Notice d'information

Entrepôt de données de santé Cerballiance

Présentation de l’EDS

Le Réseau des laboratoires de biologie médicale Cerballiance se dote d’un entrepôt de données de santé (ci-après l’« EDS »).

  • Quel est l’objectif de cette notice d’information ?

La présente note d’information, accessible dans votre laboratoire et sur notre site internet www.cerballiance.fr, a pour objet de vous informer des modalités du traitement de vos données personnelles, ainsi que de vos droits.

  • En quoi consiste notre EDS ?

L’EDS regroupe l’ensemble des données produites dans le cadre de la prise en charge des patients par 24 des laboratoires du Réseau Cerballiance. L’EDS intègre les données collectées et produites depuis le 1er août 2025, ainsi qu’une reprise des données précédemment générées à compter du 1er janvier 2023.

En tant qu’ancien ou nouveau patient d’un laboratoire du Réseau Cerballiance, vos données personnelles peuvent donc être versées dans l’EDS.

La constitution de l’EDS est un traitement de données à caractère personnel au sens du Règlement UE 2016/679 du 27 avril 2016, dit « RGPD ». Vos données personnelles font ainsi l’objet d’un traitement dans le cadre de la constitution et de l’exploitation de l’EDS, dans le respect de la règlementation applicable.

  • Pourquoi faire un entrepôt de données de santé ?

Afin d’améliorer la santé de chacun, il est essentiel de mieux comprendre, et par conséquent de mieux connaître, l’état de santé de la population. Pour cela, le regroupement d’importantes quantités de données médicales est nécessaire.

Ainsi, notre Réseau de laboratoires Cerballiance a choisi de créer une structure permettant de regrouper et d’exploiter ces données pour les finalités ci-après expliquées. Ce regroupement de données ne peut néanmoins être mis en œuvre qu’en respectant des règles strictes en matière de sécurité, de secret médical et de protection des données personnelles.

  • Pourquoi mes données comptent, et à quoi vont-elles servir ?

Ce ne sont pas vos données seules qui comptent, mais bien leur mise en commun avec la multitude de données de nos patients, tels que leurs résultats biologiques ou encore leurs données cliniques. Cette mise en commun permettra d'établir des statistiques plus fiables que dans le cadre d'essais cliniques traditionnels, ainsi que de mener des recherches sur les données à grande échelle. En acceptant que vos données personnelles soient exploitées dans le cadre de l’EDS du Réseau Cerballiance, vous contribuerez au progrès de la recherche française.

 

L’EDS s’inscrit en effet dans le cadre des missions de santé publique du Réseau Cerballiance, ce qui inclut le traitement de vos données personnelles pour les finalités suivantes :

  • Faciliter pour les autorités de santé, le suivi et la surveillance épidémiologique, en répondant par exemple à des projets de surveillance des virus respiratoires, ou en assistant à des campagnes de dépistage de la fibrose hépatique 

 

  • Permettre à des organismes de recherche publics (par exemple l’Institut Pasteur, l’INSERM, des étudiants en thèse de médecine) mais aussi privés (par exemple des fournisseurs de kits de diagnostic souhaitant en améliorer les performances, des industriels du médicaments devant surveiller l’efficacité d’un traitement au sein de la population générale ou encore une start-up développant un nouveau marqueur de diagnostic pour l’endométriose) d’exploiter ces données, et ainsi faire avancer la recherche et les pratiques médicales, ou bien nous permettre d’effectuer des études de faisabilité pour ces recherches 

​​​​​​​

  • Améliorer notre propre connaissance de nos patients afin de proposer les tests les plus adaptés à leurs besoins, ce qui se traduit par la production d'indicateurs pour le pilotage stratégique de l'activité des laboratoires (suivi de l'efficience des plateaux techniques, etc.).

Qui est le responsable de traitement ?

Il s’agit des laboratoires de biologie médicale membres du Réseau Cerballiance, dont le laboratoire dans lequel vous vous êtes rendu ou à qui a été adressé votre prélèvement. Ils ont déterminé ensemble les finalités et les moyens de cet EDS, et sont à ce titre qualifiés de “co-responsables de traitement”. Pour en savoir plus sur l’ensemble de ces co-responsables et notamment connaitre leurs raisons sociales, consultez la liste des laboratoires co-responsables de traitement dans le cadre de l’EDS.

Quelle est la base légale ?

La mise en place de cet EDS se fonde sur l’exercice de l’intérêt légitime des laboratoires responsables du traitement. L’EDS servira notamment à l’exercice des missions de santé publique qui incombent légalement aux laboratoires de biologie médicale.

