DécisionEn vigueur

Décision DR-2025-169 du 25 juillet 2025

Décision DR-2025-169 du 25 juillet 2025 autorisant le CENTRE LEON BERARD, la société SANOFI et l’INSTITUT NATIONAL DE RECHERCHE EN SCIENCES ET TECHNOLOGIES DU NUMERIQUE (INRIA) à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur l’évaluation in silico de nouvelles combinaisons de traitements en oncologie à partir de données de vie réelle et de connaissance du domaine, nécessitant un accès aux données du SNIIRAM et du PMSI, composantes du Système national des données de santé, pour les années 2006 à 2024, intitulée « COMBO ». (Demande d’autorisation n° 925043)

Numéro	DR-2025-169
Date	vendredi 25 juillet 2025
Nature	Décision
Type d'acte	Autorisation de recherche
État	En vigueur
Référence	CNILTEXT000053434454

Résumé IA

La CNIL autorise le Centre Léon Bérard, Sanofi et l'INRIA à mettre en œuvre un traitement de données pour l'étude COMBO en oncologie. Cette autorisation concerne l'accès et l'appariement de données du SNIIRAM et du PMSI (2006-2024) ainsi que la réutilisation de données d'une étude antérieure. La décision impose le respect de conditions strictes, notamment la formalisation des rôles entre responsables de traitement et le GIP Plateforme des données de santé, et encadre l'accès de Sanofi aux données du SNDS.

Texte intégral

La Commission nationale de l’informatique et des libertés,

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu le décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu la décision du 2 juin 2025 portant délégation de signature du secrétaire général de la Commission nationale de l’informatique et des libertés ;

Saisie d’une demande d’autorisation relative à un traitement de données à caractère personnel à des fins de recherche, d'étude ou d'évaluation dans le domaine de la santé ;

Considérant que ce traitement, dont la finalité présente un caractère d’intérêt public, relève des dispositions de la section 3 du chapitre III du titre II de la loi du 6 janvier 1978 modifiée ;

Considérant que le traitement présente les caractéristiques et répond aux conditions suivantes :

