DélibérationEn vigueur

Délibération 2025-062 du 24 juillet 2025

Délibération n° 2025-062 du 24 juillet 2025 autorisant l’Institut Gustave Roussy à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la constitution d’un entrepôt de données de santé, dénommé « INTERCEPTION ». (Demande d’autorisation n° 2235266 V1)

Numéro	2025-062
Date	jeudi 24 juillet 2025
Nature	Délibération
Type d'acte	Autre autorisation
État	En vigueur
Référence	CNILTEXT000052004530

Résumé IA

La CNIL autorise l'Institut Gustave Roussy à mettre en œuvre l'entrepôt de données de santé « INTERCEPTION ». Ce traitement, destiné à la recherche et à la prévention des cancers, est licite car il répond à une mission d'intérêt public. L'autorisation est accordée sous réserve que les futurs projets de recherche utilisant ces données fassent l'objet de formalités propres et que les sous-traitants soient liés par des contrats conformes au RGPD.

Texte intégral

La Commission nationale de l'informatique et des libertés,

Saisie le 19 février 2025 par l’Institut Gustave Roussy d’une demande d’autorisation concernant un traitement automatisé de données à caractère personnel ayant pour finalité la constitution d’un entrepôt de données de santé, dénommé "INTERCEPTION" ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 66 et suivants ;

Vu le dossier et ses compléments ;

Sur la proposition de M. Vincent Lesclous, commissaire, et après avoir entendu les observations de M. Damien Milic, commissaire du Gouvernement,

Formule les observations suivantes :

