La Commission nationale de l'informatique et des libertés,
Saisie par le groupement d’intérêt public " Plateforme des données de santé " (GIP PDS) d’une demande d’autorisation concernant un traitement automatisé de données à caractère personnel ayant pour finalité la constitution d’un entrepôt de données dans le domaine de la santé, dénommé " EMC2 " ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD) ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 44-3° et 66-III (loi " informatique et libertés ") ;
Vu le code de la santé publique (CSP) ;
Après avoir entendu le rapport de Mme Valérie PEUGEOT, commissaire, et les observations de M. Damien MILIC, commissaire du Gouvernement,
Formule les observations suivantes :
Sur le responsable de traitement
Le groupement d’intérêt public dénommé " Plateforme des données de santé " (GIP PDS), dont les missions sont précisées à l’article L. 1462-1 du CSP, est le responsable de traitement.
Sur les points de non-conformité au référentiel concerné
Le dossier de demande mentionne que le traitement envisagé est conforme aux dispositions du référentiel entrepôt de données de santé (délibération n° 2021-118 du 7 octobre 2021 portant adoption d'un référentiel relatif aux traitements de données à caractère personnel mis en œuvre à des fins de création d'entrepôts de données dans le domaine de la santé), à l’exception :
- des sources des données collectées ;
- des catégories de données concernées ;
- des sous-traitants ;
- des mesures de sécurité relatives au cloisonnement de certaines données.
Sur la finalité du traitement et sa base légale :
S’agissant de la finalité du traitement :
Le GIP PDS souhaite constituer un entrepôt de données de santé afin de permettre la réalisation de recherches, d’études et d’évaluations dans le domaine de la santé, dénommé " EMC2 ". Ces recherches, études et évaluations seront destinées à :
- observer et évaluer la prise en charge des patients ;
- caractériser des populations de patients ;
- évaluer l'utilisation et/ou les pratiques, l’efficacité et la sécurité en vie réelle des produits de santé, en particulier les médicaments et les dispositifs médicaux inscrits au remboursement ou en accès précoce ;
- mener des évaluations médico-économiques des produits de santé administrés ou utilisés en vie réelle ;
- développer et évaluer des actions de prévention pour les pathologies d’intérêt ;
- concevoir et valider des outils d’aide à l’interprétation des signaux, d’aide au diagnostic ou d’aide à la prise en charge préventive ou curative.
Ce traitement s’inscrit dans le cadre d’un appel d’offres de l’Agence européenne des médicaments (EMA) pour la constitution d’une base de données afin de conduire des études en pharmaco-épidémiologie. Le GIP PDS a été attributaire du lot 3 de cet appel d’offres et une convention de prestation de service a été conclue le 13 décembre 2021 avec l’EMA.
Les données rassemblées au sein de EMC2 seront mises au format OMOP-CDM (" Observational Medical Outcome Partnership – Common Data Model ") favorisant l’interopérabilité et la mise en œuvre d’apprentissage fédéré à l’échelle européenne, voire internationale.
La constitution de l’entrepôt nécessite un appariement entre les données de la base principale du système national des données de santé (SNDS) et les dossiers médicaux fournis par les établissements de santé partenaires.
La finalité du traitement est déterminée, explicite et légitime, conformément aux dispositions de l’article 5-1-b) du RGPD.
Il y a lieu de faire application des dispositions des articles 44-3° et 66-III de la loi " informatique et libertés ", qui soumettent à des formalités préalables les traitements comportant des données relatives à la santé et justifiés, comme en l’espèce, par l’intérêt public.
Les utilisations futures des données contenues dans cet entrepôt s’inscriront dans le cadre des dispositions des articles 66 et 72 et suivants de la loi " informatique et libertés ", qui imposent que chaque traitement soit justifié par l’intérêt public et fasse l’objet de formalités propres.
Le GIP PDS s’est engagé à communiquer tous les trois ans à la CNIL un rapport sur le fonctionnement de ce traitement et sur les recherches, études ou évaluations réalisées à partir des données de l’entrepôt.
S’agissant de la base légale du traitement et de l’exception pour le traitement des données sensibles :
Le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le GIP PDS. Ce traitement est, à ce titre, licite au sens de l’article 6-1-e) du RGPD.
