Inscription
7 jours d’essai gratuit.
Inscription en moins d’une minute. Pas de carte de crédit requise.
CNIL, Délibération du 12 juin 2025, n° 2025-045
CNIL 12 juin 2025

Arguments

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Signaler une erreur.
  • Accepté
    Conformité aux dispositions du RGPD

    La Commission a constaté que le traitement proposé par la société PFIZER est conforme aux dispositions du RGPD, notamment en ce qui concerne la finalité légitime et l'intérêt public des études envisagées.

  • Accepté
    Respect des conditions de traitement des données de santé

    La Commission a jugé que le traitement des données de santé est nécessaire et conforme aux exigences légales, permettant ainsi la mise en œuvre de l'entrepôt de données.

Résumé par Doctrine IA

La Commission nationale de l'informatique et des libertés (CNIL) a été saisie par la société PFIZER pour obtenir l'autorisation de créer un entrepôt de données de santé, le « Pfizer France DataHub », destiné à des études épidémiologiques et médico-économiques. Les questions juridiques portaient sur la conformité du traitement avec le RGPD et la loi « informatique et libertés », notamment concernant la finalité, la nature des données, et les modalités de sécurité. La CNIL a conclu que le traitement est licite, respecte les finalités légitimes, et a autorisé PFIZER à mettre en œuvre ce traitement pour une durée de 15 ans, sous réserve de respecter certaines conditions et de fournir des rapports réguliers sur son fonctionnement.

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Résumé de la juridiction

Délibération n° 2025-045 du 12 juin 2025 autorisant la société PFIZER à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la constitution d’un entrepôt de données de santé, dénommé « Pfizer France DataHub » (Demande d’autorisation n° 2237704)

Commentaire0

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées. 

Sur la décision

Référence :
CNIL, délib. n° 2025-045, 12 juin 2025
Numéro : 2025-045
Nature de la délibération : Autre autorisation
État : VIGUEUR
Identifiant Légifrance : CNILTEXT000051729262

Texte intégral

La Commission nationale de l’informatique et des libertés,

Saisie le 20 février 2025 par la société PFIZER d’une demande d’autorisation concernant un traitement automatisé de données à caractère personnel ayant pour finalité la constitution d’un entrepôt de données de santé dénommé « Pfizer France DataHub » ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 66 et suivants ;

Vu le dossier et ses compléments ;

Sur la proposition de Mme Marie Zins, commissaire, et après avoir entendu les observations de M. Damien Milic, commissaire du Gouvernement,

Formule les observations suivantes :

Sur le responsable de traitement

La société PFIZER est une entreprise biopharmaceutique états-unienne qui développe et produit des médicaments et des vaccins (immunologie, oncologie, cardiologie, endocrinologie, neurologie).

Sur le responsable de la mise en œuvre

La société Clinityx est chargée de la mise en œuvre technique de l’entrepôt et de la gestion des données après leur collecte.

Elle intervient en qualité de sous-traitant de la société PFIZER.

Sur la finalité du traitement

Le traitement envisagé a pour finalité la constitution d’un entrepôt de données à caractère personnel comprenant notamment des données de santé, dénommé « Pfizer France DataHub ».

Ce dernier a pour finalité la réalisation d’études n’impliquant pas la personne humaine justifiées par l’intérêt public.

Il s’agit plus particulièrement :

  • d’études épidémiologiques observationnelles ;
  • d’étude de sécurité et d’efficacité du médicament ;
  • d’évaluation des stratégies thérapeutiques et des traitements ;
  • d’études médico-économiques ;
  • d’études des parcours de soins ;
  • d’étude de la qualité de vie des patients ;
  • d’étude sur l’impact socio-professionnel ;
  • de développement ou validation de méthodes, solutions ou algorithmes d’intelligence artificielle en santé.

La finalité du traitement est déterminée, explicite et légitime, conformément aux dispositions de l’article 5-1-b) du RGPD.

Les données contenues dans cet entrepôt ne sauraient, conformément aux dispositions de l’article L. 1461-1 du code de la santé publique (CSP), être exploitées à des fins de promotion des produits de santé en direction des professionnels de santé ou d’établissements de santé, ou à des fins d’exclusion de garanties des contrats d’assurance et de modification de cotisations ou primes d’assurance d’un individu ou d’un groupe d’individus présentant un même risque. De même, la CNIL rappelle l’interdiction de constituer et d’utiliser à des fins de prospection ou de promotion commerciales des fichiers composés à partir des données issues directement ou indirectement des prescriptions médicales, dès lors que ces fichiers permettent d’identifier directement ou indirectement le prescripteur (article L. 4113-7 du CSP).

Le traitement mis en œuvre par le responsable de traitement est nécessaire aux fins des intérêts légitimes qu’il poursuit. Ce traitement est licite au regard de l’article 6-1-f) du RGPD et remplit des conditions permettant le traitement des données concernant la santé au regard des dispositions de l’articles 9-2-j) du RGPD et 44-3° de la loi « informatique et libertés » modifiée.

