Délibération n° 2026-002 du 8 janvier 2026 autorisant la société HEVA à mettre en œuvre la modification d’un traitement automatisé de données à caractère personnel ayant pour finalité la constitution d’un entrepôt de données de santé, dénommé « FREiA ».
| Numéro | 2026-002 |
| Date | jeudi 8 janvier 2026 |
| Nature | Délibération |
| Type d'acte | Autre autorisation |
| État | En vigueur |
| Référence | CNILTEXT000053419955 |
(Demande d’autorisation n° 2235345v1)
La Commission nationale de l'informatique et des libertés,
Saisie le 9 octobre 2025 par la société HEVA d’une demande de modification d’une autorisation concernant un traitement automatisé de données à caractère personnel ayant pour finalité la constitution d’un entrepôt de données de santé, dénommé FREiA ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 66, 72 et suivants ;
Vu le dossier et ses compléments ;
Sur la proposition de Mme Marie Zins, commissaire, et après avoir entendu les observations de M. Damien Milic, commissaire du Gouvernement,
Formule les observations suivantes :
|
Responsable du traitement |
Créée en 2005, la société Heva est un bureau d’études qui réalise des recherches dans le domaine de la santé notamment à partir des données du Système national des données de santé (SNDS), pour son propre compte ou celui de ses clients.
En novembre 2024, la société HEVA a été autorisée à constituer un entrepôt de données de santé (délibération n° 2024-087) dénommé FREiA . |
|
Modifications |
HEVA souhaite apporter des modifications substantielles au traitement FREiA s’agissant des modalités d’hébergement des données. |
|
Sur les mesures de sécurité |
L’entrepôt FREiA a fait l’objet d’une homologation, intégrant sa nouvelle architecture d’hébergement, prononcée le 6 octobre 2025 pour une durée de trois ans.
Des mesures spécifiques de cloisonnement reposant sur des mécanismes de chiffrement des données et de maîtrise technique des clés, soutenus par une procédure formalisée de gestion des secrets (sécurisation du stockage et de l’utilisation des clés, gestion des rôles et habilitations d’accès aux clés, authentification des utilisateurs et des comptes de service) sont mises en œuvre.
Les mesures de sécurité décrites dans le dossier sont de nature à répondre aux exigences prévues par les articles 5,1, f) et 32 du RGPD compte tenu des risques identifiés par le responsable de traitement. Le responsable de traitement doit procéder à une réévaluation régulière des risques pour les personnes concernées et une mise à jour, le cas échéant, de ces mesures de sécurité.
Les autres conditions de mise en œuvre de l’entrepôt demeurent inchangées. |
Autorise, conformément à la présente délibération, la société HEVA à mettre en œuvre le traitement pendant une durée de deux ans à compter de la mise à disposition des données.
La présidente,
M.-L. Denis
Délibération n° 2026-026 du 19 mars 2026 portant avis sur un projet de traitement à des fins de recherche scientifique relatif à la mise en oeuvre d’une analyse discursive et interactionnelle en intervention précoce en psychiatrie
L'Université de Montpellier Paul-Valéry a sollicité un avis de la CNIL sur un projet de recherche en psychiatrie impliquant le traitement de données sensibles. La Commission a émis un avis favorable, assorti de recommandations pour atténuer les risques de réidentification, notamment par la pseudonymisation et la suppression des données non pertinentes après analyse. Elle rappelle également l'obligation d'informer les personnes concernées et de vérifier l'application de la dérogation prévue pour la recherche scientifique.
19/03/2026
Délibération n° HABS-2026-001 du 19 mars 2026 habilitant des agents de la Commission nationale de l’informatique et des libertés à établir un rapport en application du cinquième alinéa de l'article 22-1 de la loi n° 78-17 du 6 janvier 1978 modifiée
La CNIL, en tant qu'organisme concerné, a adopté une délibération interne portant habilitation. Cette décision vise à habiliter vingt-cinq agents spécifiques de sa direction des contrôles et des sanctions à établir des rapports dans le cadre de ses pouvoirs de contrôle. Les habilitations sont accordées pour une durée de cinq ans et remplacent une précédente délibération. Aucune sanction n'est mentionnée, cette délibération étant un acte d'organisation interne de l'autorité.
19/03/2026
Délibération n° 2026-023 du 12 mars 2026 portant avis sur un projet de loi renforçant la sécurité du quotidien
La CNIL émet un avis sur un projet de loi du ministère de l'Intérieur visant à renforcer la sécurité du quotidien. Elle relève plusieurs manquements ou risques concernant l'élargissement de l'usage des caméras individuelles à des acteurs privés, l'expérimentation prolongée de traitements algorithmiques sur vidéosurveillance et drones, et la généralisation des dispositifs LAPI avec des durées de conservation allongées. La Commission souligne la nécessité de strictes limites, d'un meilleur encadrement et du respect du principe de proportionnalité pour ces dispositifs intrusifs, afin de protéger les libertés individuelles.
12/03/2026
Délibération n° 2026-019 du 05 mars 2026 portant avis sur un projet de traitement à des fins de recherche scientifique dont l’objectif est d’étudier l’état du droit de la filiation procréative des personnes transgenres (PROTRANS)
L'Université Lumière Lyon 2 a sollicité un avis de la CNIL pour un projet de recherche scientifique sur la filiation procréative des personnes transgenres, impliquant le traitement de données sensibles. La CNIL émet un avis favorable mais formule des recommandations, notamment sur la nécessité de clarifier la répartition des responsabilités entre les universités co-responsables du traitement. Elle souligne également les risques de collecte incidente de données lors des entretiens et de réidentification des personnes, en raison du faible nombre de participants et de la collecte d'informations telles que la commune de naissance dans les décisions de justice.
05/03/2026