Le traitement de données sensibles est nécessaire au projet autorisé par la présente décision, pour l’application des articles 9-2-j) du RGPD et 44-3° de la loi " informatique et libertés ".
Sur les sous-traitants :
Plusieurs organismes interviendront en qualité de sous-traitants dans la mise en œuvre de ce traitement. Le traitement des données par chacun de ces sous-traitants devra être régi par un contrat ou un acte juridique conformément à l’article 28 du RGPD.
En application de l’article 28 du RGPD, le GIP PDS est tenu de s’assurer que l’ensemble de ses sous-traitants présente des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles permettant de garantir la conformité du traitement à l’ensemble de la règlementation relative à la protection des données à caractère personnel.
Sur les sources et la nature des données traitées :
S’agissant des sources des données :
L’entrepôt regroupera les données issues :
- des dossiers médicaux issus des Hospices civils de Lyon (HCL), du centre Léon Bérard (CLB), du centre hospitalier universitaire de Nancy (CHU de Nancy) et de la Fondation hôpital Saint-Joseph (FHSJ), ci-après " les établissements partenaires " ;
- des composantes de la base principale du SNDS.
Concernant les données issues des dossiers médicaux : seuls les patients, à l’exception de ceux faisant l’objet d’une mesure de protection juridique, ayant été hospitalisés en médecine, chirurgie ou obstétrique (MCO) à partir de 2022 dans l’un des établissements partenaires seront concernés par l’entrepôt.
Les données collectées depuis 2018 concernant ces patients seront rassemblées au sein de l’entrepôt, qui sera ensuite mis à jour une fois par an.
Concernant les données, les points de non-conformité vis-à-vis du référentiel sont les suivants :
- l’inclusion du sexe du patient, du mois de naissance, de l’année de naissance et de la date de décès dans la base de données principale de l’entrepôt ;
- l’inclusion du nom de la commune de résidence dans la base de données principale de l’entrepôt.
Ces non-conformités ont été justifiées par le responsable de traitement comme étant nécessaires à la réalisation des études au sein des espaces de travail de l’entrepôt.
Concernant les données issues du SNDS : les données transmises par les établissements partenaires seront appariées avec les données de la base principale du SNDS, et plus précisément :
- le système national d’information inter-régimes de l’assurance maladie (SNIIRAM) ;
- le programme de médicalisation des systèmes d’information (PMSI) ;
- les données sur les causes de décès du Centre d’épidémiologie sur les causes médicales de décès (CépiDC) ;
- les données médico-sociales du système d’information des maisons départementales des personnes handicapées ;
- les données issues la base de données relative au dépistage des cas de covid-19, dénommée " SI-DEP " ;
- les données issues de la base de données relative aux vaccinations contre la covid-19, dénommée " Vaccin Covid ".
L’entrepôt comportera également des données provenant exclusivement du SNDS, afin de :
- constituer une population témoin ;
- d’identifier et de récupérer les données relatives aux enfants des femmes prises en charge dans l’un des établissements partenaires ayant accouché depuis 2015.
Pour cette population témoin, les enfants des femmes ayant accouché depuis 2015, ainsi que les données appariées avec celles des établissements partenaires, les données précitées de la base principale du SNDS collectées à partir de l’année 2015 seront mises à disposition par la Caisse nationale d’assurance maladie (CNAM), sous réserve de leur disponibilité. Elles seront mises à jour une fois par an afin de permettre un suivi rétrospectif et prospectif des personnes concernées.
S’agissant de la nature des données traitées :
Outre les catégories de données visées par le référentiel entrepôt de données de santé, l’entrepôt contiendra les données des professionnels de santé (spécialité, mode d’exercice, sexe, âge et département d’implantation).
Seules des données pseudonymisées et structurées seront rassemblées au sein de l’entrepôt. Le GIP PDS n’aura accès ni aux données directement identifiantes de personnes ni aux documents bruts produits à l’occasion de leur prise en charge sanitaire. Les opérations de pseudonymisation et de structuration des données seront mises en œuvre par les établissements partenaires avant la transmission des données.
