La Commission nationale de l’informatique et des libertés,

Saisie d’une demande d’autorisation concernant un traitement automatisé de données à caractère personnel dans le domaine de la santé ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD) ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (loi informatique et libertés) ;

Vu l’avis favorable du comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé (CESREES) du 6 novembre 2025 ;

Après avoir entendu le rapport de M^me Marie Zins, commissaire, et les observations de M. Damien Milic, commissaire du Gouvernement,

Formule les observations suivantes :

Sur le responsable de traitement :

La société Withings commercialise plusieurs objets connectés dédiés à la santé et au bien-être, dont certains sont qualifiés de dispositifs médicaux (ci-après, « les produits Withings »). Dans ce cadre, elle propose notamment une offre « grand public » correspondant à l’acquisition par des particuliers de produits Withings pour leur usage personnel, se distinguant de l’offre destinée aux professionnels.

Le dossier de demande précise que :

• l’utilisation des produits Withings nécessite la création d’un compte individuel via l’application mobile associée ;
• deux catégories d’utilisateurs des produits Withings sont à distinguer : les utilisateurs principaux disposant d’un compte individuel et les utilisateurs secondaires qui ne disposent pas d’un compte individuel mais sont susceptibles d’utiliser les produits Withings.

Cette société commercialise des produits mentionnés au II de l’article L. 5311-1 du code de la santé publique (CSP) et la mise en œuvre de l’étude « DEEP » implique un traitement de données du Système national des données de santé (SNDS). Ainsi, les dispositions des articles L. 1461-1 et L. 1461-3 du CSP sont applicables en l’espèce.

Sur la conformité au référentiel concerné :

Le dossier de demande mentionne que le traitement envisagé est conforme aux dispositions de la méthodologie de référence MR-004, à l’exception :

• de la nature des données traitées (appariement déterministe des données de santé avec celles du SNDS et traitement de la date de naissance complète ainsi que de la commune de résidence) ;
• des destinataires des données directement identifiantes (traitement des données administratives d’identification en vue de la reconstitution du numéro d’inscription au répertoire des personnes physiques (NIR)).

En dehors de ces points, qui font l’objet d’un examen spécifique dans la présente décision, ce traitement devra respecter le cadre prévu par ce référentiel.

Sur la finalité du traitement et son caractère d’intérêt public :

Le traitement envisagé a pour finalité la mise en œuvre d’une étude visant le développement et la validation d’algorithmes de détection précoce de maladies chroniques notamment à partir des données collectées lors de l’utilisation des produits Withings rassemblés au sein d’un traitement dénommé « base Withings ».

Selon le dossier de demande :

• l’étude conduira au développement et à la validation de quatre algorithmes pour quatre pathologies distinctes (le diabète, l’insuffisance cardiaque, l’artérite oblitérante des membres inférieurs, l’hypertension artérielle) ;
• la phase de développement correspondra à l’entraînement et l’optimisation des modèles d’intelligence artificielle ;
• la phase de validation correspondra à l’évaluation des performances techniques et cliniques des modèles développés ;
• la version des modèles validée dans le cadre de cette étude a vocation à être qualifiée de dispositif médical. Ces dispositifs seront réputés validés dès l’obtention des autorisations et/ou des certificats nécessaires à la mise sur le marché du produit au sein de l’Union européenne ou aux Etats-Unis.

Dans le cadre des missions qui lui sont reconnues en application de l’article 76 de la loi « informatique et libertés », et précisées par l’arrêté du 5 mai 2021 portant adoption de son règlement intérieur, le CESREES a rendu un avis favorable concernant la méthodologie de la recherche, la nécessité du recours à des données de santé à caractère personnel, la pertinence de celles-ci par rapport à la finalité du traitement, la pertinence scientifique et éthique du projet et le caractère d’intérêt public qu’elle présente. Cet avis précise que "l’accès aux données est subordonné à l’engagement du porteur de projet de communiquer dans un délai raisonnable les résultats de l’analyse et les moyens d’en évaluer la validité à la plateforme des données de santé". A la lumière de cet avis, la CNIL estime que le traitement associé à l’étude présente une finalité d’intérêt public, conformément au I de l’article 66 de la loi « informatique et libertés ».

Tout développement d’une nouvelle version des algorithmes constituera un traitement de données distinct qui s’inscrira dans le cadre des dispositions des articles 66 et 72 et suivants de la loi « informatique et libertés ». Ce traitement devra être justifié par l’intérêt public et faire l’objet de formalités propres.

Sur la base légale et l’exception permettant de traiter des données sensibles :

Le traitement envisagé par le responsable de traitement s’inscrit dans le cadre de son activité commerciale.

