| N° de demande d’avis : 25015579 | Thématiques : santé, registres des cancers, recherche |
| Organisme(s) à l’origine de la saisine : Ministère du travail, de la santé, des solidarités et des familles | Fondement de la saisine : Article L. 1415-2-1 du code de la santé publique |
L’essentiel :
La lutte contre le cancer constitue un enjeu de santé publique important pour lequel plusieurs acteurs et initiatives ont été mis en œuvre ces dernières années, que le projet entend encadrer.
L’INCa, en qualité de pilote de ce dispositif, devra être doté des moyens nécessaires permettant de garantir la sécurité des données à caractère personnel qui lui sont confiées.
La CNIL estime que la nécessité et la proportionnalité de collecter certaines données dans le registre national n’ont pas été suffisamment justifiées. Elle demande également que des garanties supplémentaires soient associées au traitement de certaines données dans ce registre et les registres locaux.
Les mesures d’informations et de transparence vis-à-vis des personnes concernées devraient être renforcées et complétées de garanties supplémentaires. En particulier, le droit d’opposition des personnes dont les données ont déjà été collectées dans des registres locaux ne devrait pas être écarté.
La CNIL s’interroge sur la durée de conservation des données ainsi que la pertinence de maintenir une base commune centralisant les données des registres locaux qui serait distinct du registre national.
La Commission nationale de l’informatique et des libertés (CNIL),
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD) ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (« loi informatique et libertés »), notamment ses articles 8, 64 et suivants ;
Vu le code de la santé publique (CSP), notamment ses articles L. 1415-2 et suivants ainsi que ses articles L. 1461-1 et suivants ;
Après avoir entendu le rapport de Mme Marie Zins, commissaire, et les observations de M. Damien Milic, commissaire du Gouvernement,
Adopte la délibération suivante :
I. – La saisine
A. – Le contexte
Plusieurs initiatives destinées à disposer de données dans le cadre de la lutte contre le cancer ont été mises en œuvre par les pouvoirs publics, les établissements de santé et certaines associations :
– des registres locaux des cancers afin de recueillir de manière continue et exhaustive les données nominatives et les données de santé des personnes atteintes d’un cancer ;
– un registre commun afin de centraliser les données des registres locaux participant au réseau FRANCIM ;
– des programmes de dépistages organisés, encadrés par l’arrêté du 16 janvier 2024 ;
– la plateforme des données en cancérologie (PDC) mise en œuvre par l’Institut national du cancer (INCa) qui permet la réalisation de recherches, études ou évaluations dans le domaine de la cancérologie.
La loi n° 2025-596 du 30 juin 2025 a modifié le code de la santé publique (CSP) afin :
– d’étendre les missions de l’INCa ;
– de constituer un registre national des cancers (RNC) qui centralise les données populationnelles dans le domaine de la cancérologie à des fins d’amélioration de la prévention, du dépistage et du diagnostic des cancers notamment dans le cadre de recherches. Celui-ci constitue une transformation et une extension de la PDC.
B. – L’objet de la saisine
L’article L. 1415-2-1 du CSP renvoie à un décret, pris après avis de la CNIL, le soin de préciser « les conditions d’application du présent article […] le rôle des entités et des organisations de recherche en cancérologie labellisées dans la collecte des données et les modalités de leur appariement avec d’autres jeux de données de santé ».
Le projet de décret poursuit plusieurs objectifs :
– prévoir les modalités de mise en œuvre et les caractéristiques essentielles du registre national ;
– consolider le cadre juridique applicable aux registres locaux des cancers ;
– imposer à ces registres la transmission annuelle de leurs données à la base commune des registres qui alimentera le registre national ;
– modifier le décret n° 2019-341 du 19 avril 2019 relatif à la mise en œuvre de traitements comportant l’usage du numéro d’inscription au répertoire national d’identification des personnes physiques ou nécessitant la consultation de ce répertoire (ci-après « décret-cadre NIR »).
II. – L’avis de la CNIL
Les traitements induits par le projet de décret conduiront à la collecte et au traitement de données particulièrement sensibles. Les enjeux liés à la vie privée des personnes concernées nécessitent une vigilance particulière dans la mise en œuvre des textes assurant la protection des données à caractère personnel.
