Délibérations CNIL

La CNIL autorise le **Cabinet Rajaonarivelo** à mettre en œuvre un traitement de données pour une étude sur l'optimisation des injections de toxine botulique par IA. L'autorisation est accordée sous conditions, notamment un avis favorable du comité éthique, le recueil d'un consentement spécifique pour les photographies identifiantes, et leur conservation séparée des données de santé. Les durées de conservation sont strictement encadrées (2 ans pour les photos, 15 ans d'archivage pour les autres données).

DR-2025-107

DécisionAutorisation de rechercheEn vigueur16 mai 2025

Décision DR-2025-105 du 16 mai 2025 autorisant la société ALEXION PHARMACEUTICALS à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur la description de la prise en charge thérapeutique et évaluation de l'impact de l'introduction des inhibiteurs de C5 du complément dans la myasthénie généralisée, nécessitant un accès aux données du SNIIRAM, PMSI CépiDC, composantes du Système national des données de santé (SNDS), pour les années 2012 à 2024. (Demande d’autorisation n° 925074)

La CNIL autorise la société ALEXION PHARMACEUTICALS à mettre en œuvre un traitement de données pour une étude sur la prise en charge de la myasthénie généralisée. L'autorisation concerne l'accès, via un intermédiaire agréé, aux données historiques du SNIIRAM, PMSI et CépiDC (SNDS) pour la période 2012-2024. La décision est prise malgré un écart à la méthodologie de référence concernant la profondeur historique, et l'accès aux données individuelles est interdit au responsable de traitement.

DR-2025-105

DécisionAutorisation de rechercheEn vigueur16 mai 2025

Décision DR-2025- 104 du 16 mai 2025 autorisant le CENTRE HOSPITALIER UNIVERSITAIRE DE RENNES à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur l’impact sur la qualité de vie de la pompe à apomorphine à un stade précoce de la maladie de Parkinson, nécessitant un accès aux données du SNIIRAM et du PMSI, composantes du Système national des données de santé (SNDS), pour les années 2017 à 2025, intitulée « EARLY-PUMP ». (Demande d’autorisation n° 925057)

Le Centre Hospitalier Universitaire de Rennes est autorisé par la CNIL à mettre en œuvre un traitement de données pour l'étude « EARLY-PUMP » sur la maladie de Parkinson. L'autorisation concerne spécifiquement l'accès aux données du SNIIRAM et du PMSI (SNDS) de 2017 à 2025, dérogeant ainsi sur ce point à la méthodologie de référence MR-001. Le traitement est soumis à des conditions strictes, notamment une durée de conservation de cinq ans pour les données du SNDS, l'information individuelle des participants et l'enregistrement dans le répertoire public de la Plateforme des données de santé.

DR-2025-104

DécisionAutorisation de rechercheEn vigueur16 mai 2025

Décision DR-2025-106 du 16 mai 2025 autorisant le CENTRE HOSPITALIER DE GRENOBLE et l’INSTITUT NATIONAL DE LA SANTE ET DE LA RECHERCHE MEDICALE à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur le recours au programme de médicalisation des systèmes d’information dans l’identification des encéphalopathies anoxo-ischémiques du nouveau-né à terme, nécessitant un accès aux données du SNIIRAM, du PMSI, du CépiDc composantes du Système national des données de santé (SNDS), pour les années 2015 à 2018, intitulée « EAI-ALGO » (Demande d’autorisation n° 924319)

La CNIL autorise le Centre Hospitalier de Grenoble et l'INSERM, en tant que responsables conjoints, à mettre en œuvre un traitement de données pour l'étude "EAI-ALGO". Cette autorisation concerne l'accès aux données du SNDS (SNIIRAM, PMSI, CépiDc) de 2015 à 2018 et la réutilisation de données d'une étude antérieure, sous réserve de conditions spécifiques. Les principales mesures imposées incluent la séparation des données identifiantes, une information du public via un site web en lieu et place d'une information individuelle (en raison d'efforts disproportionnés), et une durée d'accès limitée à cinq ans.

