DécisionEn vigueur

Décision DR-2025-148 du 10 juillet 2025

Décision DR-2025-148 du 10 juillet 2025 autorisant le laboratoire PFIZER Inc et l’UNIVERSITE D’UTRECHT à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur l’évaluation de la sécurité d'ABRYSVO (vaccin contre le virus respiratoire syncytial) en vie réelle chez des personnes âgées de 60 ans et plus immunodéprimées ou souffrant d'insuffisance rénale ou hépatique en Europe et au Royaume Uni, nécessitant un accès aux données du SNIIRAM, PMSI, CépiDC et de « Vaccin-COVID », composantes du Système national des données de santé (SNDS), pour les années 2019 à 2027. (Demande d’autorisation n° 925095)

Numéro	DR-2025-148
Date	jeudi 10 juillet 2025
Nature	Décision
Type d'acte	Autorisation de recherche
État	En vigueur
Référence	CNILTEXT000053462861

Résumé IA

La CNIL autorise le laboratoire Pfizer Inc et l'Université d'Utrecht à mettre en œuvre un traitement de données pour une étude de sécurité sur le vaccin ABRYSVO. L'autorisation porte sur l'accès aux données du SNDS (SNIIRAM, PMSI, CépiDC, Vaccin-COVID) de 2019 à 2027 via un environnement sécurisé homologué. La décision prévoit une dérogation à l'information individuelle des personnes, remplacée par une information publique, et limite la durée d'accès aux données à trois ans.

Texte intégral

La Commission nationale de l’informatique et des libertés,

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu le décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu la décision du 2 juin 2025 portant délégation de signature du secrétaire général de la Commission nationale de l’informatique et des libertés ;

Saisie d’une demande d’autorisation relative à un traitement de données à caractère personnel à des fins de recherche, d'étude ou d'évaluation dans le domaine de la santé ;

Considérant que ce traitement, dont la finalité présente un caractère d’intérêt public, relève des dispositions de la section 3 du chapitre III du titre II de la loi du 6 janvier 1978 modifiée ;

Considérant que le traitement présente les caractéristiques et répond aux conditions suivantes :

Responsable(s) de traitement	Les deux responsables de traitement, le laboratoire Pfizer Inc et l’Université d’Utrecht déterminent conjointement les finalités et les moyens du traitement.
Avis du comité	Avis favorable avec recommandations du Comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé du 13 mars 2025.
Utilisation de données issues du SNDS historique	Composantes concernées : SNIIRAM, PMSI, CépiDC et Vaccin-COVID Années concernées : 2019 à 2027, sous réserve qu’elles soient diffusables par la CNAM. Seul le laboratoire de recherche/bureau d’études aura accès aux données individuelles du SNDS. Modalités de consultation : système fils du SNDS. L’homologation de la bulle sécurisée BPE a été renouvelée par l’autorité d’homologation le 3 février 2023, conformément au référentiel de sécurité applicable au SNDS prévu par l’arrêté du 22 mars 2017. Cette décision d’homologation est valable jusqu’au 5 mai 2026 et devra donc être renouvelée avant cette date, si le traitement devait se poursuivre au-delà de cette échéance. De plus, conformément à l'arrêté du 6 mai 2024 fixant la nouvelle version du référentiel de sécurité applicable au SNDS : un plan d’action a été établi en vue de la mise en conformité du système d’information vis-à-vis de ce nouveau référentiel, indiquant les mesures à prendre dans l’immédiat puis à court et moyen terme ; l’analyse de risques a été mise à jour et les actions nécessaires ont été mises en place pour garantir la sécurité des données et le respect de la vie privée des personnes concernées ; la bulle sécurisée devra être homologuée au plus tard le 6 mai 2026 conformément à la nouvelle version du référentiel. Les données traitées étant issues de bases composant le SNDS, l’ensemble des dispositions législatives et réglementaires relatives au SNDS est applicable en l’espèce (articles L. 1461-1 à L. 1461-7 du code de la santé publique), notamment le référentiel de sécurité "SNDS".
Information et droits des personnes	En application du b) du 5 de l’article 14 du RGPD, l'obligation d'information individuelle de la personne concernée peut faire l'objet d'exceptions, notamment dans l'hypothèse où la fourniture d'une telle information exigerait des efforts disproportionnés. En pareil cas, le responsable de traitement prend des mesures appropriées pour protéger les droits et libertés ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles.
	En l'espèce, il sera fait exception au principe d'information individuelle des personnes et des mesures appropriées seront mises en œuvre à travers la diffusion d’une note d’information sur le site web du responsable de traitement relative à la présente étude. Le traitement sera également enregistré au sein du portail de transparence de la Plateforme des données de santé.
Durée d’accès aux données du SNDS	Trois ans à compter de la dernière extraction des données

