DécisionEn vigueur

Décision DT-2025-015 du 24 septembre 2025

Décision DT-2025-015 du 24 septembre 2025 autorisant la SOCIETE CLINITYX BY GERS DATA à mettre en œuvre la modification d’un traitement automatisé de données ayant pour finalité la constitution d’un entrepôt de données de santé, dénommé « THIN ». (Demande d’autorisation n° 2238955)

Numéro	DT-2025-015
Date	mercredi 24 septembre 2025
Nature	Décision
Type d'acte	Autre autorisation
État	En vigueur
Référence	CNILTEXT000052350886

Résumé IA

La CNIL autorise la société CLINITYX BY GERS DATA à modifier son entrepôt de données de santé "THIN". Cette autorisation permet notamment d'ajouter la réalisation d'études de faisabilité pour des recherches dans le domaine de la santé. Le traitement, fondé sur l'intérêt légitime, doit respecter le référentiel sécurité et les finalités interdites du Système national des données de santé.

Texte intégral

La Commission nationale de l’informatique et des libertés,

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu le décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu la décision du 2 juin 2025 portant délégation de signature du secrétaire général de la Commission nationale de l’informatique et des libertés ;

Saisie d’une demande de modification de l’autorisation portant sur un traitement automatisé de données à caractère personnel ayant pour finalité la constitution d’un entrepôt de données de santé, dénommé "THIN" ;

Considérant que ce traitement, dont la finalité présente un caractère d’intérêt public, relève des dispositions de la section 3 du chapitre III du titre II de la loi du 6 janvier 1978 modifiée ;

Considérant que le traitement présente les caractéristiques et répond aux conditions suivantes :

