DécisionEn vigueur

Décision DT-2025-005 du 25 avril 2025

Décision DT-2025-005 du 25 avril 2025 autorisant le CENTRE HOSPITALIER UNIVERSITAIRE DE POITIERS à mettre en œuvre un traitement automatisé de données ayant pour finalité la constitution d’un entrepôt de données de santé. (Demande d’autorisation n° 22236583)

Numéro	DT-2025-005
Date	vendredi 25 avril 2025
Nature	Décision
Type d'acte	Autre autorisation
État	En vigueur
Référence	CNILTEXT000051882744

Résumé IA

Le Centre Hospitalier Universitaire de Poitiers a obtenu une autorisation de la CNIL pour mettre en œuvre un entrepôt de données de santé à des fins de recherche, d'études et de pilotage de l'activité. Le traitement, qui repose sur des données pseudonymisées de patients, a été jugé conforme au référentiel applicable, à l'exception de deux exigences de sécurité qui font l'objet d'un examen spécifique. L'autorisation encadre strictement les modalités d'information des personnes concernées, prévoyant des exceptions à l'information individuelle pour les anciens patients et une information systématique pour les patients actuels et futurs.

Texte intégral

La Commission nationale de l’informatique et des libertés,

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu le décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu la décision du 2 janvier 2025 portant délégation de signature du secrétaire général de la Commission nationale de l’informatique et des libertés ;

Saisie d’une demande d’autorisation relative à un traitement de données à caractère personnel dans le domaine de la santé ;

Considérant que ce traitement, dont la finalité présente un caractère d’intérêt public, relève des dispositions de la section 3 du chapitre III du titre II de la loi du 6 janvier 1978 modifiée ;

Considérant que le traitement présente les caractéristiques et répond aux conditions suivantes :