Responsables de traitement	Le Centre Léon Bérard, la société Sanofi et l’Institut national de recherche en sciences et technologies du numérique déterminent conjointement les finalités et les moyens du traitement. Conformément à l'article 26 du RGPD, ils doivent définir de manière transparente leurs obligations respectives.
Avis du comité	Avis favorable du Comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé du 12 décembre 2024.
Point de non-conformité à la méthodologie de référence concernée	Le dossier de demande mentionne que le traitement envisagé est conforme aux dispositions de la méthodologie de référence MR-004, à l'exception de la nature des données traitées (traitement du numéro d’inscription au répertoire national d’identification des personnes physiques (NIR) aux fins d’appariement des données d’une précédente étude avec celles du Système national des données de santé (SNDS)). En dehors de ce point, qui fait l’objet d’un examen spécifique dans la présente décision, ce traitement devra respecter le cadre prévu par ce référentiel.
Sur la Plateforme des données de santé	D’une part, le groupement d’intérêt public Plateforme de données de santé (GIP PDS) interviendra dans le cadre du ciblage et de l’extraction des données du SNDS depuis le portail de la Caisse nationale de l’assurance maladie (CNAM) en sa qualité de responsable conjoint de traitement du SNDS. Seules les données strictement nécessaires et pertinentes au regard des objectifs décrits dans le protocole de recherche seront ciblées puis extraites depuis le portail de la CNAM par le GIP PDS. Tous les filtrages de données seront réalisés en amont de la transmission des données vers la solution technique de la PDS. La vérification de la concordance entre les données nécessaires à la mise en œuvre des traitements décrits dans le dossier et les données extraites sera effectuée en lien avec la CNAM. D’autre part, le GIP PDS assurera l’hébergement pour l’analyse des données de l’étude et facilitera leur appariement avec les données du SNDS via son service Concentrateur . S’agissant de ces opérations de traitement, la CNIL estime que le GIP PDS interviendra en qualité de sous-traitant. La répartition des rôles et responsabilités entre les responsables conjoints de traitement et le GIP PDS, concernant ces aspects notamment la conservation des données, la sensibilisation des utilisateurs du projet, la surveillance des traces, la gestion des alertes et des incidents ainsi que les gestions des exports de données anonymes, devra être formalisée par une convention entre les parties conformément à l’article 28 du RGPD.
Réutilisation des données d’une base existante	Les données de l’étude PROFILER réalisée dans le cadre d’une déclaration de conformité à la méthodologie de référence MR-001 seront réutilisées dans le cadre de cette étude et appariées de façon déterministe (directe) aux données du SNDS.
Utilisation de données issues du SNDS historique et circuit d’appariement	S’agissant du traitement de données du SNDS : Composantes concernées : SNIIRAM et PMSI. Années concernées : 2006 à 2024. Modalités de consultation : solution technique du GIP PDS. Les données traitées étant issues de bases composant le SNDS, l’ensemble des dispositions législatives et réglementaires relatives au SNDS est applicable en l’espèce (articles L. 1461-1 à L. 1461-7 du code de la santé publique), notamment le référentiel de sécurité SNDS . S’agissant des modalités d’accès au SNDS : Afin de pouvoir accéder aux données du SNDS, la société Sanofi est tenue, conformément aux dispositions de l’article L. 1461-3 du CSP : soit de démontrer que les modalités de mise en œuvre du traitement rendent impossible toute utilisation des données pour l'une des finalités interdites mentionnées à l’article L. 1461-1 du CSP, en particulier pour la promotion de certains produits de santé en direction des professionnels de santé ou d'établissements de santé ; soit de recourir à un laboratoire de recherche ou à un bureau d'études pour réaliser le traitement. En l’espèce, la société Sanofi souhaite accéder directement à certaines données du SNDS. Cet accès direct est encadré par un système de management spécifique pour les personnels concernés. Celui-ci a été certifié conforme au référentiel AFAQ Accès direct aux données du SNDS v1 – Mai 2024 le 15 octobre 2024 pour une durée de trois ans. La société Sanofi devra s’assurer du respect et du maintien de cette certification pendant toute la durée du traitement. S’agissant des modalités d’appariement : Les données identifiantes (NIR, sexe et date de naissance complète des participants) seront transmises à la CNAM, par l’entremise du service Concentrateur , proposé par le GIP PDS et opéré par un de ses sous-traitants, pour extraction des données du SNDS correspondantes. Les données identifiantes devront être chiffrées et être transmises sous forme de fichiers chiffrés. Les algorithmes utilisés et les procédures de gestion de clés associées devront être conformes au référentiel général de sécurité (annexes B1 et B2) et aux recommandations correspondantes de l’ANSSI. Des mesures de sécurité renforcées devront être mises en place pour protéger les tables de correspondance. Les équipements mobiles devront faire l'objet de mesures de chiffrement afin de garantir la confidentialité des données qu'ils contiennent en cas de perte ou de vol de l'équipement.
Information et droits des personnes	Les participants sont individuellement informés du traitement de leurs données dans le cadre de cette étude.
Mesures de sécurité	Les responsables de traitement ont réalisé et transmis à l’appui de la demande d’autorisation une analyse d’impact relative à la protection des données spécifique au projet COMBO . En raison de la particulière sensibilité des données traitées, la CNIL recommande de compléter les mesures de sécurité prévues dans l’AIPD par la mise en œuvre du chiffrement des données de l’étude dans l’environnement informatique du Centre Léon Bérard. La sécurité des données de l’espace projet dédié au projet COMBO dépend essentiellement de la solution technique de la PDS, qui a fait l’objet d’une analyse globale des risques et de l’impact sur la vie privée, suivie d’une homologation selon le référentiel de sécurité du SNDS. Une homologation de la solution technique, conforme au référentiel de sécurité applicable au SNDS, et incluant l’espace projet mis à disposition des responsables de traitement, a été réalisée par le GIP PDS le 22 juillet 2024, pour une durée de trois ans, sous réserve de la mise en œuvre du plan d’actions qu’elle a défini. Les responsables conjoints de traitement devront s’assurer que le système d’information hébergeant les données de l’étude respecte ce référentiel pendant toute la durée du traitement. Les mesures de sécurité décrites répondent aux exigences prévues par les articles 5.1.f) et 32 du RGPD, compte tenu des risques identifiés par les responsables de traitement. Il appartiendra à ces derniers de procéder à une réévaluation régulière des risques pour les personnes concernées et une mise à jour, le cas échéant, de ces mesures de sécurité.
Transferts hors Union européenne	Les dispositions de l’article R. 1461-1 du CSP prévoient qu’aucun transfert de données à caractère personnel ne peut être réalisé en dehors de l'Union européenne, sauf dans le cas d'accès ponctuels aux données par des personnes situées en dehors de l'Union européenne, pour une finalité relevant du 1° du I de l'article L. 1461-3 du CSP. En l’espèce, le dossier de demande ne fait pas état de tels accès à distance par un membre de l’équipe de recherche.
Durée d’accès aux données du SNDS	Quatre ans à compter de mise à disposition des données.
Transparence du traitement	Ce traitement devra être enregistré dans le répertoire public mis à disposition par la Plateforme des données de santé.

