Délibérations CNIL

L'Assistance Publique Hôpitaux de Paris (AP-HP) a obtenu une autorisation de la CNIL pour modifier un traitement de données de santé. Cette décision permet l'extension de l'étude "GRO2M" sur l'optimisation des opérations médicales, en incluant désormais les données du SNDS (SNIIRAM, PMSI, CépiDc) pour les années 2018 à 2023. L'autorisation, fondée sur un avis favorable du comité éthique et scientifique, confirme que la finalité de l'étude présente un caractère d'intérêt public.

DR-2025-217

DécisionAutorisation de rechercheEn vigueur24 septembre 2025

Décision DR-2025-218 du 24 septembre 2025 autorisant le CENTRE HOSPITALIER UNIVERSITAIRE DE TOULOUSE à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur l’évaluation du risque tératogène des médicaments au cours de la grossesse, nécessitant un accès aux données du SNIIRAM, du PMSI et du CépiDc, composantes du système national des données de santé (SNDS), pour les années 2010 à 2023. (Demande d’autorisation n°920302v4)

Le Centre Hospitalier Universitaire de Toulouse a obtenu une autorisation de la CNIL pour modifier un traitement de données dans le cadre d'une étude sur le risque tératogène des médicaments pendant la grossesse. Cette modification concerne la collecte du code postal de résidence des personnes, jugée scientifiquement justifiée. L'autorisation, délivrée après un avis favorable du comité éthique, permet l'accès aux données du SNDS (SNIIRAM, PMSI, CépiDc) de 2010 à 2023 pour cette étude d'intérêt public.

DR-2025-218

DécisionAutorisation de rechercheEn vigueur24 septembre 2025

Décision DR-2025-219 du 24 septembre 2025 autorisant la société STALLERGENES-GREER à mettre en œuvre un traitement de données ayant pour finalité modification d’un traitement de données ayant pour finalité la réalisation d’une étude portant sur l’évaluation des traitements par Allergènes Préparés Spécialement pour un seul Individu (APSI) en vie réelle, nécessitant un accès aux données du PMSI et du SNIIRAM, composantes du Système national des données de santé (SNDS), pour les années 2006 à 2018. (Demande d’autorisation n° 919412v3)

La CNIL autorise la société STALLERGENES-GREER à modifier un traitement de données pour une étude sur les traitements par allergènes (APSI). L'autorisation, qui présente un caractère d'intérêt public, permet l'ajout de l'analyse des coûts associés aux données de soins, tout en maintenant les autres conditions de l'étude. La décision s'appuie sur un avis favorable du comité éthique et scientifique et concerne l'accès aux données du SNDS (PMSI et SNIIRAM) pour la période 2006-2018.

DR-2025-219

DécisionAutre autorisationEn vigueur24 septembre 2025

Décision DT-2025-015 du 24 septembre 2025 autorisant la SOCIETE CLINITYX BY GERS DATA à mettre en œuvre la modification d’un traitement automatisé de données ayant pour finalité la constitution d’un entrepôt de données de santé, dénommé « THIN ». (Demande d’autorisation n° 2238955)

La CNIL autorise la société CLINITYX BY GERS DATA à modifier son entrepôt de données de santé "THIN". Cette autorisation permet notamment d'ajouter la réalisation d'études de faisabilité pour des recherches dans le domaine de la santé. Le traitement, fondé sur l'intérêt légitime, doit respecter le référentiel sécurité et les finalités interdites du Système national des données de santé.

DT-2025-015

DécisionAutre autorisationEn vigueur24 septembre 2025

Décision DT-2025-014 du 24 septembre 2025 autorisant la SOCIETE CLINITYX BY GERS DATA à mettre en œuvre la modification d’un traitement automatisé de données ayant pour finalité la constitution d’un entrepôt de données de santé, dénommé « SOG HEALTH ». (Demande d’autorisation n° 2238992).

