DécisionEn vigueur

Décision DR-2020-365 du 27 novembre 2020

Décision DR-2020-365 autorisant le CENTRE REGIONAL DE COORDINATION DES DEPISTAGES DES CANCERS EN OCCITANIE à mettre en oeuvre un traitement de données ayant pour finalité l’évaluation de l’apport de l’utilisation d’une Intelligence Artificielle dans le programme de dépistage organisé du cancer du sein français et nécessitant un accès aux données du SNIIRAM et du PMSI pour les années 2006 à 2019 et au CépiDC pour les années 2006 à 2016, composantes du Système national des données de santé, intitulé « DEEP-PISTE » (Demande d’autorisation n° 920266)

Numéro	DR-2020-365
Date	vendredi 27 novembre 2020
Nature	Décision
Type d'acte	Autorisation de recherche
État	En vigueur
Référence	CNILTEXT000044058628

Résumé IA

La CNIL autorise le Centre Régional de Coordination des Dépistages des Cancers en Occitanie (CRCDC-OC) à mettre en œuvre un traitement de données pour le projet de recherche « DEEP-PISTE ». Cette autorisation concerne l'évaluation d'une intelligence artificielle dans le dépistage du cancer du sein et permet l'accès et l'appariement de données du SNDS (SNIIRAM, PMSI, CépiDC) avec une base locale de dépistage. La décision encadre strictement le traitement, notamment en prévoyant des mesures d'information adaptées (communication publique et information différée) pour les personnes concernées.

Texte intégral

La Commission a été saisie d’une demande d’autorisation relative à un traitement de données à caractère personnel. Ce traitement, dont la finalité présente un caractère d’intérêt public, relève de la procédure prévue aux articles 66, 72 et suivants de la loi du 6 janvier 1978 modifiée.

