CNIL, Décision du 6 octobre 2025, n° DR-2025-227

CNIL 6 octobre 2025

Résumé de la juridiction

Décision DR-2025-227 du 6 octobre 2025 autorisant le CENTRE HOSPITALIER UNIVERSITAIRE DE LILLE à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur l’évaluation du parcours de soin des patients atteints d’un cancer gastrique et la validation d’un algorithme de détection de ces patients, nécessitant un accès aux données du SNIIRAM, PMSI et CépiDc, composantes du Système national des données de santé (SNDS), pour les années 2011 à 2027, intitulée « FREGAT-LINK ». (Demande d’autorisation n° 925178)

Commentaire • 0

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées.

Sur la décision

Référence :	CNIL, déc. n° DR-2025-227, 6 oct. 2025
Numéro :	DR-2025-227
Nature de la délibération :	Autorisation de recherche
État :	VIGUEUR
Identifiant Légifrance :	CNILTEXT000054197551

Texte intégral

La Commission nationale de l’informatique et des libertés,

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu le décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu la décision du 2 juin 2025 portant délégation de signature du secrétaire général de la Commission nationale de l’informatique et des libertés ;

Saisie d’une demande d’autorisation relative à un traitement de données à caractère personnel à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé ;

Considérant que ce traitement, dont la finalité présente un caractère d’intérêt public, relève des dispositions de la section 3 du chapitre III du titre II de la loi du 6 janvier 1978 modifiée ;

Considérant que le traitement présente les caractéristiques et répond aux conditions suivantes :

Avis du comité	Avis favorable du Comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé du 13 mars 2025.
Sous-traitant	Le groupement d’intérêt public « Plateforme de données de santé » (PDS) assurera l’hébergement des données de l’étude. La CNIL estime que la PDS interviendra en qualité de sous-traitant. A ce titre, la répartition des rôles et responsabilités entre le Centre hospitalier universitaire de Lille (CHU Lille) et la PDS, concernant notamment la sensibilisation des utilisateurs du projet, la surveillance des traces, la gestion des alertes et des incidents ainsi que les gestions des exports de données anonymes, devra être formalisée entre les parties. Plusieurs sous-traitants interviendront dans la mise en œuvre de l’étude. Le traitement des données par chacun d’entre eux devra être régi par un contrat ou un acte juridique, conformément à l’article 28 du RGPD.
Point de non-conformité à la méthodologie de référence concernée	Le dossier de demande mentionne que le traitement envisagé est conforme aux dispositions de la méthodologie de référence MR-004, à l’exception de la nature des données (appariement probabiliste des données cliniques avec celles du SNDS). En dehors de ce point, qui fait l’objet d’un examen spécifique dans la présente décision, ce traitement devra respecter le cadre prévu par ce référentiel.
Réutilisation des données d’une base existante	Les données de l’étude « FREGAT » mise en œuvre par le CHU de Lille (demande d’autorisation n° 914291) seront réutilisées dans le cadre de la présente étude.
Information et droits des personnes	Lors de leur inclusion dans la base de données FREGAT, les personnes concernées ont reçu une note d’information individuelle prévoyant un dispositif spécifique d’information auquel elles peuvent se reporter préalablement à la mise en œuvre de chaque nouveau traitement de données (portail de transparence). Une note d’information relative à la présente étude sera donc diffusée sur ce site web. Afin que ce dispositif spécifique d’information soit conforme aux articles 12 et suivants du RGPD, la CNIL considère que : le lien figurant dans la note d’information devra renvoyer directement sur la page web dédiée audit portail ; les notes d’information relatives à chaque traitement nécessitant la réutilisation des données de l’étude devront comporter l’ensemble des mentions prévues à l’article 14 du RGPD.
Utilisation de données issues du SNDS historique	Composantes concernées : SNIIRAM, PMSI et CépiDc Années concernées : 2011 à 2027, sous réserve qu’elles soient diffusables par la CNAM. Modalités de consultation : solution technique de la PDS Recours à un laboratoire de recherche ou à un bureau d’études ayant réalisé un engagement de conformité au référentiel déterminant les critères de confidentialité, d’expertise et d’indépendance fixé par arrêté du 17 juillet 2017 : oui Le responsable de traitement n’aura pas accès aux données individuelles du SNDS.
Mesures de sécurité	La sécurité des données de l’espace projet dédié au projet « FREGAT-LINK » dépend essentiellement de la solution technique de la PDS, qui a fait l’objet d’une analyse globale des risques et de l’impact sur la vie privée, suivie d’une homologation selon le référentiel de sécurité du SNDS. Une homologation de la solution technique, conforme au référentiel de sécurité applicable au SNDS, et incluant l’espace projet mis à disposition du responsable de traitement, a été réalisée par la PDS le 22 juillet 2024, pour une durée de trois ans, sous réserve de la mise en œuvre du plan d’actions qu’elle a défini. Le CHU de Lille devra s’assurer que le système d’information hébergeant les données de l’étude respecte ce référentiel pendant toute la durée du traitement.
Transferts hors Union européenne	Les dispositions de l’article R. 1461-1 du CSP prévoient qu’aucun transfert de données à caractère personnel ne peut être réalisé en dehors de l’Union européenne, sauf dans le cas d’accès ponctuels aux données par des personnes situées en dehors de l’Union européenne, pour une finalité relevant du 1° du I de l’article L. 1461-3 du CSP. En l’espèce, le dossier de demande mentionne que, bien que le prestataire ne soit pas exclusivement soumis aux lois et juridictions de l’Union européenne, aucun transfert en dehors de l’Union européenne de données individuelles du SNDS n’est prévu, aucun membre de l’équipe de recherche n’étant situé en dehors de l’Union européenne.
Durée d’accès	Les données du SNDS seront mise à disposition pendant trois ans puis détruites.
Transparence du traitement	Ce traitement devra être enregistré dans le répertoire public mis à disposition par la Plateforme des données de santé.
Observations particulières	Les bases de données pérennes comprenant des données de santé et constituées en vue de leur réutilisation à des fins de recherche dans le domaine de santé sont des entrepôts de données. Sauf en cas de recueil du consentement des personnes concernées, ces traitements relèvent du régime de formalités préalables prévu par les articles 66 et suivants de la loi « informatique et libertés » (déclaration de conformité au référentiel « entrepôt de données de santé » ou, en cas de non-conformité au référentiel, autorisation de la CNIL)." Par conséquent, la base de données « FREGAT » réutilisée pour la présente étude devra faire l’objet d’une nouvelle formalité auprès de la CNIL ou obtenir le consentement de chaque personne concernée par la constitution de cet entrepôt.