Sur le responsable de traitement	L’Institut Gustave Roussy est un établissement de santé privé d'intérêt collectif à but non lucratif. L’Institut Gustave Roussy est un Centre de lutte contre le cancer, son statut est issu de l’ordonnance n° 45-2221 du 1^er octobre 1945 modifiée par l’ordonnance n° 2005-406 du 2 mai 2005, et par la loi n° 2009-879 du 21 juillet 2009 portant réforme de l’hôpital et relative aux patients, à la santé et aux territoires, dite "HPST".
Sur les sous-traitants	Plusieurs sous-traitants interviendront dans la mise en œuvre de cet entrepôt : Euris Health Cloud pour l’hébergement de données de santé notamment : mise en œuvre de son infrastructure certifiée ISO 27001, ISO 27701 et HDS (hébergeur de données de santé, au sens de l’article L. 1111-8 du code de la santé publique), dans le cadre de son statut de responsable de la mise en œuvre ; hébergement de la plateforme mutualisée "MyInterception" ; hébergement de l’entrepôt "INTERCEPTION" ; Health Data Trust pour l’appariement des données avec le SNDS à savoir : la gestion des tables de correspondances [numéro d’inscription au répertoire national d’identification des personnes physiques (NIR), date de naissance, sexe, numéro d’accrochage] ; la création des numéros d’accrochage tiers ; la transmission des informations nécessaires à la Caisse nationale de l'assurance maladie (CNAM). Cet acteur ne devra pas effectuer d’autres tâches que l’appariement dans le cadre du traitement de la présente autorisation ; la société CEMKA comme bureau d’études ; les centres investigateurs participants au programme "INTERCEPTION" utilisateurs de la plateforme "MyInterception". Le traitement des données par chacun de ces sous-traitants devra être régi par un contrat ou un acte juridique, conformément à l’article 28 du RGPD.
Sur la finalité du traitement, sa licéité et les conditions permettant de traiter des données concernant la santé	Le traitement envisagé a pour finalité la constitution d’un entrepôt de données de santé, dénommé "INTERCEPTION". Cet entrepôt est destiné notamment à : la centralisation de l’ensemble des données de la cohorte "INTERCEPTION" regroupant les participants vus dans les différents centres "INTERCEPTION" : l’analyse et l’évaluation des objectifs du projet global "INTERCEPTION" à savoir : la diminution de la fréquence des cancers graves ; la réduction du risque de cancer avancé chez les personnes à risque élevé de cancer ; l’élaboration, pour chaque participant, d’un plan personnalisé de prévention, comportant notamment la réalisation d’examens médicaux. La finalité du traitement est déterminée, explicite et légitime, conformément aux dispositions de l’article 5.1.b) du RGPD. Les données contenues dans cet entrepôt ne sauraient, conformément aux dispositions de l’article L. 1461-1 du code de la santé publique (CSP), être exploitées à des fins de promotion des produits de santé en direction des professionnels de santé ou d’établissements de santé, ou à des fins d’exclusion de garanties des contrats d’assurance et de modification de cotisations ou primes d’assurance d’un individu ou d’un groupe d’individus présentant un même risque. De même, la CNIL rappelle l’interdiction de constituer et d’utiliser à des fins de prospection ou de promotion commerciales des fichiers composés à partir des données issues directement ou indirectement des prescriptions médicales, dès lors que ces fichiers permettent d’identifier directement ou indirectement le prescripteur (article L. 4113-7 du CSP). Le traitement mis en œuvre par le responsable de traitement est nécessaire aux fins d’exécution de la mission d’intérêt public qu’il poursuit. Ce traitement est licite au regard de l’article 6.1.e) du RGPD et remplit des conditions permettant le traitement des données concernant la santé au regard des dispositions de l’articles 9-2-j) du RGPD et 44-3° de la loi "informatique et libertés" modifiée. Les utilisations futures des données contenues dans cet entrepôt s’inscriront dans le cadre des dispositions des articles 66, 72 et suivants de la loi "informatique et libertés", qui imposent que chaque projet de recherche, étude ou évaluation soit justifié par l’intérêt public. Ces traitements devront faire l’objet de formalités propres.
Sur les points de non-conformité au référentiel concerné	Le dossier de demande mentionne que le traitement envisagé est conforme aux dispositions du référentiel "entrepôt de données dans le domaine de la santé", à l’exception : de la nature des données traitées (appariement des données cliniques avec les données du SNDS) ; de certaines mesures de sécurité. En dehors de ces points, qui font l’objet d’un examen spécifique dans la présente autorisation, ce traitement devra respecter le cadre prévu par ce référentiel.
