- Administratif
- Toute la matière
- > Acte
- > Collectivité territoriale
- > Compétence
- > Contrat et marché
- > Droit économique
- > Droit fondamental et liberté publique
- > Election
- > Environnement
- > Finance et fiscalité
- > Fonction publique
- > Police
- > Pouvoir public
- > Procédure contentieuse
- > Responsabilité
- > Service public
- > Urbanisme
- Affaires
- Civil
- Toute la matière
- > Arbitrage - Médiation - Conciliation
- > Bien - Propriété
- > Contrat et obligations
- > Droit et liberté fondamentaux
- > Droit international et communautaire
- > Famille - Personne
- > Filiation
- > Mariage - Divorce - Couple
- > Procédure civile
- > Responsabilité
- > Succession - Libéralité
- > Sûretés
- > Voie d'exécution
- Européen
- Immobilier
- IP/IT et Communication
- Pénal
- Toute la matière
- > Atteinte à l'autorité de l'état
- > Atteinte à la personne
- > Atteinte aux biens
- > Circulation et transport
- > Criminalité organisée et terrorisme
- > Droit pénal des affaires
- > Droit pénal général
- > Droit pénal international
- > Droit social
- > Enquête
- > Environnement et urbanisme
- > Etranger
- > Informatique
- > Instruction
- > Jugement
- > Mineur
- > Peine et exécution des peines
- > Presse et communication
- > Santé publique
- Social
- Toute la matière
- > Accident, maladie et maternité
- > Contrat de travail
- > Contrôle et contentieux
- > Droit de la sécurité sociale
- > Grève
- > Hygiène - Sécurité - Conditions de travail
- > IRP et syndicat professionnel
- > Négociation collective
- > Protection sociale
- > Rémunération
- > Rupture du contrat de travail
- > Santé publique
- > Travailleurs handicapés
- Avocat
Article
Panorama rapide de l’actualité « Technologies de l’information » de la semaine du 10 mars 2025
Panorama rapide de l’actualité « Technologies de l’information » de la semaine du 10 mars 2025
Sélection de l’actualité « Technologies de l’information » marquante de la semaine du 10 mars.
Données personnelles
Retour sur l’hébergement de Health Data Hub et toujours pas de souveraineté numérique !
-
Le 13 février 2025, par deux délibérations, la CNIL a autorisé l’Agence européenne des médicaments (EMA) à mettre en œuvre des traitements automatisés de données personnelles dans le cadre du projet DARWIN EU. Ces traitements visent plus précisément à estimer, d’une part, la prévalence et l’incidence des pathologies dans la population française (Délib. n° 2025-014), et d’autre part, l’utilisation des médicaments et vaccins (Délib. n° 2025-013).
Le réseau DARWIN EU (« Data Analysis and Real-World Interrogation Network »), coordonné par l’EMA, repose sur un centre de coordination basé aux Pays-Bas et des « partenaires de données » issus de différents pays européens disposant de données issues des hôpitaux, registres, remboursements ou biobanques. S’agissant plus précisément de la France, le « partenaire de données » est le groupement d’intérêt public « Plateforme des données de santé » (PDS) qui est susceptible de traiter des données du Système national des données de santé (SNDS) pour les besoins des études du réseau DARWIN.
La CNIL se prononce sur l’hébergement des données de santé d’une part et sur les conditions de traitement de ces données d’autre part.
S’agissant de l’hébergement des données se pose la question de la souveraineté numérique de la France et manifestement rien n’a évolué depuis sa dernière décision (Délib. du 21 déc. 2023 : la CNIL a autorisé le projet « EMC2 » : Panorama rapide de l’actualité « Technologies de l’information » de la semaine du 29 janv. 2024, Dalloz actualité, 6 févr. 2024, obs. M. Clément-Fontaine et Twelve Avocatsqui avait fait l’objet d’un recours devant le Conseil d’Etat : v. CE 18 nov. 2024, n° 472912, A, Panorama rapide de l’actualité « Technologies de l’information » du 18 nov. 2024, Dalloz actualité, 28 nov. 2024, obs. M. Clément-Fontaine et Twelve Avocats). La PDS a choisi Microsoft Ireland Operations, ce qui suscite des préoccupations quant au risque d’accès par les autorités américaines. La CNIL a néanmoins jugé que les garanties mises en place, notamment la certification « hébergeur de données de santé » et l’encadrement par des clauses contractuelles types, étaient suffisantes. Elle déplore toutefois l’absence d’une solution d’hébergement souveraine pour les données du SNDS.
Concernant les conditions de traitement, l’EMA agit en tant que responsable de traitement, tandis que la PDS intervient comme sous-traitant pour la mise en forme et l’analyse des données. Conformément à la loi « Informatique et Libertés » et au RGPD, ces traitements s’inscrivent dans une finalité d’intérêt public, justifiant l’accès aux données de santé sensibles.
La CNIL a imposé des garanties strictes, notamment la pseudonymisation des données et la limitation des accès aux seules personnes habilitées. En matière de sécurité, les traitements doivent également respecter le référentiel de sécurité applicable aux données du SNDS. Les données brutes seront extraites du portail de la Caisse nationale de l’assurance maladie, traitées et anonymisées avant d’être stockées temporairement par la PDS. La CNIL a exigé que les données soient supprimées dans un délai maximal de trois mois après leur transformation en format OMOP-CDM (« Observational Medical Outcome Partnership – Common Data Model ») permettant leur interopérabilité à...