AUTORISE, le laboratoire PFIZER INC et l’UNIVERSITE d’UTRECHT à mettre en œuvre le traitement décrit ci-dessus.

La Cheffe du service de la santé

Hélène GUIMIOT

Délibérations similaires

DécisionAutorisation de recherche

Décision DR-2026-032 du 25 février 2026 autorisant le CENTRE HOSPITALIER UNIVERSITAIRE D’ANGERS à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur le développement de modèles d’aide à la détection de deux maladies rares, intitulée « PAI ». (Demande d’autorisation n° 925250)

La CNIL autorise le Centre Hospitalier Universitaire d'Angers à mettre en œuvre un traitement de données pour l'étude "PAI", visant à développer des modèles d'aide à la détection de deux maladies rares. L'autorisation est accordée malgré certains écarts à la méthodologie de référence MR-004, notamment concernant le traitement du NIR pour l'appariement des données et les modalités d'information des personnes. La décision impose le respect strict du cadre défini, incluant des mesures de minimisation des données et une documentation sur la réduction progressive du nombre de patients dans l'échantillon.

25/02/2026

DécisionAutorisation de recherche

Décision DR-2025-216 du 25 septembre 2025 autorisant la FEDERATION ANTADIR à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur l’évolution de la prise en charge des enfants traités par ventilation non invasive, nécessitant un accès aux données du SNIIRAM, du PMSI et de Vaccin-Covid, composantes du Système national des données de santé (SNDS), pour les années 2007 à 2024, intitulée « VIVRE ». (Demande d’autorisation n° 925193)

La CNIL autorise la FEDERATION ANTADIR à mettre en œuvre un traitement de données pour l'étude "VIVRE", portant sur l'évolution de la prise en charge des enfants sous ventilation non invasive. L'autorisation concerne l'accès aux données du SNIIRAM, du PMSI et de Vaccin-Covid (SNDS) pour la période 2007-2024. La décision impose des conditions strictes, notamment l'hébergement par la Plateforme de données de santé (PDS), une information du public via les sites web (en dérogation de l'information individuelle), et la destruction des données après trois ans d'accès.

25/09/2025

DécisionAutorisation de recherche

Décision DR-2025-209 du 24 septembre 2025 autorisant l’ASSISTANCE PUBLIQUE HOPITAUX DE PARIS à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur l’efficacité d’un suivi par messagerie texte automatisée sur la limitation d’activité des patients lombalgiques chroniques, intitulée « LOMBATEXT ». (Demande d’autorisation n° 925217)

La CNIL autorise l'Assistance Publique Hôpitaux de Paris (AP-HP) à mettre en œuvre un traitement de données pour l'étude de recherche en santé « LOMBATEXT ». L'autorisation est accordée malgré un point de non-conformité à la méthodologie de référence concernant l'accès de deux sous-traitants aux données directement identifiantes. Des garanties strictes sont imposées, notamment la séparation des bases de données et la limitation des accès. Les durées de conservation des données sont fixées, avec une destruction des données identifiantes à la fin du suivi des patients.

