Délibérations CNIL

Le Centre Hospitalier Universitaire de Lille a été autorisé par la CNIL à mettre en œuvre un traitement de données personnelles pour une étude sur la régulation des appels pédiatriques du SAMU 59. Cette autorisation, prise dans le cadre de la méthodologie de référence MR-004, prévoit une dérogation à l'information individuelle des personnes en raison d'efforts disproportionnés, remplacée par la diffusion d'une note d'information sur le site web de l'hôpital. Les données seront conservées en base active pendant un an et sept mois, puis archivées pendant quinze ans.

DR-2025-084

DécisionAutorisation de rechercheEn vigueur25 avril 2025

Décision DR-2025-085 du 25 avril 2025 autorisant le CENTRE HOSPITALIER UNIVERSITAIRE DE TOURS à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur l’évaluation de la sécurité et de la sécurité des aérosols de caspofungine pour le traitement curatif de la pneumocystose en adjonction de la thérapie systémique antifongique conventionnelle, intitulée « CaspoNEB ». (Demande d’autorisation n° 925062)

Le Centre Hospitalier Universitaire de Tours est autorisé par la CNIL à mettre en œuvre un traitement de données pour l'étude clinique "CaspoNEB". Cette autorisation concerne une recherche sur la sécurité des aérosols de caspofungine pour le traitement de la pneumocystose. Le traitement est soumis à des conditions spécifiques, notamment concernant l'information des patients en situation d'urgence et des durées de conservation des données (5 ans en base active, 25 ans en archivage).

DR-2025-085

DécisionAutorisation de rechercheEn vigueur25 avril 2025

Décision DR-2025-087 du 25 avril 2025 autorisant l’UNIVERSITE D’OXFORD à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur la réanalyse des données en intention de traiter des bénéfices et risques de différentes durées de traitement adjuvant par trastuzumab, intitulée « méta-analyse de l’early breast cancer trialists’ collaborative group ». (Demande d’autorisation n° 925050)

La CNIL autorise l'Université d'Oxford à mettre en œuvre un traitement de données pour une méta-analyse sur le cancer du sein, réutilisant des données issues de l'étude PHARE. L'autorisation prévoit une dérogation à l'information individuelle des personnes concernées, remplacée par une diffusion publique d'une note d'information. Le traitement, sous-traité par l'Institut National du Cancer (INCa), respecte un cadre sécurisé et prévoit un transfert de données vers le Royaume-Uni, pays bénéficiant d'une décision d'adéquation.

DR-2025-087

DécisionAutre autorisationEn vigueur25 avril 2025

Décision DT-2025-005 du 25 avril 2025 autorisant le CENTRE HOSPITALIER UNIVERSITAIRE DE POITIERS à mettre en œuvre un traitement automatisé de données ayant pour finalité la constitution d’un entrepôt de données de santé. (Demande d’autorisation n° 22236583)

Le Centre Hospitalier Universitaire de Poitiers a obtenu une autorisation de la CNIL pour mettre en œuvre un entrepôt de données de santé à des fins de recherche, d'études et de pilotage de l'activité. Le traitement, qui repose sur des données pseudonymisées de patients, a été jugé conforme au référentiel applicable, à l'exception de deux exigences de sécurité qui font l'objet d'un examen spécifique. L'autorisation encadre strictement les modalités d'information des personnes concernées, prévoyant des exceptions à l'information individuelle pour les anciens patients et une information systématique pour les patients actuels et futurs.

DT-2025-005

DécisionAutorisation de rechercheEn vigueur25 avril 2025

Décision DR-2025-086 du 25 avril 2025 autorisant le CENTRE HOSPITALIER MEMORIAL FRANCE ETATS-UNIS à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur l’application d’une régulation de l’entrée aux urgences sur le département de la Manche. (Demande d’autorisation n° 925021)

La CNIL autorise le Centre Hospitalier Memorial France Etats-Unis à mettre en œuvre un traitement de données pour une étude sur la régulation des entrées aux urgences dans la Manche. L'autorisation est accordée malgré une dérogation à l'information individuelle des personnes, jugée nécessiter des efforts disproportionnés ; celle-ci sera remplacée par une information publique via le site web et des affichages. Les durées de conservation des données sont fixées à cinq ans en base active et quinze ans en archivage.

