CNIL, Décision du 20 novembre 2025, n° DT-2025-018

Autour de la décision
- Commentaires
  0

Texte intégral
- Considérant que ce traitement, dont la finalité présente un caractère d'intérê...
- Considérant que le traitement présente les caractéristiques et répond aux cond...
- Sur le(s) point(s) de non-conformité au référentiel concerné
- Sur la finalité du traitement, sa licéité et les conditions permettant de trai...

Décisions similaires
- Citées dans les mêmes commentaires
- Citant les mêmes articles de loi
- De référence sur les mêmes thèmes
- Sur les mêmes thèmes

CNIL 20 novembre 2025

Résumé de la juridiction

Décision DT-2025-018 du 20 novembre 2025 autorisant le CENTRE HOSPITALIER UNIVERSITAIRE DE NANCY à mettre en œuvre un traitement de données ayant pour finalité un entrepôt de données de santé dénommé « DATASTAN » (Demande d’autorisation n° 2239570)

Commentaire • 0

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées.

Sur la décision

Référence :	CNIL, déc. n° DT-2025-018, 20 nov. 2025
Numéro :	DT-2025-018
Nature de la délibération :	Autre autorisation
État :	VIGUEUR
Identifiant Légifrance :	CNILTEXT000053934179

Texte intégral

La Commission nationale de l’informatique et des libertés,

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu le décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu la décision du 2 juin 2025 portant délégation de signature du secrétaire général de la Commission nationale de l’informatique et des libertés ;

Saisie d’une demande d’autorisation relative à un traitement de données à caractère personnel dans le domaine de la santé ;

Considérant que ce traitement, dont la finalité présente un caractère d’intérêt public, relève des dispositions de la section 3 du chapitre III du titre II de la loi du 6 janvier 1978 modifiée ;

Considérant que le traitement présente les caractéristiques et répond aux conditions suivantes :

Sur le(s) point(s) de non-conformité au référentiel concerné

Le dossier de demande mentionne que le traitement envisagé est conforme aux dispositions du référentiel « entrepôt de données dans le domaine de la santé », à l’exception de certaines mesures de sécurité.

En dehors de ce point, qui fait l’objet d’un examen spécifique dans la présente autorisation, ce traitement devra respecter le cadre prévu par le référentiel « entrepôt de données dans le domaine de la santé ».

Sur la finalité du traitement, sa licéité et les conditions permettant de traiter des données concernant la santé

Le traitement envisagé a pour finalité la constitution d’un entrepôt de données à caractère personnel comprenant notamment des données de santé, dénommé « DATASTAN ».

Ce dernier a pour finalités :

la réalisation d’études de faisabilité et repérage (pré-screening) de patients éligibles à des études ;
la réalisation de projets de recherche, étude, évaluation dans le domaine de la santé (Recherches impliquant la personne humaine et recherches n’impliquant pas la personne humaine)
la production d’indicateurs et appui au pilotage de l’activité : analyse des filières et trajectoires de santé, études médico-économiques ;
l’évaluation de la qualité, de la sécurité et de la pertinence des prises en charge ainsi que l’amélioration des pratiques professionnelles et des organisations ;
l’adaptation des stratégies de prise en charge et de prévention, en utilisant des outils d’aide au diagnostic et à la prise en charge ;
l’amélioration de la qualité de l’information médicale et optimisation du codage de l’information médicale.

Mesures de sécurité

Le responsable de traitement a réalisé et transmis à l’appui de la demande d’autorisation une analyse d’impact relative à la protection des données spécifique à la création de l’entrepôt.

Le dossier de demande mentionne que le traitement envisagé est conforme à la plupart des mesures de sécurité prévues dans le référentiel entrepôt de données dans le domaine de la santé, à l’exception de certaines d’entre elles qui ont été précisément identifiées. Pour ces dernières, la non-conformité a été dûment justifiée et compensée par la mise en œuvre de mesures techniques et organisationnelles à l’état de l’art.

Conformément à l’exigence SEC-EXP-1 du référentiel, seuls des jeux de données anonymes pourront faire l’objet d’une exportation hors de l’entrepôt ou d’un espace de travail, à l’exception des données relatives aux procédures de réidentification SEC-REI-1 à SEC-REI-3 qui permettent d’assurer respectivement l’exercice des droits, la participation à des recherches et l’urgence médicale.

Les mesures de sécurité, qui devront être opérationnelles lors de la mise en œuvre du traitement, devront répondre aux exigences prévues par les articles 5,1, f) et 32 du RGPD compte tenu des risques identifiés par le responsable de traitement. Il appartiendra au responsable de traitement de procéder à une réévaluation régulière des risques pour les personnes concernées et une mise à jour, le cas échéant, de ces mesures de sécurité.

AUTORISE LE CENTRE HOSPITALIER UNIVERSITAIRE DE NANCY à mettre en œuvre le traitement décrit ci-dessus

La Cheffe du service de la santé

Hélène GUIMIOT