DR-2025-106

DécisionAutorisation de rechercheEn vigueur16 mai 2025

Décision DR-2025- 104 du 16 mai 2025 autorisant le CENTRE HOSPITALIER UNIVERSITAIRE DE RENNES à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur l’impact sur la qualité de vie de la pompe à apomorphine à un stade précoce de la maladie de Parkinson, nécessitant un accès aux données du SNIIRAM et du PMSI, composantes du Système national des données de santé (SNDS), pour les années 2017 à 2025, intitulée « EARLY-PUMP ». (Demande d’autorisation n° 925057)

Le Centre Hospitalier Universitaire de Rennes est autorisé par la CNIL à mettre en œuvre un traitement de données pour l'étude « EARLY-PUMP » sur la maladie de Parkinson. L'autorisation concerne spécifiquement l'accès aux données du SNIIRAM et du PMSI (SNDS) de 2017 à 2025, dérogation nécessaire car cette opération d'appariement probabiliste sort du cadre de la méthodologie de référence MR-001. La décision impose des conditions strictes, notamment l'information individuelle des participants, une durée de conservation des données du SNDS limitée à cinq ans, et l'enregistrement du traitement sur la Plateforme des données de santé.

DR-2025- 104

DécisionAutorisation de rechercheEn vigueur15 mai 2025

Décision DR-2025-101 du 15 mai 2025 autorisant le GROUPE DES ECOLES NATIONALES D’ECONOMIE ET STATISTIQUES à mettre en œuvre la modification d’un traitement de données ayant pour finalité une étude portant sur l’allocation des patients aux acteurs de l’offre de soins, nécessitant un accès aux données du SNIIRAM et du PMSI, composantes du Système national des données de santé (SNDS), pour les années 2014 à 2024. (Demande d’autorisation n° 920471v2)

La CNIL autorise le **GROUPE DES ECOLES NATIONALES D’ECONOMIE ET STATISTIQUES** à modifier un traitement de données pour une étude sur l'allocation des patients dans l'offre de soins. L'autorisation porte principalement sur l'extension de la période des données du SNIIRAM et du PMSI (SNDS) de 2014 à 2024 et l'ajout de certaines variables. Aucune sanction n'est mentionnée, la décision constituant une autorisation de mise en œuvre suite à un avis favorable du comité éthique et scientifique.

DR-2025-101

DécisionAutorisation de rechercheEn vigueur15 mai 2025

Décision DR-2025-103 du 15 mai 2025 autorisant le CENTRE HOSPITALIER UNIVERSITAIRE DE TOURS à mettre en œuvre la modification d’un traitement de données ayant pour finalité une étude portant sur l’observance thérapeutique des médicaments à visée cardiaque à la suite de la prise en charge du SCA ST+, nécessitant un accès aux données du SNIIRAM, PMSI et CépiDc, composantes du Système national des données de santé (SNDS), pour les années 2014 à 2019, intitulée « STOP SCA + ». (Demande d’autorisation n° 920421v1)

La CNIL autorise le Centre Hospitalier Universitaire de Tours à modifier son traitement de données pour l'étude "STOP SCA +". Cette modification consiste en une extension de la durée d'accès aux données du SNDS (SNIIRAM, PMSI, CépiDc) pour une période totale de cinq ans. L'autorisation est accordée malgré un point de non-conformité concernant l'information des personnes, le traitement présentant par ailleurs un caractère d'intérêt public et ayant reçu un avis favorable du comité éthique.

DR-2025-103

DécisionAutorisation de rechercheEn vigueur15 mai 2025

Décision DR-2025-099 du 15 mai 2025 autorisant l’INSTITUT NATIONAL DE LA SANTÉ ET DE LA RECHERCHE MÉDICALE à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur l’identifications de biomarqueurs cellulaires des maladies rares de la surface oculaire chez l’adulte, intitulée « REVIBIO ». (Demande d’autorisation n° 925061)

La CNIL autorise l'Institut National de la Santé et de la Recherche Médicale (INSERM) à mettre en œuvre un traitement de données pour l'étude REVIBIO sur les maladies rares de l'œil. L'autorisation est accordée malgré un traitement de photographies identifiantes, qui nécessite un consentement exprès et des mesures de sécurité spécifiques comme la séparation des bases de données. Le traitement est soumis à des durées de conservation limitées (3 ans en base active pour les données principales) et toute réutilisation ultérieure des données devra faire l'objet d'une nouvelle demande.