AUTORISE le CENTRE LEON BERARD, la société SANOFI et l’INSTITUT NATIONAL DE RECHERCHE EN SCIENCES ET TECHNOLOGIES DU NUMERIQUE (INRIA) à mettre en œuvre le traitement décrit ci-dessus.

La Cheffe du service de la santé

Hélène GUIMIOT

Délibérations similaires

DécisionAutorisation de recherche

Décision DR-2026-032 du 25 février 2026 autorisant le CENTRE HOSPITALIER UNIVERSITAIRE D’ANGERS à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur le développement de modèles d’aide à la détection de deux maladies rares, intitulée « PAI ». (Demande d’autorisation n° 925250)

La CNIL autorise le Centre Hospitalier Universitaire d'Angers à mettre en œuvre un traitement de données pour l'étude "PAI", visant à développer des modèles d'aide à la détection de deux maladies rares. L'autorisation est accordée malgré certains écarts à la méthodologie de référence MR-004, notamment concernant le traitement du NIR pour l'appariement des données et les modalités d'information des personnes. La décision impose le respect strict du cadre défini, incluant des mesures de minimisation des données et une documentation sur la réduction progressive du nombre de patients dans l'échantillon.

25/02/2026

DécisionAutorisation de recherche

Décision DR-2025-216 du 25 septembre 2025 autorisant la FEDERATION ANTADIR à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur l’évolution de la prise en charge des enfants traités par ventilation non invasive, nécessitant un accès aux données du SNIIRAM, du PMSI et de Vaccin-Covid, composantes du Système national des données de santé (SNDS), pour les années 2007 à 2024, intitulée « VIVRE ». (Demande d’autorisation n° 925193)

La CNIL autorise la FEDERATION ANTADIR à mettre en œuvre un traitement de données pour l'étude "VIVRE", portant sur l'évolution de la prise en charge des enfants sous ventilation non invasive. L'autorisation concerne l'accès aux données du SNIIRAM, du PMSI et de Vaccin-Covid (SNDS) pour la période 2007-2024. La décision impose des conditions strictes, notamment l'hébergement par la Plateforme de données de santé (PDS), une information du public via les sites web (en dérogation de l'information individuelle), et la destruction des données après trois ans d'accès.

25/09/2025

DécisionAutorisation de recherche

Décision DR-2025-209 du 24 septembre 2025 autorisant l’ASSISTANCE PUBLIQUE HOPITAUX DE PARIS à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur l’efficacité d’un suivi par messagerie texte automatisée sur la limitation d’activité des patients lombalgiques chroniques, intitulée « LOMBATEXT ». (Demande d’autorisation n° 925217)

La CNIL autorise l'Assistance Publique Hôpitaux de Paris (AP-HP) à mettre en œuvre un traitement de données pour l'étude de recherche en santé « LOMBATEXT ». L'autorisation est accordée malgré un point de non-conformité à la méthodologie de référence concernant l'accès de deux sous-traitants aux données directement identifiantes. Des garanties strictes sont imposées, notamment la séparation des bases de données et la limitation des accès. Les durées de conservation des données sont fixées, avec une destruction des données identifiantes à la fin du suivi des patients.