Sur les données traitées et les modalités d’appariement	Cet entrepôt sera alimenté par des données à caractère personnel issues : de la plateforme "MyInterception" mutualisée et utilisée par l’ensemble des centres participants au programme "INTERCEPTION" ; du SNDS, pour les personnes incluses dans le programme "INTERCEPTION". Les données issues du programme "INTERCEPTION" sont : Concernant les données des patients : l’âge ; des données de santé ; des données génétiques ; des données relatives à la qualité de vie. Concernant les données des professionnels de santé : nom ; prénom ; coordonnées électroniques ; titres et fonctions ; numéro RPPS ; lieu d’activité professionnelle. Concernant les données issues du SNDS : Les données du programme "INTERCEPTION" seront appariées avec certaines données du SNDS provenant : du Système national d’information inter-régimes de l’Assurance maladie (SNIIRAM) ; du Programme de médicalisation des systèmes d’information (PMSI) ; du Centre d’épidémiologie sur les causes médicales de décès (CépiDC). Sur l’appariement des données du programme "INTERCEPTION" et des données du SNDS dans le cadre de l’entrepôt "INTERCEPTION" : Les données feront l'objet d'un rapprochement avec les données issues du SNDS par l’utilisation du numéro d’inscription au répertoire national d’identification des personnes physiques (NIR). L’appariement déterministe devra respecter les principes de circulation du NIR aux fins d’appariement de données avec le SNDS (circuit multi-centres/eCRF avec NIR ou, à défaut, le Vademecum) et le référentiel de sécurité SNDS. Ces données devront être pseudonymisées avant leur intégration dans l’entrepôt. Ces données sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités du traitement, conformément aux dispositions de l’article 5.1.c) du RGPD. Les données contenues dans cet entrepôt ne sauraient, conformément aux dispositions de l’article L. 1461-1 du code de la santé publique (CSP), être exploitées à des fins de promotion des produits de santé en direction des professionnels de santé ou d’établissements de santé, ou à des fins d’exclusion de garanties des contrats d’assurance et de modification de cotisations ou primes d’assurance d’un individu ou d’un groupe d’individus présentant un même risque. De même, la Commission rappelle l’interdiction de constituer et d’utiliser à des fins de prospection ou de promotion commerciales des fichiers composés à partir des données issues directement ou indirectement des prescriptions médicales, dès lors que ces fichiers permettent d’identifier directement ou indirectement le prescripteur (article L. 4113-7 du CSP).
Sur la durée de conservation des données	Les données MyInterception versées dans l’entrepôt englobent toute la profondeur historique disponible dans cette base. Elles y seront conservées pendant 20 ans à compter de la dernière saisie de données concernant le patient dans la base source MyInterception. Ces données seront enrichies par des données du SNDS avec une profondeur historique de 20 ans. L’entrepôt sera alimenté semestriellement en fenêtre glissante : chaque semestre les données du SNDS les plus récentes seront versées dans l’entrepôt, au sein de la bulle sécurisée, et les données du SNDS correspondant au semestre le plus ancien devront être supprimées afin de conserver une profondeur historique ne dépassant pas 20 ans. Ces durées de conservation des données n’excèdent pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées, conformément aux dispositions de l’article 5.1.e) du RGPD.
Sur l’information et le droit d’accès	S’agissant des patients : Une note d’information individuelle, comportant l’ensemble des mentions prévues par le RGPD, sera adressée aux patients par voie postale, via une application patient sécurisée ou directement en consultation. S’agissant des professionnels de santé : Les professionnels dont les données sont versées dans l’entrepôt recevront une note d’information individuelle, comportant l’ensemble des mentions prévues par le RGPD. Cette note leur sera adressée par l’équipe administrant l’entrepôt au moment de la création du compte du professionnel accédant à l’entrepôt. Par ailleurs, le responsable de traitement diffusera sur son site web une information relative à la base de données ainsi que des informations sur les projets de recherches, études et évaluations dans le domaine de la santé