Quelles données sont traitées ? D’où proviennent-elles ?

Nous vous rappelons qu’une donnée à caractère personnel est une information se rapportant à une personne physique identifiée ou identifiable, tels que vos nom et prénom, votre adresse postale, ou encore vos données de santé.

Les données versées dans l’EDS ont été collectées par votre laboratoire à l’occasion de vos examens de biologie médicale.

Les données vous concernant présentes dans l’EDS sont de deux ordres :

  • Les données vous identifiant / les données administratives : il s’agit par exemple de vos nom et prénom(s), votre adresse postale, votre date de naissance, vos coordonnées de contact, etc. Ces données sont conservées séparément des données de santé, et ne seront accessibles que par un nombre limité de personnes strictement habilitées, pour les seules finalités décrites dans le tableau ci-dessous.
  • Les données de santé : il s’agit des résultats de vos examens de biologie médicale, de données cliniques telles que vos antécédents médicaux, les données associées à vos échantillons biologiques, des informations sur vos traitements médicamenteux, votre régime alimentaire si ce dernier est spécifique, etc.

 

La liste suivante présente les catégories de données personnelles vous concernant, ainsi que les différentes finalités pour lesquelles elles sont traitées dans le cadre de l’EDS :

Catégories de données personnellesDonnées de santé

Finalités des activités de traitement : Production d'indicateurs et pilotage stratégique de l'activité (suivi de l'efficience des plateaux techniques par exemple, etc.)

Réutilisation des données à des fins de recherche, d'étude ou d'évaluation dans le domaine de la santé (pour les besoins d'études épidémiologiques, études observationnelles, études relatives à des produits de santé, essais cliniques)

 

Catégories de données personnellesDonnées de santé et données d’identification

Finalités des activités de traitement Réalisation d'études de faisabilité à des fins de recherche (pré-sélection pour inclusion de patients ("pré-screening"), d'études et essais cliniques, identification de "tubes" (éléments et produits du corps humain) d'intérêt pour des projets de recherche) 

 

Catégories de données personnellesDonnées d’identification

Finalités des activités de traitement Prise de contact pour participer à un projet de recherche

Exercice de vos droits sur vos données

Combien de temps sont conservées mes données au sein de l’EDS ?

Vos données sont conservées au sein de l’EDS, en base active (c’est-à-dire accessible pour les finalités décrites), pour une durée de dix (10) ans à compter de leur collecte dans le cadre de votre prise en charge. A l’expiration de la durée de conservation, vos données seront automatiquement supprimées.

Qui peut accéder à vos données ?

Dans le cadre des finalités décrites dans la présente note, les personnes suivantes peuvent avoir accès à vos données :

Catégories de donnéesDirectement identifiantes

DestinatairesPersonne ayant une habilitation administrateur ; chercheur interne des laboratoires dans le cadre du pré-screening et de la prise de contact.

 

Catégories de donnéesDonnées de santé pseudonymisées (c’est-à-dire non directement identifiantes)

DestinatairesChercheurs internes des laboratoires ; personnes habilitées des laboratoires ; chercheurs externes académiques ou industriels ; personnes habilitées au sein de nos prestataires informatiques.

 

Dans le cadre du fonctionnement de l’entrepôt, les laboratoires co-responsables de traitement ont fait appel à des prestataires informatiques. Ces prestataires agissent en tant que sous-traitants des laboratoires co-responsables de traitement aux seules fins de l’exécution des prestations techniques, conformément à leurs instructions, sous leur contrôle, et dans le respect de la règlementation applicable. Par conséquent, ils peuvent avoir accès aux données pseudonymisées de l’EDS pour les besoins de leurs missions. Ils ne disposent d’aucun droit d’accès et d'utilisation de vos données à des fins autres que celles précitées.

L’EDS est hébergé par un prestataire sur des serveurs situés en Europe.

La réutilisation de vos données à des fins de recherche

La liste et le résumé des projets de recherche pour lesquels les données de l’EDS, et possiblement vos données, sont exploitées ainsi que les informations relatives aux traitements des données de santé dans le cadre de ces projets, sont accessibles sur le page internet accessible à l’adresse suivante : Les projets de recherche Cerballiance | Cerballiance.

Quelles sont les mesures organisationnelles et de sécurité mises en place ?

Des mesures de sécurité sont mises en œuvre conformément à un référentiel spécifique aux entrepôts de données de santé, élaboré par la Commission Nationale de l’Informatique et des Libertés (CNIL). Elles sont destinées à garantir la confidentialité, la sécurité et l’intégrité des données, et ainsi empêcher qu’elles ne soient altérées, endommagées, ou qu’un tiers non autorisé y ait accès.