DR-2025-086

DécisionAutorisation de rechercheEn vigueur25 avril 2025

Décision DR-2025-088 du 25 avril 2025 autorisant le CENTRE HOSPITALIER UNIVERSITAIRE DE TOULOUSE et l’AGENCE NATIONALE DE SANTE PUBLIQUE à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur la construction et la validation d’algorithmes de détection des fœtus et nouveau-nés porteurs d’anomalies congénitales, intitulée « MALFOSCAN ». (Demande d’autorisation n° 925044)

La CNIL autorise le Centre Hospitalier Universitaire de Toulouse et l'Agence Nationale de Santé Publique à mettre en œuvre un traitement de données pour l'étude « MALFOSCAN », visant à développer des algorithmes de détection des anomalies congénitales. L'autorisation est accordée malgré une dérogation à l'information individuelle des personnes concernées, jugée disproportionnée, qui sera compensée par une information publique sur les sites web des organismes. Le traitement, qui réutilise des données d'une précédente étude, est soumis à une durée d'accès de cinq ans et doit être enregistré sur la Plateforme des données de santé.

DR-2025-088

DécisionAutorisation de rechercheEn vigueur23 avril 2025

Décision DR-2025-082 du 23 avril 2025 autorisant l’ASSISTANCE PUBLIQUE - HOPITAUX DE PARIS à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur l’efficacité du système EndorotorPED par rapport aux techniques conventionnelles pour la nécrosectomie endoscopique au cours de la pancréatite aiguë nécrosante, intitulée « ROTONEC ». (Demande d’autorisation n° 925078)

La CNIL autorise l'Assistance Publique - Hôpitaux de Paris (AP-HP) à mettre en œuvre un traitement de données pour l'étude clinique "ROTONEC". Cette autorisation est accordée malgré une dérogation concernant les modalités d'information des patients, qui pourront être informés après leur inclusion si leur état de santé ne le permet pas initialement. Les données seront conservées en base active pendant huit ans, puis archivées pendant quinze ans.

DR-2025-082

DécisionAutorisation de rechercheEn vigueur23 avril 2025

Décision DR-2025-083 du 23 avril 2025 autorisant l’INSTITUT DE RECHERCHE ET DOCUMENTATION EN ECONOMIE DE LA SANTE à mettre en œuvre la modification d’un traitement de données ayant pour finalité une étude portant sur les liens entre trajectoires d’emploi, consommation de soins, santé et mortalité, intitulée « LEMMA ». (Demande d’autorisation n° 921217v1)

La CNIL autorise l'Institut de Recherche et Documentation en Economie de la Santé (IRDES) à modifier son traitement de données pour l'étude LEMMA. Les modifications consistent en une extension de la période d'étude (utilisation de données de 2008 à 2022) et une prolongation de l'accès aux données jusqu'en 2029. La décision prévoit une dérogation à l'information individuelle des personnes concernées, remplacée par une information publique, et impose le respect du référentiel de sécurité du SNDS.

DR-2025-083

DécisionAutorisation de rechercheEn vigueur18 avril 2025

Décision DR-2025-080 du 18 avril 2025 autorisant le CENTRE HOSPITALIER UNIVERSITAIRE DE NANTES à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur une évaluation de sécurité dans la prévention cutanée en situation de vie réelle avec un dispositif connecté après une lésion de la moelle épinière, nécessitant un accès aux données du SNIIRAM, du PMSI et du CépiDc, composantes du Système national des données de santé (SNDS), pour les années 2023 à 2027, intitulée « GASPARD - SCI ». (Demande d’autorisation n° 924277)

Le Centre Hospitalier Universitaire de Nantes est autorisé par la CNIL à mettre en œuvre un traitement de données pour l'étude « GASPARD - SCI », portant sur l'évaluation d'un dispositif connecté après une lésion de la moelle épinière. L'autorisation concerne spécifiquement l'accès et l'appariement avec les données du SNIIRAM, du PMSI et du CépiDc (SNDS) pour les années 2023 à 2027, malgré un début de traitement non conforme à la méthodologie de référence MR-001 concernant le traitement du NIR. La décision impose des conditions strictes de sécurité pour l'appariement des données et fixe les durées de conservation, notamment la destruction du NIR après appariement et une conservation des données du SNDS de cinq ans.