Responsable de traitement	Le centre régional de coordination des dépistages des cancers en Occitanie (CRCDC-OC)
Avis du comité	Avis favorable du Comité d’expertise pour les recherches, les études et les évaluations dans le domaine de la santé du 24 octobre 2019.
Finalité et intérêt public du traitement	Étude portant sur l’évaluation de l’apport de l’utilisation d’une Intelligence Artificielle dans le programme de dépistage organisé du cancer du sein français. La Commission estime, que ce traitement présente une finalité d’intérêt public, conformément à l’article 66-I de la loi "informatique et libertés". Elle relève en outre que le projet fait partie des lauréats de l’appel à projets lancé en 2019 par la Plateforme des données de santé ("projet pilote").
Nature des données traitées, incluant des données issues du SNDS historique	La Commission relève qu’un appariement est envisagé entre la base de données du dépistage organisé du cancer du sein (DOCS) du Gard et de la Lozère et les données du système national des données de santé (SNDS). Sur la base de données existante L’extraction du jeu de données de la base du dépistage organisé du cancer du sein (DOCS) du Gard et de la Lozère portera sur les années 2004 à 2019. Sur les données issues du SNDS, sous réserve de leur disponibilité Le projet nécessite un accès aux données du SNIRAM-DCIR pour les années 2006 à 2019 du PMSI pour les années 2006 à 2019 et du CEPIDC pour les années 2006 à 2016. Le traitement de ces données devra s’effectuer en conformité avec les dispositions des articles L. 1461-1 à L. 1461-7 du code de la santé publique. Sur l’extraction et l’appariement des données L’appariement entre la base du dépistage organisé du cancer du sein (DOCS) du Gard et de la Lozère et les données du SNDS est effectué selon une approche déterministe. Le CRCDC-OC transmet via la procédure SAFE, le numéro d'inscription au répertoire des personnes physiques (NIR), la date de naissance, le sexe et l’identifiant d’accrochage des personnes concernées à la CNAM qui réalise l’extraction des données du SNDS. La Commission relève qu’une table de correspondance entre l’identifiant patient et l’identifiant d’accrochage sera conservée par le CRCDC-OC sur l’infrastructure HDS d’Epiconcept, jusqu'à la dernière mise à jour des données du projet, puis sera supprimée. Sur la concaténation finale de la base pseudonymisée La Commission rappelle que ne devront être transférées dans l’espace de travail de la solution technique de la Plateforme des données de santé que les données strictement nécessaires et pertinentes pour la réalisation des analyses prévues dans le cadre de l’étude. Les équipes de la Plateforme des données de santé ne seront en charge que de la concaténation des données reçues, ainsi que de la génération d’un numéro pseudonyme.
Sur l’information et les droits des personnes	La Commission relève qu’une partie des personnes concernées ne sera pas individuellement informée préalablement à la mise en œuvre du traitement ou dans les délais prévus à l’article 14-3-a du RGPD, mais le seront pendant la réalisation de l’étude, par l’envoi d’un courrier d’invitation aux femmes ciblées par le dépistage (74,6% des femmes de l’étude), auquel sera annexé une note d’information. Cet envoi sera réalisé par les Centres Régionaux de de Coordinations des Dépistages des Cancers Occitanie (CRCDC-OC), site du Gard et de la Lozère. L’invitation à réaliser un dépistage étant transmise tous les deux ans, l’ensemble de ces femmes sera informé avant la fin de l’étude. En application de l'article 69 de la loi "informatique et libertés" modifiée et de l'article 14-5-b du RGPD, l'obligation d'information individuelle de la personne concernée peut faire l'objet d'exceptions dans l'hypothèse où la fourniture d'une telle information exigerait des efforts disproportionnés. En pareils cas, conformément au Règlement général sur la protection des données, le responsable de traitement prend des mesures appropriées pour protéger les droits et libertés, ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles. S’agissant des personnes qui ne seront pas informées individuellement (femmes n’étant plus ciblées par le dépistage), la Commission relève que des mesures appropriées pour protéger les droits et libertés, ainsi que les intérêts légitimes des personnes concernées seront mises en œuvre, notamment par : la diffusion sur le site web du responsable de traitement (CRCDC-OC) et sur le site web de la Plateforme des données de santé d’une information relative au projet de recherche; la diffusion d’une note d’information par voie d’affichage dans les cabinets de radiologie adhérents au programme ; la publication d’une note d’information dans un journal local. La Commission rappelle que les différents supports d’information relatifs au projet de recherche devront comporter l’ensemble des mentions prévues par le Règlement général sur la protection des données. Sur les modalités d’exercice des droits : La Commission relève que les droits peuvent s’exercer de la manière suivante : par courrier auprès du CRCDC-OC, site du Gard et de la Lozère ; par courriel à l’adresse mail générique créée pour le projet et accessible sur le site web du CRCDC-OC et de la Plateforme des données de santé. lors de la réalisation de l’examen de dépistage. Concernant les données issues du SNDS les demandes d’exercice des droits seront adressées à la CNAM. La Commission relève que le responsable de traitement envisage de restreindre l’exercice des droits des personnes sur la base de données de l’étude en raison de la pseudonymisation des données et de la destruction de la table de correspondance. La Commission rappelle que, conformément aux principes de transparence et de loyauté prévus par l’article 5 du RGPD et comme précisé dans les lignes directrices sur la transparence adoptées par le groupe de travail "Article 29" le 29 novembre 2017, le responsable de traitement doit informer les personnes concernées de toute restriction spécifique applicable à ces droits. La Commission rappelle également que si les personnes concernées fournissent des informations complémentaires permettant leur ré-identification, un tel exercice devra être rendu possible conformément à l’article 11 du RGPD. Concernant l’équipe de chercheurs, utilisateurs de l’espace projet de la Plateforme des données de santé : Les utilisateurs de l’espace projet sont informés de la gestion de leurs comptes et de la traçabilité de leurs activités sur la Plateforme des données de santé lors de la lecture et de la signature des conditions générales d’utilisation (CGU). Ces CGU détaillent les modalités d’exercice des droits relatifs à leurs données à caractère personnel.
