Inscription
7 jours d’essai gratuit.
Inscription en moins d’une minute. Pas de carte de crédit requise.
CNIL, Délibération du 11 décembre 2025, n° 2025-120
CNIL 11 décembre 2025

Arguments

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Signaler une erreur.
  • Accepté
    Conformité avec le règlement général sur la protection des données

    La Commission a estimé que les traitements proposés répondent aux finalités légitimes de recherche et d'évaluation, et respectent les conditions de licéité prévues par le RGPD.

  • Accepté
    Intérêt public des traitements

    La Commission a reconnu que les traitements ont une finalité d'intérêt public, conforme aux exigences du RGPD et de la loi 'informatique et libertés'.

Résumé par Doctrine IA

La Commission nationale de l'informatique et des libertés (CNIL) a été saisie par la société IQVIA Operations France pour renouveler son autorisation de traitements automatisés de données à des fins de recherche, d'étude et d'évaluation, en lien avec le programme de médicalisation des systèmes d'information (PMSI). Les questions juridiques portaient sur la licéité des traitements, leur finalité d'intérêt public, et les conditions de traitement des données de santé. La CNIL a répondu favorablement, autorisant IQVIA à poursuivre ces traitements pour une durée de trois ans, tout en imposant des obligations de transparence et de sécurité des données, ainsi qu'un bilan à fournir à l'issue de cette période.

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Résumé de la juridiction

Délibération n°2025-120 du 11 décembre 2025 portant décision unique et autorisant la société IQVIA Operations France à mettre en œuvre des traitements automatisés à des fins de recherche, d’étude et d’évaluation nécessitant un accès aux données nationales du programme de médicalisation des systèmes d’information (PMSI) (Saisine n° 918351v2)

Commentaire0

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées. 

Sur la décision

Référence :
CNIL, délib. n° 2025-120, 11 déc. 2025
Numéro : 2025-120
Nature de la délibération : Autre autorisation
État : VIGUEUR
Identifiant Légifrance : CNILTEXT000053099636

Texte intégral

La Commission nationale de l’informatique et des libertés,

Saisie par la société IQVIA Operations France d’une demande de modification de l’autorisation concernant des traitements automatisés à des fins de recherche, d’étude et d’évaluation nécessitant un accès aux données nationales du programme de médicalisation des systèmes d’information ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 66, 72 et suivants ;

Vu l’avis favorable avec recommandations du Comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé du 17 juillet 2025 ;

Vu la délibération n°2022-098 du 15 septembre 2022 portant décision unique et autorisant la société IQVIA Operations France à mettre en œuvre des traitements automatisés à des fins de recherche, d’étude et d’évaluation nécessitant un accès aux données nationales du programme de médicalisation des systèmes d’information (PMSI)

Vu le dossier et ses compléments ;

Sur la proposition de Madame Marie ZINS, commissaire, et après avoir entendu les observations de M. Damien MILIC, commissaire du Gouvernement,

Formule les observations suivantes :

Responsable du traitement

En tant qu’« organisation de recherche sous contrat » (« contract research organisation »), la société IQVIA Operations France est sollicitée par des laboratoires pharmaceutiques, des établissements hospitaliers ou hospitalo-universitaires et des autorités de santé afin de superviser et de planifier la conduite d’essais cliniques. Cette supervision nécessite notamment de sélectionner les pays puis les établissements dans lesquels se dérouleront les recherches.

Afin de poursuivre et d’affiner sa stratégie de ciblage des établissements de soins français les plus à même d’accueillir certaines recherches (essais cliniques ou études observationnelles), la société IQVIA souhaite mettre en œuvre plusieurs traitements de données à partir des données du programme de médicalisation des systèmes d’information (PMSI).

Sur l’opportunité du renouvellement de la décision unique précédemment délivrée par la Commission

Le 15 septembre 2022, la société IQVIA a obtenu l’autorisation de la CNIL de renouveler, pour une durée de trois ans, la mise en œuvre de traitements automatisés de données à caractère personnel à des fins de recherche, d’étude et d’évaluation.