DR-2025-080

DécisionAutorisation de rechercheEn vigueur18 avril 2025

Décision DR-2025-081 du 18 avril 2025 autorisant l’ASSISTANCE PUBLIQUE - HOPITAUX DE PARIS à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur l’adhésion et l’impact du traitement par hydroxyurée sur les complications chroniques de la drépanocytose en vie réelle, nécessitant un accès aux données du SNIIRAM, du PMSI et du CépiDc, composantes du Système national des données de santé (SNDS), pour les années 2009 à 2024. (Demande d’autorisation n° 925060)

La CNIL autorise l'Assistance Publique - Hôpitaux de Paris (AP-HP) à mettre en œuvre un traitement de données pour une étude sur l'hydroxyurée dans le traitement de la drépanocytose. L'autorisation porte sur l'accès et l'appariement de données du SNDS (SNIIRAM, PMSI, CépiDc) pour la période 2009-2024, dérogeant à l'information individuelle des personnes au profit d'une information publique. Le traitement devra respecter le référentiel de sécurité du SNDS et les données appariées seront accessibles via le portail de la CNAM pour une durée de trois ans.

DR-2025-081

DécisionAutorisation de rechercheEn vigueur17 avril 2025

Décision DR-2025-079 du 17 avril 2025 autorisant l’INSTITUT CURIE à mettre en œuvre la modification d’un traitement de données ayant pour finalité une étude portant sur l’analyse des interactions entre les comédications, les comorbidités et le pronostic sur une cohorte quasi-exhaustive des patients traités pour un cancer en France, nécessitant un accès aux données du SNIIRAM, du PMSI et du CépiDC, composantes du Système national des données de santé (SNDS), pour les années 2006 à 2023, intitulée « COMBICANCER ». (Demande d’autorisation n° 922143v1)

La CNIL autorise l'Institut Curie à modifier son traitement de données nommé « COMBICANCER », une étude sur le cancer utilisant les données du SNDS (SNIIRAM, PMSI, CépiDC) de 2006 à 2023. Les modifications incluent l'extension de la période de conservation des données et un accès à distance sécurisé depuis la Suisse pour un chercheur. L'autorisation est soumise au strict respect du référentiel de sécurité du SNDS par l'Institut Curie pour toute la durée du traitement.

DR-2025-079

DécisionAutorisation de rechercheEn vigueur15 avril 2025

Décision DR-2025-078 du 15 avril 2025 autorisant la société BRISTOL MYERS SQUIBB à mettre en œuvre la modification d’un traitement de données ayant pour finalité une étude portant sur l’évolution de la prise en charge des patients atteints de syndrome myélodysplasique à bas risque et les impacts médico-économiques du luspatercept, nécessitant un accès aux données du SNIIRAM et du PMSI, composantes du Système national des données de santé (SNDS), pour les années 2015 à 2026, intitulée « MYOSOTYS ». (Demande d’autorisation n° 925008v1)

La CNIL autorise la société BRISTOL MYERS SQUIBB à modifier son traitement de données pour l'étude "MYOSOTYS" sur les syndromes myélodysplasiques. L'autorisation porte spécifiquement sur le changement de l'hébergement des données vers le système sécurisé de la société HEVA, dont l'homologation est valable jusqu'en mai 2026. La décision est conditionnée au respect du référentiel de sécurité mis à jour et à la poursuite de la conformité de la bulle sécurisée d'HEVA.