Ce traitement est, à ce titre, licite au regard du f) du 1 de l’article 6 du RGPD. En outre, il est nécessaire à des fins de recherche scientifique et remplit la condition prévue au j) du 2 de l’article 9 du RGPD permettant de traiter des données concernant la santé.

Sur la nature des données traitées :

Les catégories de données dont le traitement est envisagé dans cette étude ont été décrites dans le dossier de demande. Elles proviendront, d’une part, de la base Withings et, d’autre part, du SNDS.

S’agissant des données issues de la base Withings :

Sous réserve de l’exercice du droit d’opposition, sont susceptibles d’être réutilisées dans le cadre de la présente étude certaines données à caractère personnel concernant les personnes ayant utilisé, entre le 1^er janvier 2021 et le 31 décembre 2026, un produit Withings (un pèse-personne, une montre, un tensiomètre, un thermomètre et/ou un capteur de sommeil).

Seules des données à caractère personnel ayant été initialement collectées de manière licite et conservées de manière régulière pourront être réutilisées. A ce titre, il appartient à la société Withings de documenter la conformité de la collecte initiale des données vis-à-vis du RGPD et de la loi « informatique et libertés ».

Le dossier de demande précise que seules seront réutilisées dans le cadre de cette étude, les données à caractère personnel :

• des personnes ayant acquis des produits Withings dans le cadre de l’offre « grand public » ;
• des utilisateurs principaux ;
• des personnes ayant indiqué la France comme pays de résidence lors de la création de leur compte individuel.

S’agissant des données du SNDS :

Sous réserve qu’elles soient diffusables par la CNAM, seront traitées dans le cadre de cette étude certaines données du SNIIRAM, du PMSI et du CépiDc recueillies entre 2016 et 2026. Ces données seront consultées via la solution technique du groupement d’intérêt public « Plateforme des données de santé » (ci-après, « la PDS »).

S’agissant des variables nécessaires à l’appariement :

Les données de la base Withings feront l’objet d’un rapprochement avec les données issues du SNDS.

Les données nominatives (nom, prénom, sexe, date de naissance complète et lieu de naissance) des personnes concernées seront transmises au service « Concentrateur », proposé par la PDS et opéré par un de ses sous-traitants, qui les utilisera pour interroger la Caisse nationale d’assurance vieillesse aux fins de reconstitution du NIR.

Le Concentrateur transmettra ensuite les NIR, sexe et date de naissance complète des participants à la CNAM pour extraction des données du SNDS correspondantes.

Les données nominatives devront être chiffrées par la société Withings et être transmises sous forme de fichiers chiffrés. Les algorithmes utilisés et les procédures de gestion de clés associées devront être conformes au référentiel général de sécurité (annexes B1 et B2) et aux recommandations correspondantes de l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Des mesures de sécurité renforcées devront être mises en place pour protéger les tables de correspondance. Les équipements mobiles devront faire l’objet de mesures de chiffrement afin de garantir la confidentialité des données qu’ils contiennent en cas de perte ou de vol de l’équipement.

S’agissant de la commune de résidence :

La collecte de la commune de résidence via le SNDS est justifiée afin de réaliser des analyses en sous-groupes en fonction de l’accès aux soins (résidence en milieu rural ou urbain, indice de déprivation, APL). Ces sous-groupes seront préparés par la PDS, qui supprimera ensuite la commune de résidence, avant de mettre les données à disposition du responsable de traitement et son sous-traitant dans un espace projet dédié.

Sur l’information et les droits des personnes :

S’agissant de l’information des personnes concernées par cette étude :

Le responsable de traitement procèdera à une information individuelle des personnes en plusieurs niveaux par voie électronique.

Le premier niveau d’information devra :

• comporter les informations relatives à la finalité du traitement, l’identité du responsable de traitement ;
• mentionner explicitement le droit d’opposition des personnes ;
• indiquer que l’exercice des droits par les personnes n’aura pas de conséquence sur l’utilisation des objets connectés commercialisés par le responsable de traitement ;

• renvoyer vers la note d’information comportant l’ensemble des mentions requises en application de l’article 14 du RGPD.

L’information par voie électronique suppose de respecter les conditions suivantes :

• les coordonnées électroniques doivent correspondre à une adresse personnelle ;
• la personne concernée ne s’est opposée ni à cette modalité de délivrance de l’information ni, lors de la collecte initiale, à ce que ces données soient réutilisées à des fins de recherche ;
• le courriel et la note d’information transmis aux personnes ne relèvent pas d’information sur leur état de santé réel ou supposé.

Le responsable de traitement s’engage à respecter un délai d’un mois entre la notification de l’information aux personnes concernées et la mise en œuvre de l’étude.

Le traitement devra être enregistré dans le répertoire public mis à disposition par la PDS.