S’agissant des modalités d’appariement des données :
L’appariement sera réalisé de manière déterministe grâce au numéro d’inscription au répertoire national d’identification des personnes physiques (NIR), du sexe et de la date de naissance complète des personnes concernées. Ces données identifiantes seront issues des dossiers médicaux des établissements partenaires et transmises directement par ceux-ci à la CNAM. Ces données identifiantes seront accompagnées d’un " numéro d’accrochage " non signifiant et aléatoire, qui sera ensuite transmis par la CNAM avec les données extraites du SNDS. Ce numéro d’accrochage sera le seul identifiant transmis avec les données de l’étude issues des dossiers médicaux des établissements de santé partenaires.
Pour permettre le dédoublonnage a posteriori des patients ayant été sélectionnés dans plusieurs centres, la CNAM génèrera également, pour chaque numéro d’accrochage, un identifiant unique dérivé du NIR correspondant, à travers les fonctions de pseudonymisation du SNDS.
Afin de réduire les risques de réidentification des patients à partir de cet identifiant SNDS, ainsi que les risques d’appariement non autorisé avec d’autres données extraites du SNDS, cet identifiant SNDS sera strictement spécifique à l’entrepôt. La table de correspondance avec les numéros d’accrochage devra être transmise par la CNAM séparément des données extraites du SNDS, via un canal sécurisé dédié. Enfin, cet identifiant SNDS sera remplacé par un nouvel identifiant lors de l’étape de dédoublonnage et de versement des données dans l’entrepôt.
Des mesures de sécurité renforcées seront mises en place par les différents acteurs pour la conservation des tables de correspondance nécessaires à la mise à jour régulière des données de l’entrepôt.
Les données dont le traitement est envisagé sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités du traitement, conformément aux dispositions de l’article 5-1-c) du RGPD.
Sur la durée de conservation des données :
Le NIR et les dates de naissance complètes des patients ne seront pas conservés après l’appariement.
Les données issues des dossiers médicaux appariées avec les données du SNDS sont conservées pour une durée de vingt ans à compter de leur collecte dans le cadre du soin.
Les données exclusivement issues du SNDS sont conservées pour une durée de vingt ans.
Ces durées de conservation n’excèdent pas les durées nécessaires aux finalités pour lesquelles les données sont collectées et traitées, conformément aux dispositions de l’article 5-1-e) du RGPD.
Sur les accédants et les destinataires des données :
Seul le personnel désigné et habilité du GIP PDS peut accéder aux données.
Sont destinataires des données :
- le personnel désigné et habilité des sous-traitants ;
- les porteurs de projets de recherche, d’étude ou d’évaluation dans le domaine de la santé (par exemple, des établissements de santé, des autorités et institutions publiques nationales, des associations de patients ou des agences européennes).
Conformément à l’article L. 1461-1.IV.2° du CSP, ces catégories de personnes sont soumises au secret professionnel dans les conditions définies par les articles 226-13 et 226-14 du code pénal.
Sur l’information des personnes :
Le GIP PDS s’est engagé à :
- mettre en œuvre, pendant au moins un mois, une campagne d’information relative à la constitution d’EMC2 (diffusion sur les réseaux sociaux, communication via des médias d’envergure nationale, diffusion d’une actualité sur son site web) ;
- respecter un délai d’un mois entre la remise de la note d’information individuelle ou la diffusion de la note d’information collective et le versement des données dans EMC2.
L’information relative à la mise en œuvre de EMC2 devra également être accessible sur les sites web des établissements de santé partenaires. Il appartient au GIP PDS, en sa qualité de responsable de traitement de l’entrepôt, de transmettre aux établissements de santé partenaires une note d’information individuelle à destination des patients, de leurs représentants légaux et des professionnels de santé conforme aux dispositions du RGPD et de s’assurer que cette information leur sera remise.
Lorsque l’information individuelle est impossible ou disproportionnée, l’information devra être diffusée de façon collective. Les différents cas d’information individuelle ou collective sont détaillés ci-après.
Les supports d’information devront par ailleurs comporter l’ensemble des mentions prévues par l’article 14 du RGPD.
Les courriers électroniques adressés aux personnes concernées ou leurs représentants légaux ne devront révéler aucune information sur l’état de santé réel ou supposé du patient. Par ailleurs, les coordonnées électroniques utilisées ne devront pas correspondre à des coordonnées électroniques communes à plusieurs personnes.