DR-2025-078

DécisionAutorisation de rechercheEn vigueur11 avril 2025

Décision DR-2025-077 du 11 avril 2025 autorisant la société ABBOTT MEDICAL FRANCE SAS à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur une étude en vie réelle des patients traités par les amplatzer vascular plugs en France, nécessitant un accès aux données du SNIIRAM et du PMSI, composantes du Système national des données de santé (SNDS), pour les années 2014 à 2024, intitulée « ADAPTIVE ». (Demande d’autorisation n° 924367)

La CNIL autorise la société ABBOTT MEDICAL FRANCE SAS à mettre en œuvre un traitement de données pour l'étude « ADAPTIVE ». Cette autorisation concerne l'accès aux données du SNIIRAM et du PMSI (SNDS) de 2014 à 2024 et un appariement probabiliste incluant la commune de résidence. La décision impose des conditions strictes, notamment la séparation des données identifiantes, un accès limité au personnel habilité, et le respect des référentiels de sécurité du SNDS, avec une homologation de la bulle sécurisée à renouveler avant mai 2026.

DR-2025-077

DécisionAutorisation de rechercheEn vigueur11 avril 2025

Décision DR-2025-076 du 11 avril 2025 autorisant l’ASSISTANCE PUBLIQUE - HOPITAUX DE PARIS à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur la place des séances d’éducation thérapeutique et des applications de santé dans l’information du patient vivant avec un diabète de type 2. (Demande d’autorisation n° 924364)

La CNIL autorise l'Assistance Publique - Hôpitaux de Paris (AP-HP) à mettre en œuvre un traitement de données pour une étude sur l'éducation thérapeutique des patients diabétiques de type 2. L'autorisation est accordée malgré une dérogation à l'information individuelle des personnes, jugée nécessiter des efforts disproportionnés ; une information publique via des sites web dédiés est prévue à la place. Le traitement, qui réutilise des données de l'étude ENTRED 3 chaînées au SNDS, est autorisé pour une durée de deux ans à compter de la mise à disposition des données.

DR-2025-076

DécisionAutorisation de rechercheEn vigueur9 avril 2025

Décision DR-2025-075 du 9 avril 2025 autorisant l’INSTITUT NATIONAL DE LA SANTE ET DE LA RECHERCHE MEDICALE à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur l’hésitation vaccinale et la déclaration des évènements indésirables, intitulée « ICOVAC ». (Demande d’autorisation n° 925072)

La CNIL autorise l'Institut National de la Santé et de la Recherche Médicale (INSERM) à mettre en œuvre un traitement de données pour l'étude « ICOVAC » sur l'hésitation vaccinale. L'autorisation est accordée malgré une dérogation à l'information individuelle des personnes, jugée nécessiter des efforts disproportionnés ; une information publique sera assurée via les sites web de l'INSERM et de l'ANSM. Les données, réutilisées de la base nationale de pharmacovigilance, seront conservées pour une durée maximale de cinq ans.

DR-2025-075

DécisionAutorisation de rechercheEn vigueur4 avril 2025

Décision DR-2025-071 du 4 avril 2025 autorisant l’INSTITUT NATIONAL DE LA SANTE ET DE LA RECHERCHE MEDICALE à mettre en œuvre la modification d’un traitement de données ayant pour finalité une étude portant sur le lien entre les modes d’exposition à la lumière la nuit et le sommeil, intitulée « LILLY ». (Demande d’autorisation n° 924121v1)

La CNIL autorise l'INSERM à modifier le traitement de données pour son étude "LILLY" sur l'exposition nocturne à la lumière et le sommeil. La décision acte un changement de responsable de traitement, désormais exclusivement l'INSERM, tout en confirmant le caractère d'intérêt public de la recherche. Les autres conditions de mise en œuvre restent inchangées, sous réserve de l'avis favorable du comité éthique et scientifique.

