Inscription
7 jours d’essai gratuit.
Inscription en moins d’une minute. Pas de carte de crédit requise.
CNIL, Décision du 18 septembre 2025, n° DR-2025-208
CNIL 18 septembre 2025

Arguments

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Signaler une erreur.
  • Accepté
    Conformité avec les réglementations en vigueur

    La Commission a constaté que le traitement répondait aux conditions légales et éthiques requises, et a émis un avis favorable, permettant ainsi la mise en œuvre du traitement.

  • Accepté
    Respect des conditions de sécurité et de confidentialité

    La Commission a jugé que les mesures de sécurité proposées étaient suffisantes pour garantir la protection des données personnelles, ce qui a contribué à l'acceptation de la demande.

Résumé de la juridiction

Décision DR-2025-208 du 18 septembre 2025 autorisant l’ASSOCIATION FRANCAISE POUR LA RECHERCHE THERMALE à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur l’évolution de la qualité de vie spécifique à la rhinosinusite chronique après six mois de suivi entre des patients qui bénéficieront d’une cure thermale de trois semaines et un groupe contrôle de patients qui bénéficieront de soins courants en médecine de ville, nécessitant un accès aux données du SNIIRAM et du PMSI, composantes du Système national des données de santé (SNDS), pour les années 2020 à 2026, intitulée « SINUSITHERM ». (Demande d’autorisation n° 925115)

Commentaire0

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées. 

Sur la décision

Référence :
CNIL, déc. n° DR-2025-208, 18 sept. 2025
Numéro : DR-2025-208
Nature de la délibération : Autorisation de recherche
État : VIGUEUR
Identifiant Légifrance : CNILTEXT000053452330

Texte intégral

La Commission nationale de l’informatique et des libertés,

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu le décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu la décision du 2 juin 2025 portant délégation de signature du secrétaire général de la Commission nationale de l’informatique et des libertés ;

Saisie d’une demande d’autorisation relative à un traitement de données à caractère personnel à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé ;

Considérant que ce traitement, dont la finalité présente un caractère d’intérêt public, relève des dispositions de la section 3 du chapitre III du titre II de la loi du 6 janvier 1978 modifiée ;

Considérant que le traitement présente les caractéristiques et répond aux conditions suivantes :

Avis du comité

Avis favorable de Comité de protection des personnes Ile de France III du 20 mai 2025.

Point de non-conformité à la méthodologie de référence concernée

Le dossier de demande mentionne que le traitement envisagé est conforme aux dispositions de la méthodologie de référence MR-003 à l’exception de la nature des données traitées (traitement du numéro d’inscription au répertoire national d’identification des personnes physiques (NIR) aux fins d’appariement des données de l’étude avec celles du Système national des données de santé (SNDS)) et des destinataires des données directement identifiantes.

En dehors de ces points, qui font l’objet d’un examen spécifique dans la présente décision, ce traitement devra respecter le cadre prévu par ce référentiel.

Utilisation de données issues du SNDS historique

Composantes concernées : SNIIRAM, PMSI

Années concernées : 2020 à 2026, sous réserve qu’elles soient diffusables par la CNAM.

Modalités de consultation : portail de la CNAM

Les données traitées étant issues de bases composant le SNDS, l’ensemble des dispositions législatives et réglementaires relatives au SNDS est applicable en l’espèce (articles L. 1461-1 à L. 1461-7 du code de la santé publique), notamment le référentiel de sécurité « SNDS ».

Variables et circuit d’appariement

Le dossier de demande mentionne que le circuit d’appariement sera conforme à la fiche pratique "Circuit multi-centres / eCRF avec NIR" publiée par la CNIL.

Les différents centres transmettront les données identifiantes (NIR, sexe et date de naissance complète des participants) à un tiers de confiance centralisateur habilité à utiliser le téléservice SAFE qui les transmettra à la CNAM pour extraction des données du SNDS correspondantes. Ces données devront être chiffrées au sein des centres et être transmises sous forme de fichiers chiffrés. Les algorithmes utilisés et les procédures de gestion de clés associées devront être conformes au référentiel général de sécurité (annexes B1 et B2) et aux recommandations correspondantes de l’ANSSI. Des mesures de sécurité renforcées devront être mises en place pour protéger les tables de correspondance. Les équipements mobiles devront faire l’objet de mesures de chiffrement afin de garantir la confidentialité des données qu’ils contiennent en cas de perte ou de vol de l’équipement.

Destinataires des données directement identifiantes

La collecte des nom, prénom, ainsi que des coordonnées téléphoniques et électroniques est nécessaire pour assurer le suivi des patients qui en sont informés.