Lorsque le responsable de traitement souhaite adopter une approche à plusieurs niveaux pour informer les personnes, la première modalité d’information devrait contenir, conformément aux lignes directrices sur la transparence au sens du RGPD du 29 novembre 2017 du groupe de travail " de l’Article 29 " (G29), les informations relatives à la finalité du traitement, l’identité du responsable de traitement, une description des droits des personnes concernées, ainsi que toute information sur le traitement qui aurait une forte incidence sur la personne concernée.
La CNIL demande que ce premier niveau d’information mentionne également :
- que l’exercice du droit d’opposition n’aura aucune incidence sur la prise en charge sanitaire des personnes ;
- l’identité de l’hébergeur et la localisation des serveurs d’hébergement de l’entrepôt.
S’agissant des personnes dont les données sont exclusivement issues du SNDS :
En vertu de l'article 69 de la loi " informatique et libertés " et de l’article 14-5-b) du RGPD, l'obligation d'information individuelle de la personne concernée peut faire l'objet d'exceptions, notamment dans l'hypothèse où la fourniture d'une telle information se révélerait impossible, exigerait des efforts disproportionnés ou compromettrait gravement la réalisation des objectifs du traitement. En pareil cas, le responsable de traitement prend des mesures appropriées pour protéger les droits et libertés ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles.
En l'espèce, il est fait exception au principe d'information individuelle et des mesures appropriées seront mises en œuvre, notamment par :
- la diffusion sur le site web du GIP PDS d’une note d’information relative à l’entrepôt ;
- la mise en œuvre d’une campagne d’information générale, telle que décrite ci-dessus.
S’agissant des personnes hospitalisées dans l’un des établissements de santé partenaires avant la constitution de l’entrepôt :
Ces personnes ou, le cas échéant, leurs représentants légaux, seront individuellement informées selon les modalités suivantes :
- pour les HCL et la FHSJ : la note d’information sera envoyée par voie électronique avec accusé de réception ;
- pour le CHU de Nancy : la note d’information sera envoyée par voie électronique avec accusé de réception ou par voie postale ;
- pour le CLB, les personnes recevront soit :
- un premier niveau d’information via l’outil Myclb ;
- la note d’information complète par voie électronique.
Un accusé de réception devra être prévu, à l’instar de ce qui est envisagé dans les autres établissements de santé partenaires.
S’agissant des personnes hospitalisées dans l’un des établissements de santé partenaires après la constitution de l’entrepôt :
Ces personnes ou, le cas échéant, leurs représentants légaux, seront individuellement informées selon les modalités suivantes :
- pour les HCL : la note d’information sera remise lors d’une visite de suivi ou envoyée par voie postale ;
- pour le CHU de Nancy et le CLB : un premier niveau d’information sera intégré au livret d’accueil. Ce premier niveau d’information devra spécifiquement concerner la constitution de EMC2 ;
- pour la FHSJ : la note d’information complète sera remise lors d’une visite de suivi ou envoyée par voie électronique avec accusé de réception.
S’agissant des professionnels de santé exerçant dans l’un des établissements de santé partenaires :
Les professionnels seront individuellement informés selon les modalités suivantes :
- pour les HCL : un premier niveau d’information sera joint au bulletin de paie ou au contrat d’embauche ;
- pour le CHU de Nancy et le CLB : un premier niveau d’information sera joint au bulletin de paie, diffusé sur l’intranet de l’établissement et affiché dans les lieux de repos du personnel ;
- pour la FHSJ : un premier niveau d’information sera diffusé via la newsletter de l’établissement et déposée dans le coffre-fort numérique de chaque professionnel. Une notification sera adressée par voie électronique.
Ces modalités d’information sont satisfaisantes au regard des dispositions du RGPD et de la loi " informatique et libertés ".
Sur les droits des personnes concernées :
Les personnes pourront exercer leurs droits (accès, rectification, opposition ou effacement) en contactant :
- le délégué à la protection des données du GIP PDS par voie postale ou électronique ;
- l’un des établissements de santé partenaires qui a collecté les données.
Pour des raisons tenant à la sécurité de l’architecture technique de la plateforme, il ne sera fait suite aux demandes d’effacement des données de manière généralisée qu’une fois par an. Les personnes devront en être spécifiquement informées. Dans l’attente de l’effacement effectif des données, celles-ci ne pourront pas être réutilisées.