DR-2025-071

DécisionAutorisation de rechercheEn vigueur4 avril 2025

Décision DR-2025-074 du 4 avril 2025 autorisant CENTRE HOSPITALIER UNIVERSITAIRE DE BORDEAUX à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur l'impact de l'utilisation sélective de la stomie de dérivation après une exérèse totale du mesorectum dans le traitement du cancer du rectum, nécessitant un accès aux données du SNIIRAM et du PMSI, composantes du Système national des données de santé (SNDS), pour les années 2022 à 2025, intitulée « GRECCAR 17 ». (Demande d’autorisation n° 925029)

Le Centre Hospitalier Universitaire de Bordeaux est autorisé par la CNIL à mettre en œuvre un traitement de données pour l'étude « GRECCAR 17 » sur le cancer du rectum. Cette autorisation concerne l'accès aux données du SNIIRAM et du PMSI (SNDS) pour les années 2022 à 2025, malgré un point de non-conformité lié à l'appariement probabiliste avec les données cliniques. L'autorisation est soumise à des conditions strictes, notamment l'information individuelle des participants, une durée d'accès limitée à quatre ans et l'enregistrement du traitement sur la Plateforme des données de santé.

DR-2025-074

DécisionAutorisation de rechercheEn vigueur4 avril 2025

Décision DR-2025-073 du 4 avril 2025 autorisant l’INSTITUT GUSTAVE ROUSSY à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur l'efficacité des soins standards couplés à trois différents types de modalités d'aide numérique aux patients, intitulée « STEPPING STONE ». (Demande d’autorisation n° 924238)

La CNIL autorise l'Institut Gustave Roussy à mettre en œuvre un traitement de données pour l'étude de recherche en santé « STEPPING STONE ». Cette autorisation est accordée malgré un point de non-conformité à la méthodologie de référence (MR-001) concernant les destinataires des données directement identifiantes, dû au suivi dématérialisé. Le traitement est soumis à des conditions strictes, notamment la séparation des bases de données, la limitation des accès et des durées de conservation définies (destruction des données d'identification à la fin du suivi, archivage de quinze ans pour les autres données).

DR-2025-073

DécisionAutorisation de rechercheEn vigueur4 avril 2025

Décision DR-2025-070 du 4 avril 2025 autorisant l’ASSISTANCE PUBLIQUE – HÔPITAUX DE MARSEILLE à mettre en œuvre la modification d’un traitement de données ayant pour finalité une étude portant sur l’évaluation de l’impact d’une alternative à l’incarcération par le logement et le suivi intensif pour des personnes sans logement, vivant avec des troubles psychiatriques sévères et déférées en comparution immédiate, en comparaison des services sanitaires, sociaux et judiciaires existants, nécessitant un accès aux données du SNIIRAM, PMSI et du CépiDc, composantes du Système national des données de santé (SNDS), pour les années 2021 à 2026, intitulée « AILSI ». (Demande d’autorisation n° 921002v3)

L'Assistance Publique – Hôpitaux de Marseille a obtenu une autorisation de la CNIL pour modifier un traitement de données dans le cadre de l'étude AILSI. Cette modification consiste à étendre l'accès aux données du Système national des données de santé (SNDS) pour inclure l'année 2026, portant ainsi la période de traitement de 2021 à 2026. L'autorisation est accordée car la finalité de l'étude, qui évalue une alternative à l'incarcération pour des personnes sans logement avec des troubles psychiatriques, présente un intérêt public et a reçu un avis favorable du comité d'éthique.

DR-2023-070

DécisionAutorisation de rechercheEn vigueur4 avril 2025

Décision DR-2025-072 du 4 avril 2025 autorisant la société SONIVIE à mettre en œuvre un traitement de données ayant pour finalité une étude comparant le système de dénervation rénale therapeutic intravascular ultrasound (TIVUS) au contrôle Sham pour le traitement d'appoint de l'hypertension, intitulée « The THRIVE Study ». (Demande d’autorisation n° 925016)

La CNIL autorise la société SONIVIE à mettre en œuvre un traitement de données pour l'étude clinique « The THRIVE Study ». L'autorisation est accordée malgré un point de non-conformité concernant les destinataires des données directement identifiantes, lié à l'utilisation d'une solution de contrôle qualité à distance. La décision impose des mesures de sécurité strictes pour ce contrôle à distance et valide un transfert de données vers Israël, pays reconnu offrant un niveau de protection adéquat.

DR-2025-072