Retour à la section

DÉLIBÉRATION n°2015-175 du 11 juin 2015

Article suivant

Article 1

JORF n°0149 du 30 juin 2015

La Commission nationale de l'informatique et des libertés,
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code de santé publique, notamment ses articles L. 1411-6, L. 1411-7 et L. 6211-1 ;
Vu le code de la sécurité sociale, notamment ses articles L. 321-1 (6°), L.322-3 (16°), R.115-1 et R. 115-2 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 8-IV, 25-I (1°) et 25-II ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret n° 2015-390 du 3 avril 2015 autorisant les traitements de données à caractère personnel par les organismes gestionnaires des régimes obligatoires de base de l'assurance maladie pour l'accomplissement de leurs missions d'affiliation, d'immatriculation, d'instruction des droits aux prestations et de prise en charge des soins, produits et services ;
Vu l'arrêté du 29 septembre 2006 modifié relatif aux programmes de dépistage des cancers ;
Vu l'arrêté du 23 septembre 2014 portant introduction du test immunologique dans le programme de dépistage organisé du cancer colorectal ;
Après avoir entendu M. Alexandre LINDEN, commissaire, en son rapport et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Formule les observations suivantes :
Les programmes nationaux de dépistage organisé du cancer du sein et du cancer colorectal s'inscrivent dans le cadre du Plan cancer mis en place par le Gouvernement afin de réduire la mortalité et la lourdeur des traitements liés à une prise en charge tardive. En application de l'arrêté du 29 septembre 2006 modifié relatif aux programmes de dépistage des cancers, les programmes de dépistage organisé du cancer du sein et du cancer colorectal sont mis en œuvre par des structures de gestion départementales ou interdépartementales qui ont passé une convention avec les représentants de l'Etat et de l'assurance maladie dans leur région.
S'agissant du dépistage organisé du cancer colorectal, les laboratoires de biologie médicale-centres de lecture des examens définis par l'arrêté précité mettent en œuvre une plate-forme électronique dédiée au partage des résultats entre les différents acteurs du dépistage et comportant des données personnelles relatives à la santé des personnes.
Dès lors, de tels traitements intervenant pour une finalité de santé publique relèvent de l'article 25-I (1°) de la loi du 6 janvier 1978 modifiée et doivent, à ce titre, être autorisés par la CNIL.
En vertu de l'article 25-II de la loi du 6 janvier 1978 modifiée, la commission peut autoriser par une décision unique une catégorie de traitements qui répondent aux mêmes finalités, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires.
Les traitements de données à caractère personnel, automatisés ou non, mis en œuvre par les structures de gestion conventionnées aux fins d'exercice de leurs missions dans le cadre du dépistage organisé du cancer colorectal et du cancer du sein peuvent, sous certaines conditions, relever de cette définition.
Les structures de gestion conventionnées qui adressent à la commission une déclaration comportant un engagement de conformité pour les traitements de données à caractère personnel répondant aux conditions fixées par la présente décision unique sont autorisées à les mettre en œuvre.
Tout traitement de données à caractère personnel qui excède le cadre ou méconnaît les exigences définies par la présente autorisation unique doit en revanche faire l'objet d'une demande d'autorisation spécifique.

1 version

Historique des versions

Version 1

La Commission nationale de l'informatique et des libertés,

Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu le code de santé publique, notamment ses articles L. 1411-6, L. 1411-7 et L. 6211-1 ;

Vu le code de la sécurité sociale, notamment ses articles L. 321-1 (6°), L.322-3 (16°), R.115-1 et R. 115-2 ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 8-IV, 25-I (1°) et 25-II ;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu le décret n° 2015-390 du 3 avril 2015 autorisant les traitements de données à caractère personnel par les organismes gestionnaires des régimes obligatoires de base de l'assurance maladie pour l'accomplissement de leurs missions d'affiliation, d'immatriculation, d'instruction des droits aux prestations et de prise en charge des soins, produits et services ;

Vu l'arrêté du 29 septembre 2006 modifié relatif aux programmes de dépistage des cancers ;

Vu l'arrêté du 23 septembre 2014 portant introduction du test immunologique dans le programme de dépistage organisé du cancer colorectal ;

Après avoir entendu M. Alexandre LINDEN, commissaire, en son rapport et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,

Formule les observations suivantes :

Les programmes nationaux de dépistage organisé du cancer du sein et du cancer colorectal s'inscrivent dans le cadre du Plan cancer mis en place par le Gouvernement afin de réduire la mortalité et la lourdeur des traitements liés à une prise en charge tardive. En application de l'arrêté du 29 septembre 2006 modifié relatif aux programmes de dépistage des cancers, les programmes de dépistage organisé du cancer du sein et du cancer colorectal sont mis en œuvre par des structures de gestion départementales ou interdépartementales qui ont passé une convention avec les représentants de l'Etat et de l'assurance maladie dans leur région.

S'agissant du dépistage organisé du cancer colorectal, les laboratoires de biologie médicale-centres de lecture des examens définis par l'arrêté précité mettent en œuvre une plate-forme électronique dédiée au partage des résultats entre les différents acteurs du dépistage et comportant des données personnelles relatives à la santé des personnes.

Dès lors, de tels traitements intervenant pour une finalité de santé publique relèvent de l'article 25-I (1°) de la loi du 6 janvier 1978 modifiée et doivent, à ce titre, être autorisés par la CNIL.

En vertu de l'article 25-II de la loi du 6 janvier 1978 modifiée, la commission peut autoriser par une décision unique une catégorie de traitements qui répondent aux mêmes finalités, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires.

Les traitements de données à caractère personnel, automatisés ou non, mis en œuvre par les structures de gestion conventionnées aux fins d'exercice de leurs missions dans le cadre du dépistage organisé du cancer colorectal et du cancer du sein peuvent, sous certaines conditions, relever de cette définition.

Les structures de gestion conventionnées qui adressent à la commission une déclaration comportant un engagement de conformité pour les traitements de données à caractère personnel répondant aux conditions fixées par la présente décision unique sont autorisées à les mettre en œuvre.

Tout traitement de données à caractère personnel qui excède le cadre ou méconnaît les exigences définies par la présente autorisation unique doit en revanche faire l'objet d'une demande d'autorisation spécifique.