertés ·
  • Responsable ·
  • Clause contractuelle ·
  • Traitement de données ·
  • Autorité parentale ·
  • Information
  • Données de santé ·
  • Sécurité ·
  • Traitement de données ·
  • Chiffrement ·
  • Accès ·
  • Informatique ·
  • Recherche ·
  • Méthodologie ·
  • León ·
  • Responsable
  • Cancer ·
  • Registre ·
  • Autorisation ·
  • Demande ·
  • Traitement de données ·
  • Information ·
  • Informatique ·
  • Personne concernée ·
  • Liberté ·
  • Méthodologie

Textes cités dans la décision

  1. Loi n° 78-17 du 6 janvier 1978
  2. Décret n°2019-536 du 29 mai 2019
  3. Code de la santé publique
Extraits similaires à la sélection

Aucune décision de référence ou d'espèce avec un extrait similaire.

Inscrivez-vous gratuitement pour imprimer votre décision
CNIL, Décision du 25 juillet 2025, n° DR-2025-167
  1. Doctrine
  2. Décisions de justice
  3. 2025
  4. CNIL, déc. n° DR-2025-167, 25 juil. 2025
Contactez notre service commercial au 01 84 80 33 48