Sur les points de non-conformité au référentiel concerné	Le traitement envisagé est conforme aux dispositions du référentiel "entrepôt de données dans le domaine de la santé", à l’exception de deux exigences de sécurité. En dehors de ces points, qui font l’objet d’un examen spécifique dans la présente autorisation, ce traitement devra respecter le cadre prévu par le référentiel "entrepôt de données dans le domaine de la santé".
Sur la finalité du traitement, sa licéité et les conditions permettant de traiter des données concernant la santé	Le traitement envisagé a pour finalité la constitution d’un entrepôt de données à caractère personnel comprenant notamment des données de santé. Ce dernier a pour finalités : l’utilisation secondaire des données dans le cadre de recherches, d’études, d’évaluations dans le domaine de la santé ; la mise en œuvre, exclusivement à partir des données de l'EDS et par le responsable de traitement : d'études de faisabilité (pré-screening) ; de production d'indicateurs ; de pilotage stratégique de l'activité ; de mise en place ou fonctionnement d'outils d'aide au diagnostic médical ou à la prise en charge ; d’amélioration de la qualité de l'information médicale ou de l’optimisation du codage dans le cadre du programme de médicalisation des systèmes d’information (PMSI). La finalité du traitement est déterminée, explicite et légitime, conformément aux dispositions de l’article 5-1-b) du RGPD.
Sur les données traitées	Les données à caractère personnel de patients pris en charge au sein du CHU de Poitiers et versées dans l’entrepôt sont : les données administratives des patients : identifiant pseudonyme du patient, identifiant pseudonyme du séjour, année de naissance, sexe, date de décès intra-hospitalier, date de décès extra-hospitalier issue des données de l’INSEE ; les données de santé des patients : données du dossier patient informatisé, données biologiques ; les données du PMSI de l’établissement ; les données sur les prescriptions ; les données de réanimation. Ces données seront pseudonymisées avant leur intégration dans l’entrepôt. Le numéro d'inscription au répertoire national d’identification des personnes physiques (NIR) ne sera pas collecté. Aucune donnée relative aux professionnels de santé ne sera collectée. Ces données sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités du traitement, conformément aux dispositions de l’article 5-1-c) du RGPD.
Sur l’information des personnes	S’agissant des patients pris en charge antérieurement à la constitution de l’entrepôt et n’étant plus suivis : En application de l'article 69 de la loi "informatique et libertés" et de l’article 14-5-b) du RGPD, l'obligation d'information individuelle de la personne concernée peut faire l'objet d'exceptions, notamment dans l'hypothèse où la fourniture d'une telle information se révélerait impossible, exigerait des efforts disproportionnés ou compromettrait gravement la réalisation des objectifs du traitement. En pareils cas, le responsable de traitement prend des mesures appropriées pour protéger les droits et libertés, ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles. En l'espèce, il sera fait exception au principe d'information individuelle des patients pris en charge antérieurement à la constitution de l’entrepôt et n’étant plus suivis. Des mesures appropriées seront mises en œuvre, notamment par des communiqués de presse publiés au sein de la presse locale et régionale, par la sollicitation des associations de patients afin qu’ils diffusent la note d’information, par voie d’affichage dans les établissements, sur les réseaux sociaux, ainsi que par la diffusion sur le site web du responsable de traitement, d’une information comportant l’ensemble des mentions prévues par le RGPD. S’agissant des patients toujours suivis et des patients pris en charge postérieurement à la constitution de l’entrepôt : Une note d’information individuelle, comportant l’ensemble des mentions prévues par le RGPD, est remise aux patients et le cas échéant, à leurs représentants légaux, au moment de leur prise en charge. Une note d’information spécifique est également prévue pour les mineurs et majeurs faisant l’objet d’une mesure de protection. S’agissant des utilisateurs de l’entrepôt : Les utilisateurs de l’entrepôt sont informés de la collecte de leurs données au moment de leur connexion et préalablement à l’envoi de l’identifiant et du mot de passe. Les utilisateurs sont informés lors de la connexion à leur compte personnel notamment via les CGU, qui seront accessibles librement sur l’interface d’accès à l’EDS et qui détailleront les conditions de traitement de leurs données ainsi que les modalités d’exercice de leurs droits sur leurs données personnelles. Une information courte renvoyant à la notice du site web est fournie avec le formulaire de demande d’accès préalablement à l’envoi de l’identifiant et du mot de passe. Une information plus détaillée est mise à disposition dans le contrat conclu avec les responsables de traitement. Par ailleurs, le responsable de traitement diffusera sur son site web une information relative à la base de données ainsi que des informations sur les projets de recherches, études et évaluations dans le domaine de la santé menés à partir des données qu’elle contient. Ces documents d’information devront comporter l’ensemble des mentions prévues par le RGPD. L’information relative à la constitution de la base de données ne peut se substituer à l’information individuelle préalable prévue par les dispositions du RGPD et de la loi "informatique et libertés", qui devra être réalisée pour chaque traitement de données réalisé à partir des données de la base.
