DécisionEn vigueur

Décision DT-2025-014 du 24 septembre 2025

Décision DT-2025-014 du 24 septembre 2025 autorisant la SOCIETE CLINITYX BY GERS DATA à mettre en œuvre la modification d’un traitement automatisé de données ayant pour finalité la constitution d’un entrepôt de données de santé, dénommé « SOG HEALTH ». (Demande d’autorisation n° 2238992).

Numéro	DT-2025-014
Date	mercredi 24 septembre 2025
Nature	Décision
Type d'acte	Autre autorisation
État	En vigueur
Référence	CNILTEXT000052350873

Résumé IA

La CNIL autorise la société CLINITYX BY GERS DATA à modifier son entrepôt de données de santé « SOG HEALTH ». Cette décision entérine le changement de responsable de traitement, désormais CLINITYX, et impose des mises à jour des modalités d'information et de transparence, notamment via les portails dédiés. Elle rappelle également l'obligation de supprimer les données gelées et de respecter strictement le cadre juridique des données de santé, en interdisant toute finalité de promotion ou d'assurance.

Texte intégral

La Commission nationale de l’informatique et des libertés,

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu le décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu la décision du 2 juin 2025 portant délégation de signature du secrétaire général de la Commission nationale de l’informatique et des libertés ;

Saisie d’une demande de modification de l’autorisation portant sur un traitement automatisé de données à caractère personnel ayant pour finalité la constitution d’un entrepôt de données de santé, dénommé "SOG HEALTH" ;

Considérant que ce traitement, dont la finalité présente un caractère d’intérêt public, relève des dispositions de la section 3 du chapitre III du titre II de la loi du 6 janvier 1978 modifiée ;

Considérant que le traitement présente les caractéristiques et répond aux conditions suivantes :