Les données directement identifiantes devront être traitées et transmises de façon séparée des données de santé et être enregistrées dans une base de données distincte. En outre, seul un nombre strictement limité de personnes habilitées et soumises au secret professionnel devra pouvoir accéder aux données directement identifiantes.

Information et droits des personnes

Tous les participants recevront une note d’information individuelle.

Durée d’accès

Données du SNDS : trois ans à compter de la dernière mise à disposition des données.

Les NIR et les dates de naissance complètes des participants ne seront pas conservés après l’appariement.

Les données administratives d’identification (nom, prénom, coordonnées téléphoniques/électroniques) seront détruites à la fin du suivi des participants.

Transparence du traitement

Ce traitement devra être enregistré dans le répertoire public mis à disposition par la Plateforme des données de santé.

AUTORISE l’ASSOCIATION FRANCAISE POUR LA RECHERCHE THERMALE à mettre en œuvre le traitement décrit ci-dessus.

La Cheffe du service de la santé

Hélène GUIMIOT

Décisions similaires

Citées dans les mêmes commentaires3

  • Informatique ·
  • Traitement de données ·
  • Archivage ·
  • Méthodologie ·
  • Commission nationale ·
  • Liberté ·
  • Fichier ·
  • Utilisation des données ·
  • Durée de conservation ·
  • Santé
  • Union européenne ·
  • Traitement de données ·
  • Données de santé ·
  • Information ·
  • Informatique ·
  • Liberté ·
  • Commission nationale ·
  • Plateforme ·
  • Recherche ·
  • Transfert
  • Traitement de données ·
  • Informatique ·
  • Commission nationale ·
  • Liberté ·
  • Fichier ·
  • Modification ·
  • Santé ·
  • Règlement (ue) ·
  • Comités ·
  • Éthique

Citant les mêmes articles de loi3

  • Traitement de données ·
  • Informatique ·
  • Commission nationale ·
  • Collecte ·
  • Liberté ·
  • Fichier ·
  • Modification ·
  • Règlement (ue) ·
  • Comités ·
  • Éthique
  • Traitement de données ·
  • Informatique ·
  • Commission nationale ·
  • Liberté ·
  • Fichier ·
  • Modification ·
  • Règlement (ue) ·
  • Comités ·
  • Éthique ·
  • Délégation de signature
  • Cnil ·
  • Collecte ·
  • Données ·
  • Décret ·
  • Mission ·
  • Acteur ·
  • Caractérisation ·
  • Traitement ·
  • Service ·
  • Moteur de recherche

De référence sur les mêmes thèmes3

  • Traitement de données ·
  • Informatique ·
  • Commission nationale ·
  • Liberté ·
  • Fichier ·
  • Modification ·
  • Santé ·
  • Règlement (ue) ·
  • Comités ·
  • Éthique
  • Traitement de données ·
  • Informatique ·
  • Données de santé ·
  • Personnes ·
  • Information ·
  • Liberté ·
  • Méthodologie ·
  • Base de données ·
  • Commission nationale ·
  • Collection
  • Données de santé ·
  • Enregistrement ·
  • Informatique ·
  • Traitement de données ·
  • Personnes ·
  • Identification ·
  • Archivage ·
  • Méthodologie ·
  • Commission nationale ·
  • Recherche

Sur les mêmes thèmes3

  • Données de santé ·
  • Méthodologie ·
  • Informatique ·
  • Traitement de données ·
  • Archivage ·
  • Commission nationale ·
  • Liberté ·
  • Accès ·
  • Fichier ·
  • Durée de conservation
  • Données de santé ·
  • Informatique ·
  • Traitement de données ·
  • Fichier ·
  • Méthodologie ·
  • Commission nationale ·
  • Liberté ·
  • Chiffrement ·
  • Prénom ·
  • Identification
  • Traitement de données ·
  • Informatique ·
  • Commission nationale ·
  • Liberté ·
  • Fichier ·
  • Modification ·
  • Santé ·
  • Règlement (ue) ·
  • Comités ·
  • Éthique

Textes cités dans la décision

  1. Loi n° 78-17 du 6 janvier 1978
  2. Décret n°2019-536 du 29 mai 2019
  3. Code de la santé publique
Extraits similaires à la sélection

Aucune décision de référence ou d'espèce avec un extrait similaire.

Inscrivez-vous gratuitement pour imprimer votre décision
CNIL, Décision du 18 septembre 2025, n° DR-2025-208
  1. Doctrine
  2. Décisions de justice
  3. 2025
  4. CNIL, déc. n° DR-2025-208, 18 sept. 2025
Contactez notre service commercial au 01 84 80 33 48