Trois garanties devraient être ajoutées dans le décret, qui devraient être applicables à l’ensemble des traitements envisagés : l’hébergement des données sur le territoire de l’Union européenne (UE), l’interdiction de transferts en dehors de l’UE, sauf accès ponctuel, et la nécessité de sélectionner des prestataires présentant des garanties à l’encontre de tout accès par des autorités publiques d’Etat tiers non autorisées. Sur ce dernier point, le ministère s’est engagé à ce que l’hébergement des registres soit réalisé par des prestataires certifiés « hébergeur de données de santé ». La CNIL rappelle, toutefois, que les critères de certification ne comportent pas de garanties similaires à celles prévues par la certification « SecNumCloud » de l’Agence nationale de la sécurité des systèmes d’information.
Les traitements induits par le projet de décret porteront sur des données relevant du système national des données de santé (SNDS) et poursuivront des finalités prévues au III de l’article L. 1461-1 du CSP. L’ensemble des dispositions applicables au SNDS s’appliquera au registre national et aux réutilisations des données qu’il contient.
A. – Concernant le registre national des cancers (RNC)
1. Sur la base légale
Le projet d’article R. 1415-2-1 prévoit que le registre national sera mis en œuvre par l’INCa pour répondre à l’obligation légale, au sens du c) du 1 de l’article 6 du RGPD, qui lui incombe en application de l’article L. 1415-2-1 du CSP.
Le législateur a confié un rôle central à l’INCa dans le pilotage et la rationalisation de ce dispositif, qui devra être doté des moyens appropriés pour mener à bien ses missions et garantir la protection des données qui lui sont confiées.
2. Sur le principe de minimisation
Le I du projet d’article R. 1415-2-1 et l’avant-dernier alinéa du I du projet d’article R. 1415-2-2 du CSP précisent les catégories de personnes concernées par le registre national. L’identification des catégories de personnes concernées constitue un élément essentiel pour apprécier le respect du principe de minimisation.
La CNIL estime que certaines notions pourraient être précisées, en concertation avec les ordres professionnels compétents. Il s’agit plus particulièrement des personnes « rentrant dans un dispositif de prévention ou de dépistage d’un cancer » et « suspectée d’être atteinte d’un cancer ». Elle rappelle que sa délibération n° 2023-040 du 20 avril 2023 autorisant des modifications de la PDC définit ces dernières comme les « personnes présentant des risques élevés, soit en raison d’un test de dépistage positif soit parce qu’elles présentent une prédisposition génétique ».
Le I du projet d’article R. 1415-2-2 énumère également les catégories de données susceptibles d’être traitées au sein du registre national.
La CNIL considère que la nécessité et la proportionnalité de collecter certaines données n’ont pas été suffisamment justifiées. Il s’agit notamment de :
– la date de naissance complète des patients, dont la collecte est justifiée par une « exploitation selon l’âge », alors qu’elle pourrait être réalisée, sauf pour les contextes pédiatriques, au moyen de l’année de naissance, de l’âge ou de tranches d’âge. Selon les précisions du ministère, la date de naissance complète est nécessaire à des fins d’appariement et ne sera pas mise à disposition à des fins de recherche. La CNIL demande que cette donnée soit ajoutée au dernier alinéa du I du projet d’article R. 1415-2-2, qui prévoit des garanties spécifiques notamment en termes de durée de conservation et de transmission à des tiers du NIR ainsi que des données directement identifiantes ;
– l’adresse de résidence précise dont la collecte est justifiée à des fins « d’analyses géographiques », puisque des données moins précises pourraient être traitées et mises à disposition à des tiers, comme par exemple le code IRIS ou le code de la commune de résidence ;
– les données nominatives, les coordonnées et la date de naissance complète des professionnels ayant pris en charge les patients, dont la collecte n’apparaît pas nécessaire à des fins de recherche, en l’absence de justification particulière ;
– l’identifiant permanent du patient (IPP) ou l’identifiant de l’épisode de soin (IEP). En effet ces identifiants sont propres à chaque structure de soins, sauf cas particuliers. Aussi, la collecte systématique de ces données à des fins d’appariement n’apparaît pas justifiée ;
– des données d’identité (prénoms et noms) des patients. L’utilisation de ces variables à des fins d’appariement génère un risque significatif pour la vie privée des personnes et ne permet pas d’atteindre un niveau de qualité suffisant. Ces variables ne devraient être utilisées à des fins d’appariement qu’en vue de la reconstitution du NIR par les organismes habilités à réaliser cette opération. La CNIL prend acte que cette garantie sera ajoutée au décret.