24/09/2025

DécisionAutorisation de recherche

Décision DR-2025-214 du 24 septembre 2025 autorisant le CENTRE HOSPITALIER UNIVERSITAIRE DE BORDEAUX à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur la coordination et des besoins en soins primaires pour la prise en charge des victimes de violences entre partenaires intimes en ex-Aquitaine, sur l’île de La Réunion et en Polynésie française, intitulée « AQUREPOL-VPI ». (Demande d’autorisation n° 925121)

Le Centre Hospitalier Universitaire de Bordeaux a obtenu une autorisation de la CNIL pour un traitement de données dans le cadre de l'étude de recherche en santé « AQUREPOL-VPI ». Cette autorisation concerne spécifiquement le traitement de données sensibles, notamment des enregistrements vocaux identifiants, et l'accès à des données directement identifiantes par des internes de médecine générale. La décision impose des conditions strictes, comme la séparation des bases de données, la limitation des accès, et des durées de conservation définies (destruction après retranscription pour les enregistrements, 5 ans en base active, 15 ans en archivage).

24/09/2025

← Retour aux délibérations Voir sur Légifrance →

La Commission nationale de l’informatique et des libertés,

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu le décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu la décision du 2 juin 2025 portant délégation de signature du secrétaire général de la Commission nationale de l’informatique et des libertés ;

Saisie d’une demande d’autorisation relative à un traitement de données à caractère personnel à des fins de recherche, d'étude ou d'évaluation dans le domaine de la santé ;

Considérant que le traitement présente les caractéristiques et répond aux conditions suivantes :

Responsable(s) de traitement	Les deux responsables de traitement, le laboratoire Pfizer Inc et l’Université d’Utrecht déterminent conjointement les finalités et les moyens du traitement.
Avis du comité	Avis favorable avec recommandations du Comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé du 13 mars 2025.
Utilisation de données issues du SNDS historique	Composantes concernées : SNIIRAM, PMSI, CépiDC et Vaccin-COVID Années concernées : 2019 à 2027, sous réserve qu’elles soient diffusables par la CNAM. Seul le laboratoire de recherche/bureau d’études aura accès aux données individuelles du SNDS. Modalités de consultation : système fils du SNDS. L’homologation de la bulle sécurisée BPE a été renouvelée par l’autorité d’homologation le 3 février 2023, conformément au référentiel de sécurité applicable au SNDS prévu par l’arrêté du 22 mars 2017. Cette décision d’homologation est valable jusqu’au 5 mai 2026 et devra donc être renouvelée avant cette date, si le traitement devait se poursuivre au-delà de cette échéance. De plus, conformément à l'arrêté du 6 mai 2024 fixant la nouvelle version du référentiel de sécurité applicable au SNDS : un plan d’action a été établi en vue de la mise en conformité du système d’information vis-à-vis de ce nouveau référentiel, indiquant les mesures à prendre dans l’immédiat puis à court et moyen terme ; l’analyse de risques a été mise à jour et les actions nécessaires ont été mises en place pour garantir la sécurité des données et le respect de la vie privée des personnes concernées ; la bulle sécurisée devra être homologuée au plus tard le 6 mai 2026 conformément à la nouvelle version du référentiel. Les données traitées étant issues de bases composant le SNDS, l’ensemble des dispositions législatives et réglementaires relatives au SNDS est applicable en l’espèce (articles L. 1461-1 à L. 1461-7 du code de la santé publique), notamment le référentiel de sécurité "SNDS".
Information et droits des personnes	En application du b) du 5 de l’article 14 du RGPD, l'obligation d'information individuelle de la personne concernée peut faire l'objet d'exceptions, notamment dans l'hypothèse où la fourniture d'une telle information exigerait des efforts disproportionnés. En pareil cas, le responsable de traitement prend des mesures appropriées pour protéger les droits et libertés ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles.
	En l'espèce, il sera fait exception au principe d'information individuelle des personnes et des mesures appropriées seront mises en œuvre à travers la diffusion d’une note d’information sur le site web du responsable de traitement relative à la présente étude. Le traitement sera également enregistré au sein du portail de transparence de la Plateforme des données de santé.
Durée d’accès aux données du SNDS	Trois ans à compter de la dernière extraction des données

AUTORISE, le laboratoire PFIZER INC et l’UNIVERSITE d’UTRECHT à mettre en œuvre le traitement décrit ci-dessus.

La Cheffe du service de la santé

Hélène GUIMIOT