menés à partir des données qu’elle contient. Ces documents d’information devront comporter l’ensemble des mentions prévues par le RGPD. L’information relative à la constitution de l’entrepôt ne peut se substituer à l’information individuelle prévue par le RGPD et la loi "informatique et libertés" pour la mise en œuvre de recherches, études et évaluations ultérieures. Ces modalités d’information sont conformes au principe de transparence et aux exigences d’information prévues par les articles 12 et suivants du RGPD. Les droits des personnes s’exerceront : auprès du délégué à la protection des données de l’Institut Gustave Roussy ; sur le site web de l’entrepôt à partir de la page dédiée à l’information relative à l’entrepôt "INTERCEPTION" ; sur l’application MyInterception ; par contact direct auprès du médecin ayant inclus le patient dans le programme "NTERCEPTION".
Sur la transparence du traitement	L’article L. 1461-3 du CSP subordonne l’accès aux données du SNDS et de ses composantes à la communication à la Plateforme des données de santé (PDS) de plusieurs éléments par les responsables de traitement, avant et après la réalisation des études. Les projets de recherche, d’étude ou d’évaluation réalisés à partir des données de l’entrepôt "INTERCEPTION" devront être enregistrés au sein du répertoire public de la PDS. La CNIL prend par ailleurs acte de l’engagement de l’Institut Gustave Roussy d’inscrire l’entrepôt au sein du répertoire public de la PDS. Elle demande enfin que lui soit communiqué tous les trois ans un rapport sur le fonctionnement de l’entrepôt et sur les recherches réalisées à partir des données qu’il contient.
Sur les mesures de sécurité	Le responsable de traitement a réalisé et transmis à l’appui de la demande d’autorisation une analyse d’impact relative à la protection des données spécifique à la création de l’entrepôt. Les mesures de sécurité prévues par le responsable de traitement visent à garantir la conformité de l’entrepôt aux exigences de sécurité mentionnées dans le référentiel "entrepôts de données dans le domaine de la santé". Une homologation de la bulle sécurisée du prestataire en charge de l’hébergement des données, Euris Health Cloud, a été réalisée par l’autorité d’homologation le 20 septembre 2024, conformément au référentiel de sécurité applicable au SNDS prévu par l'arrêté du 6 mai 2024. Cette décision d’homologation est valable jusqu’au 20 septembre 2027 et devra donc être renouvelée avant cette date, si le traitement devait se poursuivre au-delà de cette échéance. A cet égard, de façon à assurer le cloisonnement effectif entre les données de la cohorte "MyInterception" (nominatives avec le NIR) et les données de l’EDS apparié au SNDS, ces deux systèmes devront disposer d’une enclave distincte et d’une administration technique par des équipes distinctes, selon un principe de séparation des rôles et des tâches. De même, le tiers en charge de l’appariement SNDS, Health Data Trust, dispose d’une infrastructure autonome et d’outils distincts de ceux de l’EDS et de la base source "MyInterception". Au regard de la volumétrie et de la sensibilité des données traitées, la pseudonymisation des données de santé devra s’effectuer dans un environnement d’intégration comprenant des mesures de sécurité techniques et organisationnelles renforcées, notamment en garantissant un cloisonnement réseau, cryptographique et système spécifique à l’environnement d’intégration, par rapport au reste de l’entrepôt de données de santé. Les identifiants pseudonymes de l’entrepôt devront être générés, conformément aux dispositions du référentiel de sécurité SNDS, prévu par l'arrêté du 6 mai 2024 et aux exigences du référentiel "entrepôt de données dans le domaine de la santé", par une fonction de hachage cryptographique avec secret résistante aux attaques par force brute ou un générateur de nombres pseudo-aléatoires cryptographiquement sûr. La procédure de pseudonymisation pour l’alimentation de la base centrale et des espaces projet d’une part, et la procédure de ré-identification d’autre part, devront donc être modifiées afin d’être conformes à ces deux référentiels. Les mesures de sécurité, qui devront être opérationnelles lors de la mise en œuvre du traitement, devront répondre aux exigences prévues par les articles 5.1.f) et 32 du RGPD compte tenu des risques identifiés par le responsable de traitement. Il appartiendra au responsable de traitement de procéder à une réévaluation régulière des risques pour les personnes concernées et une mise à jour, le cas échéant, de ces mesures de sécurité.