Sur les droits des personnes	Les droits des personnes s’exerceront auprès du délégué à la protection des données du centre hospitalier universitaire de Poitiers.
Sur les transferts de données	La présente décision ne vaut pas autorisation de transfert de données en dehors de l’Union européenne, vers un pays ne présentant pas un niveau de protection adéquat.
Sur la sécurité des données et la traçabilité des actions	Le responsable de traitement a réalisé et transmis à l’appui de la demande d’autorisation une analyse d’impact relative à la protection des données spécifique à la création de l’EDS, ainsi qu’une comparaison détaillée des mesures de sécurité planifiées ou mises en place dans l’entrepôt avec les exigences de sécurité mentionnées dans le référentiel "entrepôt de données dans le domaine de la santé". La CNIL relève deux écarts aux exigences de sécurité du référentiel : l’inclusion du sexe, de l’année de naissance et de la date de décès dans la base de données principale de l’entrepôt ; l’exportation de données pseudonymisées. S’agissant de l’inclusion du sexe et de l’année de naissance dans la base de données principale de l’entrepôt : Cette non-conformité a été dûment justifiée et compensée par la mise en œuvre de mesures techniques et organisationnelles à l’état de l’art. S’agissant de l’ exportation de données pseudonymisées : Des exportations de données pseudonymisées pourront être mises en œuvre uniquement pour la réalisation d’études multicentriques, uniquement vers des espaces de travail d’EDS conformes au référentiel ou autorisés par la CNIL. Le comité de pilotage de l’entrepôt devra donner un accord exprès et spécifique, tandis que le comité scientifique et éthique s’assurera que le projet ne peut effectivement pas être réalisé dans un espace de l’entrepôt du CHU de Poitiers uniquement et que les principes de minimisation et de proportionnalité des données exportées sont respectés. Il appartiendra également au responsable de traitement de l’entrepôt d’encadrer contractuellement l’exportation en particulier sur la conformité et la sécurité du système recevant les données et sur les finalités de leur traitement par le destinataire. S’agissant du cloisonnement de l’EDS avec le SI Soins : L’alimentation de l’EDS sera réalisée à partir d’une consolidation pseudonymisée des données du dossier patient informatisé, un lac de données ("datalake") situé dans le SI Soins et administré exclusivement par le DIM pour répondre à ses missions (codage PMSI, qualité des soins, vigilances) en appliquant les règles de conservation du DPI. Des procédures automatiques exécutées sur le lac de données versent les données directement dans le SI EDS sous un format adapté et avec un identifiant pseudonyme dédié. Une table de correspondance est conservée dans le lac de données, dans une zone cloisonnée dédiée et avec un accès restreint à une habilitation spécifique du SI Soins. Conformément à l’exigence SEC-HAB-1, différents profils d’habilitation sont prévus afin de gérer les accès aux données en tant que besoin et de façon exclusive. À cet égard, la CNIL recommande d’éviter le cumul de profils par un même administrateur et de veiller à la séparation des rôles entre le système d’information utilisé dans le cadre des soins (SI Soins) et le système d’information de l’EDS (SI EDS). En outre, afin de limiter les risques sur la vie privée des patients, la réidentification de patients à l’aide de la table de correspondance conservée dans le lac de données ne pourra être réalisée que dans le cadre des procédures prévues par le référentiel EDS ou la présente autorisation. D’une part, la CNIL estime que la réidentification en routine de patients ou de séjours individuels ne devra pas être effectuée à partir de l’EDS dans le cadre des missions du DIM liées au codage du PMSI, à la qualité des soins et aux vigilances. Le DIM dispose des outils et données du SI Soins pour remplir ces missions. D’autre part, l’EDS poursuit des finalités de recherche non couvertes par le référentiel et n’entrant pas dans le régime de formalités prévues par la loi "informatique et libertés", qui prévoient la possibilité de réidentifier des patients. La CNIL estime que les traitements relatifs à ces finalités nécessitent des mesures sécurité appropriées. Une procédure de réidentification spécifique a ainsi été définie et sera mise en œuvre uniquement pour les études internes (traitements visés à l’article 65-2° de la loi "informatique et libertés") dans le cas où celles-ci nécessiteraient d’accéder à des données non disponibles dans l’EDS (notamment les dossiers "papier" des patients). Après validation de la demande par le comité scientifique et éthique, une table de correspondance avec les identifiants de prise en charge des patients, portant uniquement sur les participants inclus dans l’étude, pourra être mise à disposition dans un eCRF dédié ; elle sera accessible uniquement à l’investigateur principal ou à la personne spécifiquement habilitée dans le cadre du projet, sans possibilité de téléchargement. Les mesures de sécurité, qui devront être opérationnelles lors de la mise en œuvre du traitement, devront répondre aux exigences prévues par les articles 5,1, f) et 32 du règlement général sur la protection des données compte tenu des risques identifiés par le responsable de traitement. Il appartiendra au responsable de traitement de procéder à une réévaluation régulière des risques pour les personnes concernées et une mise à jour, le cas échéant, de ces mesures de sécurité.