Dans le cadre de cette précédente autorisation, la société a réalisé 315 études de faisabilité qui ont permis la mise en œuvre de 175 essais cliniques.

La société IQVIA sollicite un renouvellement de son autorisation, lui permettant d’utiliser les données pour des études de faisabilité permettant de cibler les centres susceptibles de participer à des recherches (essais cliniques ou études observationnelles).

Ces traitements répondent à une même finalité, portent sur des catégories de données identiques – les seules données du PMSI – et concernent des catégories de destinataires identiques – les personnes habilitées par le responsable de traitement.

Dans ce cadre, elle envisage de mettre en œuvre 150 à 200 traitements annuellement.

Ces traitements relevant du régime prévu par les dispositions des articles 66 et 72 et suivants de la loi n° 78-17 du 6 janvier 1978 modifiée (ci-après la loi « informatique et libertés »), la CNIL estime opportun, au vu des éléments présentés dans le dossier de demande, de faire application des dispositions du IV de l’article 66, qui lui permettent, par décision unique, de délivrer à un même demandeur une autorisation pour des traitements répondant à une même finalité, portant sur des catégories de données identiques et ayant des catégories de destinataires identiques.

Sur la licéité des traitements et les conditions permettant de traiter des données concernant la santé

Les traitements mis en œuvre par la société IQVIA s’inscrivent dans le cadre de son activité commerciale.

Ils sont nécessaires aux fins de la poursuite des intérêts légitimes de la société, compte tenu du caractère indirectement identifiant des données ainsi que des garanties prévues par les textes encadrant la mise à disposition des données du SNDS, notamment en termes de droits des personnes.

Ces traitements sont, à ce titre, licites au regard du f) du 1 de l’article 6 du règlement général sur la protection des données (ci-après « RGPD »).

Ces traitements, nécessaires à des fins de recherche scientifique, remplissent la condition prévue au point j) du 2 de l’article 9 du RGPD permettant de traiter des données concernant la santé.

Sur la finalité des traitements et leur caractère d’intérêt public

Les traitements nécessitant un accès aux données du PMSI ont pour finalité la réalisation d’études de faisabilité, afin d’estimer le potentiel des établissements de santé français à accueillir un ou plusieurs essais cliniques ou études observationnelles initiés, déployés et coordonnés par IQVIA, à la demande d’un promoteur.

La finalité des traitements est déterminée, explicite et légitime, conformément au point b) du 1 de l’article 5 du RGPD, et présente un intérêt public, conformément au I de l’article 66 de la loi « nformatique et libertés ».

Sur le traitement des données issues du SNDS

Le responsable de traitement ne doit traiter, pour chacun des traitements mis en œuvre dans le cadre de la présente décision unique, que les données strictement nécessaires et pertinentes au regard des objectifs des traitements.

Les données du PMSI concernant les activités suivantes sont nécessaires à la réalisation de ces études :

  • médecine, chirurgie, obstétrique et odontologie (MCO) ;
  • soins de suite et de réadaptation (SSR) ;
  • recueil d’information médicalisée en psychiatrie (RIM-P) ;
  • hospitalisation à domicile (HAD).

La Commission relève que :

  • pour la mise en œuvre de la plupart des traitements, une profondeur historique d’un an (correspondant aux données du PMSI recueillies durant l’année précédente) sera suffisante ;
  • par exception, notamment lorsque les études portent sur une maladie rare, l’identification de cas incidents ou l’évaluation de la prescription moyenne sur plusieurs années, les données portant sur une profondeur historique maximale de cinq ans pourront être traitées.

La présente décision unique étant délivrée pour une durée de trois ans, seules les données nationales du PMSI des années 2020 à 2026 pourront être mises à disposition de la société IQVIA en fenêtre roulante. A ce titre, seules les données strictement nécessaires et pertinentes devront être mises à disposition annuellement auprès du responsable de traitement.

Conformément à l’article 30 du RGPD, le responsable de traitement devra tenir à jour, au sein de son registre des activités de traitement, la liste des traitements mis en œuvre dans le cadre de la présente décision unique.

Les données dont le traitement est envisagé sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités du traitement, conformément aux dispositions du point c) du 1 de l’article 5 du RGPD.