Mesures de sécurité (articles 5-1-f et 32 du Règlement général sur la protection des données)	La Commission relève que la sécurité des données de l’espace projet dédié au projet "DEEP-PISTE" dépend essentiellement de la solution technique de la Plateforme des données de santé, qui a fait l’objet d’une analyse globale des risques et des impacts sur la vie privée, suivie d’une homologation le 14 mai 2020 selon le référentiel de sécurité du SNDS pour une durée d’un an incluant une réunion de suivi sous une durée de six mois, qui a eu lieu le 20 novembre 2020. Plus spécifiquement, une analyse d’impact relative à la protection des données a été transmise à la Commission concernant la solution technique de la Plateforme des données de santé, qui correspond à une bulle sécurisée SNDS et qui hébergera à ce titre le projet "DEEP-PISTE". Également, le responsable de traitement a réalisé et transmis à l’appui de la demande d’autorisation une analyse d’impact relative à la protection des données spécifique au projet "DEEP-PISTE" et intégrant les éléments fournis par la Plateforme des données de santé pour sa solution technique 0.9. Une homologation de l’espace projet a ainsi été réalisée par le responsable de traitement le 06 novembre 2020, pour une durée de trois ans sous réserve de la mise en œuvre du plan d’action qu’il a défini. La Commission relève que les données seront pseudonymisées avec des identifiants propres aux phases d’extraction, d’appariement et de mise à disposition sur l’espace projet, et que les transferts de données seront chiffrés. La Commission prend acte que la répartition des rôles et responsabilités entre le responsable de traitement et la Plateforme des données de santé, concernant notamment la sensibilisation des utilisateurs du projet, la surveillance des traces ainsi que la gestion des alertes et des incidents est formalisée par une convention. La Commission rappelle que cette convention doit être conforme à l’article 28 du Règlement général sur la protection des données. En particulier, la Commission relève que le responsable de traitement assurera la surveillance de l’utilisation de l’espace projet à partir des indicateurs fournis par la Plateforme des données de santé, et qu’il mettra en œuvre des mesures de sensibilisation de ses utilisateurs, des procédures de gestion des identités et des habilitations, et des moyens de contrôle des exports de données hors de l’espace projet. Les données exportées feront l’objet de contrôles et d’audits, manuels ou automatiques, par les opérateurs spécialisés de la Plateforme des données de santé. A cet égard, la Commission rappelle que le responsable de traitement doit réaliser une analyse permettant de démontrer que ses processus d’anonymisation respectent les trois critères définis par l’avis n°05/2014 sur les techniques d’anonymisation adoptés par le groupe de l’Article 29 (G29) le 10 avril 2014. A défaut, si ces trois critères ne peuvent être réunis, une étude des risques de ré-identification doit être menée.
Hébergement des données sur la solution technique de la Plateforme des données de santé et absence de transfert en dehors de l’Union européenne	La présente décision ne vaut pas autorisation de transfert de données en dehors de l’Union européenne. La Commission relève que le responsable de traitement envisage le recours aux services d’hébergement d’un prestataire soumis au droit américain, la solution technique de la Plateforme des données de santé étant hébergée par Microsoft (solution AZURE). La Commission estime que le recours à un prestataire soumis au droit américain n’est possible, eu égard à l'arrêt C-311/18 rendu par la CJUE le 16 juillet 2020 et à l'ordonnance n°444937 du Conseil d'Etat du 13 octobre 2020, que si certaines garanties sont apportées. Après instruction, elle estime que des garanties ont, en l’espèce, été apportées.
Durée d’accès aux données	La Commission relève que le responsable de traitement sollicite un accès aux données pendant cinq ans à compter de leur mise à disposition. Elle rappelle que les décisions d’homologation devront être renouvelées, le cas échéant, avant l’expiration du délai, si le projet est toujours en cours.
Publication des résultats	La Commission relève que le responsable de traitement envisage une diffusion des résultats dans des revues nationales ou internationales. Elle rappelle que, lorsque le résultat du traitement de données est rendu public, l’identification directe ou indirecte des personnes concernées doit être impossible, conformément à l’article 68 de la loi "informatique et libertés".
Observations complémentaires	La Commission relève qu’en tant que projet pilote, il est envisagé d’inscrire la base constituée dans le cadre de l’étude au catalogue de la Plateforme des données de santé en vue de la mise à disposition ultérieure des données qu’elle contient. Elle rappelle que cette inscription au catalogue ne pourra être effective qu’après l’entrée en vigueur des dispositions réglementaires encadrant la mise en œuvre du SNDS et sous réserve que la Commission l’autorise. Enfin, la Commission rappelle que la présente autorisation est délivrée sous réserve de la conformité du traitement envisagé aux dispositions règlementaires relatives au SNDS (décret et arrêté notamment) qui seront prochainement publiées pour faire application des dispositions de la loi n° 2019-774 du 24 juillet 2019 relative à l’organisation et à la transformation du système de santé.

