DécisionEn vigueur

Décision DT-2025-002 du 16 janvier 2025

Décision DT-2025-002 du 16 janvier 2025 autorisant la société BIWAKO à mettre en œuvre un traitement automatisé de données ayant pour finalité la constitution d’un entrepôt de données de santé, dénommé « Datavie ». (Demande d’autorisation n° 2235375).

Numéro	DT-2025-002
Date	jeudi 16 janvier 2025
Nature	Décision
Type d'acte	Autre autorisation
État	En vigueur
Référence	CNILTEXT000051882593

Résumé IA

La CNIL autorise la société BIWAKO à mettre en œuvre un entrepôt de données de santé nommé « Datavie » pour des recherches dans le domaine de la santé, notamment pour le développement de modèles d'intelligence artificielle diagnostique. La décision constate des non-conformités sur la base légale et certaines mesures de sécurité, qui font l'objet d'un examen spécifique dans l'autorisation. Le traitement est licite au regard de l'intérêt public et sous réserve que chaque futur projet de recherche fasse l'objet des formalités préalables requises.

Texte intégral

La Commission nationale de l’informatique et des libertés,

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu le décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu la décision du 21 septembre 2023 portant délégation de signature du secrétaire général de la Commission nationale de l’informatique et des libertés ;

Saisie d’une demande d’autorisation relative à un traitement de données à caractère personnel dans le domaine de la santé ;

Considérant que ce traitement, dont la finalité présente un caractère d’intérêt public, relève des dispositions de la section 3 du chapitre III du titre II de la loi du 6 janvier 1978 modifiée ;

Considérant que le traitement présente les caractéristiques et répond aux conditions suivantes :

Sur la responsabilité de traitement	La société BIWAKO est une société spécialisée en anatomie pathologique, dont l’objectif est l’analyse des tissus et des cellules du corps humain, afin de poser le diagnostic d’une maladie, d’en évaluer sa gravité ou d’orienter le patient vers le traitement le plus adapté. Elle détient également des collections d’échantillons biologiques humains (CRB), déclarées auprès du ministère chargé de la recherche. La société BIWAKO mène des recherches dans le domaine de la santé et contribue à la création de modèles diagnostiques basés sur l’intelligence artificielle.
Sur les points de non-conformité au référentiel concerné	Le dossier de demande mentionne que le traitement envisagé est conforme aux dispositions du référentiel "entrepôt de données dans le domaine de la santé", à l’exception : de la base légale du traitement ; de certaines mesures de sécurité. En dehors de ces points, qui font l’objet d’un examen spécifique dans la présente autorisation, ce traitement devra respecter le cadre prévu par le référentiel "entrepôt de données dans le domaine de la santé".
Sur la finalité du traitement, sa licéité et les conditions permettant de traiter des données concernant la santé	Le traitement envisagé a pour finalité la constitution d’un entrepôt de données à caractère personnel comprenant notamment des données de santé, dénommé "DATAVIE". Ce dernier a pour objectif la réalisation de recherches, études ou évaluations dans le domaine de la santé et notamment : la réalisation d’études de faisabilité ; la création et la validation de modèles numériques, en particulier ceux basés sur l'intelligence artificielle, en lien avec le diagnostic médical le croisement des données de l’EDS "DATAVIE" avec les données associées aux échantillons biologiques de la collection détenue par la société Biwako. Les données contenues dans cet entrepôt ne pourront, par analogie avec les finalités "interdites" d’utilisation du Système national des données de santé (SNDS), être exploitées ni à des fins de promotion des produits mentionnés au II de l'article L. 5311-1 du code de la santé publique en direction de professionnels de santé ou d’établissements de santé, ni à des fins d'exclusion de garanties des contrats d'assurance, ni de modification de cotisations ou de primes d'assurance d'un individu ou d'un groupe d'individus présentant un même risque. Le traitement mis en œuvre par le responsable de traitement est nécessaire aux fins des intérêts légitimes qu’il poursuit. Ce traitement est licite au regard de l’article 6-1-f) du RGPD et remplit les conditions permettant le traitement des données concernant la santé au regard des dispositions de l’articles 9-2-j) du RGPD et 44-3° de la loi "informatique et libertés" modifiée. Les utilisations futures des données contenues dans cet entrepôt s’inscriront dans le cadre des dispositions des articles 66 et 72 et suivants de la loi "informatique et libertés", qui imposent que chaque projet de recherche, étude ou évaluation soit justifié par l’intérêt public. Ces traitements devront faire l’objet de formalités propres.
Sur les données traitées	Les données à caractère personnel des patients seront issues : de recherches, études ou évaluations dans le domaine de la santé, réalisées par la société BIWAKO en qualité de responsable de traitement ; de recherches, études ou évaluations dans le domaine de la santé, pour lesquelles la société BIWAKO est intervenue en qualité de sous-traitant, sous réserve de l’accord du responsable de traitent initial et de l’information préalable des personnes concernées ; des dossiers médicaux et administratifs de patients pris en charge par les établissements partenaires de BIWAKO. Le numéro d'inscription au répertoire national d’identification des personnes physiques (NIR) ne sera pas collecté. Aucune donnée relative aux professionnels de santé ne sera collectée. L’ajout de toute nouvelle source de données à l’entrepôt devra faire l’objet d’une demande de modification substantielle auprès de la CNIL.
Sur la sécurité des données et la traçabilité des actions	À titre liminaire, la CNIL prend acte de ce que le dossier de demande mentionne que le traitement envisagé est conforme à l’ensemble des mesures de sécurité prévues dans le référentiel "entrepôt de données dans le domaine de la santé", à l’exception de l’une d’entre elles qui a été précisément identifiée (inclusion du sexe dans la base principale de l’entrepôt). Pour celle-ci, la non-conformité a été dûment justifiée. Le responsable de traitement a réalisé et transmis à l’appui de la demande d’autorisation une analyse d’impact relative à la protection des données spécifique à la création de l’entrepôt. Les mesures de sécurité, qui devront être opérationnelles lors de la mise en œuvre du traitement, répondront alors aux exigences prévues par les articles 5,1, f) et 32 du RGPD compte tenu des risques identifiés par le responsable de traitement. Il appartiendra au responsable de traitement de procéder à une réévaluation régulière des risques pour les personnes concernées et une mise à jour, le cas échéant, de ces mesures de sécurité.