Sur la durée d’accès aux données

Les données à caractère personnel du PMSI ne peuvent faire l’objet d’une conservation par le responsable de traitement en dehors de la plateforme du Centre d’accès sécurisé aux données (CASD), leur exportation étant interdite.

La durée d’accès aux données dans la plateforme sécurisée doit être limitée à la durée nécessaire à la mise en œuvre des traitements, qui ne saurait être supérieure à trois ans à compter de la date d’accès effectif aux données.

Sur le principe de transparence et la publication des résultats

La mise à disposition des données du SNDS et de ses composantes est conçue de façon à permettre de rendre compte de leur utilisation au public.

A cette fin, l’article L. 1461-3 du CSP subordonne l’accès aux données du SNDS et de ses composantes à la communication à la Plateforme des données de santé (PDS) de plusieurs éléments par le responsable de traitement, avant et après les études.

Lorsque le résultat des traitements de données sera rendu public, l’identification directe ou indirecte des personnes concernées doit être impossible, conformément à l’article 68 de la loi « informatique et libertés ».

La CNIL rappelle également qu’à l’issue du délai de trois ans, un bilan contenant notamment la liste des analyses réalisées dans le cadre de la décision unique, ainsi que la méthodologie suivie dans le cadre des analyses, devra être lui être adressé.

Sur les catégories de destinataires des données

Seul le responsable du traitement et les personnes habilitées par celui-ci ont accès aux données dans le cadre de la présente décision unique. Le responsable de traitement tient à jour des documents indiquant la ou les personnes compétentes en son sein pour délivrer l’habilitation à accéder aux données, la liste des personnes habilitées à accéder à celles-ci, leurs profils d’accès respectifs et les modalités d’attribution, de gestion et de contrôle des habilitations.

Ces catégories de personnes sont soumises au secret professionnel dans les conditions définies par les articles 226-13 et 226-14 du code pénal.

La qualification des personnes habilitées et leurs droits d’accès doivent être régulièrement réévalués, conformément aux modalités décrites dans la procédure d’habilitation établie par le responsable de traitement.

Sur l’information et les droits des personnes

Conformément aux dispositions de l’article 14 du RGPD, dans l’hypothèse où la fourniture d’une information individuelle exigerait des efforts disproportionnés, des mesures appropriées devront être mises en œuvre par le responsable de traitement afin de protéger les droits et libertés, ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles.

En l’espèce, il sera fait exception au principe d’information individuelle des personnes et des mesures appropriées seront prises par le responsable de traitement afin de rendre publiquement disponible l’information concernant la mise en œuvre de ces traitements.

La CNIL relève qu’une rubrique dédiée aux traitements mis en œuvre dans le cadre de cette décision unique est publiée sur le site web de la société IQVIA, au sein de laquelle figurent :

  • une note d’information générale relative à ces traitements comportant l’ensemble des mentions prévues par l’article 14 du RGPD ;
  • une note d’information pour chaque traitement mis en œuvre dans le cadre de la décision unique.

Sur la sécurité des données et la traçabilité des actions

La mise en œuvre de traitements de données à caractère personnel intervenant dans le cadre de l’étude s’effectue sous la responsabilité du responsable de traitement, y compris chez des tiers agissant pour son compte, dans le respect des dispositions des articles 24, 25, 28, 32 à 35 du RGPD ainsi que de l’arrêté du 6 mai 2024 relatif au référentiel de sécurité applicable au SNDS et de ses mises à jour ultérieures.

Les données seront mises à disposition auprès du responsable de traitement par l’intermédiaire du prestataire d’accès sécurisé désigné par l’ATIH, à savoir le CASD.

Seules des données issues de processus d’anonymisation, de telle sorte que l’identification, directe ou indirecte, des personnes est impossible, peuvent faire l’objet d’une extraction. La CNIL rappelle que les responsables de traitement doivent réaliser une analyse permettant de démontrer que leurs processus d’anonymisation respectent les trois critères définis par l’avis n° 05/2014 sur les techniques d’anonymisation adoptés par le groupe de l’Article 29 (G29) le 10 avril 2014. Si ces trois critères ne peuvent être réunis, une analyse approfondie des risques d’identification doit être menée afin de démontrer que ces derniers, avec des moyens raisonnables, sont inexistants.