Observation liminaire	La CNIL a été saisie d’une demande de modification de la décision DT-2024-019 autorisant la mise en œuvre d’un entrepôt intitulé "SOG-HEALTH". En dehors des modifications mentionnées dans la présente décision, les conditions de mise en œuvre du traitement restent inchangées.
Sur les points de non-conformité au référentiel concerné	En dehors des points de non-conformité ayant fait l’objet d’un examen spécifique dans la décision DT-2024-019 et la présente décision, ce traitement devra respecter le cadre prévu par le référentiel "entrepôt de données dans le domaine de la santé".
Sur le responsable de traitement	La responsabilité du traitement mis en œuvre dans le cadre de l’entrepôt de données de santé "SOG HEALTH" reposera désormais sur la société CLINITYX BY GERS (CLINITYX).
Sur le régime juridique applicable	La constitution de cet entrepôt implique notamment un traitement des données visées au 6° du I de l’article L. 1461-1 du code de la santé publique (CSP), à savoir des données recueillies à l'occasion d'activités de prévention, de diagnostic, de soins donnant lieu à une prise en charge des frais par la sécurité sociale. Ces données seront réutilisées et mises à disposition pour l’une des finalités visées au III de l’article L. 1461-1 du CSP, notamment à des fins de recherches, d’études ou d’évaluations dans le domaine de la santé. Par conséquent, les dispositions des articles L. 1461-1 et suivants du CSP sont applicables en l’espèce dont : le référentiel de sécurité visé au 3° du IV de cet article ; l’interdiction de poursuite des finalités visées à l’article V de cet article, et plus particulièrement la promotion des produits de santé en direction des professionnels de santé ou d’établissements de santé, ou à des fins d’exclusion de garanties des contrats d’assurance et de modification de cotisations ou primes d’assurance d’un individu ou d’un groupe d’individus présentant un même risque (finalités interdites d’utilisation du Système national des données de santé - SNDS).
Sur les données traitées	Les données gelées au sein de l’entrepôt dans les conditions prévues par la décision DT-2024-019 devront être supprimées.
Sur les modalités d’information et d’exercice des droits	La société CLINITYX, en sa qualité de responsable de traitement de l’entrepôt, doit assurer l’information des personnes dont les données sont traitées, conformément au RGPD et à l’article 69 de la loi "informatique et libertés". Tous les documents d’information (individuelle ou collective) devront : comporter l’ensemble des mentions prévues par le RGPD ; préciser la profondeur historique des données traitées afin d’assurer la transparence du traitement vis-à-vis des personnes concernées. Les notes d’information relatives aux recherches réalisées à partir des données de l’entrepôt seront désormais publiées sur le portail de transparence de le société CLINITYX. La société CLINITYX s’engage : à effectuer une redirection automatique depuis le portail de transparence de la société GERS SAS vers le portail de transparence de la société CLINITYX sur lequel figureront désormais les informations relatives aux recherches réalisées à partir des données de l’entrepôt ; à ce que l’ensemble des informations concernant les réutilisations de données versées dans l’entrepôt "SOG HEALTH" demeurent disponibles sur le portail de transparence de la société GERS SAS, qui restera actif. Une mise à jour des informations disponibles sur ce dispositif sera régulièrement réalisée par la société GERS SAS. Conformément aux dispositions de l’article 12 du RGPD, l’information des personnes concernées ainsi que les modalités d’exercice de leurs droits devront être conformes au principe de transparence prévu au chapitre III du RGPD. Les coordonnées du délégué à la protection des données auprès duquel les personnes concernées pourront dorénavant exercer leurs droits devra figurer clairement sur les différents supports d’information. Les notes d’informations relatives à la constitution de l’entrepôt et à son fonctionnement devront être mises à jour afin de mentionner les modifications apportées au traitement. Elles seront transmises aux clients des officines partenaires dans les conditions prévues par la décision DT-2024-019.
Sur la sécurité des données et la traçabilité des actions	Le dossier de demande mentionne que certaines des mesures nécessaires à la pleine couverture des risques de sécurité identifiées par la décision DT-2024-019 ont été déployées et améliorées dans le cadre d’un plan d’actions formalisé. Les mesures de sécurité décrites dans le dossier sont de nature à répondre aux exigences prévues par les articles 5,1, f) et 32 du RGPD compte tenu des risques identifiés par le responsable de traitement. Le responsable de traitement doit procéder à une réévaluation régulière des risques pour les personnes concernées et une mise à jour, le cas échéant, de ces mesures de sécurité.
Sur la gouvernance de l’entrepôt	Le responsable de traitement a mis en place un dispositif de gouvernance de l’entrepôt afin de maîtriser l’exploitation qui en est faite dans le respect des finalités déclarées et de l’intérêt public. En complément, eu égard à la nature des données traitées ainsi qu’aux finalités des traitements poursuivis ou envisagés par la société et ses partenaires, une gouvernance globale d’entreprise devra être mise en œuvre par la société CLINITYX comportant en particulier : une politique interne dédiée ; une gouvernance interne avec l’organisation et la documentation adéquates ; la formation et la sensibilisation de tous les acteurs ; une séparation des tâches en lien avec le traitement des données de santé, appuyée sur des critères d’exclusion a priori de certains personnels, services ou fonctions pour l’accès à un espace projet ou au rapport détaillé d’une étude ; la tenue d’une liste des personnes ayant un lien à caractère promotionnel avec des acteurs de santé ou un conflit d’intérêt par rapport à une étude ; une gestion des risques de violation liés au détournement de finalité, notamment sous l’angle de la minimisation/granularité des données et des risques de réidentification ; une surveillance des incidents et gestion des violations avec détournement de finalité ; des contrôles réguliers, comité annuel et mesures d’amélioration.
Observations complémentaires	Dans l’hypothèse où la société CLINITYX souhaiterait soumettre une demande de modification ou de renouvellement, le dossier de demande devra comporter un bilan comprenant notamment : la démonstration de la mise en œuvre effective d’une politique d’entreprise liée à la prévention des finalités interdites ; les modalités d’information déployées afin d’informer individuellement et collectivement des personnes concernées par ce traitement ; les modalités d’exercice des droits déployées ; la liste des projets réalisés ou en cours de réalisation ainsi que l’adéquation des objectifs de chaque étude aux finalités de l’entrepôt ; une synthèse des demandes de mise à disposition des données ; des indicateurs sur les modalités de fonctionnement de l’entrepôt ; la liste exhaustive des habilitations associées à l’entrepôt pour le personnel de la société CLINITYX ; les modalités de réalisation du plan d’actions et la résolution d’incidents éventuels.

AUTORISE, conformément à la présente délibération, la société CLINITYX BY GERS DATA à mettre en œuvre le traitement décrit ci-dessus pour une durée de trois ans à compter de la présente autorisation.

Le Directeur de l’accompagnement juridique

Thomas DAUTIEU

Délibérations similaires

DécisionAutorisation de recherche

Décision DR-2026-032 du 25 février 2026 autorisant le CENTRE HOSPITALIER UNIVERSITAIRE D’ANGERS à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur le développement de modèles d’aide à la détection de deux maladies rares, intitulée « PAI ». (Demande d’autorisation n° 925250)

La CNIL autorise le Centre Hospitalier Universitaire d'Angers à mettre en œuvre un traitement de données pour l'étude "PAI", visant à développer des modèles d'aide à la détection de deux maladies rares. L'autorisation est accordée malgré certains écarts à la méthodologie de référence MR-004, notamment concernant le traitement du NIR pour l'appariement des données et les modalités d'information des personnes. La décision impose le respect strict du cadre défini, incluant des mesures de minimisation des données et une documentation sur la réduction progressive du nombre de patients dans l'échantillon.