DR-2025-099

DécisionAutorisation de rechercheEn vigueur15 mai 2025

Décision DR-2025-102 du 15 mai 2025 autorisant LES HOPITAUX UNIVERSITAIRES DE STRASBOURG à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur la modélisation du suivi des paramètres journaliers et reproducteurs chez la femme, intitulée « FEMICLOCK ». (Demande d’autorisation n° 925056)

La CNIL autorise les Hôpitaux Universitaires de Strasbourg à mettre en œuvre le traitement de données « FEMICLOCK » pour une étude de recherche dans le domaine de la santé. L'autorisation est accordée malgré un point de non-conformité à la méthodologie de référence concernant le suivi dématérialisé des données directement identifiantes, qui fait l'objet d'un examen spécifique. Le traitement est soumis à des conditions strictes, notamment la séparation des bases de données, la limitation des accès et le respect de durées de conservation définies.

DR-2025-102

DécisionAutorisation de rechercheEn vigueur15 mai 2025

Décision DR-2025-100 du 15 mai 2025 autorisant le CENTRE HOSPITALIER UNIVERSITAIRE DE DIJON à mettre en œuvre la modification d’un traitement de données ayant pour finalité une étude portant sur la fréquence et les facteurs associés aux complications des chirurgies ophtalmologiques en France, nécessitant un accès aux données du SNIIRAM et du PMSI, composantes du Système national des données de santé (SNDS), pour les années 2007 à 2019 (Demande d’autorisation n° 919086v1)

Le Centre Hospitalier Universitaire de Dijon a obtenu une autorisation de la CNIL pour modifier un traitement de données. Cette décision permet la prolongation de l'accès aux données du Système national des données de santé (SNDS) pour deux années supplémentaires, dans le cadre d'une étude sur les complications des chirurgies ophtalmologiques. L'autorisation, fondée sur un avis favorable du comité éthique et scientifique, ne mentionne pas de sanction, car il s'agit d'une autorisation de mise en œuvre.

DR-2025-100

DélibérationAvisEn vigueur15 mai 2025

Délibération n° 2025-039 du 15 mai 2025 portant avis sur un projet de décret relatif à la mise en œuvre d'un traitement de données biométriques par le dispositif « Système de présence sur site - SPS » visant à garantir et contrôler la présence et le temps de présence sur site des contrôleurs aériens

La CNIL émet un avis sur un projet de décret de la Direction des Services de la Navigation Aérienne (DSNA) visant à autoriser un traitement biométrique par empreintes digitales pour contrôler la présence des contrôleurs aériens. Elle reconnaît l'existence de circonstances exceptionnelles fondées sur un impératif de sécurité aérienne justifiant une dérogation à l'interdiction générale de la biométrie pour le contrôle du temps de travail. La Commission conditionne son avis favorable à la mise en œuvre d'une expérimentation préalable du dispositif, dont elle souhaite recevoir l'évaluation.

2025-039

DécisionAutorisation de rechercheEn vigueur9 mai 2025

Décision DR-2025-098 du 9 mai 2025 autorisant le CENTRE HOSPITALIER UNIVERSITAIRE DE MONTPELIER à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur l’analyse des facteurs associés au risque de développer une arthrite clinique chez des patients à haut risque de polyarthrite rhumatoïde, nécessitant un accès aux données du SNIIRAM et du PMSI, composantes du Système national des données de santé (SNDS), pour les années 2020 à 2028, intitulée « PROMESS 1 ». (Demande d’autorisation n° 925015)

Le Centre Hospitalier Universitaire de Montpellier est autorisé par la CNIL à mettre en œuvre un traitement de données pour l'étude « PROMESS 1 » sur les facteurs de risque d'arthrite. L'autorisation concerne l'accès aux données du SNIIRAM et du PMSI (SNDS) de 2020 à 2028 et le traitement de catégories particulières de données (origine ethnique, vie sexuelle, historique de résidence), sous réserve de justifications scientifiques. La décision impose des conditions strictes, notamment un circuit d'appariement sécurisé via un tiers de confiance, la séparation des données identifiantes, et des durées de conservation limitées (par exemple, 10 ans pour les données SNDS).