Autorise, conformément à la présente délibération, l’Institut Gustave Roussy à mettre en œuvre le traitement susmentionné pendant 19 ans plus l’année en cours.

La présidente,

M.-L. Denis

Délibérations similaires

DélibérationAvis

Délibération n° 2026-026 du 19 mars 2026 portant avis sur un projet de traitement à des fins de recherche scientifique relatif à la mise en oeuvre d’une analyse discursive et interactionnelle en intervention précoce en psychiatrie

L'Université de Montpellier Paul-Valéry a sollicité un avis de la CNIL sur un projet de recherche en psychiatrie impliquant le traitement de données sensibles. La Commission a émis un avis favorable, assorti de recommandations pour atténuer les risques de réidentification, notamment par la pseudonymisation et la suppression des données non pertinentes après analyse. Elle rappelle également l'obligation d'informer les personnes concernées et de vérifier l'application de la dérogation prévue pour la recherche scientifique.

19/03/2026

DélibérationDisposition interne CNIL

Délibération n° HABS-2026-001 du 19 mars 2026 habilitant des agents de la Commission nationale de l’informatique et des libertés à établir un rapport en application du cinquième alinéa de l'article 22-1 de la loi n° 78-17 du 6 janvier 1978 modifiée

La CNIL, en tant qu'organisme concerné, a adopté une délibération interne portant habilitation. Cette décision vise à habiliter vingt-cinq agents spécifiques de sa direction des contrôles et des sanctions à établir des rapports dans le cadre de ses pouvoirs de contrôle. Les habilitations sont accordées pour une durée de cinq ans et remplacent une précédente délibération. Aucune sanction n'est mentionnée, cette délibération étant un acte d'organisation interne de l'autorité.

19/03/2026

DélibérationAvis

Délibération n° 2026-023 du 12 mars 2026 portant avis sur un projet de loi renforçant la sécurité du quotidien

La CNIL émet un avis sur un projet de loi du ministère de l'Intérieur visant à renforcer la sécurité du quotidien. Elle relève plusieurs manquements ou risques concernant l'élargissement de l'usage des caméras individuelles à des acteurs privés, l'expérimentation prolongée de traitements algorithmiques sur vidéosurveillance et drones, et la généralisation des dispositifs LAPI avec des durées de conservation allongées. La Commission souligne la nécessité de strictes limites, d'un meilleur encadrement et du respect du principe de proportionnalité pour ces dispositifs intrusifs, afin de protéger les libertés individuelles.

12/03/2026

DélibérationAvis

Délibération n° 2026-019 du 05 mars 2026 portant avis sur un projet de traitement à des fins de recherche scientifique dont l’objectif est d’étudier l’état du droit de la filiation procréative des personnes transgenres (PROTRANS)

L'Université Lumière Lyon 2 a sollicité un avis de la CNIL pour un projet de recherche scientifique sur la filiation procréative des personnes transgenres, impliquant le traitement de données sensibles. La CNIL émet un avis favorable mais formule des recommandations, notamment sur la nécessité de clarifier la répartition des responsabilités entre les universités co-responsables du traitement. Elle souligne également les risques de collecte incidente de données lors des entretiens et de réidentification des personnes, en raison du faible nombre de participants et de la collecte d'informations telles que la commune de naissance dans les décisions de justice.

05/03/2026

← Retour aux délibérations

Délibération 2025-062 du 24 juillet 2025

La Commission nationale de l'informatique et des libertés,

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 66 et suivants ;

Vu le dossier et ses compléments ;

Sur la proposition de M. Vincent Lesclous, commissaire, et après avoir entendu les observations de M. Damien Milic, commissaire du Gouvernement,

Formule les observations suivantes :