25/02/2026

DélibérationAutre autorisation

Délibération n° 2026-011 du 12 février 2026 autorisant LIFEN RESEARCH SAS à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la constitution d’un entrepôt de données dans le domaine de la santé, dénommé « LIFEN RESEARCH »

La CNIL autorise LIFEN Research SAS à constituer un entrepôt de données de santé nommé "LIFEN RESEARCH". L'autorisation est accordée sous réserve que la société mette en place une gouvernance stricte pour garantir le caractère d'intérêt public des futurs projets de recherche. Aucune sanction n'est prononcée, mais le traitement doit respecter le référentiel applicable et les mesures de gouvernance doivent être opérationnelles avant son démarrage.

12/02/2026

DélibérationAutre autorisation

Délibération n° 2026-013 du 12 février 2026 portant approbation du code de conduite national porté par l’Alliance du Commerce

La CNIL approuve le code de conduite national porté par l'Alliance du Commerce, destiné aux magasins et enseignes du secteur du commerce de détail de l'équipement de la personne. Ce code, juridiquement contraignant pour ses adhérents, précise les modalités d'application du RGPD pour ce secteur spécifique. Il prévoit un mécanisme de contrôle de sa bonne application par un organisme qui devra obtenir un agrément de la CNIL.

12/02/2026

DélibérationAutre autorisation

Délibération n° 2026-006 du 29 janvier 2026 portant agrément du Comité de surveillance (« Supervisory Committee » ou « COSUP ») en tant qu’organisme de contrôle du code de conduite européen porté par la fédération EUCROF (European Contract Research Organizations Federation).

La CNIL accorde un agrément au Comité de surveillance (COSUP) de la fédération EUCROF en tant qu'organisme de contrôle de son code de conduite européen relatif à la protection des données. Cet agrément, valable pour une durée de cinq ans, fait suite à une demande jugée conforme au référentiel de la CNIL. Il peut être révoqué si le COSUP ne respecte plus les exigences requises pour exercer sa mission de surveillance du respect du code de conduite par les adhérents.

29/01/2026

← Retour aux délibérations

Décision DT-2025-014 du 24 septembre 2025

La Commission nationale de l’informatique et des libertés,

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu le décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu la décision du 2 juin 2025 portant délégation de signature du secrétaire général de la Commission nationale de l’informatique et des libertés ;

Considérant que le traitement présente les caractéristiques et répond aux conditions suivantes :