Dans ces conditions, AUTORISE le CENTRE REGIONAL DE COORDINATION DES DEPISTAGES DES CANCERS EN OCCITANIE à mettre en œuvre le traitement décrit ci-dessus, en application de l'article 13 de la loi précitée et de la délibération n° 2019-021 du 28 février 2019 portant délégation d'attributions de la Commission nationale de l’informatique et des libertés à son président et à son vice-président délégué.

La Présidente,

M.-L. Denis

Délibérations similaires

DécisionAutorisation de recherche

Décision DR-2026-032 du 25 février 2026 autorisant le CENTRE HOSPITALIER UNIVERSITAIRE D’ANGERS à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur le développement de modèles d’aide à la détection de deux maladies rares, intitulée « PAI ». (Demande d’autorisation n° 925250)

La CNIL autorise le Centre Hospitalier Universitaire d'Angers à mettre en œuvre un traitement de données pour l'étude "PAI", visant à développer des modèles d'aide à la détection de deux maladies rares. L'autorisation est accordée malgré certains écarts à la méthodologie de référence MR-004, notamment concernant le traitement du NIR pour l'appariement des données et les modalités d'information des personnes. La décision impose le respect strict du cadre défini, incluant des mesures de minimisation des données et une documentation sur la réduction progressive du nombre de patients dans l'échantillon.

25/02/2026

DécisionAutorisation de recherche

Décision DR-2025-216 du 25 septembre 2025 autorisant la FEDERATION ANTADIR à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur l’évolution de la prise en charge des enfants traités par ventilation non invasive, nécessitant un accès aux données du SNIIRAM, du PMSI et de Vaccin-Covid, composantes du Système national des données de santé (SNDS), pour les années 2007 à 2024, intitulée « VIVRE ». (Demande d’autorisation n° 925193)

La CNIL autorise la FEDERATION ANTADIR à mettre en œuvre un traitement de données pour l'étude "VIVRE", portant sur l'évolution de la prise en charge des enfants sous ventilation non invasive. L'autorisation concerne l'accès aux données du SNIIRAM, du PMSI et de Vaccin-Covid (SNDS) pour la période 2007-2024. La décision impose des conditions strictes, notamment l'hébergement par la Plateforme de données de santé (PDS), une information du public via les sites web (en dérogation de l'information individuelle), et la destruction des données après trois ans d'accès.

25/09/2025

DécisionAutorisation de recherche

Décision DR-2025-209 du 24 septembre 2025 autorisant l’ASSISTANCE PUBLIQUE HOPITAUX DE PARIS à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur l’efficacité d’un suivi par messagerie texte automatisée sur la limitation d’activité des patients lombalgiques chroniques, intitulée « LOMBATEXT ». (Demande d’autorisation n° 925217)

La CNIL autorise l'Assistance Publique Hôpitaux de Paris (AP-HP) à mettre en œuvre un traitement de données pour l'étude de recherche en santé « LOMBATEXT ». L'autorisation est accordée malgré un point de non-conformité à la méthodologie de référence concernant l'accès de deux sous-traitants aux données directement identifiantes. Des garanties strictes sont imposées, notamment la séparation des bases de données et la limitation des accès. Les durées de conservation des données sont fixées, avec une destruction des données identifiantes à la fin du suivi des patients.