AUTORISE le CENTRE HOSPITALIER UNIVERSITAIRE DE POITIERS à mettre en œuvre le traitement décrit ci-dessus.

Le Directeur de l’accompagnement juridique

Thomas DAUTIEU

Délibérations similaires

DécisionAutorisation de recherche

Décision DR-2026-032 du 25 février 2026 autorisant le CENTRE HOSPITALIER UNIVERSITAIRE D’ANGERS à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur le développement de modèles d’aide à la détection de deux maladies rares, intitulée « PAI ». (Demande d’autorisation n° 925250)

La CNIL autorise le Centre Hospitalier Universitaire d'Angers à mettre en œuvre un traitement de données pour l'étude "PAI", visant à développer des modèles d'aide à la détection de deux maladies rares. L'autorisation est accordée malgré certains écarts à la méthodologie de référence MR-004, notamment concernant le traitement du NIR pour l'appariement des données et les modalités d'information des personnes. La décision impose le respect strict du cadre défini, incluant des mesures de minimisation des données et une documentation sur la réduction progressive du nombre de patients dans l'échantillon.

25/02/2026

DélibérationAutre autorisation

Délibération n° 2026-011 du 12 février 2026 autorisant LIFEN RESEARCH SAS à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la constitution d’un entrepôt de données dans le domaine de la santé, dénommé « LIFEN RESEARCH »

La CNIL autorise LIFEN Research SAS à constituer un entrepôt de données de santé nommé "LIFEN RESEARCH". L'autorisation est accordée sous réserve que la société mette en place une gouvernance stricte pour garantir le caractère d'intérêt public des futurs projets de recherche. Aucune sanction n'est prononcée, mais le traitement doit respecter le référentiel applicable et les mesures de gouvernance doivent être opérationnelles avant son démarrage.

12/02/2026

DélibérationAutre autorisation

Délibération n° 2026-013 du 12 février 2026 portant approbation du code de conduite national porté par l’Alliance du Commerce

La CNIL approuve le code de conduite national porté par l'Alliance du Commerce, destiné aux magasins et enseignes du secteur du commerce de détail de l'équipement de la personne. Ce code, juridiquement contraignant pour ses adhérents, précise les modalités d'application du RGPD pour ce secteur spécifique. Il prévoit un mécanisme de contrôle de sa bonne application par un organisme qui devra obtenir un agrément de la CNIL.

12/02/2026

DélibérationAutre autorisation

Délibération n° 2026-006 du 29 janvier 2026 portant agrément du Comité de surveillance (« Supervisory Committee » ou « COSUP ») en tant qu’organisme de contrôle du code de conduite européen porté par la fédération EUCROF (European Contract Research Organizations Federation).

La CNIL accorde un agrément au Comité de surveillance (COSUP) de la fédération EUCROF en tant qu'organisme de contrôle de son code de conduite européen relatif à la protection des données. Cet agrément, valable pour une durée de cinq ans, fait suite à une demande jugée conforme au référentiel de la CNIL. Il peut être révoqué si le COSUP ne respecte plus les exigences requises pour exercer sa mission de surveillance du respect du code de conduite par les adhérents.

29/01/2026

← Retour aux délibérations

La Commission nationale de l’informatique et des libertés,

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu le décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu la décision du 2 janvier 2025 portant délégation de signature du secrétaire général de la Commission nationale de l’informatique et des libertés ;

Saisie d’une demande d’autorisation relative à un traitement de données à caractère personnel dans le domaine de la santé ;

Considérant que le traitement présente les caractéristiques et répond aux conditions suivantes :