DR-2025-098

DécisionAutorisation de rechercheEn vigueur7 mai 2025

Décision DR-2025-097 du 7 mai 2025 autorisant l’INSTITUT NATIONAL DE LA SANTE ET DE LA RECHERCHE MEDICALE – ANRS MALADIES INFECTIEUSES EMERGENTES à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur la réponse humorale anti-VRS chez l’adulte en fonction de l’âge. (Demande d’autorisation n° 925007).

La CNIL autorise l'Institut national de la santé et de la recherche médicale – ANRS Maladies infectieuses émergentes à mettre en œuvre un traitement de données pour une étude sur la réponse immunitaire au VRS chez l'adulte. L'autorisation est accordée malgré un écart à la méthodologie de référence MR-004 concernant la nature des données, dûment justifié, et sous condition du respect de plusieurs garanties. Ces garanties incluent l'information des personnes via un site web dédié, la pseudonymisation des données avec destruction de la table de correspondance après analyse, et des durées de conservation strictes (base active : 2 ans et 10 mois ; archivage : 15 ans).

DR-2025-097

DélibérationAvisEn vigueur7 mai 2025

Délibération n° 2025-031 du 7 mai 2025 portant avis sur un projet de décret relatif à la transparence des activités d'influence réalisées pour le compte d'un mandant étranger

La CNIL émet un avis sur un projet de décret, saisi par le Secrétariat général de la défense et de la sécurité nationale (SGDSN), concernant le répertoire des activités d'influence pour le compte de mandants étrangers. Elle recommande de préciser les données collectées sur les intermédiaires et les contacts opérationnels, et de réduire les durées de conservation des données personnelles traitées par la Haute Autorité pour la transparence de la vie publique (HATVP) pour les aligner sur le délai de prescription. La Commission souligne la nécessité de documenter chaque traitement et de garantir les droits des personnes concernées.

2025-031

DécisionAutorisation de rechercheEn vigueur7 mai 2025

Décision DR-2025-096 du 7 mai 2025 autorisant la CLINIQUE BEAU SOLEIL à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur la validation d’un algorithme d’identification des patients porteurs d’un cancer du pancréas, nécessitant un accès aux données du SNIIRAM, PMSI et CépiDc, composantes du Système national des données de santé (SNDS), pour les années 2017 à 2022, intitulée « PAPRICAP 2 ». (Demande d’autorisation n° 925063)

La CNIL autorise la **CLINIQUE BEAU SOLEIL** à mettre en œuvre un traitement de données pour l'étude **« PAPRICAP 2 »**, visant à valider un algorithme d'identification des patients atteints d'un cancer du pancréas. L'autorisation concerne un accès aux données du **SNIIRAM, PMSI et CépiDc (SNDS)** pour les années 2017 à 2022, ainsi qu'un appariement avec des données de registres de cancers, sous réserve de conditions strictes. La décision prévoit une dérogation à l'information individuelle des personnes et impose des mesures de sécurité renforcées, notamment pour le chiffrement des données et la formalisation des rôles avec le sous-traitant, le GIP Plateforme de données de santé.

DR-2025-096

DécisionAutorisation de rechercheEn vigueur7 mai 2025

Décision DR-2025-095 du 7 mai 2025 autorisant l’INSTITUT NATIONAL DE LA SANTE ET DE LA RECHERCHE MEDICALE - ANRS - MALADIES INFECTIEUSES ÉMERGENTES à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur l’évaluation de la faisabilité d’une délivrance d’autotests du virus de l’immunodéficience humaine (VIH) par un réseau de pharmacies privées. (Demande d’autorisation n° 924162)

La CNIL autorise l'Institut national de la santé et de la recherche médicale (ANRS) à mettre en œuvre un traitement de données pour une étude sur la délivrance d'autotests VIH en pharmacie au Cambodge. L'autorisation est accordée malgré des dérogations à la méthodologie de référence concernant la nature des données, les destinataires et le cadre juridique local. La décision impose le respect de conditions spécifiques, notamment sur la sécurité, la durée de conservation et l'information des participants, et n'autorise pas de transfert de données hors UE vers un pays sans niveau de protection adéquat.