Les utilisations futures des données contenues dans cet entrepôt s’inscriront dans le cadre des dispositions des articles 66 et 72 et suivants de la loi « informatique et libertés », qui imposent que chaque projet de recherche, étude ou évaluation soit justifié par l’intérêt public. Ces traitements devront faire l’objet de formalités propres.

Sur les points de non-conformité au référentiel concerné

Le dossier de demande mentionne que le traitement envisagé est conforme aux dispositions du référentiel « entrepôt de données dans le domaine de la santé », à l’exception :

  • de la base légale du traitement ;
  • de la nature des données traitées (appariement des données cliniques avec les données du SNDS).

En dehors de ces points, qui font l’objet d’un examen spécifique dans la présente autorisation, ce traitement devra respecter le cadre prévu par ce référentiel.

Sur les données traitées et les modalités d’appariement

L’entrepôt sera alimenté par des données à caractère personnel issues :

  • de l’étude « LOREA » dont le responsable de traitement est PFIZER (déclaration de conformité MR-003) ;
  • de l’étude « AMBRELA » dont le responsable de traitement est PFIZER (déclaration de conformité MR- 003) ;
  • du SNDS, pour les personnes incluses dans les études « LOREA » et « AMBRELA ».

Les données des études « LOREA » et « AMBRELA » seront appariées avec certaines données du SNDS provenant :

  • du Système national d’information inter-régimes de l’Assurance maladie (SNIIRAM) ;
  • du Programme de médicalisation des systèmes d’information (PMSI) ;
  • du Centre d’épidémiologie sur les causes médicales de décès (CépiDC).

Les données du SNDS des années 2019 à 2036 alimenteront l’entrepôt « Pfizer France DataHub » sous réserve qu’elles soient diffusables par la Caisse nationale de l’assurance maladie (CNAM).

Sur l’appariement des données des études « LOREA » et AMBRELA et des données du SNDS dans le cadre de l’entrepôt « Pfizer France DataHub » :

L’appariement sera réalisé de manière probabiliste à l’aide de variables communes (sexe, mois et année de naissance, FINESS de l’établissement prenant en charge les patients, commune de résidence, dates d’hospitalisation, date de décès).

Seules les variables communes d’appariement seront transmises à la CNAM en vue de l’extraction des données du SNDS.

Les données traitées à des fins d’appariement avec le SNDS sont conservées de manière cloisonnée des données pseudonymisées de santé.

Les données traitées étant issues du SNDS, l’ensemble des dispositions législatives et réglementaires relatives au SNDS est applicable en l’espèce (articles L. 1461-1 à L. 1461-7 du code de la santé publique), notamment le référentiel de sécurité « SNDS ».

Seule la société Clinityx accèdera aux données du SNDS, dans le respect des missions qui lui sont confiées.

Aucune donnée relative aux professionnels de santé ne sera collectée.

Ces données sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités du traitement, conformément aux dispositions de l’article 5-1-c) du RGPD.

Sur la durée de conservation des données

Les données seront conservées au sein du « Pfizer France DataHub » pour une durée de quinze ans.

Cette durée de conservation des données n’excède celle nécessaire au regard des finalités pour lesquelles elles sont collectées et traitées, conformément aux dispositions de l’article 5.1.e) du RGPD.

Sur l’information et le droit d’accès

Une note d’information individuelle, comportant l’ensemble des mentions prévues par le RGPD, a été remise aux patients et le cas échéant, à leurs représentants légaux, au moment de leur participation aux études « source », intitulées « LOREA » et « AMBRELA ».

Les patients ont été informés du versement de leurs données au sein de l’entrepôt « Pfizer France DataHub » et de l’appariement avec le SNDS.

La société PFIZER mettra en place sur son site web, une page d’information à laquelle les patients pourront se référer pour recevoir d’éventuels compléments d’informations qui devront comporter l’ensemble des mentions prévues par le RGPD.

Ces modalités d’information sont conformes au principe de transparence et aux exigences d’information prévues par les articles 12 et suivants du RGPD.

Les droits des personnes s’exerceront auprès du délégué à la protection des données de PFIZER.

L’information relative à la constitution de l’entrepôt ne peut se substituer à l’information individuelle prévue par le RGPD et la loi « informatique et libertés » pour la mise en œuvre de recherches, études et évaluations ultérieures.

Sur la transparence du traitement

L’article L. 1461-3 du CSP subordonne l’accès aux données du SNDS et de ses composantes à la communication à la Plateforme des données de santé (PDS) de plusieurs éléments par les responsables de traitement, avant et après la réalisation des études.

Les projets de recherche, d’étude ou d’évaluation réalisés à partir des données de l’entrepôt « Pfizer France DataHub » devront être enregistrés au sein du répertoire public de la PDS.

La CNIL prend par ailleurs acte de l’engagement de la société PFIZER d’inscrire l’entrepôt au sein du répertoire public de la PDS.

Elle demande enfin que lui soit communiqué tous les trois ans un rapport sur le fonctionnement de l’entrepôt et sur les recherches réalisées à partir des données qu’il contient.

