Délibérations CNIL

La CNIL émet un avis sur un projet de décret, saisi par le Secrétariat général de la défense et de la sécurité nationale (SGDSN), concernant le répertoire des activités d'influence pour le compte de mandants étrangers. Elle recommande de préciser les données collectées sur les intermédiaires et les contacts opérationnels, et de réduire les durées de conservation des données personnelles traitées par la Haute Autorité pour la transparence de la vie publique (HATVP) pour les aligner sur le délai de prescription. La Commission souligne la nécessité de documenter chaque traitement et de garantir les droits des personnes concernées.

2025-031

DécisionAutorisation de rechercheEn vigueur30 avril 2025

Décision DR-2025-094 du 30 avril 2025 autorisant l’ASSISTANCE PUBLIQUE - HOPITAUX DE PARIS à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur l’évaluation médico-économique des conséquences neurocognitives post-opératoires chez les patients ayant été sujets à une chirurgie élective majeure, nécessitant un accès aux données du SNIIRAM, du PMSI et du CépiDc, composantes du Système national des données de santé (SNDS), pour les années 2017 à 2022, intitulée « POCK-ECO ». (Demande d’autorisation n° 925065)

La CNIL autorise l'Assistance Publique - Hôpitaux de Paris (AP-HP) à mettre en œuvre le traitement de données « POCK-ECO », une étude médico-économique sur les conséquences neurocognitives post-opératoires. L'autorisation porte notamment sur l'accès et l'appariement avec les données du SNIIRAM, du PMSI et du CépiDc (SNDS) pour les années 2017 à 2022. La décision impose des conditions strictes, notamment un appariement sécurisé via un tiers de confiance et le respect de durées de conservation spécifiques pour les données identifiantes et les données du SNDS.

DR-2025-094

DécisionAutorisation de rechercheEn vigueur30 avril 2025

Décision DR-2025-092 du 30 avril 2025 autorisant l’ASSISTANCE PUBLIQUE – HOPITAUX DE PARIS à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur la prise en charge dématérialisée pour le suivi post urgence gynécologique, intitulée « GYNAB ». (Demande d’autorisation n° 924269)

La CNIL autorise l'ASSISTANCE PUBLIQUE – HÔPITAUX DE PARIS à mettre en œuvre un traitement de données pour l'étude « GYNAB » sur le suivi post-urgence gynécologique dématérialisé. L'autorisation est accordée malgré des non-conformités identifiées par rapport à la méthodologie de référence MR-001, concernant les catégories de données traitées et les destinataires des données directement identifiantes. Des conditions strictes sont imposées, notamment la séparation des bases de données, la limitation des accès et le respect de durées de conservation spécifiques.

DR-2025-092

DécisionAutorisation de rechercheEn vigueur29 avril 2025

Décision DR-2025-090 du 29 avril 2025 autorisant la société ASTELLAS PHARMA EUROPE LTD à mettre en œuvre un traitement de données ayant pour finalité une étude sur les caractéristiques, l'utilisation et la survie des patients traités par Gilteritinib, intitulée « FOCUS ». (Demande d’autorisation n° 925075)

La CNIL autorise la société **Astellas Pharma Europe Ltd** à mettre en œuvre un traitement de données pour l'étude **FOCUS** sur le médicament Gilteritinib. Cette autorisation est accordée sous conditions, notamment le respect de la méthodologie de référence MR-008, l'utilisation exclusive de données provenant de l'entrepôt "Magellan", et la mise en place de mesures d'information publique en lieu et place d'une information individuelle. La décision impose également des durées de conservation spécifiques et le renouvellement de l'homologation de sécurité avant fin 2025.