Sur le responsable de traitement	L’Institut Gustave Roussy est un établissement de santé privé d'intérêt collectif à but non lucratif. L’Institut Gustave Roussy est un Centre de lutte contre le cancer, son statut est issu de l’ordonnance n° 45-2221 du 1^er octobre 1945 modifiée par l’ordonnance n° 2005-406 du 2 mai 2005, et par la loi n° 2009-879 du 21 juillet 2009 portant réforme de l’hôpital et relative aux patients, à la santé et aux territoires, dite "HPST".
Sur les sous-traitants	Plusieurs sous-traitants interviendront dans la mise en œuvre de cet entrepôt : Euris Health Cloud pour l’hébergement de données de santé notamment : mise en œuvre de son infrastructure certifiée ISO 27001, ISO 27701 et HDS (hébergeur de données de santé, au sens de l’article L. 1111-8 du code de la santé publique), dans le cadre de son statut de responsable de la mise en œuvre ; hébergement de la plateforme mutualisée "MyInterception" ; hébergement de l’entrepôt "INTERCEPTION" ; Health Data Trust pour l’appariement des données avec le SNDS à savoir : la gestion des tables de correspondances [numéro d’inscription au répertoire national d’identification des personnes physiques (NIR), date de naissance, sexe, numéro d’accrochage] ; la création des numéros d’accrochage tiers ; la transmission des informations nécessaires à la Caisse nationale de l'assurance maladie (CNAM). Cet acteur ne devra pas effectuer d’autres tâches que l’appariement dans le cadre du traitement de la présente autorisation ; la société CEMKA comme bureau d’études ; les centres investigateurs participants au programme "INTERCEPTION" utilisateurs de la plateforme "MyInterception". Le traitement des données par chacun de ces sous-traitants devra être régi par un contrat ou un acte juridique, conformément à l’article 28 du RGPD.
Sur la finalité du traitement, sa licéité et les conditions permettant de traiter des données concernant la santé	Le traitement envisagé a pour finalité la constitution d’un entrepôt de données de santé, dénommé "INTERCEPTION". Cet entrepôt est destiné notamment à : la centralisation de l’ensemble des données de la cohorte "INTERCEPTION" regroupant les participants vus dans les différents centres "INTERCEPTION" : l’analyse et l’évaluation des objectifs du projet global "INTERCEPTION" à savoir : la diminution de la fréquence des cancers graves ; la réduction du risque de cancer avancé chez les personnes à risque élevé de cancer ; l’élaboration, pour chaque participant, d’un plan personnalisé de prévention, comportant notamment la réalisation d’examens médicaux. La finalité du traitement est déterminée, explicite et légitime, conformément aux dispositions de l’article 5.1.b) du RGPD. Les données contenues dans cet entrepôt ne sauraient, conformément aux dispositions de l’article L. 1461-1 du code de la santé publique (CSP), être exploitées à des fins de promotion des produits de santé en direction des professionnels de santé ou d’établissements de santé, ou à des fins d’exclusion de garanties des contrats d’assurance et de modification de cotisations ou primes d’assurance d’un individu ou d’un groupe d’individus présentant un même risque. De même, la CNIL rappelle l’interdiction de constituer et d’utiliser à des fins de prospection ou de promotion commerciales des fichiers composés à partir des données issues directement ou indirectement des prescriptions médicales, dès lors que ces fichiers permettent d’identifier directement ou indirectement le prescripteur (article L. 4113-7 du CSP). Le traitement mis en œuvre par le responsable de traitement est nécessaire aux fins d’exécution de la mission d’intérêt public qu’il poursuit. Ce traitement est licite au regard de l’article 6.1.e) du RGPD et remplit des conditions permettant le traitement des données concernant la santé au regard des dispositions de l’articles 9-2-j) du RGPD et 44-3° de la loi "informatique et libertés" modifiée. Les utilisations futures des données contenues dans cet entrepôt s’inscriront dans le cadre des dispositions des articles 66, 72 et suivants de la loi "informatique et libertés", qui imposent que chaque projet de recherche, étude ou évaluation soit justifié par l’intérêt public. Ces traitements devront faire l’objet de formalités propres.
Sur les points de non-conformité au référentiel concerné	Le dossier de demande mentionne que le traitement envisagé est conforme aux dispositions du référentiel "entrepôt de données dans le domaine de la santé", à l’exception : de la nature des données traitées (appariement des données cliniques avec les données du SNDS) ; de certaines mesures de sécurité. En dehors de ces points, qui font l’objet d’un examen spécifique dans la présente autorisation, ce traitement devra respecter le cadre prévu par ce référentiel.