Autorise, conformément à la présente délibération, la société IQVIA OPERATIONS FRANCE à mettre en œuvre les traitements décrits ci-dessus pendant une durée de trois ans, avec obligation de remise d’un bilan à la Commission à l’issue de ce délai.

La Présidente

Marie-Laure DENIS

Décisions similaires

Citées dans les mêmes commentaires3

  • Cnil ·
  • Expérimentation ·
  • Opérateur ·
  • Image ·
  • Décret ·
  • Données ·
  • Enregistrement ·
  • Traitement ·
  • Captation ·
  • Ministère
  • Commission nationale ·
  • Informatique ·
  • Traitement de données ·
  • Parlement européen ·
  • Liberté ·
  • Habilitation ·
  • Directive (ue) ·
  • Personnes physiques ·
  • Règlement (ue) ·
  • Cnil
  • Formation restreinte ·
  • Données ·
  • Abonnés ·
  • Sociétés ·
  • Personne concernée ·
  • Système d'information ·
  • Cnil ·
  • Traitement ·
  • Violation ·
  • Risque

Citant les mêmes articles de loi3

  • Formation restreinte ·
  • Données ·
  • Sociétés ·
  • Personne concernée ·
  • Système d'information ·
  • Cnil ·
  • Traitement ·
  • Violation ·
  • Abonnés ·
  • Risque
1 commentaire
  • Formation restreinte ·
  • Données ·
  • Abonnés ·
  • Sociétés ·
  • Personne concernée ·
  • Système d'information ·
  • Cnil ·
  • Traitement ·
  • Violation ·
  • Risque
1 commentaire
  • Utilisateur ·
  • Consentement ·
  • Recommandation ·
  • Cookies ·
  • Cnil ·
  • Site web ·
  • Données ·
  • Compte ·
  • Environnement ·
  • Information

De référence sur les mêmes thèmes3

  • Identifiants ·
  • Cnil ·
  • Traitement ·
  • Décret ·
  • Données ·
  • Utilisateur ·
  • Personnes ·
  • Informatique et libertés ·
  • Wallis-et-futuna ·
  • Finalité
  • Cnil ·
  • Traitement ·
  • Plainte ·
  • Coffre-fort ·
  • Données sensibles ·
  • Informatique et libertés ·
  • Durée de conservation ·
  • Portail ·
  • Ministère ·
  • Information
  • Cnil ·
  • Registre ·
  • Données de santé ·
  • Traitement ·
  • Cancer ·
  • Décret ·
  • Durée de conservation ·
  • Personne concernée ·
  • Collecte ·
  • Identifiants

Sur les mêmes thèmes3

  • Cnil ·
  • Données ·
  • Établissement ·
  • Traitement ·
  • Information ·
  • Décret ·
  • Utilisateur ·
  • Finalité ·
  • Ministère ·
  • Sécurité
  • Formation restreinte ·
  • Sociétés ·
  • Responsable du traitement ·
  • Logiciel ·
  • Cnil ·
  • Informatique ·
  • Amende ·
  • Sécurité des données ·
  • Audit ·
  • Manquement
1 commentaire
  • Cnil ·
  • Identité ·
  • Traitement ·
  • Durée de conservation ·
  • Finalité ·
  • Composant électronique ·
  • Passeport ·
  • Données biométriques ·
  • Décret ·
  • Titre

Textes cités dans la décision

  1. RGPD - Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données
  2. Directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données
  3. Loi n° 78-17 du 6 janvier 1978
  4. Code pénal
  5. Code de la santé publique
Extraits similaires à la sélection

Aucune décision de référence ou d'espèce avec un extrait similaire.

Inscrivez-vous gratuitement pour imprimer votre décision
CNIL, Délibération du 11 décembre 2025, n° 2025-120
  1. Doctrine
  2. Décisions de justice
  3. 2025
  4. CNIL, délib. n° 2025-120, 11 déc. 2025
Contactez notre service commercial au 01 84 80 33 48