Inscription
7 jours d’essai gratuit.
Inscription en moins d’une minute. Pas de carte de crédit requise.
CNIL, Décision du 24 septembre 2025, n° DT-2025-014
CNIL 24 septembre 2025

Arguments

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Signaler une erreur.
  • Accepté
    Conformité aux dispositions légales

    La Commission a jugé que le traitement présente un caractère d'intérêt public et respecte les conditions prévues par la loi, justifiant ainsi l'autorisation demandée.

  • Accepté
    Mise en place de mesures de sécurité

    La Commission a constaté que les mesures de sécurité décrites répondent aux exigences prévues par le RGPD, garantissant ainsi la protection des données personnelles.

Résumé de la juridiction

Décision DT-2025-014 du 24 septembre 2025 autorisant la SOCIETE CLINITYX BY GERS DATA à mettre en œuvre la modification d’un traitement automatisé de données ayant pour finalité la constitution d’un entrepôt de données de santé, dénommé « SOG HEALTH ». (Demande d’autorisation n° 2238992).

Commentaire0

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées. 

Sur la décision

Référence :
CNIL, déc. n° DT-2025-014, 24 sept. 2025
Numéro : DT-2025-014
Nature de la délibération : Autre autorisation
État : VIGUEUR
Identifiant Légifrance : CNILTEXT000052350873

Texte intégral

La Commission nationale de l’informatique et des libertés,

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu le décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu la décision du 2 juin 2025 portant délégation de signature du secrétaire général de la Commission nationale de l’informatique et des libertés ;

Saisie d’une demande de modification de l’autorisation portant sur un traitement automatisé de données à caractère personnel ayant pour finalité la constitution d’un entrepôt de données de santé, dénommé « SOG HEALTH » ;

Considérant que ce traitement, dont la finalité présente un caractère d’intérêt public, relève des dispositions de la section 3 du chapitre III du titre II de la loi du 6 janvier 1978 modifiée ;

Considérant que le traitement présente les caractéristiques et répond aux conditions suivantes :

Observation liminaire

La CNIL a été saisie d’une demande de modification de la décision DT-2024-019 autorisant la mise en œuvre d’un entrepôt intitulé « SOG-HEALTH ». En dehors des modifications mentionnées dans la présente décision, les conditions de mise en œuvre du traitement restent inchangées.

Sur les points de non-conformité au référentiel concerné

En dehors des points de non-conformité ayant fait l’objet d’un examen spécifique dans la décision DT-2024-019 et la présente décision, ce traitement devra respecter le cadre prévu par le référentiel "entrepôt de données dans le domaine de la santé".

Sur le responsable de traitement

La responsabilité du traitement mis en œuvre dans le cadre de l’entrepôt de données de santé « SOG HEALTH » reposera désormais sur la société CLINITYX BY GERS (CLINITYX).

Sur le régime juridique applicable

La constitution de cet entrepôt implique notamment un traitement des données visées au 6° du I de l’article L. 1461-1 du code de la santé publique (CSP), à savoir des données recueillies à l’occasion d’activités de prévention, de diagnostic, de soins donnant lieu à une prise en charge des frais par la sécurité sociale. Ces données seront réutilisées et mises à disposition pour l’une des finalités visées au III de l’article L. 1461-1 du CSP, notamment à des fins de recherches, d’études ou d’évaluations dans le domaine de la santé.

Par conséquent, les dispositions des articles L. 1461-1 et suivants du CSP sont applicables en l’espèce dont :

  • le référentiel de sécurité visé au 3° du IV de cet article ;
  • l’interdiction de poursuite des finalités visées à l’article V de cet article, et plus particulièrement la promotion des produits de santé en direction des professionnels de santé ou d’établissements de santé, ou à des fins d’exclusion de garanties des contrats d’assurance et de modification de cotisations ou primes d’assurance d’un individu ou d’un groupe d’individus présentant un même risque (finalités interdites d’utilisation du Système national des données de santé – SNDS).

Sur les données traitées

Les données gelées au sein de l’entrepôt dans les conditions prévues par la décision DT-2024-019 devront être supprimées.

Sur les modalités d’information et d’exercice des droits

La société CLINITYX, en sa qualité de responsable de traitement de l’entrepôt, doit assurer l’information des personnes dont les données sont traitées, conformément au RGPD et à l’article 69 de la loi « informatique et libertés ».