Observation liminaire	La CNIL a été saisie d’une demande de modification de la décision DT-2024-020 autorisant la mise en œuvre d’un entrepôt intitulé "THIN". En dehors des modifications mentionnées dans la présente décision, les conditions de mise en œuvre du traitement restent inchangées.
Sur les points de non-conformité au référentiel concerné	En dehors des points de non-conformité ayant fait l’objet d’un examen spécifique dans la décision DT-2024-020, ce traitement devra respecter le cadre prévu par le référentiel "entrepôt de données dans le domaine de la santé", ainsi que les dispositions de la présente décision.
Sur le responsable de traitement	La responsabilité du traitement mis en œuvre dans le cadre de l’entrepôt de données de santé "THIN" reposera désormais sur la société CLINITYX BY GERS (CLINITYX).
Sur le régime juridique applicable	La constitution de cet entrepôt implique notamment un traitement des données visées au 6° du I de l’article L. 1461-1 du code de la santé publique (CSP), à savoir des données recueillies à l'occasion d'activités de prévention, de diagnostic, de soins donnant lieu à une prise en charge des frais par la sécurité sociale. Ces données seront réutilisées et mises à disposition pour l’une des finalités visées au III de l’article L. 1461-1 du CSP, notamment à des fins de recherches, d’études ou d’évaluations dans le domaine de la santé. Par conséquent, les dispositions des articles L. 1461-1 et suivants du CSP sont applicables en l’espèce dont : le référentiel de sécurité visé au 3° du IV de cet article ; l’interdiction de poursuite des finalités visées à l’article V de cet article, et plus particulièrement la promotion des produits de santé en direction des professionnels de santé ou d’établissements de santé, ou à des fins d’exclusion de garanties des contrats d’assurance et de modification de cotisations ou primes d’assurance d’un individu ou d’un groupe d’individus présentant un même risque (finalités interdites d’utilisation du Système national des données de santé - SNDS).
Sur la finalité du traitement, sa licéité et les conditions permettant de traiter des données concernant la santé	Le traitement a pour finalité la constitution d’un entrepôt de données à caractère personnel, dénommé "THIN", qui met à disposition des données de vie réelle de suivi des patients, collectées chez les médecins libéraux de ville, à des fins de recherche et d’études non interventionnelle portant notamment sur : l’analyse de l’usage du traitement, des indicateurs d’observance et de persistance, de la prise en charge et des schémas thérapeutiques, des changements de traitements et des parcours des patients ; la réduction de l’errance de diagnostic par analyse prédictive de survenue des maladies ; l’évaluation de la bonne utilisation des médicaments (interactions médicamenteuses, effets secondaires, posologies prescrites respectant les recommandations de la Haute autorité de santé, etc.) ; l’évaluation de la consommation de soins et de coûts de prise en charge des patients à des fins d’études médico-économiques ; les calculs de prévalence, d’incidence et évaluant le "fardeau" de la pathologie ; le suivi des campagnes de vaccination et de dépistage au cabinet médical ; le suivi de crises épidémiques. A compter de la présente décision, l’entrepôt permettra également de réaliser des études de faisabilité pour les recherches et études susmentionnées. La finalité du traitement est déterminée, explicite et légitime, conformément aux dispositions de l’article 5-1-b) du RGPD. Le traitement mis en œuvre par le responsable de traitement est nécessaire aux fins des intérêts légitimes qu’il poursuit. Ce traitement est licite au regard de l’article 6-1-f) du RGPD et remplit des conditions permettant le traitement des données concernant la santé au regard des dispositions de l’articles 9-2-j) du RGPD et 44-3° de la loi "informatique et libertés" modifiée. Les traitements mis en œuvre à partir des données de l’entrepôt devront se conformer aux dispositions des articles 66 et 72 et suivants de la loi "informatique et libertés", qui imposent que chaque projet de recherche, étude ou évaluation soit justifié par l’intérêt public. Ils devront faire l’objet de formalités propres par leur(s) responsable(s) de traitement. Les personnes concernées devront être informées de chacun de ces traitements conformément au RGPD et à la loi "informatique et libertés".
Sur les données traitées	Les données relatives à l’historique des remboursements de santé effectués par l’assurance maladie ne seront pas versées dans l’entrepôt. Par ailleurs, les données des patients n’ayant eu qu’une seule consultation avec un médecin généraliste ou spécialiste ne pourront être versées ou conservées dans l’entrepôt. Le dossier de demande mentionne qu’ont été supprimées : les données des patients dont la dernière consultation est antérieure à 2018 ; les données ayant fait l’objet d’un marquage spécifique dans les conditions prévues par la décision DT-2024-020. La CNIL relève à ce titre que le responsable de traitement indique qu’aucun indicateur n’a été calculé à partir de ces données.