DR-2025-090

DécisionAutorisation de rechercheEn vigueur29 avril 2025

Décision DR-2025-089 du 29 avril 2025 autorisant la société ROCHE et la société CLINITYX à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur l’évaluation du fardeau de la maladie dans le cancer du sein (RH+/HER2+, HER2+, RH+/HER2-), intitulée « NINE ». (Demande d’autorisation n° 925047)

La CNIL autorise les sociétés ROCHE et CLINITYX à mettre en œuvre un traitement de données pour l'étude « NINE » sur le fardeau du cancer du sein. Le traitement, fondé sur l'intérêt public, réutilise des données de l'entrepôt « Magellan » et bénéficie d'une dérogation à l'information individuelle des personnes, remplacée par une information publique. La décision est soumise à des conditions spécifiques, notamment le renouvellement de l'homologation de sécurité avant fin 2025 et une durée de conservation limitée des données.

DR-2025-089

DécisionAutorisation de rechercheEn vigueur25 avril 2025

Décision DR-2025-086 du 25 avril 2025 autorisant le CENTRE HOSPITALIER MEMORIAL FRANCE ETATS-UNIS à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur l’application d’une régulation de l’entrée aux urgences sur le département de la Manche. (Demande d’autorisation n° 925021)

La CNIL autorise le Centre Hospitalier Memorial France Etats-Unis à mettre en œuvre un traitement de données pour une étude sur la régulation des entrées aux urgences dans la Manche. L'autorisation est accordée malgré une dérogation à l'information individuelle des personnes, jugée nécessiter des efforts disproportionnés ; celle-ci sera remplacée par une information publique via le site web et des affichages. Les durées de conservation des données sont fixées à cinq ans en base active et quinze ans en archivage.

DR-2025-086

DécisionAutorisation de rechercheEn vigueur25 avril 2025

Décision DR-2025-085 du 25 avril 2025 autorisant le CENTRE HOSPITALIER UNIVERSITAIRE DE TOURS à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur l’évaluation de la sécurité et de la sécurité des aérosols de caspofungine pour le traitement curatif de la pneumocystose en adjonction de la thérapie systémique antifongique conventionnelle, intitulée « CaspoNEB ». (Demande d’autorisation n° 925062)

Le Centre Hospitalier Universitaire de Tours est autorisé par la CNIL à mettre en œuvre un traitement de données pour l'étude clinique "CaspoNEB". Cette autorisation concerne une recherche sur la sécurité des aérosols de caspofungine pour le traitement de la pneumocystose. Le traitement est soumis à des conditions spécifiques, notamment concernant l'information des patients en situation d'urgence et des durées de conservation des données (5 ans en base active, 25 ans en archivage).

DR-2025-085

DécisionAutorisation de rechercheEn vigueur25 avril 2025

Décision DR-2025-087 du 25 avril 2025 autorisant l’UNIVERSITE D’OXFORD à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur la réanalyse des données en intention de traiter des bénéfices et risques de différentes durées de traitement adjuvant par trastuzumab, intitulée « méta-analyse de l’early breast cancer trialists’ collaborative group ». (Demande d’autorisation n° 925050)

La CNIL autorise l'Université d'Oxford à mettre en œuvre un traitement de données pour une méta-analyse sur le cancer du sein, réutilisant des données issues de l'étude PHARE. L'autorisation prévoit une dérogation à l'information individuelle des personnes concernées, remplacée par une diffusion publique d'une note d'information. Le traitement, sous-traité par l'Institut National du Cancer (INCa), respecte un cadre sécurisé et prévoit un transfert de données vers le Royaume-Uni, pays bénéficiant d'une décision d'adéquation.

DR-2025-087

DécisionAutre autorisationEn vigueur25 avril 2025

Décision DT-2025-005 du 25 avril 2025 autorisant le CENTRE HOSPITALIER UNIVERSITAIRE DE POITIERS à mettre en œuvre un traitement automatisé de données ayant pour finalité la constitution d’un entrepôt de données de santé. (Demande d’autorisation n° 22236583)

Le Centre Hospitalier Universitaire de Poitiers a obtenu une autorisation de la CNIL pour mettre en œuvre un entrepôt de données de santé à des fins de recherche, d'études et de pilotage de l'activité. Le traitement, qui repose sur des données pseudonymisées de patients, a été jugé conforme au référentiel applicable, à l'exception de deux exigences de sécurité qui font l'objet d'un examen spécifique. L'autorisation encadre strictement les modalités d'information des personnes concernées, prévoyant des exceptions à l'information individuelle pour les anciens patients et une information systématique pour les patients actuels et futurs.