AUTORISE, dans ces conditions, la société BIWAKO à mettre en œuvre le traitement décrit ci-dessus.

La Cheffe du service de la santé

Hélène GUIMIOT

Délibérations similaires

DécisionAutorisation de recherche

Décision DR-2026-032 du 25 février 2026 autorisant le CENTRE HOSPITALIER UNIVERSITAIRE D’ANGERS à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur le développement de modèles d’aide à la détection de deux maladies rares, intitulée « PAI ». (Demande d’autorisation n° 925250)

La CNIL autorise le Centre Hospitalier Universitaire d'Angers à mettre en œuvre un traitement de données pour l'étude "PAI", visant à développer des modèles d'aide à la détection de deux maladies rares. L'autorisation est accordée malgré certains écarts à la méthodologie de référence MR-004, notamment concernant le traitement du NIR pour l'appariement des données et les modalités d'information des personnes. La décision impose le respect strict du cadre défini, incluant des mesures de minimisation des données et une documentation sur la réduction progressive du nombre de patients dans l'échantillon.

25/02/2026

DélibérationAutre autorisation

Délibération n° 2026-011 du 12 février 2026 autorisant LIFEN RESEARCH SAS à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la constitution d’un entrepôt de données dans le domaine de la santé, dénommé « LIFEN RESEARCH »

La CNIL autorise LIFEN Research SAS à constituer un entrepôt de données de santé nommé "LIFEN RESEARCH". L'autorisation est accordée sous réserve que la société mette en place une gouvernance stricte pour garantir le caractère d'intérêt public des futurs projets de recherche. Aucune sanction n'est prononcée, mais le traitement doit respecter le référentiel applicable et les mesures de gouvernance doivent être opérationnelles avant son démarrage.

12/02/2026

DélibérationAutre autorisation

Délibération n° 2026-013 du 12 février 2026 portant approbation du code de conduite national porté par l’Alliance du Commerce

La CNIL approuve le code de conduite national porté par l'Alliance du Commerce, destiné aux magasins et enseignes du secteur du commerce de détail de l'équipement de la personne. Ce code, juridiquement contraignant pour ses adhérents, précise les modalités d'application du RGPD pour ce secteur spécifique. Il prévoit un mécanisme de contrôle de sa bonne application par un organisme qui devra obtenir un agrément de la CNIL.

12/02/2026

DélibérationAutre autorisation

Délibération n° 2026-006 du 29 janvier 2026 portant agrément du Comité de surveillance (« Supervisory Committee » ou « COSUP ») en tant qu’organisme de contrôle du code de conduite européen porté par la fédération EUCROF (European Contract Research Organizations Federation).

La CNIL accorde un agrément au Comité de surveillance (COSUP) de la fédération EUCROF en tant qu'organisme de contrôle de son code de conduite européen relatif à la protection des données. Cet agrément, valable pour une durée de cinq ans, fait suite à une demande jugée conforme au référentiel de la CNIL. Il peut être révoqué si le COSUP ne respecte plus les exigences requises pour exercer sa mission de surveillance du respect du code de conduite par les adhérents.