Sur les modalités d’information et d’exercice des droits	La société CLINITYX, en sa qualité de responsable de traitement de l’entrepôt, doit assurer l’information des personnes dont les données sont traitées, conformément au RGPD et à l’article 69 de la loi "informatique et libertés". Tous les documents d’information (individuelle ou collective) devront : comporter l’ensemble des mentions prévues par le RGPD ; préciser la profondeur historique des données traitées afin d’assurer la transparence du traitement vis-à-vis des personnes concernées. Les notes d’information relatives aux recherches réalisées à partir des données de l’entrepôt seront désormais publiées sur le portail de transparence de le société CLINITYX. La société CLINITYX s’engage de surcroit : à effectuer une redirection automatique depuis le portail de transparence de la société GERS SAS vers le portail de transparence de la société CLINITYX sur lequel figureront désormais les informations relatives aux recherches réalisées à partir des données de l’entrepôt ; à ce que l’ensemble des informations concernant les réutilisations de données versées dans l’entrepôt "THIN" demeurent disponibles sur le portail de transparence de la société GERS SAS, qui restera actif. Une mise à jour des informations disponibles sur ce dispositif sera régulièrement réalisée par la société GERS SAS. Conformément aux dispositions de l’article 12 du RGPD, l’information des personnes concernées ainsi que les modalités d’exercice de leurs droits devront être conformes au principe de transparence prévu au chapitre III du RGPD. Les coordonnées du délégué à la protection des données auprès duquel les personnes concernées pourront dorénavant exercer leurs droits devra figurer clairement sur les différents supports d’information. Les notes d’informations relatives à la constitution de l’entrepôt et à son fonctionnement devront être mises à jour afin de mentionner les modifications apportées au traitement. Elles seront transmises aux professionnels de santé partenaires dans les conditions prévues par la décision DT 2024-020.
Sur la sécurité des données et la traçabilité des actions	Le dossier mentionne que certaines des mesures nécessaires à la pleine couverture des risques de sécurité identifiées par la décision DT-2024-020 ont été déployées et améliorées dans le cadre d’un plan d’actions formalisé. La CNIL en prend acte. Les mesures de sécurité décrites dans le dossier sont ainsi de nature à répondre aux exigences prévues par les articles 5,1, f) et 32 du RGPD compte tenu des risques identifiés par le responsable de traitement. Le responsable de traitement doit procéder à une réévaluation régulière des risques pour les personnes concernées et une mise à jour, le cas échéant, de ces mesures de sécurité.
Sur la gouvernance de l’entrepôt	Le responsable de traitement a mis en place un dispositif de gouvernance de l’entrepôt afin de maîtriser l’exploitation qui en est faite dans le respect des finalités déclarées et de l’intérêt public. En complément, eu égard à la nature des données traitées ainsi qu’aux finalités des traitements poursuivis ou envisagés par la société et ses partenaires, une gouvernance globale d’entreprise devra être mise en œuvre par la société CLINITYX comportant en particulier : une politique interne dédiée ; une gouvernance interne avec l’organisation et la documentation adéquates ; la formation et la sensibilisation de tous les acteurs ; une séparation des tâches en lien avec le traitement des données de santé, appuyée sur des critères d’exclusion a priori de certains personnels, services ou fonctions pour l’accès à un espace projet ou au rapport détaillé d’une étude ; la tenue d’une liste des personnes ayant un lien à caractère promotionnel avec des acteurs de santé ou un conflit d’intérêt par rapport à une étude ; une gestion des risques de violation liés au détournement de finalité, notamment sous l’angle de la minimisation/granularité des données et des risques de réidentification ; une surveillance des incidents et gestion des violations avec détournement de finalité ; des contrôles réguliers, comité annuel et mesures d’amélioration.
Sur la conservation et la profondeur historique des données	Les données des patients ayant eu plusieurs consultations avec un médecin généraliste ou spécialiste partenaire entre 2018 et la date de la décision DT-2024-020 dont le contrat a pris fin seront conservées neuf ans, dans la limite d’une profondeur historique de dix ans à compter de la dernière consultation. Les données des patients ayant eu plusieurs consultations avec un médecin généraliste ou spécialiste partenaire entre 2018 et la décision DT-2024-020 dont le contrat est toujours en cours seront conservées neuf ans, dans la limite d’une profondeur historique de dix ans à compter de la dernière consultation, dans l’hypothèse où ils ne pourraient pas être informés individuellement au cours d’une nouvelle consultation. Les autres données (données des patients informés individuellement postérieurement à la décision DT-2024-020) seront conservées quinze ans à compter de leur collecte auprès des professionnels de santé partenaires, dans la limite d’une profondeur historique de quinze ans à compter de la dernière consultation.
Observations complémentaires	Dans l’hypothèse où la société CLINITYX souhaiterait soumettre une demande de modification ou de renouvellement, le dossier de demande devra comporter un bilan comprenant notamment : la démonstration de la mise en œuvre effective d’une politique d’entreprise liée à la prévention des finalités interdites ; les modalités d’information déployées afin d’informer individuellement et collectivement des personnes concernées par ce traitement ; les modalités d’exercice des droits déployées ; la liste des projets réalisés ou en cours de réalisation ainsi que l’adéquation des objectifs de chaque étude aux finalités de l’entrepôt ; une synthèse des demandes de mise à disposition des données ; des indicateurs sur les modalités de fonctionnement de l’entrepôt ; la liste exhaustive des habilitations associées à l’entrepôt pour le personnel de la société CLINITYX ; les modalités de réalisation du plan d’actions et la résolution d’incidents éventuels.

