Avis 20216441 Séance du 13/01/2022
Communication, de préférence par courrier électronique, d'une copie des documents se rapportant à la délibération n° X du X de la CNIL autorisant la société X à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la constitution d’un entrepôt de données à caractère personnel à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé, dénommé base de données LRX (n° X) :
1) la liste de composition du comité d’audit, mentionné à l’article 77 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, sa fonction en rapport avec l’autorisation de traitement prononcée le X ;
2) les audits, avis, comptes rendus et rapports dudit comité qui ont une relation directe ou indirecte avec les problématiques et enjeux liés aux traitements effectués par l’entreprise X ;
3) les audits et autres documents utiles tels que comptes rendus, rapports et avis réalisés par ce comité, sur l'ensemble des systèmes réunissant, organisant ou mettant à disposition tout ou partie des données du système national des données de santé à des fins de recherche, d'étude ou d'évaluation ainsi que sur les systèmes composant le système national des données de santé, en rapport avec les traitements effectués par l’entreprise X et l'autorisation délivrée par la CNIL ;
4) la liste de composition des comités suivants qui ont été le cas échéant consultés pour la délibération n° X du X ou ont participé, contribué, à la prise de décision d’ autorisation ou ont travaillé sur le thème d'entrepôt de données de santé :
a) le comité compétent de protection des personnes mentionné à l'article L. 1123-6 du code de la santé publique, pour les demandes d'autorisation relatives aux recherches impliquant la personne humaine mentionnées à l'article L. 1121-1 du même code ;
b) le comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé, (et de la recherche) ;
c) le comité d'audit du système national au sens de l’article 77 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
5) les comptes‐rendus, rapports et avis des comités précités, et tous documents utiles produits en relation avec l'entreprise X ou/et la délibération de la CNIL précitée ;
6) les journaux (en référence à la mention présente dans la délibération « La Commission prend acte de ce que le responsable de traitement s’est engagé à conserver les journaux pendant une durée de six mois) ;
7) la liste détaillée des mesures qui sont prévues pour assurer la sécurité du réseau, (en référence à la délibération : « notamment par la mise en œuvre d’une compartimentation de celui-ci) » et tous les documents relatifs à ce sujet précis ;
8) l’architecture et les documents en rapport avec cette architecture dont il est question dans la délibération lorsqu’il est écrit « La Commission relève que la société X s’appuie, entre autres, sur une architecture qui a obtenu un agrément HDS » ;
9) l’agrément HDS ;
10) les documents relatifs à la politique d’authentification définissant les modalités d’authentification des différents types de personnes habilitées, en référence à la délibération « la
Commission prend acte de ce que le responsable de traitement a mis en place une politique d’ authentification définissant les modalités d’authentification des différents types de personnes habilitées » ;
11) la déclaration attestant de la conformité de la part de l’entreprise ;
12) le rapport annuel dressant le bilan du fonctionnement de la base de données LRX et des requêtes réalisées (en référence au texte de la délibération) ;
13) les compositions des comités suivants, en référence à, « prévoit la mise en place une gouvernance reposant sur deux comités ad hoc, un comité opérationnel de la gouvernance des données et un comité stratégique, tous deux chargés d’examiner les projets de recherche ou d’étude des futurs clients de la société au regard de l’intérêt public selon une procédure de validation reposant sur une grille d’analyse préétablie » ;
14) les avis, comptes rendus et rapports de ces comités et tous documents utiles ayant un rapport avec la délibération précitée de la CNIL ou la société X ;
15) la grille d’analyse dont il est question ainsi que la procédure de validation dont il est fait mention ;
16) les documents relatifs aux projets de recherche ou d’étude des futurs clients de la société au regard de l’intérêt public dont il est question.