L’article L. 1415-2-2 du CSP renvoie au décret le soin de déterminer les modalités d’appariement des données du registre national. Or, aucune disposition du projet de décret ne détaille ces modalités. La CNIL prend acte qu’il sera complété afin de préciser que l’INCa sera chargé de réaliser l’appariement, après pseudonymisation des données « dans un environnement d’intégration spécifique comprenant des mesures de sécurité techniques et organisationnelles renforcées afin de garantir un cloisonnement par rapport à l’entrepôt de données de santé ».
Le ministère souhaite également confier à l’INCa l’appariement des données du SNDS entre elles ou avec d’autres bases. Néanmoins, ces missions sont dévolues à la Caisse nationale de l’assurance maladie (CNAM) et à la Plateforme des données de santé (PDS) en application de l’article R. 1461-3 du CSP. Dès lors la CNIL s’interroge sur la compatibilité de la proposition du ministère avec les dispositions applicables au SNDS.
Le II du projet d’article R. 1415-2-2 du CSP énumère les sources des données collectées. Compte tenu de leur diversité, la CNIL rappelle que :
– si une base de données est susceptible de couvrir une population plus large que le seul domaine de la cancérologie, un ciblage préalable devra être réalisé par le responsable de traitement concerné ;
– seuls les traitements licitement constitués, notamment par la réalisation des formalités préalables prévues par la loi « informatique et libertés » le cas échéant, et régulièrement conservés, pourront être versés au sein du registre national.
3. Sur l’information et les droits des personnes
Le projet de décret (article R. 1415-2-4) prévoit une dérogation à l’obligation d’information individuelle des personnes dont les données vont être versées dans le registre national.
La plupart des personnes concernées pourraient être individuellement informées, notamment par l’intermédiaire du responsable du traitement initial dont les données seront versées dans les registres locaux puis dans le registre national. La CNIL demande ainsi au ministère de prévoir une information individuelle pour la constitution du registre national.
Dans l’hypothèse où les dispositions du b du 5 de l’article 14 du RGPD pourraient être mobilisables, la CNIL demande que le projet d’article précité soit complété :
– des mesures de transparence mentionnées dans les éléments de la saisine (par exemple mention sur les invitations pour les dépistages organisés, ligne téléphonique Cancer Info, etc.) ;
– de mesures complémentaires comme l’affichage dans les établissements de santé ayant une activité en oncologie, ainsi que la publication sur les portails de transparence des responsables de traitement dont les données sont susceptibles d’être versées au sein du registre national.
En outre, au vu de la sensibilité des données traitées, les mesures supplémentaires suivantes devraient être mises en œuvre afin de renforcer la transparence du registre national :
– la publication, sur la page du site web de l’INCa dédiée au registre national, de la liste des traitements versés au sein de ce registre et le renvoi vers la note d’information et/ou la page web dédiée à ce traitement le cas échéant ;
– la publication sur le portail de transparence de l’ensemble des traitements procédant à une réutilisation des données du registre ;
– une information extrêmement claire et pédagogique des modalités selon lesquelles les personnes concernées pourront exercer leurs droits, le cas échéant.
4. Sur les durées de conservation
Le III du projet d’article R. 1415-2-2 précise les durées maximales de conservation des données nécessaires :
– à des fins d’appariement : vingt-quatre mois ;
– pour les autres finalités : cinquante ans à compter de la dernière inclusion de donnée relative à une personne.
Ces durées de conservation sont particulièrement longues. La CNIL ne remet pas en cause la nécessité pour l’INCa et les chercheurs de disposer de données d’une profondeur historique importante pour la mise en œuvre de leurs projets, a fortiori lorsqu’ils portent sur des cancers pédiatriques.
La CNIL s’interroge sur la compatibilité de la durée de conservation de cinquante ans avec celle des données du SNDS, fixée par l’article L. 1461 du CSP. Au surplus, les éléments présentés dans le dossier de saisine ne lui permettent pas de se prononcer sur la pertinence de la profondeur historique et des durées de conservation retenues. Enfin, si une telle durée devait être retenue, la CNIL estime que le ministère devrait étudier des pistes visant à minimiser les données conservées au fil du temps.