AUTORISE, dans ces conditions, la SOCIETE CLINITYX BY GERS DATA à mettre en œuvre le traitement décrit ci-dessus pendant une durée de trois ans à compter de la présente autorisation.

Le Directeur de l’accompagnement juridique

Thomas DAUTIEU

Délibérations similaires

DécisionAutorisation de recherche

Décision DR-2026-032 du 25 février 2026 autorisant le CENTRE HOSPITALIER UNIVERSITAIRE D’ANGERS à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur le développement de modèles d’aide à la détection de deux maladies rares, intitulée « PAI ». (Demande d’autorisation n° 925250)

La CNIL autorise le Centre Hospitalier Universitaire d'Angers à mettre en œuvre un traitement de données pour l'étude "PAI", visant à développer des modèles d'aide à la détection de deux maladies rares. L'autorisation est accordée malgré certains écarts à la méthodologie de référence MR-004, notamment concernant le traitement du NIR pour l'appariement des données et les modalités d'information des personnes. La décision impose le respect strict du cadre défini, incluant des mesures de minimisation des données et une documentation sur la réduction progressive du nombre de patients dans l'échantillon.

25/02/2026

DélibérationAutre autorisation

Délibération n° 2026-011 du 12 février 2026 autorisant LIFEN RESEARCH SAS à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la constitution d’un entrepôt de données dans le domaine de la santé, dénommé « LIFEN RESEARCH »

La CNIL autorise LIFEN Research SAS à constituer un entrepôt de données de santé nommé "LIFEN RESEARCH". L'autorisation est accordée sous réserve que la société mette en place une gouvernance stricte pour garantir le caractère d'intérêt public des futurs projets de recherche. Aucune sanction n'est prononcée, mais le traitement doit respecter le référentiel applicable et les mesures de gouvernance doivent être opérationnelles avant son démarrage.

12/02/2026

DélibérationAutre autorisation

Délibération n° 2026-013 du 12 février 2026 portant approbation du code de conduite national porté par l’Alliance du Commerce

La CNIL approuve le code de conduite national porté par l'Alliance du Commerce, destiné aux magasins et enseignes du secteur du commerce de détail de l'équipement de la personne. Ce code, juridiquement contraignant pour ses adhérents, précise les modalités d'application du RGPD pour ce secteur spécifique. Il prévoit un mécanisme de contrôle de sa bonne application par un organisme qui devra obtenir un agrément de la CNIL.

12/02/2026

DélibérationAutre autorisation

Délibération n° 2026-006 du 29 janvier 2026 portant agrément du Comité de surveillance (« Supervisory Committee » ou « COSUP ») en tant qu’organisme de contrôle du code de conduite européen porté par la fédération EUCROF (European Contract Research Organizations Federation).

La CNIL accorde un agrément au Comité de surveillance (COSUP) de la fédération EUCROF en tant qu'organisme de contrôle de son code de conduite européen relatif à la protection des données. Cet agrément, valable pour une durée de cinq ans, fait suite à une demande jugée conforme au référentiel de la CNIL. Il peut être révoqué si le COSUP ne respecte plus les exigences requises pour exercer sa mission de surveillance du respect du code de conduite par les adhérents.

29/01/2026

← Retour aux délibérations

Décision DT-2025-015 du 24 septembre 2025

La Commission nationale de l’informatique et des libertés,

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu le décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu la décision du 2 juin 2025 portant délégation de signature du secrétaire général de la Commission nationale de l’informatique et des libertés ;

Considérant que le traitement présente les caractéristiques et répond aux conditions suivantes :