DR-2025-095

DécisionAutorisation de rechercheEn vigueur30 avril 2025

Décision DR-2025-092 du 30 avril 2025 autorisant l’ASSISTANCE PUBLIQUE – HOPITAUX DE PARIS à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur la prise en charge dématérialisée pour le suivi post urgence gynécologique, intitulée « GYNAB ». (Demande d’autorisation n° 924269)

La CNIL autorise l'ASSISTANCE PUBLIQUE – HÔPITAUX DE PARIS à mettre en œuvre un traitement de données pour l'étude « GYNAB » sur le suivi post-urgence gynécologique dématérialisé. L'autorisation est accordée malgré des non-conformités identifiées par rapport à la méthodologie de référence MR-001, concernant les catégories de données traitées et les destinataires des données directement identifiantes. Des conditions strictes sont imposées, notamment la séparation des bases de données, la limitation des accès et le respect de durées de conservation spécifiques.

DR-2025-092

DécisionAutorisation de rechercheEn vigueur30 avril 2025

Décision DR-2025-094 du 30 avril 2025 autorisant l’ASSISTANCE PUBLIQUE - HOPITAUX DE PARIS à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur l’évaluation médico-économique des conséquences neurocognitives post-opératoires chez les patients ayant été sujets à une chirurgie élective majeure, nécessitant un accès aux données du SNIIRAM, du PMSI et du CépiDc, composantes du Système national des données de santé (SNDS), pour les années 2017 à 2022, intitulée « POCK-ECO ». (Demande d’autorisation n° 925065)

La CNIL autorise l'Assistance Publique - Hôpitaux de Paris (AP-HP) à mettre en œuvre le traitement de données « POCK-ECO », une étude médico-économique sur les conséquences neurocognitives post-opératoires. L'autorisation porte notamment sur l'accès et l'appariement avec les données du SNIIRAM, du PMSI et du CépiDc (SNDS) pour les années 2017 à 2022. La décision impose des conditions strictes, notamment un appariement sécurisé via un tiers de confiance et le respect de durées de conservation spécifiques pour les données identifiantes et les données du SNDS.

DR-2025-094

DécisionAutorisation de rechercheEn vigueur29 avril 2025

Décision DR-2025-090 du 29 avril 2025 autorisant la société ASTELLAS PHARMA EUROPE LTD à mettre en œuvre un traitement de données ayant pour finalité une étude sur les caractéristiques, l'utilisation et la survie des patients traités par Gilteritinib, intitulée « FOCUS ». (Demande d’autorisation n° 925075)

La CNIL autorise la société **Astellas Pharma Europe Ltd** à mettre en œuvre un traitement de données pour l'étude **FOCUS** sur le médicament Gilteritinib. Cette autorisation est accordée sous conditions, notamment le respect de la méthodologie de référence MR-008, l'utilisation exclusive de données provenant de l'entrepôt "Magellan", et la mise en place de mesures d'information publique en lieu et place d'une information individuelle. La décision impose également des durées de conservation spécifiques et le renouvellement de l'homologation de sécurité avant fin 2025.

DR-2025-090

DécisionAutorisation de rechercheEn vigueur29 avril 2025

Décision DR-2025-089 du 29 avril 2025 autorisant la société ROCHE et la société CLINITYX à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur l’évaluation du fardeau de la maladie dans le cancer du sein (RH+/HER2+, HER2+, RH+/HER2-), intitulée « NINE ». (Demande d’autorisation n° 925047)

La CNIL autorise les sociétés ROCHE et CLINITYX à mettre en œuvre un traitement de données pour l'étude « NINE » sur le fardeau du cancer du sein. Le traitement, fondé sur l'intérêt public, réutilise des données de l'entrepôt « Magellan » et bénéficie d'une dérogation à l'information individuelle des personnes, remplacée par une information publique. La décision est soumise à des conditions spécifiques, notamment le renouvellement de l'homologation de sécurité avant fin 2025 et une durée de conservation limitée des données.

DR-2025-089