24/09/2025

DécisionAutorisation de recherche

Décision DR-2025-214 du 24 septembre 2025 autorisant le CENTRE HOSPITALIER UNIVERSITAIRE DE BORDEAUX à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur la coordination et des besoins en soins primaires pour la prise en charge des victimes de violences entre partenaires intimes en ex-Aquitaine, sur l’île de La Réunion et en Polynésie française, intitulée « AQUREPOL-VPI ». (Demande d’autorisation n° 925121)

Le Centre Hospitalier Universitaire de Bordeaux a obtenu une autorisation de la CNIL pour un traitement de données dans le cadre de l'étude de recherche en santé « AQUREPOL-VPI ». Cette autorisation concerne spécifiquement le traitement de données sensibles, notamment des enregistrements vocaux identifiants, et l'accès à des données directement identifiantes par des internes de médecine générale. La décision impose des conditions strictes, comme la séparation des bases de données, la limitation des accès, et des durées de conservation définies (destruction après retranscription pour les enregistrements, 5 ans en base active, 15 ans en archivage).

24/09/2025

← Retour aux délibérations

La Commission nationale de l’informatique et des libertés,

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu le décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu la décision du 2 juin 2025 portant délégation de signature du secrétaire général de la Commission nationale de l’informatique et des libertés ;

Saisie d’une demande d’autorisation relative à un traitement de données à caractère personnel à des fins de recherche, d'étude ou d'évaluation dans le domaine de la santé ;

Considérant que le traitement présente les caractéristiques et répond aux conditions suivantes :

