CNIL, Décision du 8 septembre 2025, n° DT-2025-012

CNIL 8 septembre 2025

Arguments

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Signaler une erreur.

Accepté
Conformité partielle au référentiel RS-001
La Commission a estimé que, bien que le traitement présente des points de non-conformité, la finalité d'intérêt public justifie l'autorisation du traitement, sous réserve du respect des mesures de sécurité requises.

Résumé de la juridiction

Décision DT-2025-012 du 8 septembre 2025 autorisant la société BRISTOL MYERS SQUIBB à mettre en œuvre un traitement de données ayant pour finalité la pharmacovigilance. (Demande d’autorisation n° 2239503)

Commentaire • 0

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées.

Sur la décision

Référence :	CNIL, déc. n° DT-2025-012, 8 sept. 2025
Numéro :	DT-2025-012
Nature de la délibération :	Autre autorisation
État :	VIGUEUR
Identifiant Légifrance :	CNILTEXT000053480202

Texte intégral

La Commission nationale de l’informatique et des libertés,

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu le décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu la décision du 2 juin 2025 portant délégation de signature du secrétaire général de la Commission nationale de l’informatique et des libertés ;

Saisie d’une demande d’autorisation relative à un traitement de données à caractère personnel dans le domaine de la santé ;

Considérant que ce traitement, dont la finalité présente un caractère d’intérêt public, relève des dispositions de la section 3 du chapitre III du titre II de la loi du 6 janvier 1978 modifiée ;

Considérant que le traitement présente les caractéristiques et répond aux conditions suivantes :

Points de non-conformité au référentiel

Le dossier de demande mentionne que le traitement envisagé est conforme aux dispositions du référentiel RS-001, à l’exception de la nature des données collectées (collecte de données génétiques).

En dehors de cette exception, ce traitement devra respecter le cadre prévu par le référentiel RS 001.

Le traitement de données génétiques interviendra dans le cadre de la notification d’effets indésirables concernant le produit CAMZYOS, lorsque les informations sur le phénotype du patient sont nécessaires pour procéder à l’évaluation médicale du cas de pharmacovigilance.

Mesures de sécurité

L’authentification des utilisateurs pouvant accéder aux données issues des cas de pharmacovigilance nécessite l’utilisation d’une authentification forte (comprenant au moins deux facteurs d’authentification différents, et appuyée sur un annuaire vérifié).

Les données devront être chiffrées, au repos et comme en transit, par des algorithmes à l’état de l’art, y compris lors d’un stockage temporaire.

AUTORISE la société BRISTOL MYERS SQUIBB à mettre en œuvre le traitement décrit ci-dessus

La Cheffe du service de la santé

Hélène GUIMIOT