DécisionEn vigueur

Décision DT-2025-011 du 5 août 2025

Décision DT-2025-011 du 5 aout 2025 autorisant la société THERAVIA à mettre en œuvre un traitement automatisé de données ayant pour finalité la gestion d’un cadre de prescription compassionnelle concernant la spécialité Orphacol 50 mg, gélules et Orphacol 250 mg, gélules. (Demande d’autorisation n° 2238767)

Numéro	DT-2025-011
Date	mardi 5 août 2025
Nature	Décision
Type d'acte	Autre autorisation
État	En vigueur
Référence	CNILTEXT000053480189

Résumé IA

La société THERAVIA est autorisée par la CNIL à mettre en œuvre un traitement de données personnelles de santé pour la gestion d'un cadre de prescription compassionnelle des médicaments Orphacol. Cette autorisation est accordée malgré des manquements identifiés au référentiel de sécurité, notamment l'absence d'authentification multifacteur et de plateforme de transmission chiffrée. La société doit mettre en conformité ces mesures de sécurité dans un délai de dix-huit jours ouvrés et déployer une solution transitoire sécurisée en attendant.

Texte intégral

La Commission nationale de l’informatique et des libertés,

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD) ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu le décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu la décision du 2 juin 2025 portant délégation de signature du secrétaire général de la Commission nationale de l’informatique et des libertés ;

Saisie d’une demande d’autorisation relative à un traitement de données à caractère personnel dans le domaine de la santé ;

Considérant que ce traitement, dont la finalité présente un caractère d’intérêt public, relève des dispositions de la section 3 du chapitre III du titre II de la loi du 6 janvier 1978 modifiée ;

Considérant que le traitement présente les caractéristiques et répond aux conditions suivantes :

Remarques liminaires	La présente demande concerne la mise en œuvre d’un traitement de données à caractère personnel dans un cadre de prescription compassionnelle. Elle a fait l’objet d’une décision de l’Agence nationale de sécurité du médicament et des produits de santé (ANSM) du 1er août 2025 établissant un cadre de prescription compassionnelle des médicaments Orphacol 50 mg, gélules et Orphacol 250 mg, gélules dans l’indication "Traitement de la xanthomatose cérébrotendineuse chez les nourrissons, les enfants et les adolescents âgés de 1 mois à 18 ans, ainsi que chez les adultes".
Points de non-conformité au référentiel concerné	Le dossier de demande mentionne que le traitement envisagé est conforme aux dispositions du référentiel RS-004 (accès compassionnel), à l'exception : du champ d’application et de la finalité poursuivie, le traitement de données à caractère personne intervenant dans un cadre de prescription compassionnelle, de plusieurs mesures de sécurité. En dehors de ces exceptions, qui font l’objet d’un examen spécifique dans la présente autorisation, ce traitement devra respecter le cadre prévu par le référentiel RS-004.
Finalité du traitement	Le traitement est mis en œuvre à des fins de : collecte, enregistrement, analyse, suivi, documentation, transmission et de conservation des données relatives à l'accès, à l'initiation, au suivi et à l'arrêt des prescriptions d’un médicament dans le cadre défini par l'article L. 5121-12-1. III du code de la santé publique ; gestion des contacts avec les professionnels de santé intervenant dans le cadre du suivi des patients bénéficiant d’un médicament sous cadre de prescription compassionnelle et les personnels agissant sous leur responsabilité ou autorité.
Information des personnes concernées	Toutes les personnes concernées (patients et professionnels de santé) recevront une note d’information individuelle, au plus tard lors de la consultation d’initiation de la thérapie. Cette note d’information devra être mise à jour afin de comporter l’ensemble des mentions prévues par le RGPD. Les personnes concernées pourront exercer leurs droits auprès : du délégué à la protection des données de la société THERAVIA, du professionnel de santé ayant prescrit la spécialité.
Mesures de sécurité	Le responsable de traitement a réalisé et transmis une analyse d’impact relative à la protection des données qui identifie des points de non-conformité techniques et organisationnelles au référentiel RS-004, en particulier : l’absence d’authentification multifacteur (SEC-AUT-2) , l’absence de transmission de données de manière chiffrée via une plateforme dédiée (SEC-ECH-1). A cet égard, le responsable de traitement a présenté un plan d’action pour la mise en œuvre d’une plateforme conforme au référentiel dans un délai de dix-huit jours ouvrés à compter de la publication de la décision de l’ANSM. Une solution transitoire devra être déployée afin de sécuriser les échanges de données intervenant avant la mise en œuvre effective de ce plan d’action. A l’expiration de cette période transitoire, le traitement devra être conforme au référentiel RS-004 s’agissant des mesures techniques et organisationnelles. En outre, au regard de la sensibilité du traitement, la CNIL rappelle l’importance de tenir compte de ses recommandations relatives à l’authentification multifacteur . Les mesures de sécurité devront répondre aux exigences prévues par le f) du 1 de l’article 5 et de l’article 32 du RGPD compte tenu des risques identifiés par le responsable de traitement. Il appartiendra au responsable de traitement de procéder à une réévaluation régulière des risques pour les personnes concernées et une mise à jour, le cas échéant, de ces mesures de sécurité.