S’agissant de l’exercice des droits :

Les personnes concernées pourront exercer leurs droits d’accès, de rectification, de limitation, d’opposition et d’effacement à tout moment auprès du responsable de traitement.

Sur les accédants et les destinataires des données :

S’agissant du recours à un bureau d’études :

Le responsable de traitement a recours à un bureau d’études ayant réalisé un engagement de conformité au référentiel déterminant les critères de confidentialité, d’expertise et d’indépendance fixé par arrêté du 17 juillet 2017 pour réaliser certaines opérations du traitement envisagé. Le traitement des données par ce sous-traitant devra être régi par un contrat ou un acte juridique conformément à l’article 28 du RGPD.

S’agissant du rôle de la PDS :

La PDS interviendra dans le cadre du ciblage et de l’extraction des données du SNDS depuis le portail de la Caisse nationale de l’assurance maladie (CNAM) en sa qualité de responsable conjoint du SNDS. Seules les données strictement nécessaires et pertinentes au regard des objectifs décrits dans le protocole de recherche seront ciblées puis extraites depuis le portail de la CNAM par la PDS. Tous les filtrages de données seront réalisés en amont de la transmission des données vers la solution technique de la PDS. La vérification de la concordance entre les données nécessaires à la mise en œuvre des traitements décrits dans le dossier et les données extraites sera effectuée en lien avec la CNAM.

La PDS interviendra en qualité de sous-traitant pour les autres opérations de traitement, dont leur hébergement pour analyse.

La répartition des rôles et responsabilités entre le responsable de traitement et la PDS, concernant ces aspects notamment la conservation des données, la sensibilisation des utilisateurs du projet, la surveillance des traces, la gestion des alertes et des incidents ainsi que les gestions des exports de données anonymes, devra être formalisée par une convention entre les deux parties conformément à l’article 28 du RGPD.

S’agissant des modalités d’accès aux données du SNDS :

Afin de pouvoir accéder aux données du SNDS, le responsable de traitement est tenu, conformément aux dispositions de l’article L. 1461-3 du CSP :

• soit de démontrer que les modalités de mise en œuvre du traitement rendent impossible toute utilisation des données pour l’une des finalités interdites mentionnées à l’article L. 1461-1 du CSP, en particulier pour la promotion de certains produits de santé en direction des professionnels de santé ou d’établissements de santé ;
• soit de recourir à un laboratoire de recherche ou à un bureau d’études pour réaliser le traitement.

En l’espèce, le responsable de traitement souhaite accéder directement à certaines données du SNDS. A ce titre, il a présenté un argumentaire détaillé incluant la mise en œuvre d’un ensemble de mesures techniques et organisationnelles spécifiques.

En premier lieu, le responsable de traitement dispose d’une gouvernance à même d’intégrer les garanties qu’elle présente. La CNIL note notamment en ce sens :

• une politique interne dédiée ;
• les engagements pris par la direction du responsable de traitement ;
• la démarche de certification ISO/IEC 27001 et ISO/IEC 27701 ;
• la réalisation d’audits annuels ;
• la désignation d’un référent chargé de veiller à ce que la gouvernance interne garantisse que le traitement ne poursuivra pas des finalités interdites précitées.

En deuxième lieu, le responsable de traitement s’engage à ce que seuls les personnels spécifiquement identifiés et nommément désignés au sein de l’équipe de recherche et développement soient habilités à accéder à l’espace projet. Le responsable de traitement tient à jour des documents indiquant la ou les personnes compétentes en son sein pour délivrer l’habilitation à accéder aux données, la liste des personnes habilitées à accéder à ces données, leurs profils d’accès respectifs et les modalités d’attribution, de gestion et de contrôle des habilitations.

Ces catégories de personnes sont soumises au secret professionnel dans les conditions définies par les articles 226-13 et 226-14 du code pénal.

Le responsable de traitement a mis en place les garanties suivantes :

• une séparation stricte des rôles entre le personnel de recherche et le personnel chargé du développement commercial des produits de la société est mise en place ;
• une liste des catégories de personnels ne pouvant pas être habilitées à accéder au SNDS a été établie tenant compte du lien direct ou indirect que les activités qui leur sont confiées présentent avec les activités de promotion de produits de santé (équipes Health solution – Sales, Marketing, Customer Success, Support – B2B Product, Market Access) ;
• le personnel ayant accès à l’espace projet « DEEP » (incluant les données SNDS) n’a pas accès aux données de la base Withings et n’est pas au contact avec les utilisateurs de produits Withings.

La procédure d’habilitation devra également garantir que le personnel disposant d’un accès à l’espace projet « DEEP » ne travaille pas simultanément sur plusieurs projets de recherche et n’est pas en mesure de croiser les données issues de ces projets.