Sur les données traitées et les modalités d’appariement	Cet entrepôt sera alimenté par des données à caractère personnel issues : de la plateforme "MyInterception" mutualisée et utilisée par l’ensemble des centres participants au programme "INTERCEPTION" ; du SNDS, pour les personnes incluses dans le programme "INTERCEPTION". Les données issues du programme "INTERCEPTION" sont : Concernant les données des patients : l’âge ; des données de santé ; des données génétiques ; des données relatives à la qualité de vie. Concernant les données des professionnels de santé : nom ; prénom ; coordonnées électroniques ; titres et fonctions ; numéro RPPS ; lieu d’activité professionnelle. Concernant les données issues du SNDS : Les données du programme "INTERCEPTION" seront appariées avec certaines données du SNDS provenant : du Système national d’information inter-régimes de l’Assurance maladie (SNIIRAM) ; du Programme de médicalisation des systèmes d’information (PMSI) ; du Centre d’épidémiologie sur les causes médicales de décès (CépiDC). Sur l’appariement des données du programme "INTERCEPTION" et des données du SNDS dans le cadre de l’entrepôt "INTERCEPTION" : Les données feront l'objet d'un rapprochement avec les données issues du SNDS par l’utilisation du numéro d’inscription au répertoire national d’identification des personnes physiques (NIR). L’appariement déterministe devra respecter les principes de circulation du NIR aux fins d’appariement de données avec le SNDS (circuit multi-centres/eCRF avec NIR ou, à défaut, le Vademecum) et le référentiel de sécurité SNDS. Ces données devront être pseudonymisées avant leur intégration dans l’entrepôt. Ces données sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités du traitement, conformément aux dispositions de l’article 5.1.c) du RGPD. Les données contenues dans cet entrepôt ne sauraient, conformément aux dispositions de l’article L. 1461-1 du code de la santé publique (CSP), être exploitées à des fins de promotion des produits de santé en direction des professionnels de santé ou d’établissements de santé, ou à des fins d’exclusion de garanties des contrats d’assurance et de modification de cotisations ou primes d’assurance d’un individu ou d’un groupe d’individus présentant un même risque. De même, la Commission rappelle l’interdiction de constituer et d’utiliser à des fins de prospection ou de promotion commerciales des fichiers composés à partir des données issues directement ou indirectement des prescriptions médicales, dès lors que ces fichiers permettent d’identifier directement ou indirectement le prescripteur (article L. 4113-7 du CSP).
Sur la durée de conservation des données	Les données MyInterception versées dans l’entrepôt englobent toute la profondeur historique disponible dans cette base. Elles y seront conservées pendant 20 ans à compter de la dernière saisie de données concernant le patient dans la base source MyInterception. Ces données seront enrichies par des données du SNDS avec une profondeur historique de 20 ans. L’entrepôt sera alimenté semestriellement en fenêtre glissante : chaque semestre les données du SNDS les plus récentes seront versées dans l’entrepôt, au sein de la bulle sécurisée, et les données du SNDS correspondant au semestre le plus ancien devront être supprimées afin de conserver une profondeur historique ne dépassant pas 20 ans. Ces durées de conservation des données n’excèdent pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées, conformément aux dispositions de l’article 5.1.e) du RGPD.
Sur l’information et le droit d’accès	S’agissant des patients : Une note d’information individuelle, comportant l’ensemble des mentions prévues par le RGPD, sera adressée aux patients par voie postale, via une application patient sécurisée ou directement en consultation. S’agissant des professionnels de santé : Les professionnels dont les données sont versées dans l’entrepôt recevront une note d’information individuelle, comportant l’ensemble des mentions prévues par le RGPD. Cette note leur sera adressée par l’équipe administrant l’entrepôt au moment de la création du compte du professionnel accédant à l’entrepôt. Par ailleurs, le responsable de traitement diffusera sur son site web une information relative à la base de données ainsi que des informations sur les projets de recherches, études et évaluations dans le domaine de la santé menés à partir des données qu’elle contient. Ces documents d’information devront comporter l’ensemble des mentions prévues par