29/01/2026

← Retour aux délibérations

La Commission nationale de l’informatique et des libertés,

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu le décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu la décision du 21 septembre 2023 portant délégation de signature du secrétaire général de la Commission nationale de l’informatique et des libertés ;

Saisie d’une demande d’autorisation relative à un traitement de données à caractère personnel dans le domaine de la santé ;

Considérant que le traitement présente les caractéristiques et répond aux conditions suivantes :

Sur la responsabilité de traitement	La société BIWAKO est une société spécialisée en anatomie pathologique, dont l’objectif est l’analyse des tissus et des cellules du corps humain, afin de poser le diagnostic d’une maladie, d’en évaluer sa gravité ou d’orienter le patient vers le traitement le plus adapté. Elle détient également des collections d’échantillons biologiques humains (CRB), déclarées auprès du ministère chargé de la recherche. La société BIWAKO mène des recherches dans le domaine de la santé et contribue à la création de modèles diagnostiques basés sur l’intelligence artificielle.
Sur les points de non-conformité au référentiel concerné	Le dossier de demande mentionne que le traitement envisagé est conforme aux dispositions du référentiel "entrepôt de données dans le domaine de la santé", à l’exception : de la base légale du traitement ; de certaines mesures de sécurité. En dehors de ces points, qui font l’objet d’un examen spécifique dans la présente autorisation, ce traitement devra respecter le cadre prévu par le référentiel "entrepôt de données dans le domaine de la santé".
Sur la finalité du traitement, sa licéité et les conditions permettant de traiter des données concernant la santé	Le traitement envisagé a pour finalité la constitution d’un entrepôt de données à caractère personnel comprenant notamment des données de santé, dénommé "DATAVIE". Ce dernier a pour objectif la réalisation de recherches, études ou évaluations dans le domaine de la santé et notamment : la réalisation d’études de faisabilité ; la création et la validation de modèles numériques, en particulier ceux basés sur l'intelligence artificielle, en lien avec le diagnostic médical le croisement des données de l’EDS "DATAVIE" avec les données associées aux échantillons biologiques de la collection détenue par la société Biwako. Les données contenues dans cet entrepôt ne pourront, par analogie avec les finalités "interdites" d’utilisation du Système national des données de santé (SNDS), être exploitées ni à des fins de promotion des produits mentionnés au II de l'article L. 5311-1 du code de la santé publique en direction de professionnels de santé ou d’établissements de santé, ni à des fins d'exclusion de garanties des contrats d'assurance, ni de modification de cotisations ou de primes d'assurance d'un individu ou d'un groupe d'individus présentant un même risque. Le traitement mis en œuvre par le responsable de traitement est nécessaire aux fins des intérêts légitimes qu’il poursuit. Ce traitement est licite au regard de l’article 6-1-f) du RGPD et remplit les conditions permettant le traitement des données concernant la santé au regard des dispositions de l’articles 9-2-j) du RGPD et 44-3° de la loi "informatique et libertés" modifiée. Les utilisations futures des données contenues dans cet entrepôt s’inscriront dans le cadre des dispositions des articles 66 et 72 et suivants de la loi "informatique et libertés", qui imposent que chaque projet de recherche, étude ou évaluation soit justifié par l’intérêt public. Ces traitements devront faire l’objet de formalités propres.
Sur les données traitées	Les données à caractère personnel des patients seront issues : de recherches, études ou évaluations dans le domaine de la santé, réalisées par la société BIWAKO en qualité de responsable de traitement ; de recherches, études ou évaluations dans le domaine de la santé, pour lesquelles la société BIWAKO est intervenue en qualité de sous-traitant, sous réserve de l’accord du responsable de traitent initial et de l’information préalable des personnes concernées ; des dossiers médicaux et administratifs de patients pris en charge par les établissements partenaires de BIWAKO. Le numéro d'inscription au répertoire national d’identification des personnes physiques (NIR) ne sera pas collecté. Aucune donnée relative aux professionnels de santé ne sera collectée. L’ajout de toute nouvelle source de données à l’entrepôt devra faire l’objet d’une demande de modification substantielle auprès de la CNIL.
Sur la sécurité des données et la traçabilité des actions	À titre liminaire, la CNIL prend acte de ce que le dossier de demande mentionne que le traitement envisagé est conforme à l’ensemble des mesures de sécurité prévues dans le référentiel "entrepôt de données dans le domaine de la santé", à l’exception de l’une d’entre elles qui a été précisément identifiée (inclusion du sexe dans la base principale de l’entrepôt). Pour celle-ci, la non-conformité a été dûment justifiée. Le responsable de traitement a réalisé et transmis à l’appui de la demande d’autorisation une analyse d’impact relative à la protection des données spécifique à la création de l’entrepôt. Les mesures de sécurité, qui devront être opérationnelles lors de la mise en œuvre du traitement, répondront alors aux exigences prévues par les articles 5,1, f) et 32 du RGPD compte tenu des risques identifiés par le responsable de traitement. Il appartiendra au responsable de traitement de procéder à une réévaluation régulière des risques pour les personnes concernées et une mise à jour, le cas échéant, de ces mesures de sécurité.

AUTORISE, dans ces conditions, la société BIWAKO à mettre en œuvre le traitement décrit ci-dessus.

La Cheffe du service de la santé

Hélène GUIMIOT