Décision DT-2025-012 du 8 septembre 2025 autorisant la société BRISTOL MYERS SQUIBB à mettre en œuvre un traitement de données ayant pour finalité la pharmacovigilance. (Demande d’autorisation n° 2239503)
| Numéro | DT-2025-012 |
| Date | lundi 8 septembre 2025 |
| Nature | Décision |
| Type d'acte | Autre autorisation |
| État | En vigueur |
| Référence | CNILTEXT000053480202 |
La Commission nationale de l’informatique et des libertés,
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu la décision du 2 juin 2025 portant délégation de signature du secrétaire général de la Commission nationale de l’informatique et des libertés ;
Saisie d’une demande d’autorisation relative à un traitement de données à caractère personnel dans le domaine de la santé ;
Considérant que ce traitement, dont la finalité présente un caractère d’intérêt public, relève des dispositions de la section 3 du chapitre III du titre II de la loi du 6 janvier 1978 modifiée ;
Considérant que le traitement présente les caractéristiques et répond aux conditions suivantes :
|
Points de non-conformité au référentiel |
Le dossier de demande mentionne que le traitement envisagé est conforme aux dispositions du référentiel RS-001, à l'exception de la nature des données collectées (collecte de données génétiques). En dehors de cette exception, ce traitement devra respecter le cadre prévu par le référentiel RS 001.
Le traitement de données génétiques interviendra dans le cadre de la notification d’effets indésirables concernant le produit CAMZYOS, lorsque les informations sur le phénotype du patient sont nécessaires pour procéder à l’évaluation médicale du cas de pharmacovigilance. |
|
Mesures de sécurité |
L’authentification des utilisateurs pouvant accéder aux données issues des cas de pharmacovigilance nécessite l’utilisation d’une authentification forte (comprenant au moins deux facteurs d’authentification différents, et appuyée sur un annuaire vérifié). Les données devront être chiffrées, au repos et comme en transit, par des algorithmes à l’état de l’art, y compris lors d’un stockage temporaire. |
AUTORISE la société BRISTOL MYERS SQUIBB à mettre en œuvre le traitement décrit ci-dessus
La Cheffe du service de la santé
Hélène GUIMIOT
Décision DR-2026-032 du 25 février 2026 autorisant le CENTRE HOSPITALIER UNIVERSITAIRE D’ANGERS à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur le développement de modèles d’aide à la détection de deux maladies rares, intitulée « PAI ». (Demande d’autorisation n° 925250)
La CNIL autorise le Centre Hospitalier Universitaire d'Angers à mettre en œuvre un traitement de données pour l'étude "PAI", visant à développer des modèles d'aide à la détection de deux maladies rares. L'autorisation est accordée malgré certains écarts à la méthodologie de référence MR-004, notamment concernant le traitement du NIR pour l'appariement des données et les modalités d'information des personnes. La décision impose le respect strict du cadre défini, incluant des mesures de minimisation des données et une documentation sur la réduction progressive du nombre de patients dans l'échantillon.
25/02/2026
Délibération n° 2026-011 du 12 février 2026 autorisant LIFEN RESEARCH SAS à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la constitution d’un entrepôt de données dans le domaine de la santé, dénommé « LIFEN RESEARCH »
La CNIL autorise LIFEN Research SAS à constituer un entrepôt de données de santé nommé "LIFEN RESEARCH". L'autorisation est accordée sous réserve que la société mette en place une gouvernance stricte pour garantir le caractère d'intérêt public des futurs projets de recherche. Aucune sanction n'est prononcée, mais le traitement doit respecter le référentiel applicable et les mesures de gouvernance doivent être opérationnelles avant son démarrage.
12/02/2026
Délibération n° 2026-013 du 12 février 2026 portant approbation du code de conduite national porté par l’Alliance du Commerce
La CNIL approuve le code de conduite national porté par l'Alliance du Commerce, destiné aux magasins et enseignes du secteur du commerce de détail de l'équipement de la personne. Ce code, juridiquement contraignant pour ses adhérents, précise les modalités d'application du RGPD pour ce secteur spécifique. Il prévoit un mécanisme de contrôle de sa bonne application par un organisme qui devra obtenir un agrément de la CNIL.
12/02/2026
Délibération n° 2026-006 du 29 janvier 2026 portant agrément du Comité de surveillance (« Supervisory Committee » ou « COSUP ») en tant qu’organisme de contrôle du code de conduite européen porté par la fédération EUCROF (European Contract Research Organizations Federation).
La CNIL accorde un agrément au Comité de surveillance (COSUP) de la fédération EUCROF en tant qu'organisme de contrôle de son code de conduite européen relatif à la protection des données. Cet agrément, valable pour une durée de cinq ans, fait suite à une demande jugée conforme au référentiel de la CNIL. Il peut être révoqué si le COSUP ne respecte plus les exigences requises pour exercer sa mission de surveillance du respect du code de conduite par les adhérents.
29/01/2026