DT-2025-005

DécisionAutorisation de rechercheEn vigueur25 avril 2025

Décision DR-2025-084 du 25 avril 2025 autorisant le CENTRE HOSPITALIER UNIVERSITAIRE DE LILLE à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur la caractérisation des appels pédiatriques régulés par le SAMU 59 et les facteurs associés à une orientation vers une consultation aux urgences pédiatriques. (Demande d’autorisation n° 925089)

Le Centre Hospitalier Universitaire de Lille a été autorisé par la CNIL à mettre en œuvre un traitement de données personnelles pour une étude sur la régulation des appels pédiatriques du SAMU 59. Cette autorisation, prise dans le cadre de la méthodologie de référence MR-004, prévoit une dérogation à l'information individuelle des personnes en raison d'efforts disproportionnés, remplacée par la diffusion d'une note d'information sur le site web de l'hôpital. Les données seront conservées en base active pendant un an et sept mois, puis archivées pendant quinze ans.

DR-2025-084

DécisionAutorisation de rechercheEn vigueur25 avril 2025

Décision DR-2025-088 du 25 avril 2025 autorisant le CENTRE HOSPITALIER UNIVERSITAIRE DE TOULOUSE et l’AGENCE NATIONALE DE SANTE PUBLIQUE à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur la construction et la validation d’algorithmes de détection des fœtus et nouveau-nés porteurs d’anomalies congénitales, intitulée « MALFOSCAN ». (Demande d’autorisation n° 925044)

La CNIL autorise le Centre Hospitalier Universitaire de Toulouse et l'Agence Nationale de Santé Publique à mettre en œuvre un traitement de données pour l'étude « MALFOSCAN », visant à développer des algorithmes de détection des anomalies congénitales. L'autorisation est accordée malgré une dérogation à l'information individuelle des personnes concernées, jugée disproportionnée, qui sera compensée par une information publique sur les sites web des organismes. Le traitement, qui réutilise des données d'une précédente étude, est soumis à une durée d'accès de cinq ans et doit être enregistré sur la Plateforme des données de santé.

DR-2025-088

DécisionAutorisation de rechercheEn vigueur23 avril 2025

Décision DR-2025-083 du 23 avril 2025 autorisant l’INSTITUT DE RECHERCHE ET DOCUMENTATION EN ECONOMIE DE LA SANTE à mettre en œuvre la modification d’un traitement de données ayant pour finalité une étude portant sur les liens entre trajectoires d’emploi, consommation de soins, santé et mortalité, intitulée « LEMMA ». (Demande d’autorisation n° 921217v1)

La CNIL autorise l'Institut de Recherche et Documentation en Economie de la Santé (IRDES) à modifier son traitement de données pour l'étude LEMMA. Les modifications consistent en une extension de la période d'étude (utilisation de données de 2008 à 2022) et une prolongation de l'accès aux données jusqu'en 2029. La décision prévoit une dérogation à l'information individuelle des personnes concernées, remplacée par une information publique, et impose le respect du référentiel de sécurité du SNDS.

DR-2025-083

DécisionAutorisation de rechercheEn vigueur23 avril 2025

Décision DR-2025-082 du 23 avril 2025 autorisant l’ASSISTANCE PUBLIQUE - HOPITAUX DE PARIS à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur l’efficacité du système EndorotorPED par rapport aux techniques conventionnelles pour la nécrosectomie endoscopique au cours de la pancréatite aiguë nécrosante, intitulée « ROTONEC ». (Demande d’autorisation n° 925078)

La CNIL autorise l'Assistance Publique - Hôpitaux de Paris (AP-HP) à mettre en œuvre un traitement de données pour l'étude clinique "ROTONEC". Cette autorisation est accordée malgré une dérogation concernant les modalités d'information des patients, qui pourront être informés après leur inclusion si leur état de santé ne le permet pas initialement. Les données seront conservées en base active pendant huit ans, puis archivées pendant quinze ans.