Ces modalités d’exercice des droits sont satisfaisantes au regard des dispositions du RGPD et de la loi " informatique et libertés ".
Sur la sécurité et la traçabilité des actions :
La sécurité des données de l’entrepôt dépend essentiellement de la solution technique du GIP PDS, qui a fait l’objet d’une analyse globale des risques et d’impact sur la vie privée, suivie d’une homologation selon le référentiel de sécurité du SNDS. Cette solution technique assure un haut niveau de sécurité.
Une analyse d’impact relative à la protection des données (AIPD) a été transmise à la CNIL concernant la constitution de l’entrepôt et intégrant les éléments fournis par le GIP PDS pour sa solution technique.
Les mesures de sécurité mises en place par le GIP PDS visent également à garantir la conformité de l’entrepôt aux exigences de sécurité mentionnées dans le référentiel entrepôt de données de santé.
La solution technique du GIP PDS prévoit des mesures techniques et organisationnelles d’isolation des espaces de travail contenant des données issues du SNDS et utilisées pour d’autres projets de recherche. Ces mesures sont également mises en œuvre afin d’isoler entre eux et avec les autres espaces les espaces projets dédiées aux études portant sur des données de l’entrepôt, ainsi que les espaces de stockage ou de préparation des données.
Seuls des jeux de données anonymes peuvent faire l’objet d’une exportation hors de l’entrepôt ou d’un espace de travail. Le processus d’anonymisation mis en œuvre doit produire un jeu de données pour lequel il est démontré et documenté que le risque de réidentification des personnes est négligeable.
Les mesures de sécurité mises en œuvre par le responsable de traitement apparaissent proportionnées aux risques présentés par le traitement.
Sur le recours à la société Microsoft en tant qu’hébergeur :
Le GIP PDS a fait le choix de recourir à la société Microsoft Ireland Operations Ltd (Microsoft) en qualité d’hébergeur des données.
Les données de l’entrepôt seront conservées dans les centres de données de Microsoft situés en France.
S’agissant des transferts de données liés à l’administration de la plateforme :
Il résulte des informations communiquées que, compte tenu du contrat passé avec Microsoft et du fonctionnement des opérations d’administration de la plateforme technique, il est possible que des données techniques d’usage de la plateforme (qui ne révèlent aucune information de santé) soient transférées vers des administrateurs situés aux États-Unis. Ces transferts de données vers les États-Unis sont encadrés par les clauses contractuelles types de la Commission européenne. Les personnes devront être spécifiquement informées de ces transferts.
Sur les risques d’accès par les autorités étasuniennes :
L’hébergeur retenu par le GIP PDS appartient à un groupe dont la société mère est située aux États-Unis et soumise au droit de cet État. De ce fait, en application de cette législation, les autorités états-uniennes sont susceptibles d’adresser à Microsoft des injonctions de communication des données qu’il héberge.
La législation des États-Unis, qui prévoit ces injonctions de communication de données, a été révisée récemment, à la suite de l’arrêt de la Cour de justice de l’Union européenne du 16 juillet 2020 (C-311/18) dit " Schrems II ", pour mieux les encadrer et prévoir des voies de recours plus effectives. Cette législation a été jugée conforme aux standards de protection européens, ce qui a permis l’adoption par la Commission européenne d’une nouvelle décision d’adéquation le 10 juillet 2023, reconnaissant que le nouveau cadre de transferts de données à caractère personnel entre les États-Unis et l’Union européenne, le Data Privacy Framework, assure un niveau de protection adéquat.
Il n’en reste pas moins que les données stockées par un hébergeur soumis à un droit extra-européen peuvent être exposées à un risque de communication à des puissances étrangères.
Si ce risque est le plus souvent acceptable, notamment s’agissant de pays adéquats, la CNIL recommande depuis longtemps, pour les bases de données les plus sensibles, d’assurer une protection contre les possibilités de divulgation à des autorités publiques de pays tiers. Cette protection implique que, d’une part, sauf exception ponctuelle (par exemple dans le cadre d’un projet de recherche international), les données hébergées dans l’Union européenne ne soient pas transférées en dehors de celle-ci et, d’autre part, de recourir à un prestataire exclusivement soumis au droit européen et offrant le niveau de protection adéquate, tel que prévu par le référentiel SecNumCloud de l’Agence nationale de la sécurité des systèmes d’information (ANSSI).
