Décision DT-2025-008 du 25 juin 2025 autorisant les sociétés ROCHE SAS, PFIZER, CELLTRION HEALTHCARE FRANCE, AMGEN, BIOCON BIOLOGICS FRANCE SAS, ORGANON, ZENTIVA FRANCE et les HOSPICES CIVILES DE LYON à mettre en œuvre un traitement automatisé de données ayant pour finalité la gestion d’un cadre de prescription compassionnelle concernant la spécialité BEVACIZUMAB 25 mg/ml, solution à diluer pour perfusion. (Demande d’autorisation n° 2237203).
| Numéro | DT-2025-008 |
| Date | mercredi 25 juin 2025 |
| Nature | Décision |
| Type d'acte | Autre autorisation |
| État | En vigueur |
| Référence | CNILTEXT000053480162 |
La Commission nationale de l’informatique et des libertés,
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD) ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu la décision du 2 juin 2025 portant délégation de signature du secrétaire général de la Commission nationale de l’informatique et des libertés ;
Saisie d’une demande d’autorisation relative à un traitement de données à caractère personnel dans le domaine de la santé ;
Considérant que ce traitement, dont la finalité présente un caractère d’intérêt public, relève des dispositions de la section 3 du chapitre III du titre II de la loi du 6 janvier 1978 modifiée ;
Considérant que le traitement présente les caractéristiques et répond aux conditions suivantes :
|
Remarques liminaires |
La présente demande concerne la mise en œuvre d’un traitement de données à caractère personnel dans un cadre de prescription compassionnelle. Elle a fait l’objet d’une décision de l’Agence nationale de sécurité du médicalement du 2 avril 2024 établissant un cadre de prescription compassionnelle de la spécialité BEVACIZUMAB 25 mg/ml, solution à diluer pour perfusion dans les indications " Traitement de la maladie de Rendu-Osler dans les cas de :
|
|
Sur la responsabilité conjointe de traitement |
Plusieurs organismes interviennent en qualité de responsables conjoints de traitement pour la gestion du cadre de prescription compassionnel :
Ces organismes définissent conjointement la finalité et les moyens du traitement mis en œuvre dans le cadre, en qualité de responsables conjoints, au sens de l’article 26 du RGPD. A ce titre, ils devront définir de manière transparente leurs obligations respectives dans le cadre du contrat qui les lie. |
|
Point de non-conformité au référentiel concerné |
Le traitement envisagé est conforme aux dispositions du référentiel RS-004 (accès compassionnel), à l'exception :
En dehors de ces exceptions, qui font l’objet d’un examen spécifique dans la présente autorisation, ce traitement devra respecter le cadre prévu par le référentiel RS-004. |
|
Finalité du traitement, |
Le traitement est mis en œuvre à des fins de :
|
|
Information des personnes concernées |
Toutes les personnes concernées (patients et professionnels de santé) recevront une note d’information individuelle, au plus tard lors de la consultation d’initiation de la thérapie. Cette note d’information devra comporter l’ensemble des mentions prévues par le RGPD. Les personnes concernées pourront exercer leurs droits auprès :
|
|
Mesures de sécurité |
Le responsable de traitement a réalisé et transmis une analyse d’impact relative à la protection des données qui identifie deux écarts au référentiel RS-004 :
La CNIL prend acte de ce que des mesures techniques et organisationnelles à l’état de l’art sont envisagées pour compenser ces écarts. Ces mesures devront être opérationnelles préalablement à la mise en œuvre du traitement.
Les mesures de sécurité devront répondre aux exigences prévues par le f) du 1 de l’article 5 et de l’article 32 du RGPD compte tenu des risques identifiés par le responsable de traitement. Il appartiendra au responsable de traitement de procéder à une réévaluation régulière des risques pour les personnes concernées et une mise à jour, le cas échéant, de ces mesures de sécurité. |
AUTORISE LES SOCIETES ROCHE SAS, PFIZER, CELLTRION HEALTHCARE FRANCE, AMGEN, BIOCON BIOLOGICS FRANCE SAS , ORGANON, ZENTIVA FRANCE et les HOSPICES CIVILES DE LYON à mettre en œuvre le traitement décrit ci-dessus
La cheffe du service de la santé
Hélène GUIMIOT
Décision DR-2026-032 du 25 février 2026 autorisant le CENTRE HOSPITALIER UNIVERSITAIRE D’ANGERS à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur le développement de modèles d’aide à la détection de deux maladies rares, intitulée « PAI ». (Demande d’autorisation n° 925250)
La CNIL autorise le Centre Hospitalier Universitaire d'Angers à mettre en œuvre un traitement de données pour l'étude "PAI", visant à développer des modèles d'aide à la détection de deux maladies rares. L'autorisation est accordée malgré certains écarts à la méthodologie de référence MR-004, notamment concernant le traitement du NIR pour l'appariement des données et les modalités d'information des personnes. La décision impose le respect strict du cadre défini, incluant des mesures de minimisation des données et une documentation sur la réduction progressive du nombre de patients dans l'échantillon.
25/02/2026
Délibération n° 2026-011 du 12 février 2026 autorisant LIFEN RESEARCH SAS à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la constitution d’un entrepôt de données dans le domaine de la santé, dénommé « LIFEN RESEARCH »
La CNIL autorise LIFEN Research SAS à constituer un entrepôt de données de santé nommé "LIFEN RESEARCH". L'autorisation est accordée sous réserve que la société mette en place une gouvernance stricte pour garantir le caractère d'intérêt public des futurs projets de recherche. Aucune sanction n'est prononcée, mais le traitement doit respecter le référentiel applicable et les mesures de gouvernance doivent être opérationnelles avant son démarrage.
12/02/2026
Délibération n° 2026-013 du 12 février 2026 portant approbation du code de conduite national porté par l’Alliance du Commerce
La CNIL approuve le code de conduite national porté par l'Alliance du Commerce, destiné aux magasins et enseignes du secteur du commerce de détail de l'équipement de la personne. Ce code, juridiquement contraignant pour ses adhérents, précise les modalités d'application du RGPD pour ce secteur spécifique. Il prévoit un mécanisme de contrôle de sa bonne application par un organisme qui devra obtenir un agrément de la CNIL.
12/02/2026
Délibération n° 2026-006 du 29 janvier 2026 portant agrément du Comité de surveillance (« Supervisory Committee » ou « COSUP ») en tant qu’organisme de contrôle du code de conduite européen porté par la fédération EUCROF (European Contract Research Organizations Federation).
La CNIL accorde un agrément au Comité de surveillance (COSUP) de la fédération EUCROF en tant qu'organisme de contrôle de son code de conduite européen relatif à la protection des données. Cet agrément, valable pour une durée de cinq ans, fait suite à une demande jugée conforme au référentiel de la CNIL. Il peut être révoqué si le COSUP ne respecte plus les exigences requises pour exercer sa mission de surveillance du respect du code de conduite par les adhérents.
29/01/2026