La CNIL autorise la société CLINITYX BY GERS DATA à modifier son entrepôt de données de santé « SOG HEALTH ». Cette décision entérine le changement de responsable de traitement, désormais CLINITYX, et impose des mises à jour des modalités d'information et de transparence, notamment via les portails dédiés. Elle rappelle également l'obligation de supprimer les données gelées et de respecter strictement le cadre juridique des données de santé, en interdisant toute finalité de promotion ou d'assurance.

DT-2025-014

DécisionAutorisation de rechercheEn vigueur22 septembre 2025

Décision DR-2025-213 du 22 septembre 2025 autorisant les HOPITAUX UNIVERSITAIRES DE STRASBOURG et la société DIAGNOSTICA STAGO à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur l’évaluation de la fluorescence des neutrophiles chez les patients avec une coagulation intravasculaire disséminée associée au choc septique, intitulée « HEMATOCLOT ». (Demande d’autorisation n° 925203)

La CNIL autorise les Hôpitaux Universitaires de Strasbourg et la société Diagnostica Stago à mettre en œuvre un traitement de données pour l'étude "HEMATOCLOT" sur la coagulation intravasculaire disséminée. Cette autorisation est accordée malgré une dérogation à la méthodologie de référence concernant l'information des patients en situation d'urgence vitale. La décision impose des conditions spécifiques pour l'information des personnes ou de leurs proches, ainsi que la nécessité de formalités CNIL pour toute étude future utilisant les données et échantillons collectés.

DR-2025-213

DécisionAutorisation de rechercheEn vigueur22 septembre 2025

Décision DR-2025-206 du 22 septembre 2025 autorisant les HOPITAUX UNIVERSITAIRES DE STRASBOURG et l’INSTITUT NATIONAL DE LA SANTE ET DE LA RECHERCHE MEDICALE à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur l’évaluation de l’impact de la distribution de paniers de légumes biologiques pendant deux semaines durant la grossesse sur la diminution des doses internes de produits phytosanitaires chez des femmes enceintes, intitulée « POLVERT ». (Demande d’autorisation n°925106)

La CNIL autorise les Hôpitaux Universitaires de Strasbourg (HUS) et l'INSERM à mettre en œuvre un traitement de données pour l'étude "POLVERT" sur l'impact de paniers bio pendant la grossesse. L'autorisation est accordée malgré des dérogations à la méthodologie de référence concernant la nature des données et les modalités d'information. Des mesures spécifiques sont imposées, notamment la séparation des bases de données et une information publique pour les proches des participantes, en raison de la collecte de données sensibles comme les coordonnées postales et les informations socio-économiques familiales.

DR-2025-206

DécisionAutorisation de rechercheEn vigueur22 septembre 2025

Décision DR-2025-210 du 22 septembre 2025 autorisant le CENTRE HOSPITALIER UNIVERSITAIRE DE LA REUNION à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur l’efficacité en vie réelle, la sécurité, et l’immunogénicité de la vaccination contre le chikungunya chez les populations à risque de forme sévère ou compliquée à la Réunion, nécessitant un accès aux données du SNIIRAM, PMSI et CepiDC composantes du Système national des données de santé (SNDS), pour les années 2023 à 2028 intitulée « CHIK-RE-VAC » (Demande d’autorisation n° 925161)

Le Centre Hospitalier Universitaire de La Réunion est autorisé par la CNIL à mettre en œuvre un traitement de données à caractère personnel pour une étude de recherche en santé intitulée « CHIK-RE-VAC ». Cette autorisation porte sur l'accès aux données du SNIIRAM, PMSI et CepiDC (composantes du SNDS) de 2023 à 2028, afin d'évaluer la vaccination contre le chikungunya. La décision impose des conditions strictes, notamment un circuit d'appariement sécurisé via un concentrateur, la séparation des données identifiantes, et des durées de conservation limitées.