5. Sur les destinataires et les conditions d’accès
Il ressort de l’article L. 1415-2-1 du CSP que le législateur a souhaité restreindre la mise à disposition des données du registre national aux seules recherches, études ou évaluations intervenant dans le domaine de la cancérologie. La CNIL estime que le décret devrait le mentionner explicitement.
Le ministère a précisé que toute demande d’accès au registre national devra respecter les dispositions de la section 3 du chapitre III du titre II de la loi « informatique et libertés ». La CNIL en prend acte et demande que le décret le mentionne expressément.
Le projet d’article R. 1415-2-5 prévoit la création d’un comité scientifique et éthique chargé notamment de rendre un avis les recherches, études ou évaluations souhaitant réutiliser les données du registre national.
La CNIL considère que ce comité devrait :
– se prononcer sur l’ensemble des demandes de l’INCa, ou de tiers, relatives à la mise à disposition des données ;
– répondre à des garanties semblables à celles prévues dans le référentiel « entrepôt de données de santé » en termes de composition.
6. Sur le principe de sécurité
Comme rappelé précédemment, le registre national devra respecter les dispositions applicables aux traitements de données du SNDS, en particulier les dispositions de l’arrêté du 6 mai 2024 relatif au référentiel de sécurité applicable au SNDS dès sa mise en œuvre.
Le projet de décret impose une obligation de pseudonymisation et de cloisonnement. Au vu du volume, de la sensibilité des données concernées et de leur durée de conservation envisagée, une attention toute particulière doit être apportée à l’enrichissement de l’AIPD qui devra préciser :
– les modalités de génération des identifiants pseudonymes utilisés dans le registre ;
– les modalités de ségrégation, en termes de stockage et d’accès, entre les données administratives identifiant les participants au registre, les données de santé qui leur sont rattachées, les identifiants de ces personnes dans les bases sources ainsi que les pseudonymes utilisés dans le registre ;
– les modalités de mobilisation, de ségrégation et d’accès pour ces identifiants aux fins d’exercice des droits ;
– le responsable chargé de reconstituer, le cas échéant, aux fins d’appariement et d’alimentation du registre, le NIR des personnes concernées à partir de leurs traits d’identité. A cet égard, la CNIL relève que cette tâche incombe, pour le SNDS, au service « concentrateur » de la Plateforme des données de santé et invite à intégrer les besoins du registre national dans ce service ;
– que les mises à disposition devront intervenir avec un pseudonyme différent pour chacune des bases de données rendues accessibles à chacun des responsables de traitement ;
– les modalités d’attribution, de gestion et de contrôle des habilitations d’accès aux données mises à disposition, conformément à un modèle établi par arrêté du ministre chargé de la santé ;
– la constitution des listes des personnes désignées pour délivrer ces habilitations et des personnes habilitées à accéder au registre, détaillant leurs profils d’accès respectifs en termes de périmètre, de caractéristiques et de profondeur historique des données ;
– que ces listes seront communiquable à la CNIL à sa demande.
Enfin, la CNIL relève que, dans l’AIPD fournie à l’appui du dossier de demande d’avis :
– l’utilisation de données identifiantes autres que le NIR aux fins d’appariement probabiliste ne semble pas respecter les principes de ségrégation entre les données administratives, les données de santé, les identifiants des participants au registre dans les bases sources ainsi que les pseudonymes utilisés dans le registre ;
– l’analyse des risques et les mesures pour les traiter devraient être plus détaillées et contextualisées au regard des particularités du traitement envisagé, en particulier concernant la conservation des données nominatives d’identification pendant 24 mois, si la collecte de ces données devait être maintenue.
La CNIL prend acte que l’AIPD sera modifiée sur ces points.
B. – S’agissant des registres locaux
A titre liminaire, le projet de décret n’autorisant pas la création des registres et ces traitements constituant des entrepôts de données de santé, leur mise en œuvre sera soumise à la réalisation de formalités préalables, en application des dispositions des articles 66 et suivants de la loi « informatique et libertés » (déclaration de conformité au référentiel « entrepôts de données dans le domaine de la santé » ou, en cas de non-conformité à ce référentiel, une autorisation de la CNIL).