Tous les documents d’information (individuelle ou collective) devront :

  • comporter l’ensemble des mentions prévues par le RGPD ;
  • préciser la profondeur historique des données traitées afin d’assurer la transparence du traitement vis-à-vis des personnes concernées.

Les notes d’information relatives aux recherches réalisées à partir des données de l’entrepôt seront désormais publiées sur le portail de transparence de le société CLINITYX.

La société CLINITYX s’engage :

  • à effectuer une redirection automatique depuis le portail de transparence de la société GERS SAS vers le portail de transparence de la société CLINITYX sur lequel figureront désormais les informations relatives aux recherches réalisées à partir des données de l’entrepôt ;
  • à ce que l’ensemble des informations concernant les réutilisations de données versées dans l’entrepôt « SOG HEALTH » demeurent disponibles sur le portail de transparence de la société GERS SAS, qui restera actif. Une mise à jour des informations disponibles sur ce dispositif sera régulièrement réalisée par la société GERS SAS.

Conformément aux dispositions de l’article 12 du RGPD, l’information des personnes concernées ainsi que les modalités d’exercice de leurs droits devront être conformes au principe de transparence prévu au chapitre III du RGPD. Les coordonnées du délégué à la protection des données auprès duquel les personnes concernées pourront dorénavant exercer leurs droits devra figurer clairement sur les différents supports d’information.

Les notes d’informations relatives à la constitution de l’entrepôt et à son fonctionnement devront être mises à jour afin de mentionner les modifications apportées au traitement.

Elles seront transmises aux clients des officines partenaires dans les conditions prévues par la décision DT-2024-019.

Sur la sécurité des données et la traçabilité des actions

Le dossier de demande mentionne que certaines des mesures nécessaires à la pleine couverture des risques de sécurité identifiées par la décision DT-2024-019 ont été déployées et améliorées dans le cadre d’un plan d’actions formalisé. Les mesures de sécurité décrites dans le dossier sont de nature à répondre aux exigences prévues par les articles 5,1, f) et 32 du RGPD compte tenu des risques identifiés par le responsable de traitement. Le responsable de traitement doit procéder à une réévaluation régulière des risques pour les personnes concernées et une mise à jour, le cas échéant, de ces mesures de sécurité.

Sur la gouvernance de l’entrepôt

Le responsable de traitement a mis en place un dispositif de gouvernance de l’entrepôt afin de maîtriser l’exploitation qui en est faite dans le respect des finalités déclarées et de l’intérêt public.

En complément, eu égard à la nature des données traitées ainsi qu’aux finalités des traitements poursuivis ou envisagés par la société et ses partenaires, une gouvernance globale d’entreprise devra être mise en œuvre par la société CLINITYX comportant en particulier :

  • une politique interne dédiée ;
  • une gouvernance interne avec l’organisation et la documentation adéquates ;
  • la formation et la sensibilisation de tous les acteurs ;
  • une séparation des tâches en lien avec le traitement des données de santé, appuyée sur des critères d’exclusion a priori de certains personnels, services ou fonctions pour l’accès à un espace projet ou au rapport détaillé d’une étude ;
  • la tenue d’une liste des personnes ayant un lien à caractère promotionnel avec des acteurs de santé ou un conflit d’intérêt par rapport à une étude ;
  • une gestion des risques de violation liés au détournement de finalité, notamment sous l’angle de la minimisation/granularité des données et des risques de réidentification ;
  • une surveillance des incidents et gestion des violations avec détournement de finalité ;
  • des contrôles réguliers, comité annuel et mesures d’amélioration.

Observations complémentaires

Dans l’hypothèse où la société CLINITYX souhaiterait soumettre une demande de modification ou de renouvellement, le dossier de demande devra comporter un bilan comprenant notamment :

  • la démonstration de la mise en œuvre effective d’une politique d’entreprise liée à la prévention des finalités interdites ;
  • les modalités d’information déployées afin d’informer individuellement et collectivement des personnes concernées par ce traitement ;
  • les modalités d’exercice des droits déployées ;
  • la liste des projets réalisés ou en cours de réalisation ainsi que l’adéquation des objectifs de chaque étude aux finalités de l’entrepôt ;
  • une synthèse des demandes de mise à disposition des données ;
  • des indicateurs sur les modalités de fonctionnement de l’entrepôt ;
  • la liste exhaustive des habilitations associées à l’entrepôt pour le personnel de la société CLINITYX ;
  • les modalités de réalisation du plan d’actions et la résolution d’incidents éventuels.