24/09/2025

DécisionAutorisation de recherche

Décision DR-2025-214 du 24 septembre 2025 autorisant le CENTRE HOSPITALIER UNIVERSITAIRE DE BORDEAUX à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur la coordination et des besoins en soins primaires pour la prise en charge des victimes de violences entre partenaires intimes en ex-Aquitaine, sur l’île de La Réunion et en Polynésie française, intitulée « AQUREPOL-VPI ». (Demande d’autorisation n° 925121)

Le Centre Hospitalier Universitaire de Bordeaux a obtenu une autorisation de la CNIL pour un traitement de données dans le cadre de l'étude de recherche en santé « AQUREPOL-VPI ». Cette autorisation concerne spécifiquement le traitement de données sensibles, notamment des enregistrements vocaux identifiants, et l'accès à des données directement identifiantes par des internes de médecine générale. La décision impose des conditions strictes, comme la séparation des bases de données, la limitation des accès, et des durées de conservation définies (destruction après retranscription pour les enregistrements, 5 ans en base active, 15 ans en archivage).

24/09/2025

← Retour aux délibérations

Décision DR-2020-365 du 27 novembre 2020

Responsable de traitement	Le centre régional de coordination des dépistages des cancers en Occitanie (CRCDC-OC)
Avis du comité	Avis favorable du Comité d’expertise pour les recherches, les études et les évaluations dans le domaine de la santé du 24 octobre 2019.
Finalité et intérêt public du traitement	Étude portant sur l’évaluation de l’apport de l’utilisation d’une Intelligence Artificielle dans le programme de dépistage organisé du cancer du sein français. La Commission estime, que ce traitement présente une finalité d’intérêt public, conformément à l’article 66-I de la loi "informatique et libertés". Elle relève en outre que le projet fait partie des lauréats de l’appel à projets lancé en 2019 par la Plateforme des données de santé ("projet pilote").
Nature des données traitées, incluant des données issues du SNDS historique	La Commission relève qu’un appariement est envisagé entre la base de données du dépistage organisé du cancer du sein (DOCS) du Gard et de la Lozère et les données du système national des données de santé (SNDS). Sur la base de données existante L’extraction du jeu de données de la base du dépistage organisé du cancer du sein (DOCS) du Gard et de la Lozère portera sur les années 2004 à 2019. Sur les données issues du SNDS, sous réserve de leur disponibilité Le projet nécessite un accès aux données du SNIRAM-DCIR pour les années 2006 à 2019 du PMSI pour les années 2006 à 2019 et du CEPIDC pour les années 2006 à 2016. Le traitement de ces données devra s’effectuer en conformité avec les dispositions des articles L. 1461-1 à L. 1461-7 du code de la santé publique. Sur l’extraction et l’appariement des données L’appariement entre la base du dépistage organisé du cancer du sein (DOCS) du Gard et de la Lozère et les données du SNDS est effectué selon une approche déterministe. Le CRCDC-OC transmet via la procédure SAFE, le numéro d'inscription au répertoire des personnes physiques (NIR), la date de naissance, le sexe et l’identifiant d’accrochage des personnes concernées à la CNAM qui réalise l’extraction des données du SNDS. La Commission relève qu’une table de correspondance entre l’identifiant patient et l’identifiant d’accrochage sera conservée par le CRCDC-OC sur l’infrastructure HDS d’Epiconcept, jusqu'à la dernière mise à jour des données du projet, puis sera supprimée. Sur la concaténation finale de la base pseudonymisée La Commission rappelle que ne devront être transférées dans l’espace de travail de la solution technique de la Plateforme des données de santé que les données strictement nécessaires et pertinentes pour la réalisation des analyses prévues dans le cadre de l’étude. Les équipes de la Plateforme des données de santé ne seront en charge que de la concaténation des données reçues, ainsi que de la génération d’un numéro pseudonyme.