Observation liminaire	La CNIL a été saisie d’une demande de modification de la décision DT-2024-020 autorisant la mise en œuvre d’un entrepôt intitulé "THIN". En dehors des modifications mentionnées dans la présente décision, les conditions de mise en œuvre du traitement restent inchangées.
Sur les points de non-conformité au référentiel concerné	En dehors des points de non-conformité ayant fait l’objet d’un examen spécifique dans la décision DT-2024-020, ce traitement devra respecter le cadre prévu par le référentiel "entrepôt de données dans le domaine de la santé", ainsi que les dispositions de la présente décision.
Sur le responsable de traitement	La responsabilité du traitement mis en œuvre dans le cadre de l’entrepôt de données de santé "THIN" reposera désormais sur la société CLINITYX BY GERS (CLINITYX).
Sur le régime juridique applicable	La constitution de cet entrepôt implique notamment un traitement des données visées au 6° du I de l’article L. 1461-1 du code de la santé publique (CSP), à savoir des données recueillies à l'occasion d'activités de prévention, de diagnostic, de soins donnant lieu à une prise en charge des frais par la sécurité sociale. Ces données seront réutilisées et mises à disposition pour l’une des finalités visées au III de l’article L. 1461-1 du CSP, notamment à des fins de recherches, d’études ou d’évaluations dans le domaine de la santé. Par conséquent, les dispositions des articles L. 1461-1 et suivants du CSP sont applicables en l’espèce dont : le référentiel de sécurité visé au 3° du IV de cet article ; l’interdiction de poursuite des finalités visées à l’article V de cet article, et plus particulièrement la promotion des produits de santé en direction des professionnels de santé ou d’établissements de santé, ou à des fins d’exclusion de garanties des contrats d’assurance et de modification de cotisations ou primes d’assurance d’un individu ou d’un groupe d’individus présentant un même risque (finalités interdites d’utilisation du Système national des données de santé - SNDS).
Sur la finalité du traitement, sa licéité et les conditions permettant de traiter des données concernant la santé	Le traitement a pour finalité la constitution d’un entrepôt de données à caractère personnel, dénommé "THIN", qui met à disposition des données de vie réelle de suivi des patients, collectées chez les médecins libéraux de ville, à des fins de recherche et d’études non interventionnelle portant notamment sur : l’analyse de l’usage du traitement, des indicateurs d’observance et de persistance, de la prise en charge et des schémas thérapeutiques, des changements de traitements et des parcours des patients ; la réduction de l’errance de diagnostic par analyse prédictive de survenue des maladies ; l’évaluation de la bonne utilisation des médicaments (interactions médicamenteuses, effets secondaires, posologies prescrites respectant les recommandations de la Haute autorité de santé, etc.) ; l’évaluation de la consommation de soins et de coûts de prise en charge des patients à des fins d’études médico-économiques ; les calculs de prévalence, d’incidence et évaluant le "fardeau" de la pathologie ; le suivi des campagnes de vaccination et de dépistage au cabinet médical ; le suivi de crises épidémiques. A compter de la présente décision, l’entrepôt permettra également de réaliser des études de faisabilité pour les recherches et études susmentionnées. La finalité du traitement est déterminée, explicite et légitime, conformément aux dispositions de l’article 5-1-b) du RGPD. Le traitement mis en œuvre par le responsable de traitement est nécessaire aux fins des intérêts légitimes qu’il poursuit. Ce traitement est licite au regard de l’article 6-1-f) du RGPD et remplit des conditions permettant le traitement des données concernant la santé au regard des dispositions de l’articles 9-2-j) du RGPD et 44-3° de la loi "informatique et libertés" modifiée. Les traitements mis en œuvre à partir des données de l’entrepôt devront se conformer aux dispositions des articles 66 et 72 et suivants de la loi "informatique et libertés", qui imposent que chaque projet de recherche, étude ou évaluation soit justifié par l’intérêt public. Ils devront faire l’objet de formalités propres par leur(s) responsable(s) de traitement. Les personnes concernées devront être informées de chacun de ces traitements conformément au RGPD et à la loi "informatique et libertés".
Sur les données traitées	Les données relatives à l’historique des remboursements de santé effectués par l’assurance maladie ne seront pas versées dans l’entrepôt. Par ailleurs, les données des patients n’ayant eu qu’une seule consultation avec un médecin généraliste ou spécialiste ne pourront être versées ou conservées dans l’entrepôt. Le dossier de demande mentionne qu’ont été supprimées : les données des patients dont la dernière consultation est antérieure à 2018 ; les données ayant fait l’objet d’un marquage spécifique dans les conditions prévues par la décision DT-2024-020. La CNIL relève à ce titre que le responsable de traitement indique qu’aucun indicateur n’a été calculé à partir de ces données.