Sur les mesures de sécurité

Le responsable de traitement a réalisé et transmis à l’appui de la présente demande d’autorisation une analyse d’impact relative à la protection des données spécifique à l’entrepôt « Pfizer France DataHub », ainsi qu’une analyse de risque sur la sécurité des systèmes d’information.

Une homologation de la bulle sécurisée du prestataire en charge de l’hébergement des données a été réalisée par l’autorité d’homologation le 7 janvier 2025, conformément au référentiel de sécurité applicable au SNDS prévu par l’arrêté du 6 mai 2024. Cette décision d’homologation n’est valable que jusqu’au 31 décembre 2025 et devra donc être renouvelée avant cette date, si le traitement devait se poursuivre au-delà de cette échéance.

Les mesures de sécurité planifiées ou mises en place dans l’entrepôt « Pfizer France DataHub » ont été comparées avec les exigences de sécurité mentionnées dans le référentiel « entrepôts de données de santé » par le responsable de traitement. Aucun écart avec les exigences de sécurité de ce référentiel n’a été relevé.

Les mesures de sécurité décrites répondent aux exigences prévues par les articles 5.1.f) et 32 du RGPD, compte tenu des risques identifiés par le responsable de traitement. Il appartiendra à ce dernier de procéder à une réévaluation régulière des risques pour les personnes concernées et une mise à jour, le cas échéant, de ces mesures de sécurité.


Autorise, conformément à la présente délibération, la société PFIZER à mettre en œuvre le traitement susmentionné pendant 15 ans.

La présidente,

M.-L. Denis

Décisions similaires

Citées dans les mêmes commentaires3

  • Informatique ·
  • Liberté ·
  • Santé ·
  • Information ·
  • Personne concernée ·
  • Traitement de données ·
  • Méthodologie ·
  • Commission nationale ·
  • Recherche ·
  • Accès
  • Cnil ·
  • Intelligence artificielle ·
  • Recommandation ·
  • Protection des données ·
  • Informatique ·
  • Commission nationale ·
  • Système ·
  • Fiche ·
  • Intérêt légitime ·
  • Protection
  • Entrepôt ·
  • Données ·
  • Traitement ·
  • Information ·
  • Santé ·
  • Exportation ·
  • Finalité ·
  • Responsable ·
  • Constitution ·
  • Personne concernée

Citant les mêmes articles de loi3

  • Commission nationale ·
  • Informatique ·
  • Traitement de données ·
  • Parlement européen ·
  • Liberté ·
  • Habilitation ·
  • Directive (ue) ·
  • Personnes physiques ·
  • Règlement (ue) ·
  • Cnil
  • Juriste ·
  • Intelligence artificielle ·
  • Service ·
  • Sanction ·
  • Plainte ·
  • Contrôle ·
  • Innovation ·
  • Technologie ·
  • Contentieux ·
  • Système d'information
  • Traitement de données ·
  • Cnil ·
  • Accès aux données ·
  • Finalité ·
  • Responsable ·
  • Données de santé ·
  • Anonymisation ·
  • Cadre ·
  • Informatique et libertés ·
  • Santé

De référence sur les mêmes thèmes3

  • Traitement de données ·
  • Informatique ·
  • Commission nationale ·
  • Liberté ·
  • Fichier ·
  • Modification ·
  • Accès aux données ·
  • Santé ·
  • Règlement (ue) ·
  • Comités
  • Traitement de données ·
  • Sécurité des données ·
  • Informatique ·
  • Homologation ·
  • Système d'information ·
  • Commission nationale ·
  • Liberté ·
  • Fichier ·
  • Modification ·
  • Version
  • Données de santé ·
  • Base de données ·
  • Traitement de données ·
  • Personne concernée ·
  • Information ·
  • Responsable ·
  • Informatique ·
  • Cnil ·
  • Liberté ·
  • Finalité

Sur les mêmes thèmes3

  • Traitement ·
  • Données ·
  • Plateforme ·
  • Cliniques ·
  • Consentement ·
  • Mot de passe ·
  • Recherche ·
  • Informatique ·
  • Responsable ·
  • Sécurité
  • Informatique et libertés ·
  • Traitement de données ·
  • Fichier ·
  • Archivage ·
  • Méthodologie ·
  • Commission nationale ·
  • Autorité parentale ·
  • Sexe ·
  • Données de santé ·
  • Information
  • Méthodologie ·
  • Informatique ·
  • Personne concernée ·
  • Traitement de données ·
  • Archivage ·
  • Commission nationale ·
  • Information ·
  • Liberté ·
  • Santé ·
  • Fichier

Textes cités dans la décision

  1. RGPD - Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données
  2. Directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données
  3. Loi n° 78-17 du 6 janvier 1978
  4. Code de la santé publique
Extraits similaires à la sélection

Aucune décision de référence ou d'espèce avec un extrait similaire.

Inscrivez-vous gratuitement pour imprimer votre décision
CNIL, Délibération du 12 juin 2025, n° 2025-045
  1. Doctrine
  2. Décisions de justice
  3. 2025
  4. CNIL, délib. n° 2025-045, 12 juin 2025
Contactez notre service commercial au 01 84 80 33 48