DR-2025-082

DécisionAutorisation de rechercheEn vigueur18 avril 2025

Décision DR-2025-080 du 18 avril 2025 autorisant le CENTRE HOSPITALIER UNIVERSITAIRE DE NANTES à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur une évaluation de sécurité dans la prévention cutanée en situation de vie réelle avec un dispositif connecté après une lésion de la moelle épinière, nécessitant un accès aux données du SNIIRAM, du PMSI et du CépiDc, composantes du Système national des données de santé (SNDS), pour les années 2023 à 2027, intitulée « GASPARD - SCI ». (Demande d’autorisation n° 924277)

Le Centre Hospitalier Universitaire de Nantes est autorisé par la CNIL à mettre en œuvre un traitement de données pour l'étude « GASPARD - SCI », portant sur l'évaluation d'un dispositif connecté après une lésion de la moelle épinière. L'autorisation concerne spécifiquement l'accès et l'appariement avec les données du SNIIRAM, du PMSI et du CépiDc (SNDS) pour les années 2023 à 2027, malgré un début de traitement non conforme à la méthodologie de référence MR-001 concernant le traitement du NIR. La décision impose des conditions strictes de sécurité pour l'appariement des données et fixe les durées de conservation, notamment la destruction du NIR après appariement et une conservation des données du SNDS de cinq ans.

DR-2025-080

DécisionAutorisation de rechercheEn vigueur18 avril 2025

Décision DR-2025-081 du 18 avril 2025 autorisant l’ASSISTANCE PUBLIQUE - HOPITAUX DE PARIS à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur l’adhésion et l’impact du traitement par hydroxyurée sur les complications chroniques de la drépanocytose en vie réelle, nécessitant un accès aux données du SNIIRAM, du PMSI et du CépiDc, composantes du Système national des données de santé (SNDS), pour les années 2009 à 2024. (Demande d’autorisation n° 925060)

La CNIL autorise l'Assistance Publique - Hôpitaux de Paris (AP-HP) à mettre en œuvre un traitement de données pour une étude sur l'hydroxyurée dans le traitement de la drépanocytose. L'autorisation porte sur l'accès et l'appariement de données du SNDS (SNIIRAM, PMSI, CépiDc) pour la période 2009-2024, dérogeant à l'information individuelle des personnes au profit d'une information publique. Le traitement devra respecter le référentiel de sécurité du SNDS et les données appariées seront accessibles via le portail de la CNAM pour une durée de trois ans.

DR-2025-081

DécisionAutorisation de rechercheEn vigueur17 avril 2025

Décision DR-2025-079 du 17 avril 2025 autorisant l’INSTITUT CURIE à mettre en œuvre la modification d’un traitement de données ayant pour finalité une étude portant sur l’analyse des interactions entre les comédications, les comorbidités et le pronostic sur une cohorte quasi-exhaustive des patients traités pour un cancer en France, nécessitant un accès aux données du SNIIRAM, du PMSI et du CépiDC, composantes du Système national des données de santé (SNDS), pour les années 2006 à 2023, intitulée « COMBICANCER ». (Demande d’autorisation n° 922143v1)

La CNIL autorise l'Institut Curie à modifier son traitement de données nommé « COMBICANCER », une étude sur le cancer utilisant les données du SNDS (SNIIRAM, PMSI, CépiDC) de 2006 à 2023. Les modifications incluent l'extension de la période de conservation des données et un accès à distance sécurisé depuis la Suisse pour un chercheur. L'autorisation est soumise au strict respect du référentiel de sécurité du SNDS par l'Institut Curie pour toute la durée du traitement.