Monsieur X a saisi la commission d'accès aux documents administratifs, par courrier enregistré à son secrétariat le 11 octobre 2021, à la suite du refus opposé par la présidente de la Commission nationale de l'informatique et des libertés (CNIL) à sa demande de communication, de préférence par courrier électronique, d'une copie des documents se rapportant à la délibération n° X du X de la CNIL autorisant la société X à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la constitution d’un entrepôt de données à caractère personnel à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé, dénommé base de données LRX (n° X) :
1) la liste de composition du comité d’audit, mentionné à l’article 77 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
2) les audits, avis, comptes rendus et rapports dudit comité qui ont une relation directe ou indirecte avec les problématiques et enjeux liés aux traitements effectués par l’entreprise X ;
3) les audits et autres documents utiles tels que comptes rendus, rapports et avis réalisés par ce comité, sur l'ensemble des systèmes réunissant, organisant ou mettant à disposition tout ou partie des données du système national des données de santé à des fins de recherche, d'étude ou d'évaluation ainsi que sur les systèmes composant le système national des données de santé, en rapport avec les traitements effectués par l’entreprise X et l'autorisation délivrée par la CNIL ;
4) la liste de composition des comités suivants qui ont été le cas échéant consultés pour la délibération n° X du X ou ont soit participé, contribué, à la prise de décision d’autorisation soit travaillé sur le thème d'entrepôt de données de santé :
a) le comité compétent de protection des personnes mentionné à l'article L. 1123-6 du code de la santé publique, pour les demandes d'autorisation relatives aux recherches impliquant la personne humaine mentionnées à l'article L1121-1 du même code ;
b) le comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé, (et de la recherche) ;
c) le comité d'audit du système national au sens de l’article 77 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
5) les comptes rendus, rapports et avis des comités précités, et tous documents utiles produits en relation avec l'entreprise X ou/et la délibération de la CNIL précitée ;
6) les journaux (en référence à la mention présente dans la délibération « La Commission prend acte de ce que le responsable de traitement s’est engagé à conserver les journaux pendant une durée de six mois) ;
7) la liste détaillée des mesures qui sont prévues pour assurer la sécurité du réseau, (en référence à la délibération : « notamment par la mise en œuvre d’une compartimentation de celui-ci) » et tous les documents relatifs à ce sujet précis ;
8) l’architecture et les documents en rapport avec cette architecture dont il est question dans la délibération lorsqu’il est écrit « La Commission relève que la société X s’appuie, entre autres, sur une architecture qui a obtenu un agrément HDS » ;
9) l’agrément HDS ;
10) les documents relatifs à la politique d’authentification définissant les modalités d’authentification des différents types de personnes habilitées, en référence à la délibération « la Commission prend acte de ce que le responsable de traitement a mis en place une politique d’authentification définissant les modalités d’authentification des différents types de personnes habilitées » ;
11) la déclaration attestant de la conformité de la part de l’entreprise ;
12) le rapport annuel dressant le bilan du fonctionnement de la base de données LRX et des requêtes réalisées (en référence au texte de la délibération) ;
13) les compositions des comités suivants, en référence à, « prévoit la mise en place une gouvernance reposant sur deux comités ad hoc, un comité opérationnel de la gouvernance des données et un comité stratégique, tous deux chargés d’examiner les projets de recherche ou d’étude des futurs clients de la société au regard de l’intérêt public selon une procédure de validation reposant sur une grille d’analyse préétablie » ;
14) les avis, comptes rendus et rapports de ces comités et tous documents utiles ayant un rapport avec la délibération précitée de la CNIL ou la société X ;
15) la grille d’analyse dont il est question ainsi que la procédure de validation dont il est fait mention ;
16) les documents relatifs aux projets de recherche ou d’étude des futurs clients de la société au regard de l’intérêt public dont il est question.
En l’absence de réponse de la présidente de la Commission nationale de l'informatique et des libertés (CNIL) à la date de sa séance, la commission estime, en premier lieu, que les documents sollicités aux points 1) à 5), s'ils existent, sont communicables à toute personne qui en fait la demande, en application de l'article L311-1 du code des relations entre le public et l'administration, sous réserve le cas échéant, de l'occultation préalable des mentions relevant d'un secret protégé en application des dispositions des articles L311-5 et L311-6 du même code. Elle émet donc, sous cette réserve, un avis favorable sur ces points.
La commission rappelle, en second lieu, qu'il résulte des dispositions du chapitre IV de la loi du 6 janvier 1978 que les documents soumis à la CNIL par les responsables de traitements, dans le cadre des procédures de déclaration ou d'autorisation prévues par cette loi dans sa rédaction en vigueur à la date des traitements concernés, font l'objet d'un régime particulier de communication, défini aux articles 31, 32 et 36 de cette loi, qui échappe au champ d'application du livre III du code des relations entre le public et l’administration. L'article L342-2 de ce code n'ayant pas étendu ses compétences à ce régime (avis n° 20103832, du 14 octobre 2010, de partie II).
La commission, qui relève que la délibération n° X du 12 septembre 2018 autorisant la société X à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la constitution d’un entrepôt de données à caractère personnel à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé, dénommé base de données LRX, a été prise en application des dispositions de l'article 53 de la loi du 6 janvier 1978, dont les dispositions sont désormais à l'article 66 de cette loi, se déclare, en conséquence, incompétente pour se prononcer sur les points 6) à 16) de la demande.