CNIL, Décision du 17 octobre 2025, n° DR-2025-249

CNIL 17 octobre 2025

Résumé de la juridiction

Décision DR-2025-249 du 17 octobre 2025 autorisant la FONDATION ILDYS à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur l’efficacité relative de l’association d’un stage HABIT-ILE et d’un programme au domicile sur la performance bimanuelle des enfants de 3 à 5 ans avec paralysie cérébrale, nécessitant un accès aux données du SNIIRAM et du PMSI, composantes du Système national des données de santé (SNDS), pour les années 2025 à 2029, intitulée « PARTNERSHIP ». (Demande d’autorisation n° 925159).

Commentaire • 0

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées.

Sur la décision

Référence :	CNIL, déc. n° DR-2025-249, 17 oct. 2025
Numéro :	DR-2025-249
Nature de la délibération :	Autorisation de recherche
État :	VIGUEUR
Identifiant Légifrance :	CNILTEXT000054197853

Texte intégral

La Commission nationale de l’informatique et des libertés,

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu le décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu la décision du 2 juin 2025 portant délégation de signature du secrétaire général de la Commission nationale de l’informatique et des libertés ;

Saisie d’une demande d’autorisation relative à un traitement de données à caractère personnel à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé ;

Considérant que ce traitement, dont la finalité présente un caractère d’intérêt public, relève des dispositions de la section 3 du chapitre III du titre II de la loi du 6 janvier 1978 modifiée ;

Considérant que le traitement présente les caractéristiques et répond aux conditions suivantes :

Avis du comité	Avis favorable du Comité de protection des personnes Ile de France I du 4 décembre 2024.
Point de non-conformité à la méthodologie de référence concernée	Le dossier de demande mentionne que le traitement envisagé est conforme aux dispositions de la méthodologie de référence MR-001, à l’exception de la nature des données traitées. En dehors de ce point, qui fait l’objet d’un examen spécifique dans la présente décision, ce traitement devra respecter le cadre prévu par ce référentiel.
Catégories particulières de données traitées (autres que données de santé)	Les données de l’étude feront l’objet d’un rapprochement avec les données issues du Système national des données de santé (SNDS) par l’utilisation du numéro d’inscription au répertoire national d’identification des personnes physiques (NIR). Des enregistrements vidéos et vocaux susceptibles de permettre l’identification des personnes se prêtant à la recherche seront réalisés dans le cadre de cette étude. Le consentement des participants pour la réalisation des enregistrements sera recueilli.
Circuit d’appariement	Le dossier de demande mentionne que le circuit d’appariement sera conforme à la fiche pratique « Circuit multi-centres / eCRF sans NIR » publiée par la CNIL. Les différents centres transmettront les données identifiantes (NIR) à un tiers de confiance centralisateur habilité à utiliser le téléservice SAFE qui les transmettra à la CNAM pour extraction des données du SNDS correspondantes. Ces données devront être chiffrées au sein des centres et être transmises sous forme de fichiers chiffrés. Les algorithmes utilisés et les procédures de gestion de clés associées devront être conformes au référentiel général de sécurité (annexes B1 et B2) et aux recommandations correspondantes de l’ANSSI. Des mesures de sécurité renforcées devront être mises en place pour protéger les tables de correspondance. Les équipements mobiles devront faire l’objet de mesures de chiffrement afin de garantir la confidentialité des données qu’ils contiennent en cas de perte ou de vol de l’équipement. Le tiers de confiance devra avoir été désigné avant le début de la collecte du NIR. Ce tiers de confiance devra être indépendant juridiquement et économiquement du responsable de traitement et des sous-traitants (centres investigateurs, etc .). Enfin, le tiers de confiance ne devra pas se trouver en situation de conflit d’intérêts vis-à-vis du responsable de traitement.
Utilisation de données issues du SNDS historique	Composantes concernées : SNIIRAM, PMSI Années concernées : 2025 à 2029 sous réserve qu’elles soient diffusables par la CNAM. Modalités de consultation : portail de la CNAM Les données traitées étant issues de bases composant le SNDS, l’ensemble des dispositions législatives et réglementaires relatives au SNDS est applicable en l’espèce (articles L. 1461-1 à L. 1461-7 du code de la santé publique), notamment le référentiel de sécurité « SNDS ».
Durée d’accès/Durées de conservation en base active et en archivage	Données du SNDS : un an à compter de la mise à disposition des données. Autres données Base active : neuf ans. Archivage : quinze ans. Les NIR des participants ne seront pas conservés après l’appariement.
Transparence du traitement	Ce traitement devra être enregistré dans le répertoire public mis à disposition par la Plateforme des données de santé.