En particulier, vos données sont pseudonymisées préalablement à leur intégration dans l’EDS, ce qui signifie qu’elles ne permettent plus de vous identifier directement ; cette pseudonymisation s’effectue dans le strict respect du secret médical. De ce fait, les chercheurs ayant accès à vos données ne seront pas en mesure de vous identifier.

Les données nécessaires aux projets de recherche ne sont jamais extraites de l’entrepôt, et sont mises à disposition des chercheurs au sein de bulles informatiques sécurisées au sein de l’entrepôt. Toute donnée qui serait extraite de l’entrepôt doit être préalablement anonymisée.

Seul un nombre très limité et contrôlé de personnes ont accès à votre identité dans le but, si nécessaire, de pouvoir vous contacter pour répondre à une demande d’exercice de droits, ou vous proposer de participer à un essai clinique. Vos données nominatives sont conservées de manière sécurisée.

Vos données font elles l’objet d’un transfert hors UE ?

Dans le cadre de la gestion de l’EDS, vos données ne font pas l’objet d’un transfert physique vers un pays situé hors de l’Union européenne. Elles demeurent hébergées en Europe. Toutefois, elles peuvent faire l’objet d’un accès à distance depuis un tel pays dans des cas très limités, notamment dans le cadre de prestations de maintenance de l’EDS réalisées par l’un de nos sous-traitants.

Cet accès à distance se fait depuis des pays reconnus par la commission européenne comme assurant un niveau de protection équivalent à celui du RGPD, et par conséquent offrant des garanties considérées comme suffisantes pour assurer la protection de vos données personnelles dans le cadre d’un tel transfert ; autrement, des mesures complémentaires ont été mise en place par nos sous- traitants afin d’assurer le niveau de protection des données requis par la législation européenne.

Par ailleurs, des mesures techniques et organisationnelles ont été mises en place par les co- responsables de traitement pour garantir la sécurité de tels transferts et assurer la confidentialité de vos données.

Quels sont vos droits sur vos données ?

Vous disposez d’un droit d’opposition, c’est-à-dire un droit vous permettant de vous opposer, sans avoir à vous justifier, à ce que vos données soient traitées dans le cadre de notre EDS. Vous pouvez exercer ce droit à tout moment. L’exercice de votre droit d’opposition n’entraînera aucune conséquence sur votre prise en charge dans le réseau des laboratoires Cerballiance.

Vous disposez également d’un droit d’accès, de rectification et d’effacement, ainsi qu’un droit à la limitation du traitement de vos données :

  • Le droit d’accès vous permet de demander quelles données vous concernant ont été versées dans l’EDS ainsi que les informations relatives à leur traitement (étant précisé qu’elles vous sont fournies dans le présent document). Vous pouvez aussi exiger la communication de vos données.

 

  • Le droit de rectification vous permet de demander la rectification des informations inexactes ou incomplètes vous concernant.

 

  • Le droit d’effacement vous permet de demander l’effacement de vos données de l’EDS (i) qui ne seraient plus nécessaires au regard de la finalité de traitement, si l’entrepôt venait par exemple à disparaitre, (ii) ou pour lesquelles vous avez exercé votre droit d’opposition, à l’exception d’un motif légitime et impérieux à leur traitement ou de leur archivage pour la constatation, l’exercice ou la défense d’un droit en justice ;

 

  • Le droit à la limitation vous permet de demander à geler temporairement le traitement de vos données pour vérification, si vous en contestez par exemple l’exactitude, si vous avez exercez votre droit d’opposition et qu’il existerait un motif impérieux de poursuivre le traitement.

Vous disposez également du droit de définir les directives relatives au sort de vos données après votre décès, et notamment des directives quant à la conservation, l’effacement et la communication de ces données. Nous vous rappelons que vous pouvez modifier ou révoquer ces directives à tout moment.

Pour plus d’informations concernant vos droits, consultez le site www.cnil.fr

Vous pouvez exercer vos droits soit :

  • Via le formulaire de contact disponible sur le site Cerballiance, dans l’onglet « EDS », accessible ici ;
  • Auprès du secrétariat de votre laboratoire de biologie médicale ;
  • Par courriel à dpo.eds@cerballiance.fr ;
  • Par courrier postal à : DPO EDS Cerballiance, 11-13 rue René Jacques, 92130 Issy-les-Moulineaux.

Si vous estimez, notamment après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez adresser une réclamation à la Commission nationale de l’informatique et des libertés (CNIL), directement sur leur site internet ou bien à l’adresse :

3 place de Fontenoy

TSA 80715

75334 PARIS CEDEX 07