CNIL, Décision du 10 juillet 2025, n° DR-2025-148

CNIL 10 juillet 2025

Arguments

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Signaler une erreur.

Accepté
Conformité aux dispositions législatives et réglementaires
La Commission a constaté que le traitement proposé répond aux exigences légales et éthiques, et qu'il présente un intérêt public pour la recherche en santé.
Accepté
Mesures de sécurité et protection des données
La Commission a vérifié que les mesures de sécurité proposées sont conformes aux exigences du référentiel de sécurité applicable au SNDS et garantissent la protection des données.

Résumé de la juridiction

Décision DR-2025-148 du 10 juillet 2025 autorisant le laboratoire PFIZER Inc et l’UNIVERSITE D’UTRECHT à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur l’évaluation de la sécurité d’ABRYSVO (vaccin contre le virus respiratoire syncytial) en vie réelle chez des personnes âgées de 60 ans et plus immunodéprimées ou souffrant d’insuffisance rénale ou hépatique en Europe et au Royaume Uni, nécessitant un accès aux données du SNIIRAM, PMSI, CépiDC et de « Vaccin-COVID », composantes du Système national des données de santé (SNDS), pour les années 2019 à 2027. (Demande d’autorisation n° 925095)

Commentaire • 0

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées.

Sur la décision

Référence :	CNIL, déc. n° DR-2025-148, 10 juil. 2025
Numéro :	DR-2025-148
Nature de la délibération :	Autorisation de recherche
État :	VIGUEUR
Identifiant Légifrance :	CNILTEXT000053462861

Texte intégral

La Commission nationale de l’informatique et des libertés,

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu le décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu la décision du 2 juin 2025 portant délégation de signature du secrétaire général de la Commission nationale de l’informatique et des libertés ;

Saisie d’une demande d’autorisation relative à un traitement de données à caractère personnel à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé ;

Considérant que ce traitement, dont la finalité présente un caractère d’intérêt public, relève des dispositions de la section 3 du chapitre III du titre II de la loi du 6 janvier 1978 modifiée ;

Considérant que le traitement présente les caractéristiques et répond aux conditions suivantes :

Responsable(s) de traitement	Les deux responsables de traitement, le laboratoire Pfizer Inc et l’Université d’Utrecht déterminent conjointement les finalités et les moyens du traitement.
Avis du comité	Avis favorable avec recommandations du Comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé du 13 mars 2025.
Utilisation de données issues du SNDS historique	Composantes concernées : SNIIRAM, PMSI, CépiDC et Vaccin-COVID Années concernées : 2019 à 2027, sous réserve qu’elles soient diffusables par la CNAM. Seul le laboratoire de recherche/bureau d’études aura accès aux données individuelles du SNDS. Modalités de consultation : système fils du SNDS. L’homologation de la bulle sécurisée BPE a été renouvelée par l’autorité d’homologation le 3 février 2023, conformément au référentiel de sécurité applicable au SNDS prévu par l’arrêté du 22 mars 2017. Cette décision d’homologation est valable jusqu’au 5 mai 2026 et devra donc être renouvelée avant cette date, si le traitement devait se poursuivre au-delà de cette échéance. De plus, conformément à l’arrêté du 6 mai 2024 fixant la nouvelle version du référentiel de sécurité applicable au SNDS : un plan d’action a été établi en vue de la mise en conformité du système d’information vis-à-vis de ce nouveau référentiel, indiquant les mesures à prendre dans l’immédiat puis à court et moyen terme ; l’analyse de risques a été mise à jour et les actions nécessaires ont été mises en place pour garantir la sécurité des données et le respect de la vie privée des personnes concernées ; la bulle sécurisée devra être homologuée au plus tard le 6 mai 2026 conformément à la nouvelle version du référentiel. Les données traitées étant issues de bases composant le SNDS, l’ensemble des dispositions législatives et réglementaires relatives au SNDS est applicable en l’espèce (articles L. 1461-1 à L. 1461-7 du code de la santé publique), notamment le référentiel de sécurité « SNDS ».
Information et droits des personnes	En application du b) du 5 de l’article 14 du RGPD, l’obligation d’information individuelle de la personne concernée peut faire l’objet d’exceptions, notamment dans l’hypothèse où la fourniture d’une telle information exigerait des efforts disproportionnés. En pareil cas, le responsable de traitement prend des mesures appropriées pour protéger les droits et libertés ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles.
	En l’espèce, il sera fait exception au principe d’information individuelle des personnes et des mesures appropriées seront mises en œuvre à travers la diffusion d’une note d’information sur le site web du responsable de traitement relative à la présente étude. Le traitement sera également enregistré au sein du portail de transparence de la Plateforme des données de santé.
Durée d’accès aux données du SNDS	Trois ans à compter de la dernière extraction des données