AUTORISE LA SOCIETE THERAVIA à mettre en œuvre le traitement décrit ci-dessus

Le Directeur adjoint de l’accompagnement juridique

Paul HEBERT

Délibérations similaires

DécisionAutorisation de recherche

Décision DR-2026-032 du 25 février 2026 autorisant le CENTRE HOSPITALIER UNIVERSITAIRE D’ANGERS à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur le développement de modèles d’aide à la détection de deux maladies rares, intitulée « PAI ». (Demande d’autorisation n° 925250)

La CNIL autorise le Centre Hospitalier Universitaire d'Angers à mettre en œuvre un traitement de données pour l'étude "PAI", visant à développer des modèles d'aide à la détection de deux maladies rares. L'autorisation est accordée malgré certains écarts à la méthodologie de référence MR-004, notamment concernant le traitement du NIR pour l'appariement des données et les modalités d'information des personnes. La décision impose le respect strict du cadre défini, incluant des mesures de minimisation des données et une documentation sur la réduction progressive du nombre de patients dans l'échantillon.

25/02/2026

DélibérationAutre autorisation

Délibération n° 2026-011 du 12 février 2026 autorisant LIFEN RESEARCH SAS à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la constitution d’un entrepôt de données dans le domaine de la santé, dénommé « LIFEN RESEARCH »

La CNIL autorise LIFEN Research SAS à constituer un entrepôt de données de santé nommé "LIFEN RESEARCH". L'autorisation est accordée sous réserve que la société mette en place une gouvernance stricte pour garantir le caractère d'intérêt public des futurs projets de recherche. Aucune sanction n'est prononcée, mais le traitement doit respecter le référentiel applicable et les mesures de gouvernance doivent être opérationnelles avant son démarrage.

12/02/2026

DélibérationAutre autorisation

Délibération n° 2026-013 du 12 février 2026 portant approbation du code de conduite national porté par l’Alliance du Commerce

La CNIL approuve le code de conduite national porté par l'Alliance du Commerce, destiné aux magasins et enseignes du secteur du commerce de détail de l'équipement de la personne. Ce code, juridiquement contraignant pour ses adhérents, précise les modalités d'application du RGPD pour ce secteur spécifique. Il prévoit un mécanisme de contrôle de sa bonne application par un organisme qui devra obtenir un agrément de la CNIL.

12/02/2026

DélibérationAutre autorisation

Délibération n° 2026-006 du 29 janvier 2026 portant agrément du Comité de surveillance (« Supervisory Committee » ou « COSUP ») en tant qu’organisme de contrôle du code de conduite européen porté par la fédération EUCROF (European Contract Research Organizations Federation).

La CNIL accorde un agrément au Comité de surveillance (COSUP) de la fédération EUCROF en tant qu'organisme de contrôle de son code de conduite européen relatif à la protection des données. Cet agrément, valable pour une durée de cinq ans, fait suite à une demande jugée conforme au référentiel de la CNIL. Il peut être révoqué si le COSUP ne respecte plus les exigences requises pour exercer sa mission de surveillance du respect du code de conduite par les adhérents.

