Confidentialité des données de la plateforme et gestion des risques de ré-identification

Mis à jour le 31 octobre 2024

Le Règlement général sur la protection des données (RGPD) et la Commission nationale informatique et libertés (CNIL) définissent les règles et dispositions concernant la gestion des données à caractère personnel (DCP), notamment l’information des personnes, le respect de leurs droits ou la durée de conservation des données.La plateforme de données en cancérologie (PDC) se conforme à l’ensemble de ces exigences. L’Institut met en place les mesures pour garantir et documenter leur application.

Pseudonymisation des données

Pour chaque source de données intégrée sur la plateforme, un code unique (pseudonyme) est attribué par l’organisme responsable de la source de données. Ce code est différent du numéro d’identification utilisé par l’organisme émetteur dans ses propres bases de données (numéro patient (NIP), de Sécurité sociale…). Seul l’organisme émetteur de ces données conserve la liste permettant de relier le numéro d’identification et le numéro de pseudonyme.

Gestion des accès à la PDC

Seuls les collaborateurs habilités de l’Institut peuvent accéder aux données, dans le cadre de l’autorisation délivrée par la CNIL.

L’Institut tient à jour une liste détaillée :

des personnes habilitées à accéder à ces données ;
de leurs profils d'accès respectifs ;
des modalités d'attribution, de gestion et de contrôle des habilitations.

La qualification des personnes habilitées et leurs droits d'accès sont régulièrement réévalués.

Habilitation des personnes accédant à la PDC

Toute personne accédant à la plateforme signe un document l’engageant à prendre toute précaution utile dans le cadre de ses missions, afin de protéger la confidentialité des informations auxquelles elle a accès et, en particulier, d’empêcher qu’elles ne soient modifiées, endommagées ou communiquées à des personnes non expressément autorisées à recevoir ces informations.

En savoir plus : les études mobilisant les données de la plateforme

Respect du secret professionnel

Les collaborateurs de l’Institut sont soumis au secret professionnel dans les conditions définies par les articles 226-13 et 226-14 du Code pénal : ces articles se réfèrent au devoir de ne pas divulguer les informations concernant un tiers et dont on prend connaissance dans l’exercice de sa profession.

Le délégué à la protection des données personnelles (DPO)

Au sein de l’Institut, le délégué à la protection des données personnelles met en œuvre l’application du RGPD. Il a un rôle d’information, de conseil et de contrôle du respect des règlements. Le DPO est également l’interlocuteur des personnes souhaitant exercer leurs droits sur leurs données de santé.

Référentiels et documents utiles

Ici, ajouter les référentiels qui étaient dans le texte de Dominique + liens