Responsables de traitement	Le Centre Léon Bérard, la société Sanofi et l’Institut national de recherche en sciences et technologies du numérique déterminent conjointement les finalités et les moyens du traitement. Conformément à l'article 26 du RGPD, ils doivent définir de manière transparente leurs obligations respectives.
Avis du comité	Avis favorable du Comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé du 12 décembre 2024.
Point de non-conformité à la méthodologie de référence concernée	Le dossier de demande mentionne que le traitement envisagé est conforme aux dispositions de la méthodologie de référence MR-004, à l'exception de la nature des données traitées (traitement du numéro d’inscription au répertoire national d’identification des personnes physiques (NIR) aux fins d’appariement des données d’une précédente étude avec celles du Système national des données de santé (SNDS)). En dehors de ce point, qui fait l’objet d’un examen spécifique dans la présente décision, ce traitement devra respecter le cadre prévu par ce référentiel.
Sur la Plateforme des données de santé	D’une part, le groupement d’intérêt public Plateforme de données de santé (GIP PDS) interviendra dans le cadre du ciblage et de l’extraction des données du SNDS depuis le portail de la Caisse nationale de l’assurance maladie (CNAM) en sa qualité de responsable conjoint de traitement du SNDS. Seules les données strictement nécessaires et pertinentes au regard des objectifs décrits dans le protocole de recherche seront ciblées puis extraites depuis le portail de la CNAM par le GIP PDS. Tous les filtrages de données seront réalisés en amont de la transmission des données vers la solution technique de la PDS. La vérification de la concordance entre les données nécessaires à la mise en œuvre des traitements décrits dans le dossier et les données extraites sera effectuée en lien avec la CNAM. D’autre part, le GIP PDS assurera l’hébergement pour l’analyse des données de l’étude et facilitera leur appariement avec les données du SNDS via son service Concentrateur . S’agissant de ces opérations de traitement, la CNIL estime que le GIP PDS interviendra en qualité de sous-traitant. La répartition des rôles et responsabilités entre les responsables conjoints de traitement et le GIP PDS, concernant ces aspects notamment la conservation des données, la sensibilisation des utilisateurs du projet, la surveillance des traces, la gestion des alertes et des incidents ainsi que les gestions des exports de données anonymes, devra être formalisée par une convention entre les parties conformément à l’article 28 du RGPD.
Réutilisation des données d’une base existante	Les données de l’étude PROFILER réalisée dans le cadre d’une déclaration de conformité à la méthodologie de référence MR-001 seront réutilisées dans le cadre de cette étude et appariées de façon déterministe (directe) aux données du SNDS.
Utilisation de données issues du SNDS historique et circuit d’appariement	S’agissant du traitement de données du SNDS : Composantes concernées : SNIIRAM et PMSI. Années concernées : 2006 à 2024. Modalités de consultation : solution technique du GIP PDS. Les données traitées étant issues de bases composant le SNDS, l’ensemble des dispositions législatives et réglementaires relatives au SNDS est applicable en l’espèce (articles L. 1461-1 à L. 1461-7 du code de la santé publique), notamment le référentiel de sécurité SNDS . S’agissant des modalités d’accès au SNDS : Afin de pouvoir accéder aux données du SNDS, la société Sanofi est tenue, conformément aux dispositions de l’article L. 1461-3 du CSP : soit de démontrer que les modalités de mise en œuvre du traitement rendent impossible toute utilisation des données pour l'une des finalités interdites mentionnées à l’article L. 1461-1 du CSP, en particulier pour la promotion de certains produits de santé en direction des professionnels de santé ou d'établissements de santé ; soit de recourir à un laboratoire de recherche ou à un bureau d'études pour réaliser le traitement. En l’espèce, la société Sanofi souhaite accéder directement à certaines données du SNDS. Cet accès direct est encadré par un système de management spécifique pour les personnels concernés. Celui-ci a été certifié conforme au référentiel AFAQ Accès direct aux données du SNDS v1 – Mai 2024 le 15 octobre 2024 pour une durée de trois ans. La société Sanofi devra s’assurer du respect et du maintien de cette certification pendant toute la durée du traitement. S’agissant des modalités d’appariement : Les données identifiantes (NIR, sexe et date de naissance complète des participants) seront transmises à la CNAM, par l’entremise du service Concentrateur , proposé par le GIP PDS et opéré par un de ses sous-traitants, pour extraction des données du SNDS correspondantes. Les données identifiantes devront être chiffrées et être transmises sous forme de fichiers chiffrés. Les algorithmes utilisés et les procédures de gestion de clés associées devront être conformes au référentiel général de sécurité (annexes B1 et B2) et aux recommandations correspondantes de l’ANSSI. Des mesures de sécurité renforcées devront être mises en place pour protéger les tables de correspondance. Les équipements mobiles devront faire l'objet de mesures de chiffrement afin de garantir la confidentialité des données qu'ils contiennent en cas de perte ou de vol de l'équipement.
Information et droits des personnes	Les participants sont individuellement informés du traitement de leurs données dans le cadre de cette étude.
Mesures de sécurité	Les responsables de traitement ont réalisé et transmis à l’appui de la demande d’autorisation une analyse d’impact relative à la protection des données spécifique au projet COMBO . En raison de la particulière sensibilité des données traitées, la CNIL recommande de compléter les mesures de sécurité prévues dans l’AIPD par la mise en œuvre du chiffrement des données de l’étude dans l’environnement informatique du Centre Léon Bérard. La sécurité des données de l’espace projet dédié au projet COMBO dépend essentiellement de la solution technique de la PDS, qui a fait l’objet d’une analyse globale des risques et de l’impact sur la vie privée, suivie d’une homologation selon le référentiel de sécurité du SNDS. Une homologation de la solution technique, conforme au référentiel de sécurité applicable au SNDS, et incluant l’espace projet mis à disposition des responsables de traitement, a été réalisée par le GIP PDS le 22 juillet 2024, pour une durée de trois ans, sous réserve de la mise en œuvre du plan d’actions qu’elle a défini. Les responsables conjoints de traitement devront s’assurer que le système d’information hébergeant les données de l’étude respecte ce référentiel pendant toute la durée du traitement. Les mesures de sécurité décrites répondent aux exigences prévues par les articles 5.1.f) et 32 du RGPD, compte tenu des risques identifiés par les responsables de traitement. Il appartiendra à ces derniers de procéder à une réévaluation régulière des risques pour les personnes concernées et une mise à jour, le cas échéant, de ces mesures de sécurité.
Transferts hors Union européenne	Les dispositions de l’article R. 1461-1 du CSP prévoient qu’aucun transfert de données à caractère personnel ne peut être réalisé en dehors de l'Union européenne, sauf dans le cas d'accès ponctuels aux données par des personnes situées en dehors de l'Union européenne, pour une finalité relevant du 1° du I de l'article L. 1461-3 du CSP. En l’espèce, le dossier de demande ne fait pas état de tels accès à distance par un membre de l’équipe de recherche.
Durée d’accès aux données du SNDS	Quatre ans à compter de mise à disposition des données.
Transparence du traitement	Ce traitement devra être enregistré dans le répertoire public mis à disposition par la Plateforme des données de santé.

AUTORISE le CENTRE LEON BERARD, la société SANOFI et l’INSTITUT NATIONAL DE RECHERCHE EN SCIENCES ET TECHNOLOGIES DU NUMERIQUE (INRIA) à mettre en œuvre le traitement décrit ci-dessus.

La Cheffe du service de la santé

Hélène GUIMIOT