La qualification des personnes habilitées et leurs droits d’accès doivent être régulièrement réévalués, conformément aux modalités décrites dans la procédure d’habilitation établie par le responsable de traitement.

En troisième lieu, les personnels concernés du responsable de traitement et du bureau d’études seront sensibilisés aux risques et obligations qui leur incombent lors de leur habilitation par le responsable de traitement à accéder à l’espace projet, notamment à l’aide d’un module dédié aux finalités interdites. Ces personnels devront participer à des actions de sensibilisation animées par la PDS, et un rappel annuel devra être effectué pendant la durée du projet.

Chaque utilisateur habilité, ainsi que le responsable de projet, s’engageront ab initio, formellement et individuellement à :

• ne pas utiliser les données et les résultats du projet pour des finalités interdites ;
• s’assurer que les résultats du projet ne sont pas exploitables à cette fin.

En quatrième lieu, s’agissant du risque de ré-identification directe des établissements ou des professionnels de santé à des fins de promotion de produits de santé, les données du projet « DEEP » ne contiendront aucun code identifiant les établissements ou les professionnels de santé, ni aucune indication géographique les concernant. Ces codes seront préalablement remplacés par des pseudonymes générés par la PDS et dont le responsable de traitement n’aura pas la correspondance.

S’agissant du risque de ré-identification des personnes concernées, leur commune de résidence sera seulement accessible à la PDS à des fins de constitution de sous-groupes en fonction de l’accès aux soins.

En cinquième lieu, afin de limiter au plan technique les risques de réidentification par croisement avec d’autres sources, les données de capteurs issues de la base Withings seront importées dans le projet « DEEP » sous une forme agrégée, avec une granularité minimale d’une journée.

En sixième lieu, s’agissant du risque de ré-identification indirecte après export des données, seules des données anonymes peuvent être exportées hors d’un environnement homologué conformément à l’arrêté du 6 mai 2024 relatif au référentiel de sécurité applicable au SNDS. Des procédures dédiées seront mises en place à la fois par le responsable de traitement et par la PDS. Ainsi, toute demande d’export fera l’objet d’une validation préalable par plusieurs personnes identifiées au sein du responsable de traitement. Un audit systématique et préalable sera également réalisé par la PDS sur la base de critères tendant à attester de l’anonymat effectif de l’export souhaité.

Les critères et procédures prévues devront être revus régulièrement au vu de l’évolution des techniques d’anonymisation et de ré-identification.

Au regard de l’ensemble de ces éléments, la CNIL estime que les mesures techniques et organisationnelles mises en place par le responsable de traitement paraissent de nature à démontrer que les modalités de mise en œuvre du traitement rendent impossible toute utilisation des données pour l’une des finalités interdites.

Sur les transferts de données en dehors de l’Union européenne (UE) :

Les dispositions de l’article R. 1461-1 du CSP prévoient qu’aucun transfert de données à caractère personnel ne peut être réalisé en dehors de l’UE, sauf dans le cas d’accès ponctuels aux données par des personnes situées en dehors de l’UE, pour une finalité relevant du 1° du I de l’article L. 1461-3 du CSP.

En l’espèce, le dossier de demande mentionne que, bien que le prestataire ne soit pas exclusivement soumis aux lois et juridictions de l’UE, aucun transfert en dehors de l’UE de données individuelles du SNDS n’est prévu, aucun membre de l’équipe de recherche n’étant situé en dehors de l’Union européenne.

Sur la sécurité des données et la traçabilité des actions :

La sécurité des données de l’espace projet dédié au projet « DEEP » dépend essentiellement de la solution technique de la PDS, qui a fait l’objet d’une analyse globale des risques et de l’impact sur la vie privée, suivie d’une homologation selon le référentiel de sécurité applicable au SNDS.

Une homologation de la solution technique, conforme au référentiel de sécurité applicable au SNDS, et incluant l’espace projet mis à disposition du responsable de traitement, a été réalisée par la PDS le 22 juillet 2024, pour une durée de trois ans, sous réserve de la mise en oeuvre du plan d’actions qu’elle a défini.

Le responsable de traitement devra s’assurer que le système d’information hébergeant les données de l’étude respecte ce référentiel pendant toute la durée du traitement.

Sur la durée de conservation des données :

Les données de l’étude seront mises à disposition sur un espace projet de la PDS pour une durée de trois ans à compter de l’accès effectif à celles-ci et seront détruites à l’issue de ce délai.

Les données nominatives des personnes concernées ne seront pas conservées après l’opération de reconstitution du NIR. Le NIR et la date de naissance complète des personnes concernées ne seront pas conservés après l’appariement.

Autorise la SOCIETE WITHINGS à mettre en œuvre le traitement décrit ci-dessus.

La présidente,

M.-L. Denis