AUTORISE, conformément à la présente délibération, la société CLINITYX BY GERS DATA à mettre en œuvre le traitement décrit ci-dessus pour une durée de trois ans à compter de la présente autorisation.

Le Directeur de l’accompagnement juridique

Thomas DAUTIEU

Décisions similaires

Citées dans les mêmes commentaires3

  • Cnil ·
  • Traitement de données ·
  • Finalité ·
  • Données de santé ·
  • Fraudes ·
  • Secret professionnel ·
  • Données sensibles ·
  • Garantie ·
  • Secret ·
  • Gouvernement
  • Cnil ·
  • Transfert de données ·
  • Protection ·
  • Informatique ·
  • Clause contractuelle ·
  • Traitement de données ·
  • Union européenne ·
  • Australie ·
  • Archivage ·
  • Méthodologie
  • Informatique ·
  • Données de santé ·
  • Enregistrement ·
  • Information ·
  • Traitement de données ·
  • Recherche ·
  • Liberté ·
  • Archivage ·
  • Méthodologie ·
  • Commission nationale

Citant les mêmes articles de loi3

  • Informatique ·
  • Traitement de données ·
  • Liberté ·
  • Archivage ·
  • Méthodologie ·
  • Commission nationale ·
  • Autorité parentale ·
  • Information ·
  • Fichier ·
  • Durée de conservation
  • Données de santé ·
  • Méthodologie ·
  • Informatique ·
  • Traitement de données ·
  • Archivage ·
  • Commission nationale ·
  • Liberté ·
  • Fichier ·
  • Durée de conservation ·
  • Accès aux données
  • Méthodologie ·
  • Informatique ·
  • Traitement de données ·
  • Archivage ·
  • Commission nationale ·
  • Information ·
  • Liberté ·
  • Personne concernée ·
  • Fichier ·
  • Utilisation des données

De référence sur les mêmes thèmes3

  • Cnil ·
  • Traitement ·
  • Recherche scientifique ·
  • Données ·
  • Expérimentation ·
  • Archives ·
  • Finalité ·
  • Responsable ·
  • Journal ·
  • Information
  • Cnil ·
  • Accès ·
  • Secret ·
  • Fraudes ·
  • Acte réglementaire ·
  • Protection des données ·
  • Assurance vie ·
  • Prestation ·
  • Saisine ·
  • Assurances
  • Certification ·
  • Cnil ·
  • Formation ·
  • Traitement ·
  • Fraudes ·
  • Finalité ·
  • Protection des données ·
  • Ministère ·
  • Collecte ·
  • Protection

Sur les mêmes thèmes3

  • Entrepôt ·
  • Finalité ·
  • Données de santé ·
  • Informatique et libertés ·
  • Personne concernée ·
  • Traitement de données ·
  • Consultation ·
  • Gouvernance ·
  • Historique ·
  • Information
  • Juriste ·
  • Intelligence artificielle ·
  • Service ·
  • Sanction ·
  • Plainte ·
  • Contrôle ·
  • Innovation ·
  • Technologie ·
  • Contentieux ·
  • Ingénieur
  • Code de conduite ·
  • Agrément ·
  • Commission ·
  • Délibération ·
  • Europe ·
  • Protection des données ·
  • Traitement de données ·
  • Règlement (ue) ·
  • Transfert ·
  • Protection

Textes cités dans la décision

  1. RGPD - Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données
  2. Loi n° 78-17 du 6 janvier 1978
  3. Décret n°2019-536 du 29 mai 2019
  4. Code de la santé publique
Extraits similaires à la sélection

Aucune décision de référence ou d'espèce avec un extrait similaire.

Inscrivez-vous gratuitement pour imprimer votre décision
CNIL, Décision du 24 septembre 2025, n° DT-2025-014
  1. Doctrine
  2. Décisions de justice
  3. 2025
  4. CNIL, déc. n° DT-2025-014, 24 sept. 2025
Contactez notre service commercial au 01 84 80 33 48