Observation liminaire	La CNIL a été saisie d’une demande de modification de la décision DT-2024-019 autorisant la mise en œuvre d’un entrepôt intitulé "SOG-HEALTH". En dehors des modifications mentionnées dans la présente décision, les conditions de mise en œuvre du traitement restent inchangées.
Sur les points de non-conformité au référentiel concerné	En dehors des points de non-conformité ayant fait l’objet d’un examen spécifique dans la décision DT-2024-019 et la présente décision, ce traitement devra respecter le cadre prévu par le référentiel "entrepôt de données dans le domaine de la santé".
Sur le responsable de traitement	La responsabilité du traitement mis en œuvre dans le cadre de l’entrepôt de données de santé "SOG HEALTH" reposera désormais sur la société CLINITYX BY GERS (CLINITYX).
Sur le régime juridique applicable	La constitution de cet entrepôt implique notamment un traitement des données visées au 6° du I de l’article L. 1461-1 du code de la santé publique (CSP), à savoir des données recueillies à l'occasion d'activités de prévention, de diagnostic, de soins donnant lieu à une prise en charge des frais par la sécurité sociale. Ces données seront réutilisées et mises à disposition pour l’une des finalités visées au III de l’article L. 1461-1 du CSP, notamment à des fins de recherches, d’études ou d’évaluations dans le domaine de la santé. Par conséquent, les dispositions des articles L. 1461-1 et suivants du CSP sont applicables en l’espèce dont : le référentiel de sécurité visé au 3° du IV de cet article ; l’interdiction de poursuite des finalités visées à l’article V de cet article, et plus particulièrement la promotion des produits de santé en direction des professionnels de santé ou d’établissements de santé, ou à des fins d’exclusion de garanties des contrats d’assurance et de modification de cotisations ou primes d’assurance d’un individu ou d’un groupe d’individus présentant un même risque (finalités interdites d’utilisation du Système national des données de santé - SNDS).
Sur les données traitées	Les données gelées au sein de l’entrepôt dans les conditions prévues par la décision DT-2024-019 devront être supprimées.
Sur les modalités d’information et d’exercice des droits	La société CLINITYX, en sa qualité de responsable de traitement de l’entrepôt, doit assurer l’information des personnes dont les données sont traitées, conformément au RGPD et à l’article 69 de la loi "informatique et libertés". Tous les documents d’information (individuelle ou collective) devront : comporter l’ensemble des mentions prévues par le RGPD ; préciser la profondeur historique des données traitées afin d’assurer la transparence du traitement vis-à-vis des personnes concernées. Les notes d’information relatives aux recherches réalisées à partir des données de l’entrepôt seront désormais publiées sur le portail de transparence de le société CLINITYX. La société CLINITYX s’engage : à effectuer une redirection automatique depuis le portail de transparence de la société GERS SAS vers le portail de transparence de la société CLINITYX sur lequel figureront désormais les informations relatives aux recherches réalisées à partir des données de l’entrepôt ; à ce que l’ensemble des informations concernant les réutilisations de données versées dans l’entrepôt "SOG HEALTH" demeurent disponibles sur le portail de transparence de la société GERS SAS, qui restera actif. Une mise à jour des informations disponibles sur ce dispositif sera régulièrement réalisée par la société GERS SAS. Conformément aux dispositions de l’article 12 du RGPD, l’information des personnes concernées ainsi que les modalités d’exercice de leurs droits devront être conformes au principe de transparence prévu au chapitre III du RGPD. Les coordonnées du délégué à la protection des données auprès duquel les personnes concernées pourront dorénavant exercer leurs droits devra figurer clairement sur les différents supports d’information. Les notes d’informations relatives à la constitution de l’entrepôt et à son fonctionnement devront être mises à jour afin de mentionner les modifications apportées au traitement. Elles seront transmises aux clients des officines partenaires dans les conditions prévues par la décision DT-2024-019.
Sur la sécurité des données et la traçabilité des actions	Le dossier de demande mentionne que certaines des mesures nécessaires à la pleine couverture des risques de sécurité identifiées par la décision DT-2024-019 ont été déployées et améliorées dans le cadre d’un plan d’actions formalisé. Les mesures de sécurité décrites dans le dossier sont de nature à répondre aux exigences prévues par les articles 5,1, f) et 32 du RGPD compte tenu des risques identifiés par le responsable de traitement. Le responsable de traitement doit procéder à une réévaluation régulière des risques pour les personnes concernées et une mise à jour, le cas échéant, de ces mesures de sécurité.
Sur la gouvernance de l’entrepôt	Le responsable de traitement a mis en place un dispositif de gouvernance de l’entrepôt afin de maîtriser l’exploitation qui en est faite dans le respect des finalités déclarées et de l’intérêt public. En complément, eu égard à la nature des données traitées ainsi qu’aux finalités des traitements poursuivis ou envisagés par la société et ses partenaires, une gouvernance globale d’entreprise devra être mise en œuvre par la société CLINITYX comportant en particulier : une politique interne dédiée ; une gouvernance interne avec l’organisation et la documentation adéquates ; la formation et la sensibilisation de tous les acteurs ; une séparation des tâches en lien avec le traitement des données de santé, appuyée sur des critères d’exclusion a priori de certains personnels, services ou fonctions pour l’accès à un espace projet ou au rapport détaillé d’une étude ; la tenue d’une liste des personnes ayant un lien à caractère promotionnel avec des acteurs de santé ou un conflit d’intérêt par rapport à une étude ; une gestion des risques de violation liés au détournement de finalité, notamment sous l’angle de la minimisation/granularité des données et des risques de réidentification ; une surveillance des incidents et gestion des violations avec détournement de finalité ; des contrôles réguliers, comité annuel et mesures d’amélioration.
Observations complémentaires	Dans l’hypothèse où la société CLINITYX souhaiterait soumettre une demande de modification ou de renouvellement, le dossier de demande devra comporter un bilan comprenant notamment : la démonstration de la mise en œuvre effective d’une politique d’entreprise liée à la prévention des finalités interdites ; les modalités d’information déployées afin d’informer individuellement et collectivement des personnes concernées par ce traitement ; les modalités d’exercice des droits déployées ; la liste des projets réalisés ou en cours de réalisation ainsi que l’adéquation des objectifs de chaque étude aux finalités de l’entrepôt ; une synthèse des demandes de mise à disposition des données ; des indicateurs sur les modalités de fonctionnement de l’entrepôt ; la liste exhaustive des habilitations associées à l’entrepôt pour le personnel de la société CLINITYX ; les modalités de réalisation du plan d’actions et la résolution d’incidents éventuels.

Le Directeur de l’accompagnement juridique

Thomas DAUTIEU