DR-2025-210

DécisionAutorisation de rechercheEn vigueur22 septembre 2025

Décision DR-2025-211 du 22 septembre 2025 autorisant la société JANSSEN-CILAG FRANCE à mettre en œuvre la modification d’un traitement de données ayant pour finalité une étude portant sur le myélome multiple nécessitant un accès aux données du SNIIRAM, composante du Système national des données de santé (SNDS) pour les années 2006 à 2028, intitulée « MYLORD » (Demande d’autorisation n° 918419v2)

La CNIL autorise la société JANSSEN-CILAG FRANCE à modifier son traitement de données pour l'étude "MYLORD" sur le myélome multiple. Cette modification consiste à étendre l'accès aux données du SNIIRAM (SNDS) pour la période 2006-2028. La décision fait suite à un avis favorable du comité éthique et scientifique et confirme que l'étude présente un caractère d'intérêt public.

DR-2025-211

DécisionAutorisation de rechercheEn vigueur22 septembre 2025

Décision DR-2025-212 du 22 septembre 2025 autorisant la société SANOFI PASTEUR à mettre en œuvre la modification d’un traitement de données ayant pour finalité une étude portant sur l’analyse de l’efficacité vaccinale entre les vaccins antigrippaux quadrivalents à haute dose et les vaccins antigrippaux quadrivalents à dose standard en France entre 2020 et 2024 chez les individus âgés de 65 ans et plus, nécessitant un accès aux données du SNIIRAM et du PMSI, composantes du Système national des données de santé (SNDS) ainsi qu’aux données de la base Resid-EHPAD, pour les années 2015 à 2024, intitulée « DRIVEN ». (Demande d’autorisation n° 922026v4)

La CNIL autorise la société SANOFI PASTEUR à modifier son traitement de données pour l'étude DRIVEN sur l'efficacité vaccinale. Cette autorisation porte sur l'accès aux données du SNDS et de Resid-EHPAD pour les années 2023-2024, ainsi que sur une nouvelle hiérarchisation des objectifs et l'ajout d'analyses complémentaires. La décision, prise après un avis favorable du comité éthique, confirme que le traitement répond aux exigences légales pour les recherches d'intérêt public dans le domaine de la santé.

DR-2025-212

DécisionAutorisation de rechercheEn vigueur18 septembre 2025

Décision DR-2025-207 du 18 septembre 2025 autorisant la société ARGENX BV à mettre en œuvre la modification d’un traitement de données ayant pour finalité une étude portant sur la prise en charge des patients atteints de myasthénie gravis en France, nécessitant un accès aux données du SNIIRAM et du PMSI, composantes du Système national des données de santé (SNDS), pour les années 2010 à 2020, intitulée « MINOS ». (Demande d’autorisation n° 921372v1)

La CNIL autorise la société ARGENX BV à modifier son traitement de données pour l'étude "MINOS" sur la myasthénie gravis. L'autorisation porte spécifiquement sur l'allongement de la durée d'accès aux données du SNDS (SNIIRAM/PMSI) de douze mois supplémentaires. Les autres conditions de l'étude restent inchangées, suite à un avis favorable du comité éthique et scientifique.

DR-2025-207

DécisionAutorisation de rechercheEn vigueur18 septembre 2025

Décision DR-2025-208 du 18 septembre 2025 autorisant l’ASSOCIATION FRANCAISE POUR LA RECHERCHE THERMALE à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur l'évolution de la qualité de vie spécifique à la rhinosinusite chronique après six mois de suivi entre des patients qui bénéficieront d'une cure thermale de trois semaines et un groupe contrôle de patients qui bénéficieront de soins courants en médecine de ville, nécessitant un accès aux données du SNIIRAM et du PMSI, composantes du Système national des données de santé (SNDS), pour les années 2020 à 2026, intitulée « SINUSITHERM ». (Demande d’autorisation n° 925115)

La CNIL autorise l'Association Française pour la Recherche Thermale à mettre en œuvre un traitement de données pour l'étude "SINUSITHERM". Cette autorisation concerne l'accès aux données du SNIIRAM et du PMSI (SNDS) de 2020 à 2026 pour comparer l'impact d'une cure thermale sur la rhinosinusite chronique. La décision impose des conditions strictes, notamment l'utilisation d'un circuit d'appariement sécurisé via un tiers de confiance, la séparation des données identifiantes et une durée de conservation limitée.