le RGPD. L’information relative à la constitution de l’entrepôt ne peut se substituer à l’information individuelle prévue par le RGPD et la loi "informatique et libertés" pour la mise en œuvre de recherches, études et évaluations ultérieures. Ces modalités d’information sont conformes au principe de transparence et aux exigences d’information prévues par les articles 12 et suivants du RGPD. Les droits des personnes s’exerceront : auprès du délégué à la protection des données de l’Institut Gustave Roussy ; sur le site web de l’entrepôt à partir de la page dédiée à l’information relative à l’entrepôt "INTERCEPTION" ; sur l’application MyInterception ; par contact direct auprès du médecin ayant inclus le patient dans le programme "NTERCEPTION".
Sur la transparence du traitement	L’article L. 1461-3 du CSP subordonne l’accès aux données du SNDS et de ses composantes à la communication à la Plateforme des données de santé (PDS) de plusieurs éléments par les responsables de traitement, avant et après la réalisation des études. Les projets de recherche, d’étude ou d’évaluation réalisés à partir des données de l’entrepôt "INTERCEPTION" devront être enregistrés au sein du répertoire public de la PDS. La CNIL prend par ailleurs acte de l’engagement de l’Institut Gustave Roussy d’inscrire l’entrepôt au sein du répertoire public de la PDS. Elle demande enfin que lui soit communiqué tous les trois ans un rapport sur le fonctionnement de l’entrepôt et sur les recherches réalisées à partir des données qu’il contient.
Sur les mesures de sécurité	Le responsable de traitement a réalisé et transmis à l’appui de la demande d’autorisation une analyse d’impact relative à la protection des données spécifique à la création de l’entrepôt. Les mesures de sécurité prévues par le responsable de traitement visent à garantir la conformité de l’entrepôt aux exigences de sécurité mentionnées dans le référentiel "entrepôts de données dans le domaine de la santé". Une homologation de la bulle sécurisée du prestataire en charge de l’hébergement des données, Euris Health Cloud, a été réalisée par l’autorité d’homologation le 20 septembre 2024, conformément au référentiel de sécurité applicable au SNDS prévu par l'arrêté du 6 mai 2024. Cette décision d’homologation est valable jusqu’au 20 septembre 2027 et devra donc être renouvelée avant cette date, si le traitement devait se poursuivre au-delà de cette échéance. A cet égard, de façon à assurer le cloisonnement effectif entre les données de la cohorte "MyInterception" (nominatives avec le NIR) et les données de l’EDS apparié au SNDS, ces deux systèmes devront disposer d’une enclave distincte et d’une administration technique par des équipes distinctes, selon un principe de séparation des rôles et des tâches. De même, le tiers en charge de l’appariement SNDS, Health Data Trust, dispose d’une infrastructure autonome et d’outils distincts de ceux de l’EDS et de la base source "MyInterception". Au regard de la volumétrie et de la sensibilité des données traitées, la pseudonymisation des données de santé devra s’effectuer dans un environnement d’intégration comprenant des mesures de sécurité techniques et organisationnelles renforcées, notamment en garantissant un cloisonnement réseau, cryptographique et système spécifique à l’environnement d’intégration, par rapport au reste de l’entrepôt de données de santé. Les identifiants pseudonymes de l’entrepôt devront être générés, conformément aux dispositions du référentiel de sécurité SNDS, prévu par l'arrêté du 6 mai 2024 et aux exigences du référentiel "entrepôt de données dans le domaine de la santé", par une fonction de hachage cryptographique avec secret résistante aux attaques par force brute ou un générateur de nombres pseudo-aléatoires cryptographiquement sûr. La procédure de pseudonymisation pour l’alimentation de la base centrale et des espaces projet d’une part, et la procédure de ré-identification d’autre part, devront donc être modifiées afin d’être conformes à ces deux référentiels. Les mesures de sécurité, qui devront être opérationnelles lors de la mise en œuvre du traitement, devront répondre aux exigences prévues par les articles 5.1.f) et 32 du RGPD compte tenu des risques identifiés par le responsable de traitement. Il appartiendra au responsable de traitement de procéder à une réévaluation régulière des risques pour les personnes concernées et une mise à jour, le cas échéant, de ces mesures de sécurité.

Autorise, conformément à la présente délibération, l’Institut Gustave Roussy à mettre en œuvre le traitement susmentionné pendant 19 ans plus l’année en cours.

La présidente,

M.-L. Denis