Sur l’information et les droits des personnes	La Commission relève qu’une partie des personnes concernées ne sera pas individuellement informée préalablement à la mise en œuvre du traitement ou dans les délais prévus à l’article 14-3-a du RGPD, mais le seront pendant la réalisation de l’étude, par l’envoi d’un courrier d’invitation aux femmes ciblées par le dépistage (74,6% des femmes de l’étude), auquel sera annexé une note d’information. Cet envoi sera réalisé par les Centres Régionaux de de Coordinations des Dépistages des Cancers Occitanie (CRCDC-OC), site du Gard et de la Lozère. L’invitation à réaliser un dépistage étant transmise tous les deux ans, l’ensemble de ces femmes sera informé avant la fin de l’étude. En application de l'article 69 de la loi "informatique et libertés" modifiée et de l'article 14-5-b du RGPD, l'obligation d'information individuelle de la personne concernée peut faire l'objet d'exceptions dans l'hypothèse où la fourniture d'une telle information exigerait des efforts disproportionnés. En pareils cas, conformément au Règlement général sur la protection des données, le responsable de traitement prend des mesures appropriées pour protéger les droits et libertés, ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles. S’agissant des personnes qui ne seront pas informées individuellement (femmes n’étant plus ciblées par le dépistage), la Commission relève que des mesures appropriées pour protéger les droits et libertés, ainsi que les intérêts légitimes des personnes concernées seront mises en œuvre, notamment par : la diffusion sur le site web du responsable de traitement (CRCDC-OC) et sur le site web de la Plateforme des données de santé d’une information relative au projet de recherche; la diffusion d’une note d’information par voie d’affichage dans les cabinets de radiologie adhérents au programme ; la publication d’une note d’information dans un journal local. La Commission rappelle que les différents supports d’information relatifs au projet de recherche devront comporter l’ensemble des mentions prévues par le Règlement général sur la protection des données. Sur les modalités d’exercice des droits : La Commission relève que les droits peuvent s’exercer de la manière suivante : par courrier auprès du CRCDC-OC, site du Gard et de la Lozère ; par courriel à l’adresse mail générique créée pour le projet et accessible sur le site web du CRCDC-OC et de la Plateforme des données de santé. lors de la réalisation de l’examen de dépistage. Concernant les données issues du SNDS les demandes d’exercice des droits seront adressées à la CNAM. La Commission relève que le responsable de traitement envisage de restreindre l’exercice des droits des personnes sur la base de données de l’étude en raison de la pseudonymisation des données et de la destruction de la table de correspondance. La Commission rappelle que, conformément aux principes de transparence et de loyauté prévus par l’article 5 du RGPD et comme précisé dans les lignes directrices sur la transparence adoptées par le groupe de travail "Article 29" le 29 novembre 2017, le responsable de traitement doit informer les personnes concernées de toute restriction spécifique applicable à ces droits. La Commission rappelle également que si les personnes concernées fournissent des informations complémentaires permettant leur ré-identification, un tel exercice devra être rendu possible conformément à l’article 11 du RGPD. Concernant l’équipe de chercheurs, utilisateurs de l’espace projet de la Plateforme des données de santé : Les utilisateurs de l’espace projet sont informés de la gestion de leurs comptes et de la traçabilité de leurs activités sur la Plateforme des données de santé lors de la lecture et de la signature des conditions générales d’utilisation (CGU). Ces CGU détaillent les modalités d’exercice des droits relatifs à leurs données à caractère personnel.
Mesures de sécurité (articles 5-1-f et 32 du Règlement général sur la protection des données)	La Commission relève que la sécurité des données de l’espace projet dédié au projet "DEEP-PISTE" dépend essentiellement de la solution technique de la Plateforme des données de santé, qui a fait l’objet d’une analyse globale des risques et des impacts sur la vie privée, suivie d’une homologation le 14 mai 2020 selon le référentiel de sécurité du SNDS pour une durée d’un an incluant une réunion de suivi sous une durée de six mois, qui a eu lieu le 20 novembre 2020. Plus spécifiquement, une analyse d’impact relative à la protection des données a été transmise à la Commission concernant la solution technique de la Plateforme des données de santé, qui correspond à une bulle sécurisée SNDS et qui hébergera à ce titre le projet "DEEP-PISTE". Également, le responsable de traitement a réalisé et transmis à l’appui de la demande d’autorisation une analyse d’impact relative à la protection des données spécifique au projet "DEEP-PISTE" et intégrant les éléments fournis par la Plateforme des données de santé pour sa solution technique 0.9. Une homologation de l’espace projet a ainsi été réalisée par le responsable de traitement le 06 novembre 2020, pour une durée de trois ans sous réserve de la mise en œuvre du plan d’action qu’il a défini. La Commission relève que les données seront pseudonymisées avec des identifiants propres aux phases d’extraction, d’appariement et de mise à disposition sur l’espace projet, et que les transferts de données seront chiffrés. La Commission prend acte que la répartition des rôles et responsabilités entre le responsable de traitement et la Plateforme des données de santé, concernant notamment la sensibilisation des utilisateurs du projet, la surveillance des traces ainsi que la gestion des alertes et des incidents est formalisée par une convention. La Commission rappelle que cette convention doit être conforme à l’article 28 du Règlement général sur la protection des données. En particulier, la Commission relève que le responsable de traitement assurera la surveillance de l’utilisation de l’espace projet à partir des indicateurs fournis par la Plateforme des données de santé, et qu’il mettra en œuvre des mesures de sensibilisation de ses utilisateurs, des procédures de gestion des identités et des habilitations, et des moyens de contrôle des exports de données hors de l’espace projet. Les données exportées feront l’objet de contrôles et d’audits, manuels ou automatiques, par les opérateurs spécialisés de la Plateforme des données de santé. A cet égard, la Commission rappelle que le responsable de traitement doit réaliser une analyse permettant de démontrer que ses processus d’anonymisation respectent les trois critères définis par l’avis n°05/2014 sur les techniques d’anonymisation adoptés par le groupe de l’Article 29 (G29) le 10 avril 2014. A défaut, si ces trois critères ne peuvent être réunis, une étude des risques de ré-identification doit être menée.
Hébergement des données sur la solution technique de la Plateforme des données de santé et absence de transfert en dehors de l’Union européenne	La présente décision ne vaut pas autorisation de transfert de données en dehors de l’Union européenne. La Commission relève que le responsable de traitement envisage le recours aux services d’hébergement d’un prestataire soumis au droit américain, la solution technique de la Plateforme des données de santé étant hébergée par Microsoft (solution AZURE). La Commission estime que le recours à un prestataire soumis au droit américain n’est possible, eu égard à l'arrêt C-311/18 rendu par la CJUE le 16 juillet 2020 et à l'ordonnance n°444937 du Conseil d'Etat du 13 octobre 2020, que si certaines garanties sont apportées. Après instruction, elle estime que des garanties ont, en l’espèce, été apportées.
Durée d’accès aux données	La Commission relève que le responsable de traitement sollicite un accès aux données pendant cinq ans à compter de leur mise à disposition. Elle rappelle que les décisions d’homologation devront être renouvelées, le cas échéant, avant l’expiration du délai, si le projet est toujours en cours.
Publication des résultats	La Commission relève que le responsable de traitement envisage une diffusion des résultats dans des revues nationales ou internationales. Elle rappelle que, lorsque le résultat du traitement de données est rendu public, l’identification directe ou indirecte des personnes concernées doit être impossible, conformément à l’article 68 de la loi "informatique et libertés".
Observations complémentaires	La Commission relève qu’en tant que projet pilote, il est envisagé d’inscrire la base constituée dans le cadre de l’étude au catalogue de la Plateforme des données de santé en vue de la mise à disposition ultérieure des données qu’elle contient. Elle rappelle que cette inscription au catalogue ne pourra être effective qu’après l’entrée en vigueur des dispositions réglementaires encadrant la mise en œuvre du SNDS et sous réserve que la Commission l’autorise. Enfin, la Commission rappelle que la présente autorisation est délivrée sous réserve de la conformité du traitement envisagé aux dispositions règlementaires relatives au SNDS (décret et arrêté notamment) qui seront prochainement publiées pour faire application des dispositions de la loi n° 2019-774 du 24 juillet 2019 relative à l’organisation et à la transformation du système de santé.

La Présidente,

M.-L. Denis