Sur les points de non-conformité au référentiel concerné	Le traitement envisagé est conforme aux dispositions du référentiel "entrepôt de données dans le domaine de la santé", à l’exception de deux exigences de sécurité. En dehors de ces points, qui font l’objet d’un examen spécifique dans la présente autorisation, ce traitement devra respecter le cadre prévu par le référentiel "entrepôt de données dans le domaine de la santé".
Sur la finalité du traitement, sa licéité et les conditions permettant de traiter des données concernant la santé	Le traitement envisagé a pour finalité la constitution d’un entrepôt de données à caractère personnel comprenant notamment des données de santé. Ce dernier a pour finalités : l’utilisation secondaire des données dans le cadre de recherches, d’études, d’évaluations dans le domaine de la santé ; la mise en œuvre, exclusivement à partir des données de l'EDS et par le responsable de traitement : d'études de faisabilité (pré-screening) ; de production d'indicateurs ; de pilotage stratégique de l'activité ; de mise en place ou fonctionnement d'outils d'aide au diagnostic médical ou à la prise en charge ; d’amélioration de la qualité de l'information médicale ou de l’optimisation du codage dans le cadre du programme de médicalisation des systèmes d’information (PMSI). La finalité du traitement est déterminée, explicite et légitime, conformément aux dispositions de l’article 5-1-b) du RGPD.
Sur les données traitées	Les données à caractère personnel de patients pris en charge au sein du CHU de Poitiers et versées dans l’entrepôt sont : les données administratives des patients : identifiant pseudonyme du patient, identifiant pseudonyme du séjour, année de naissance, sexe, date de décès intra-hospitalier, date de décès extra-hospitalier issue des données de l’INSEE ; les données de santé des patients : données du dossier patient informatisé, données biologiques ; les données du PMSI de l’établissement ; les données sur les prescriptions ; les données de réanimation. Ces données seront pseudonymisées avant leur intégration dans l’entrepôt. Le numéro d'inscription au répertoire national d’identification des personnes physiques (NIR) ne sera pas collecté. Aucune donnée relative aux professionnels de santé ne sera collectée. Ces données sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités du traitement, conformément aux dispositions de l’article 5-1-c) du RGPD.
Sur l’information des personnes	S’agissant des patients pris en charge antérieurement à la constitution de l’entrepôt et n’étant plus suivis : En application de l'article 69 de la loi "informatique et libertés" et de l’article 14-5-b) du RGPD, l'obligation d'information individuelle de la personne concernée peut faire l'objet d'exceptions, notamment dans l'hypothèse où la fourniture d'une telle information se révélerait impossible, exigerait des efforts disproportionnés ou compromettrait gravement la réalisation des objectifs du traitement. En pareils cas, le responsable de traitement prend des mesures appropriées pour protéger les droits et libertés, ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles. En l'espèce, il sera fait exception au principe d'information individuelle des patients pris en charge antérieurement à la constitution de l’entrepôt et n’étant plus suivis. Des mesures appropriées seront mises en œuvre, notamment par des communiqués de presse publiés au sein de la presse locale et régionale, par la sollicitation des associations de patients afin qu’ils diffusent la note d’information, par voie d’affichage dans les établissements, sur les réseaux sociaux, ainsi que par la diffusion sur le site web du responsable de traitement, d’une information comportant l’ensemble des mentions prévues par le RGPD. S’agissant des patients toujours suivis et des patients pris en charge postérieurement à la constitution de l’entrepôt : Une note d’information individuelle, comportant l’ensemble des mentions prévues par le RGPD, est remise aux patients et le cas échéant, à leurs représentants légaux, au moment de leur prise en charge. Une note d’information spécifique est également prévue pour les mineurs et majeurs faisant l’objet d’une mesure de protection. S’agissant des utilisateurs de l’entrepôt : Les utilisateurs de l’entrepôt sont informés de la collecte de leurs données au moment de leur connexion et préalablement à l’envoi de l’identifiant et du mot de passe. Les utilisateurs sont informés lors de la connexion à leur compte personnel notamment via les CGU, qui seront accessibles librement sur l’interface d’accès à l’EDS et qui détailleront les conditions de traitement de leurs données ainsi que les modalités d’exercice de leurs droits sur leurs données personnelles. Une information courte renvoyant à la notice du site web est fournie avec le formulaire de demande d’accès préalablement à l’envoi de l’identifiant et du mot de passe. Une information plus détaillée est mise à disposition dans le contrat conclu avec les responsables de traitement. Par ailleurs, le responsable de traitement diffusera sur son site web une information relative à la base de données ainsi que des informations sur les projets de recherches, études et évaluations dans le domaine de la santé menés à partir des données qu’elle contient. Ces documents d’information devront comporter l’ensemble des mentions prévues par le RGPD. L’information relative à la constitution de la base de données ne peut se substituer à l’information individuelle préalable prévue par les dispositions du RGPD et de la loi "informatique et libertés", qui devra être réalisée pour chaque traitement de données réalisé à partir des données de la base.