DR-2025-208

DélibérationSanctionEn vigueur18 septembre 2025

Délibération de la formation restreinte n°SAN-2025-008 du 18 septembre 2025 prononçant une sanction pécuniaire à l'encontre de la société SAMARITAINE SAS

La CNIL a prononcé une sanction pécuniaire à l'encontre de la société SAMARITAINE SAS. L'organisme a été sanctionné pour avoir installé un système de vidéosurveillance dissimulé dans des détecteurs de fumée afin de surveiller ses salariés dans les réserves du magasin. Cette pratique a été jugée constitutive de plusieurs manquements au RGPD, notamment concernant la licéité, la minimisation et la transparence des traitements.

SAN-2025-008

DécisionAutorisation de rechercheEn vigueur11 septembre 2025

Décision DR-2025-205 du 11 septembre 2025 autorisant CENTRE HOSPITALIER UNIVERSITAIRE DE CLERMONT-FERRAND à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur la comparaison de deux stratégies anesthésiques dans la prise en charge des thrombectomies pour accident vasculaire cérébral ischémique de la circulation antérieure. (Demande d’autorisation n° 925168)

Le Centre Hospitalier Universitaire de Clermont-Ferrand a reçu une autorisation de la CNIL pour un traitement de données à des fins de recherche. Cette autorisation concerne une étude comparant deux stratégies anesthésiques dans la prise en charge des thrombectomies pour AVC ischémique. Le traitement est autorisé sous réserve de conditions spécifiques, notamment concernant l'accès séparé aux données directement identifiantes et une procédure adaptée d'information des personnes. Aucune sanction n'est mentionnée, l'acte constituant une autorisation encadrée.

DR-2025-205

DécisionAutorisation de rechercheEn vigueur11 septembre 2025

Décision DR-2025-204 du 11 septembre 2025 autorisant le CENTRE REGIONAL DE COORDINATION DES DEPISTAGES DES CANCERS EN OCCITANIE à mettre en œuvre la modification d’un traitement de données ayant pour finalité une étude portant sur l’apport de l’utilisation d’une intelligence artificielle dans le programme de dépistage organisé du cancer du sein français, nécessitant un accès aux données du SNIIRAM, du PMSI et du CépiDC, composantes du Système national des données de santé, pour les années 2006 à 2025, intitulé « DEEP-PISTE ». (Demande d’autorisation n° 920266v2)

La CNIL autorise le Centre Régional de Coordination des Dépistages des Cancers en Occitanie à modifier son traitement de données pour l'étude « DEEP-PISTE », qui vise à évaluer l'apport de l'intelligence artificielle dans le dépistage organisé du cancer du sein. L'autorisation porte principalement sur l'extension de l'accès aux données de santé (SNIIRAM, PMSI, CépiDC) pour la période 2006-2025 et aux données de dépistage du Gard et de la Lozère (2004-2023). La décision est subordonnée au respect strict du référentiel de sécurité du Système National des Données de Santé (SNDS) pour la durée de l'étude.

DR-2025-204

DélibérationEn vigueur11 septembre 2025

Délibération de la formation restreinte n°SAN-2025-007 du 11 septembre 2025 relative à l’injonction prononcée à l’encontre de la société ORANGE SA par la délibération n°SAN-2024-019 du 14 novembre 2024

La formation restreinte de la CNIL a examiné la mise en conformité de la société ORANGE SA suite à une injonction précédente concernant le retrait effectif du consentement aux cookies. La CNIL constate qu'ORANGE a mis en œuvre des mesures techniques pour supprimer ses propres cookies et bloquer les requêtes vers des domaines tiers sur son site orange.fr après un retrait de consentement. Concernant les cookies tiers déjà déposés, la CNIL estime que leur suppression excède la responsabilité technique d'ORANGE, qui incombe plutôt à ses partenaires, et considère donc que l'opérateur a satisfait à l'injonction. En conséquence, l'astreinte de 100 000 euros par jour de retard n'est pas déclenchée.