Sur les modalités d’information et d’exercice des droits	La société CLINITYX, en sa qualité de responsable de traitement de l’entrepôt, doit assurer l’information des personnes dont les données sont traitées, conformément au RGPD et à l’article 69 de la loi "informatique et libertés". Tous les documents d’information (individuelle ou collective) devront : comporter l’ensemble des mentions prévues par le RGPD ; préciser la profondeur historique des données traitées afin d’assurer la transparence du traitement vis-à-vis des personnes concernées. Les notes d’information relatives aux recherches réalisées à partir des données de l’entrepôt seront désormais publiées sur le portail de transparence de le société CLINITYX. La société CLINITYX s’engage de surcroit : à effectuer une redirection automatique depuis le portail de transparence de la société GERS SAS vers le portail de transparence de la société CLINITYX sur lequel figureront désormais les informations relatives aux recherches réalisées à partir des données de l’entrepôt ; à ce que l’ensemble des informations concernant les réutilisations de données versées dans l’entrepôt "THIN" demeurent disponibles sur le portail de transparence de la société GERS SAS, qui restera actif. Une mise à jour des informations disponibles sur ce dispositif sera régulièrement réalisée par la société GERS SAS. Conformément aux dispositions de l’article 12 du RGPD, l’information des personnes concernées ainsi que les modalités d’exercice de leurs droits devront être conformes au principe de transparence prévu au chapitre III du RGPD. Les coordonnées du délégué à la protection des données auprès duquel les personnes concernées pourront dorénavant exercer leurs droits devra figurer clairement sur les différents supports d’information. Les notes d’informations relatives à la constitution de l’entrepôt et à son fonctionnement devront être mises à jour afin de mentionner les modifications apportées au traitement. Elles seront transmises aux professionnels de santé partenaires dans les conditions prévues par la décision DT 2024-020.
Sur la sécurité des données et la traçabilité des actions	Le dossier mentionne que certaines des mesures nécessaires à la pleine couverture des risques de sécurité identifiées par la décision DT-2024-020 ont été déployées et améliorées dans le cadre d’un plan d’actions formalisé. La CNIL en prend acte. Les mesures de sécurité décrites dans le dossier sont ainsi de nature à répondre aux exigences prévues par les articles 5,1, f) et 32 du RGPD compte tenu des risques identifiés par le responsable de traitement. Le responsable de traitement doit procéder à une réévaluation régulière des risques pour les personnes concernées et une mise à jour, le cas échéant, de ces mesures de sécurité.
Sur la gouvernance de l’entrepôt	Le responsable de traitement a mis en place un dispositif de gouvernance de l’entrepôt afin de maîtriser l’exploitation qui en est faite dans le respect des finalités déclarées et de l’intérêt public. En complément, eu égard à la nature des données traitées ainsi qu’aux finalités des traitements poursuivis ou envisagés par la société et ses partenaires, une gouvernance globale d’entreprise devra être mise en œuvre par la société CLINITYX comportant en particulier : une politique interne dédiée ; une gouvernance interne avec l’organisation et la documentation adéquates ; la formation et la sensibilisation de tous les acteurs ; une séparation des tâches en lien avec le traitement des données de santé, appuyée sur des critères d’exclusion a priori de certains personnels, services ou fonctions pour l’accès à un espace projet ou au rapport détaillé d’une étude ; la tenue d’une liste des personnes ayant un lien à caractère promotionnel avec des acteurs de santé ou un conflit d’intérêt par rapport à une étude ; une gestion des risques de violation liés au détournement de finalité, notamment sous l’angle de la minimisation/granularité des données et des risques de réidentification ; une surveillance des incidents et gestion des violations avec détournement de finalité ; des contrôles réguliers, comité annuel et mesures d’amélioration.
Sur la conservation et la profondeur historique des données	Les données des patients ayant eu plusieurs consultations avec un médecin généraliste ou spécialiste partenaire entre 2018 et la date de la décision DT-2024-020 dont le contrat a pris fin seront conservées neuf ans, dans la limite d’une profondeur historique de dix ans à compter de la dernière consultation. Les données des patients ayant eu plusieurs consultations avec un médecin généraliste ou spécialiste partenaire entre 2018 et la décision DT-2024-020 dont le contrat est toujours en cours seront conservées neuf ans, dans la limite d’une profondeur historique de dix ans à compter de la dernière consultation, dans l’hypothèse où ils ne pourraient pas être informés individuellement au cours d’une nouvelle consultation. Les autres données (données des patients informés individuellement postérieurement à la décision DT-2024-020) seront conservées quinze ans à compter de leur collecte auprès des professionnels de santé partenaires, dans la limite d’une profondeur historique de quinze ans à compter de la dernière consultation.
Observations complémentaires	Dans l’hypothèse où la société CLINITYX souhaiterait soumettre une demande de modification ou de renouvellement, le dossier de demande devra comporter un bilan comprenant notamment : la démonstration de la mise en œuvre effective d’une politique d’entreprise liée à la prévention des finalités interdites ; les modalités d’information déployées afin d’informer individuellement et collectivement des personnes concernées par ce traitement ; les modalités d’exercice des droits déployées ; la liste des projets réalisés ou en cours de réalisation ainsi que l’adéquation des objectifs de chaque étude aux finalités de l’entrepôt ; une synthèse des demandes de mise à disposition des données ; des indicateurs sur les modalités de fonctionnement de l’entrepôt ; la liste exhaustive des habilitations associées à l’entrepôt pour le personnel de la société CLINITYX ; les modalités de réalisation du plan d’actions et la résolution d’incidents éventuels.

AUTORISE, dans ces conditions, la SOCIETE CLINITYX BY GERS DATA à mettre en œuvre le traitement décrit ci-dessus pendant une durée de trois ans à compter de la présente autorisation.

Le Directeur de l’accompagnement juridique

Thomas DAUTIEU