29/01/2026

← Retour aux délibérations Voir sur Légifrance →

La Commission nationale de l’informatique et des libertés,

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu le décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu la décision du 2 juin 2025 portant délégation de signature du secrétaire général de la Commission nationale de l’informatique et des libertés ;

Saisie d’une demande d’autorisation relative à un traitement de données à caractère personnel dans le domaine de la santé ;

Considérant que le traitement présente les caractéristiques et répond aux conditions suivantes :

Remarques liminaires	La présente demande concerne la mise en œuvre d’un traitement de données à caractère personnel dans un cadre de prescription compassionnelle. Elle a fait l’objet d’une décision de l’Agence nationale de sécurité du médicament et des produits de santé (ANSM) du 1er août 2025 établissant un cadre de prescription compassionnelle des médicaments Orphacol 50 mg, gélules et Orphacol 250 mg, gélules dans l’indication "Traitement de la xanthomatose cérébrotendineuse chez les nourrissons, les enfants et les adolescents âgés de 1 mois à 18 ans, ainsi que chez les adultes".
Points de non-conformité au référentiel concerné	Le dossier de demande mentionne que le traitement envisagé est conforme aux dispositions du référentiel RS-004 (accès compassionnel), à l'exception : du champ d’application et de la finalité poursuivie, le traitement de données à caractère personne intervenant dans un cadre de prescription compassionnelle, de plusieurs mesures de sécurité. En dehors de ces exceptions, qui font l’objet d’un examen spécifique dans la présente autorisation, ce traitement devra respecter le cadre prévu par le référentiel RS-004.
Finalité du traitement	Le traitement est mis en œuvre à des fins de : collecte, enregistrement, analyse, suivi, documentation, transmission et de conservation des données relatives à l'accès, à l'initiation, au suivi et à l'arrêt des prescriptions d’un médicament dans le cadre défini par l'article L. 5121-12-1. III du code de la santé publique ; gestion des contacts avec les professionnels de santé intervenant dans le cadre du suivi des patients bénéficiant d’un médicament sous cadre de prescription compassionnelle et les personnels agissant sous leur responsabilité ou autorité.
Information des personnes concernées	Toutes les personnes concernées (patients et professionnels de santé) recevront une note d’information individuelle, au plus tard lors de la consultation d’initiation de la thérapie. Cette note d’information devra être mise à jour afin de comporter l’ensemble des mentions prévues par le RGPD. Les personnes concernées pourront exercer leurs droits auprès : du délégué à la protection des données de la société THERAVIA, du professionnel de santé ayant prescrit la spécialité.
Mesures de sécurité	Le responsable de traitement a réalisé et transmis une analyse d’impact relative à la protection des données qui identifie des points de non-conformité techniques et organisationnelles au référentiel RS-004, en particulier : l’absence d’authentification multifacteur (SEC-AUT-2) , l’absence de transmission de données de manière chiffrée via une plateforme dédiée (SEC-ECH-1). A cet égard, le responsable de traitement a présenté un plan d’action pour la mise en œuvre d’une plateforme conforme au référentiel dans un délai de dix-huit jours ouvrés à compter de la publication de la décision de l’ANSM. Une solution transitoire devra être déployée afin de sécuriser les échanges de données intervenant avant la mise en œuvre effective de ce plan d’action. A l’expiration de cette période transitoire, le traitement devra être conforme au référentiel RS-004 s’agissant des mesures techniques et organisationnelles. En outre, au regard de la sensibilité du traitement, la CNIL rappelle l’importance de tenir compte de ses recommandations relatives à l’authentification multifacteur . Les mesures de sécurité devront répondre aux exigences prévues par le f) du 1 de l’article 5 et de l’article 32 du RGPD compte tenu des risques identifiés par le responsable de traitement. Il appartiendra au responsable de traitement de procéder à une réévaluation régulière des risques pour les personnes concernées et une mise à jour, le cas échéant, de ces mesures de sécurité.

AUTORISE LA SOCIETE THERAVIA à mettre en œuvre le traitement décrit ci-dessus

Le Directeur adjoint de l’accompagnement juridique

Paul HEBERT