CNIL, Décision du 5 août 2025, n° DR-2025-182

CNIL 5 août 2025

Arguments

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Signaler une erreur.

Accepté
Conformité à la législation sur la protection des données
La Commission a jugé que le traitement présente un caractère d'intérêt public et respecte les conditions prévues par la législation applicable, justifiant ainsi l'autorisation demandée.
Accepté
Mesures de sécurité et de confidentialité
La Commission a constaté que les mesures de sécurité décrites répondent aux exigences légales et garantissent la protection des données personnelles des participants.

Résumé de la juridiction

Décision DR-2025-182 du 5 août 2025 autorisant le CENTRE HOSPITALIER UNIVERSITAIRE DE NANTES à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur la prise en charge des patients transplantés rénaux après perte du transplant et retour en dialyse. (Demande d’autorisation n° 925084)

Commentaire • 0

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées.

Sur la décision

Référence :	CNIL, déc. n° DR-2025-182, 5 août 2025
Numéro :	DR-2025-182
Nature de la délibération :	Autorisation de recherche
État :	VIGUEUR
Identifiant Légifrance :	CNILTEXT000053437263

Texte intégral

La Commission nationale de l’informatique et des libertés,

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu le décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu la décision du 2 juin 2025 portant délégation de signature du secrétaire général de la Commission nationale de l’informatique et des libertés ;

Saisie d’une demande d’autorisation relative à un traitement de données à caractère personnel à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé ;

Considérant que ce traitement, dont la finalité présente un caractère d’intérêt public, relève des dispositions de la section 3 du chapitre III du titre II de la loi du 6 janvier 1978 modifiée ;

Considérant que le traitement présente les caractéristiques et répond aux conditions suivantes :

Avis du comité	Avis favorable avec recommandations du Comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé du 16 janvier 2025.
Points de non-conformité à la méthodologie de référence concernée	Le dossier de demande mentionne que le traitement envisagé est conforme aux dispositions de la méthodologie de référence MR-004, à l’exception de la nature des données (appariement par le responsable de traitement entre les données déjà existantes d’un même individu issues de plusieurs centres participants) et des destinataires des données directement identifiantes. En dehors de ces points, qui font l’objet d’un examen spécifique dans la présente décision, ce traitement devra respecter le cadre prévu par ce référentiel.
Réutilisation des données de bases existantes	Aux fins de la présente étude, deux bases de données seront réutilisées et appariées : la base DIVAT (demande d’autorisation n°914184), mise en œuvre par le Centre hospitalier universitaire de Nantes, qui contient des données relatives aux transplantations rénales et à leurs suites et évolutions médicales ; la base MEDIAL, mise en œuvre par l’association ECHO OUEST, contient des données relatives aux antécédents, traitements et évènements médicaux des patients transplantés. Les bases de données pérennes comprenant des données de santé et constituées en vue de leur réutilisation à des fins de recherche dans le domaine de santé sont des entrepôts de données. Sauf en cas de recueil du consentement des personnes concernées, ces traitements relèvent du régime de formalités préalables prévu par les articles 66 et suivants de la loi informatique et libertés (déclaration de conformité au référentiel entrepôt de données de santé ou, en cas de non-conformité au référentiel, autorisation de la CNIL).
Destinataires des données directement identifiantes	Le CHU de Nantes adressera à l’association ECHO OUEST une table de correspondance contenant les variables d’appariement associées à un identifiant d’accrochage utilisé pour l’appariement et distinct du numéro d’inclusion dans l’étude. L’association ECHO OUEST renverra au CHU de Nantes les données correspondantes pour l’étude, associées au seul identifiant d’accrochage, à l’exclusion des variables d’appariement. Une fois les données appariées, le numéro d’accrochage sera remplacé par un code d’identification aléatoire propre à l’analyse des données de l’étude. Le choix des variables d’appariement a été scientifiquement justifié dans le dossier de demande. Par ailleurs, seules les personnes habilitées initialement à accéder aux données nominatives auront accès à ces informations et à la table de correspondance dans le cadre de l’étude. Les variables d’appariement devront être chiffrées au sein des centres et être transmises sous forme de fichiers chiffrés. Les algorithmes utilisés et les procédures de gestion de clés associées devront être conformes au référentiel général de sécurité (annexes B1 et B2) et aux recommandations correspondantes de l’ANSSI. Des mesures de sécurité renforcées devront être mises en place pour protéger les tables de correspondance. Les équipements mobiles devront faire l’objet de mesures de chiffrement afin de garantir la confidentialité des données qu’ils contiennent en cas de perte ou de vol de l’équipement.
Information et droits des personnes	Tous les participants recevront une note d’information individuelle.
Mesures de sécurité	Les mesures de sécurité décrites dans le dossier de demande ont pour objectif de répondre aux exigences prévues par les articles 5.1. f) et 32 du RGPD. A cet égard ces obligations imposent une réévaluation régulière des risques pour les personnes concernées et une mise à jour, le cas échéant, de ces mesures de sécurité. Par ailleurs, le responsable de traitement demeure pleinement responsable du niveau de sécurité effectif du traitement mis en œuvre et les textes applicables lui imposent d’être en mesure de justifier de sa conformité à tout moment.
Durées de conservation en base active et en archivage	Les variables d’appariement seront détruites après la réalisation de celui-ci. Autres données : Base active : cinq ans Archivage : quinze ans
Transparence du traitement	Ce traitement devra être enregistré dans le répertoire public mis à disposition par la Plateforme des données de santé.