Sur les droits des personnes	Les droits des personnes s’exerceront auprès du délégué à la protection des données du centre hospitalier universitaire de Poitiers.
Sur les transferts de données	La présente décision ne vaut pas autorisation de transfert de données en dehors de l’Union européenne, vers un pays ne présentant pas un niveau de protection adéquat.
Sur la sécurité des données et la traçabilité des actions	Le responsable de traitement a réalisé et transmis à l’appui de la demande d’autorisation une analyse d’impact relative à la protection des données spécifique à la création de l’EDS, ainsi qu’une comparaison détaillée des mesures de sécurité planifiées ou mises en place dans l’entrepôt avec les exigences de sécurité mentionnées dans le référentiel "entrepôt de données dans le domaine de la santé". La CNIL relève deux écarts aux exigences de sécurité du référentiel : l’inclusion du sexe, de l’année de naissance et de la date de décès dans la base de données principale de l’entrepôt ; l’exportation de données pseudonymisées. S’agissant de l’inclusion du sexe et de l’année de naissance dans la base de données principale de l’entrepôt : Cette non-conformité a été dûment justifiée et compensée par la mise en œuvre de mesures techniques et organisationnelles à l’état de l’art. S’agissant de l’ exportation de données pseudonymisées : Des exportations de données pseudonymisées pourront être mises en œuvre uniquement pour la réalisation d’études multicentriques, uniquement vers des espaces de travail d’EDS conformes au référentiel ou autorisés par la CNIL. Le comité de pilotage de l’entrepôt devra donner un accord exprès et spécifique, tandis que le comité scientifique et éthique s’assurera que le projet ne peut effectivement pas être réalisé dans un espace de l’entrepôt du CHU de Poitiers uniquement et que les principes de minimisation et de proportionnalité des données exportées sont respectés. Il appartiendra également au responsable de traitement de l’entrepôt d’encadrer contractuellement l’exportation en particulier sur la conformité et la sécurité du système recevant les données et sur les finalités de leur traitement par le destinataire. S’agissant du cloisonnement de l’EDS avec le SI Soins : L’alimentation de l’EDS sera réalisée à partir d’une consolidation pseudonymisée des données du dossier patient informatisé, un lac de données ("datalake") situé dans le SI Soins et administré exclusivement par le DIM pour répondre à ses missions (codage PMSI, qualité des soins, vigilances) en appliquant les règles de conservation du DPI. Des procédures automatiques exécutées sur le lac de données versent les données directement dans le SI EDS sous un format adapté et avec un identifiant pseudonyme dédié. Une table de correspondance est conservée dans le lac de données, dans une zone cloisonnée dédiée et avec un accès restreint à une habilitation spécifique du SI Soins. Conformément à l’exigence SEC-HAB-1, différents profils d’habilitation sont prévus afin de gérer les accès aux données en tant que besoin et de façon exclusive. À cet égard, la CNIL recommande d’éviter le cumul de profils par un même administrateur et de veiller à la séparation des rôles entre le système d’information utilisé dans le cadre des soins (SI Soins) et le système d’information de l’EDS (SI EDS). En outre, afin de limiter les risques sur la vie privée des patients, la réidentification de patients à l’aide de la table de correspondance conservée dans le lac de données ne pourra être réalisée que dans le cadre des procédures prévues par le référentiel EDS ou la présente autorisation. D’une part, la CNIL estime que la réidentification en routine de patients ou de séjours individuels ne devra pas être effectuée à partir de l’EDS dans le cadre des missions du DIM liées au codage du PMSI, à la qualité des soins et aux vigilances. Le DIM dispose des outils et données du SI Soins pour remplir ces missions. D’autre part, l’EDS poursuit des finalités de recherche non couvertes par le référentiel et n’entrant pas dans le régime de formalités prévues par la loi "informatique et libertés", qui prévoient la possibilité de réidentifier des patients. La CNIL estime que les traitements relatifs à ces finalités nécessitent des mesures sécurité appropriées. Une procédure de réidentification spécifique a ainsi été définie et sera mise en œuvre uniquement pour les études internes (traitements visés à l’article 65-2° de la loi "informatique et libertés") dans le cas où celles-ci nécessiteraient d’accéder à des données non disponibles dans l’EDS (notamment les dossiers "papier" des patients). Après validation de la demande par le comité scientifique et éthique, une table de correspondance avec les identifiants de prise en charge des patients, portant uniquement sur les participants inclus dans l’étude, pourra être mise à disposition dans un eCRF dédié ; elle sera accessible uniquement à l’investigateur principal ou à la personne spécifiquement habilitée dans le cadre du projet, sans possibilité de téléchargement. Les mesures de sécurité, qui devront être opérationnelles lors de la mise en œuvre du traitement, devront répondre aux exigences prévues par les articles 5,1, f) et 32 du règlement général sur la protection des données compte tenu des risques identifiés par le responsable de traitement. Il appartiendra au responsable de traitement de procéder à une réévaluation régulière des risques pour les personnes concernées et une mise à jour, le cas échéant, de ces mesures de sécurité.

AUTORISE le CENTRE HOSPITALIER UNIVERSITAIRE DE POITIERS à mettre en œuvre le traitement décrit ci-dessus.

Le Directeur de l’accompagnement juridique

Thomas DAUTIEU