1. Sur les responsables de traitement
Le premier alinéa du projet d’article R. 1415-2-6 confie à l’INCa la prérogative de désigner des responsables de traitements distincts du registre national. Dans ce cadre, une attention particulière devra être portée par l’INCa aux moyens dont disposent les organismes mettant en œuvre les registres locaux, notamment afin de garantir les droits et libertés des personnes concernées et la protection de leurs données. Dans la mesure où les données concernées sont issues de la prise en charge sanitaire des personnes, la CNIL suggère que ces registres soient mis en œuvre sous la responsabilité des établissements participant à la prise en charge des personnes concernées.
2. Sur le principe de minimisation
Le deuxième alinéa du projet d’article R. 1415-25-6 indique que les registres locaux portent sur le « recueil exhaustif et continu de données nominatives intéressant un ou plusieurs événements de santé dans une population géographiquement définie ».
En application de l’article L. 1415-2-1 du CSP, les évènements de santé auxquels il est fait référence devront exclusivement être liés au domaine de la cancérologie et seules des personnes atteintes d’un cancer ou en rémission pourront être concernées.
En outre, le ministère a précisé que la collecte de données nominatives est nécessaire pour la reconstitution du NIR, qui permettra de réaliser les appariements. La CNIL demande que le décret le précise expressément.
Afin de garantir le respect du principe de minimisation prévu par le RGPD, la CNIL estime en outre, à l’instar des observations formulées concernant le registre national, que :
– les catégories générales de données susceptibles d’être traitées devraient être précisées, particulièrement les catégories de données sensibles et les données devant faire l’objet d’une protection particulière au regard des risques que leur traitement induit, telles que la date de naissance complète, les coordonnées et le NIR ;
– seules les données strictement nécessaires pour atteindre les finalités poursuivies par les registres devront y être versées.
3. Sur les droits
L’alinéa précité limite le droit d’opposition des personnes concernées par les registres locaux en application du e) du 1 de l’article 23 du RGPD.
Si la CNIL ne remet pas en cause l’intérêt de ces registres et le principe de cette limitation eu égard aux enjeux de santé publique associés, elle considère que le projet de texte ne contient pas l’ensemble des garanties prévues au 2 de l’article 23 du RGPD. Sur ce point, elle estime que des garanties supplémentaires devraient être prévues concernant des traitements, qui pour la plupart, sont :
– mis en œuvre depuis plusieurs décennies ;
– encadrés par des formalités anciennes réalisées avant la mise en œuvre du RGPD et couverts par une recommandation de la CNIL de 2003 (délibération n° 2003-053) qui prévoyait que les personnes concernées étaient « individuellement informées […] des modalités d’exercice du droit d’accès, de rectification et de leur droit d’opposition ».
Au titre de ces garanties supplémentaires, la CNIL estime que les personnes incluses avant la mise en œuvre des évolutions apportées par le décret devraient disposer du droit de s’opposer au traitement de leurs données par les registres locaux pour les données déjà collectées. A cet égard, une attention particulière devra être portée à l’information des personnes sur la mise en œuvre de ces modifications afin de garantir l’effectivité de leurs droits.
Les personnes incluses après la mise en œuvre des modifications induites par le décret devront être spécifiquement et individuellement informées de cette limitation avant la collecte de leurs données.
La CNIL demande que le décret soit complété en ce sens.
C. – S’agissant de la base commune des registres
En l’absence de précision spécifique dans les éléments de la saisine concernant la base commune des registres mentionnée au quatrième alinéa du projet d’article R. 1415-2-6 du CSP, notamment s’agissant de la finalité de ce traitement, la CNIL s’interroge sur la pertinence du maintien de ce traitement dans la mesure où les données des registres locaux seront centralisées au sein du registre national.
D. – Sur les modifications du décret-cadre NIR
S’agissant du traitement du NIR par l’INCa, la CNIL estime que le décret devrait préciser que cette donnée est exclusivement traitée à des fins d’appariement lors de la constitution du RNC.
S’agissant du traitement du NIR par les registres locaux, ni le projet de décret ni les éléments de la saisine n’apportent d’éléments permettant de justifier cette collecte. La CNIL déduit toutefois de l’économie générale du texte que cette donnée serait collectée exclusivement à des fins d’appariement.
Elle demande que ces éléments soient précisés dans le décret.