En particulier, pour les entrepôts de données de santé appariées avec le SNDS, et malgré le fait que ces données soient pseudonymisées, la CNIL a toujours demandé aux porteurs de projet, publics et privés, de s’assurer que l’hébergeur des données n’est pas soumis à une législation extra-européenne.
Cette préconisation avait, toujours, jusqu’ici été acceptée.
Cette politique apparaît en cohérence avec la doctrine " Cloud au centre " de l’État, matérialisée par la circulaire de la Première ministre du 31 mai 2023 (n° 6404/SG), qui demande, dans sa règle n° 9, aux autorités publiques de s’assurer que les données " d’une sensibilité particulière " hébergées dans le cloud ne soient pas soumises à des lois extra-européennes pouvant impliquer des injonctions de communication.
Le GIP PDS, acteur public chargé par la loi de recueillir les bases de données de santé les plus importantes du pays, a fait le choix d’héberger son premier entrepôt auprès d’un hébergeur qui ne bénéficie pas de la certification SecNumCloud et, ainsi, peut faire l’objet d’injonction de communication des données par les autorités des États-Unis. Ce choix apparaît en très nette contradiction avec les éléments rappelés ci-dessus.
À la suite des interrogations de la CNIL et de son souhait que tout soit fait pour permettre que cet entrepôt, apparié au SNDS, soit protégé de tout risque de communication des données à des États étrangers, les pouvoirs publics ont mis en place une mission d’expertise pilotée par la délégation du numérique en santé (DNS), la direction interministérielle du numérique (DINUM) et l’Agence du numérique en santé, aux fins de déterminer si le projet EMC2 pouvait, sans compromettre le projet vis-à-vis des conditions fixées par l’EMA, être mis en œuvre via un prestataire soumis uniquement aux lois de l’Union européenne. La CNIL salue le travail mené par cette mission, dans un délai très contraint.
Dans son rapport communiqué à la CNIL le 13 décembre 2023, cette mission d’expertise conclut :
- qu’aucun prestataire potentiel ne propose d’offres d’hébergement répondant aux exigences techniques et fonctionnelles du GIP PDS pour la mise en œuvre du projet EMC2 dans un délai compatible avec les impératifs ce dernier ;
- que le développement d’un démonstrateur " cloud de confiance ", respectant les conditions de la circulaire précitée et permettant à terme d’héberger des projets de cette nature, et notamment la plateforme du GIP PDS, devrait se poursuivre sur les prochaines années ;
- que la construction d’une plateforme d’hébergement spécifique pour le projet EMC2 pourrait retarder la migration de la solution d’hébergement du GIP PDS pour l’ensemble de ses missions ;
- qu’en attendant cette migration, le projet EMC2 soit mené sur la solution technique actuelle du GIP PDS.
À la lumière de ces conclusions, la CNIL déplore qu’aucun prestataire susceptible de répondre actuellement aux besoins exprimés par le GIP PDS ne protège les données contre l’application de lois extraterritoriales de pays tiers.
De manière générale, elle regrette que la stratégie mise en place pour favoriser l’accès des chercheurs aux données de santé n’ait pas fourni l’occasion de stimuler une offre européenne à même de répondre à ce besoin. Le choix initial du GIP PDS, dès sa fondation, de recourir au cloud a conduit à privilégier des offres d’acteurs étasuniens dont il apparaît désormais difficile de se détacher à court terme malgré l’émergence progressive de fournisseurs souverains. Le projet EMC2 aurait pu être retenu par le GIP PDS pour préfigurer la solution souveraine vers laquelle il doit migrer.
La CNIL constate pour autant qu’il est nécessaire que les engagements pris vis-à-vis de l’EMA puissent être honorés. Dans ces conditions, elle autorise la constitution de l’entrepôt EMC2 pour la durée de trois ans, qui correspond à la réalisation du projet de migration de la plateforme de la PDS, projet confirmé par le gouvernement.
DÉCIDE :
Le groupement d’intérêt public " Plateforme des données de santé " est autorisé, pour une durée de trois ans, à constituer l’entrepôt EMC2, dans les conditions décrites dans le dossier de demande et par la présente décision.
La Présidente
Marie-Laure DENIS