DR-2025-079

DécisionAutorisation de rechercheEn vigueur15 avril 2025

Décision DR-2025-078 du 15 avril 2025 autorisant la société BRISTOL MYERS SQUIBB à mettre en œuvre la modification d’un traitement de données ayant pour finalité une étude portant sur l’évolution de la prise en charge des patients atteints de syndrome myélodysplasique à bas risque et les impacts médico-économiques du luspatercept, nécessitant un accès aux données du SNIIRAM et du PMSI, composantes du Système national des données de santé (SNDS), pour les années 2015 à 2026, intitulée « MYOSOTYS ». (Demande d’autorisation n° 925008v1)

La CNIL autorise la société BRISTOL MYERS SQUIBB à modifier son traitement de données pour l'étude "MYOSOTYS" sur les syndromes myélodysplasiques. L'autorisation porte spécifiquement sur le changement de l'hébergement des données vers le système sécurisé de la société HEVA, dont l'homologation est valable jusqu'en mai 2026. La décision est conditionnée au respect du référentiel de sécurité mis à jour et à la poursuite de la conformité de la bulle sécurisée d'HEVA.

DR-2025-078

DécisionAutorisation de rechercheEn vigueur11 avril 2025

Décision DR-2025-077 du 11 avril 2025 autorisant la société ABBOTT MEDICAL FRANCE SAS à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur une étude en vie réelle des patients traités par les amplatzer vascular plugs en France, nécessitant un accès aux données du SNIIRAM et du PMSI, composantes du Système national des données de santé (SNDS), pour les années 2014 à 2024, intitulée « ADAPTIVE ». (Demande d’autorisation n° 924367)

La CNIL autorise la société ABBOTT MEDICAL FRANCE SAS à mettre en œuvre un traitement de données pour l'étude « ADAPTIVE ». Cette autorisation concerne l'accès aux données du SNIIRAM et du PMSI (SNDS) de 2014 à 2024 et un appariement probabiliste incluant la commune de résidence. La décision impose des conditions strictes, notamment la séparation des données identifiantes, un accès limité au personnel habilité, et le respect des référentiels de sécurité du SNDS, avec une homologation de la bulle sécurisée à renouveler avant mai 2026.

DR-2025-077

DécisionAutorisation de rechercheEn vigueur11 avril 2025

Décision DR-2025-076 du 11 avril 2025 autorisant l’ASSISTANCE PUBLIQUE - HOPITAUX DE PARIS à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur la place des séances d’éducation thérapeutique et des applications de santé dans l’information du patient vivant avec un diabète de type 2. (Demande d’autorisation n° 924364)

La CNIL autorise l'Assistance Publique - Hôpitaux de Paris (AP-HP) à mettre en œuvre un traitement de données pour une étude sur l'éducation thérapeutique des patients diabétiques de type 2. L'autorisation est accordée malgré une dérogation à l'information individuelle des personnes, jugée nécessiter des efforts disproportionnés ; une information publique via des sites web dédiés est prévue à la place. Le traitement, qui réutilise des données de l'étude ENTRED 3 chaînées au SNDS, est autorisé pour une durée de deux ans à compter de la mise à disposition des données.

DR-2025-076

DécisionAutorisation de rechercheEn vigueur9 avril 2025

Décision DR-2025-075 du 9 avril 2025 autorisant l’INSTITUT NATIONAL DE LA SANTE ET DE LA RECHERCHE MEDICALE à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur l’hésitation vaccinale et la déclaration des évènements indésirables, intitulée « ICOVAC ». (Demande d’autorisation n° 925072)

La CNIL autorise l'Institut National de la Santé et de la Recherche Médicale (INSERM) à mettre en œuvre un traitement de données pour l'étude « ICOVAC » sur l'hésitation vaccinale. L'autorisation est accordée malgré une dérogation à l'information individuelle des personnes, jugée nécessiter des efforts disproportionnés ; une information publique sera assurée via les sites web de l'INSERM et de l'ANSM. Les données, réutilisées de la base nationale de pharmacovigilance, seront conservées pour une durée maximale de cinq ans.

DR-2025-075