SAN-2025-007

DélibérationEn vigueur11 septembre 2025

Délibération n° 2025-081 du 11 septembre 2025 portant avis sur un projet d'arrêté portant création d'un traitement de données à caractère personnel dénommé « Mobilic »

La CNIL émet un avis sur le projet d'arrêté du ministère de l'aménagement, du territoire et de la décentralisation créant le traitement « Mobilic » pour l'enregistrement certifié du temps de travail des personnels roulants non soumis au tachygraphe. Elle invite le ministère à préciser les multiples finalités du traitement (lutte contre le travail dissimulé, contrôle des temps de conduite, etc.) et à ne pas utiliser FranceConnect dans un contexte professionnel, lui préférant une solution comme ProConnect. La CNIL recommande également de veiller à la conformité des interfaces tierces et à l'adoption par les employeurs d'une politique d'usage alignée sur l'authentification multifacteur, incluant la fourniture de terminaux professionnels si nécessaire.

2025-081

DécisionAutre autorisationEn vigueur11 septembre 2025

Décision DT-2025-013 du 11 septembre 2025 autorisant la société ARROW GENERIQUES à mettre en œuvre un traitement de données ayant pour finalité la gestion d’un cadre de prescription compassionnelle concernant la spécialité BEFIZAL LP 400mg, comprimé enrobé à libération prolongée. (Demande d’autorisation n°2240349).

La CNIL autorise la société ARROW GENERIQUES à mettre en œuvre un traitement de données pour la gestion d'un cadre de prescription compassionnelle du médicament BEFIZAL LP 400mg. Ce traitement, présentant un caractère d'intérêt public, est globalement conforme au référentiel applicable, bien que sa finalité spécifique (prescription compassionnelle) diffère légèrement du cadre de référence initial (accès compassionnel). L'autorisation est soumise à la condition que les patients et professionnels de santé concernés reçoivent une information complète sur leurs droits.

DT-2025-013

DécisionAutorisation de rechercheEn vigueur10 septembre 2025

Décision DR-2025-201 du 10 septembre 2025 autorisant l’ASSISTANCE PUBLIQUE - HOPITAUX DE PARIS à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur l’identification de biomarqueurs et de voies biologiques dysrégulées dans le sang et l'urine de patients atteints du syndrome d'hypoventilation centrale congénitale, intitulée « CCHS - Biomarkers ». (Demande d’autorisation n° 925132)

La CNIL autorise l'ASSISTANCE PUBLIQUE - HÔPITAUX DE PARIS (AP-HP) à mettre en œuvre un traitement de données pour une étude de recherche biomédicale sur le syndrome d'hypoventilation centrale congénitale (CCHS). L'autorisation est accordée malgré un écart à la méthodologie de référence (MR-001) concernant le traitement d'enregistrements vidéo identifiants des participants. Des garanties strictes sont imposées, notamment la séparation des vidéos des données de santé, leur destruction sous 24 heures après analyse, et des durées de conservation définies pour les autres données (5 ans en base active, 15 ans en archivage).

DR-2025-201

DécisionAutorisation de rechercheEn vigueur10 septembre 2025

Décision DR-2025-202 du 10 septembre 2025 autorisant le CENTRE EUROPEEN POUR LES INITIATIVES DE RECHERCHE EN MEDECINE CARDIOVASCULAIRE (CERIC) à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur le stenting provisionnel par étape par rapport à la thérapie par ballonnet enrobé de médicaments pour le traitement des vraies lésions de bifurcations coronaires hors lésion du tronc commun coronaire gauche, intitulée « EBC DCB ». (Demande d’autorisation n° 925137)

La CNIL autorise le Centre Européen pour les Initiatives de Recherche en Médecine Cardiovasculaire (CERIC) à mettre en œuvre un traitement de données pour l'étude clinique "EBC DCB". L'autorisation est accordée malgré un point de non-conformité concernant les destinataires des données directement identifiantes, qui fait l'objet d'un examen spécifique. Le traitement doit respecter un cadre de sécurité strict, incluant notamment une plateforme sécurisée pour le contrôle qualité à distance et des durées de conservation limitées pour les données d'identification.

DR-2025-202