Délibération n° 2026-006 du 29 janvier 2026 portant agrément du Comité de surveillance (« Supervisory Committee » ou « COSUP ») en tant qu’organisme de contrôle du code de conduite européen porté par la fédération EUCROF (European Contract Research Organizations Federation).
| Numéro | 2026-006 |
| Date | jeudi 29 janvier 2026 |
| Nature | Délibération |
| Type d'acte | Autre autorisation |
| État | En vigueur |
| Référence | CNILTEXT000053420191 |
La Commission nationale de l'informatique et des libertés,
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (notamment ses articles 40, 41 et 57) ;
Vu la délibération n° 2020-050 du 30 avril 2020 portant adoption d’un référentiel relatif à l’agrément des organismes chargés de contrôler le respect des codes de conduite ;
Vu la délibération n° 2024-064 portant approbation du code de conduite européen porté par l’EUCROF (European Contract Research Organizations Federation) ;
Sur la proposition de Madame Anne Debet, commissaire, et après avoir entendu les observations de M. Damien Milic, commissaire du Gouvernement,
Formule les observations suivantes :
L’article 41 du règlement général relatif à la protection des données (RGPD) prévoit que l’organisme chargé de contrôler le respect d’un code de conduite par les responsables de traitements ou les sous-traitants qui y adhèrent doit être agréé par l’autorité de contrôle compétente au titre de l’article 57.1 (q) du RGPD.
Le code de conduite européen porté par l’EUCROF (European Contract Research Organizations Federation) a été approuvé par la CNIL le 12 septembre 2024. Il identifie la CNIL comme autorité de contrôle compétente conformément aux dispositions de l’article 40.5 du RGPD. En conséquence, la CNIL est compétente pour l’instruction et la délivrance de l’agrément aux organismes de contrôle désignés le cas échéant par le code de conduite porté par l’EUCROF.
Ce code de conduite a désigné en tant qu’organisme de contrôle le Comité de surveillance mis en place par l’EUCROF.
Le 3 juin 2025, la CNIL a été saisie par l’EUCROF d’une demande d’agrément du Comité de surveillance créé pour assurer les missions d’organisme de contrôle du code de conduite porté par l’EUCROF, conformément à la délibération n° 2020-050 du 30 avril 2020 portant adoption d’un référentiel relatif à l’agrément des organismes chargés de contrôler le respect des codes de conduite.
La demande d’agrément a fait l’objet d’une évaluation par les services de la CNIL.
La CNIL reconnaît que la demande d’agrément présentée est conforme au référentiel d’agrément précité adopté le 30 avril 2020.
Décide :
De la délivrance de l’agrément au Comité de surveillance de l’EUCROF en tant qu’organisme de contrôle du code de conduite européen porté par l’EUCROF.
Cet agrément est délivré pour une durée de cinq ans à compter de la présente délibération.
Si les exigences relatives à l’agrément ne sont pas ou plus respectées, l’agrément peut être révoqué conformément aux dispositions de l’article 41.5 du RGPD et de l’article 23 de la loi n° 78-17 du 6 janvier 1978 modifiée.
La présidente,
M.-L. Denis
Délibération n° 2026-026 du 19 mars 2026 portant avis sur un projet de traitement à des fins de recherche scientifique relatif à la mise en oeuvre d’une analyse discursive et interactionnelle en intervention précoce en psychiatrie
L'Université de Montpellier Paul-Valéry a sollicité un avis de la CNIL sur un projet de recherche en psychiatrie impliquant le traitement de données sensibles. La Commission a émis un avis favorable, assorti de recommandations pour atténuer les risques de réidentification, notamment par la pseudonymisation et la suppression des données non pertinentes après analyse. Elle rappelle également l'obligation d'informer les personnes concernées et de vérifier l'application de la dérogation prévue pour la recherche scientifique.
19/03/2026
Délibération n° HABS-2026-001 du 19 mars 2026 habilitant des agents de la Commission nationale de l’informatique et des libertés à établir un rapport en application du cinquième alinéa de l'article 22-1 de la loi n° 78-17 du 6 janvier 1978 modifiée
La CNIL, en tant qu'organisme concerné, a adopté une délibération interne portant habilitation. Cette décision vise à habiliter vingt-cinq agents spécifiques de sa direction des contrôles et des sanctions à établir des rapports dans le cadre de ses pouvoirs de contrôle. Les habilitations sont accordées pour une durée de cinq ans et remplacent une précédente délibération. Aucune sanction n'est mentionnée, cette délibération étant un acte d'organisation interne de l'autorité.
19/03/2026
Délibération n° 2026-023 du 12 mars 2026 portant avis sur un projet de loi renforçant la sécurité du quotidien
La CNIL émet un avis sur un projet de loi du ministère de l'Intérieur visant à renforcer la sécurité du quotidien. Elle relève plusieurs manquements ou risques concernant l'élargissement de l'usage des caméras individuelles à des acteurs privés, l'expérimentation prolongée de traitements algorithmiques sur vidéosurveillance et drones, et la généralisation des dispositifs LAPI avec des durées de conservation allongées. La Commission souligne la nécessité de strictes limites, d'un meilleur encadrement et du respect du principe de proportionnalité pour ces dispositifs intrusifs, afin de protéger les libertés individuelles.
12/03/2026
Délibération n° 2026-019 du 05 mars 2026 portant avis sur un projet de traitement à des fins de recherche scientifique dont l’objectif est d’étudier l’état du droit de la filiation procréative des personnes transgenres (PROTRANS)
L'Université Lumière Lyon 2 a sollicité un avis de la CNIL pour un projet de recherche scientifique sur la filiation procréative des personnes transgenres, impliquant le traitement de données sensibles. La CNIL émet un avis favorable mais formule des recommandations, notamment sur la nécessité de clarifier la répartition des responsabilités entre les universités co-responsables du traitement. Elle souligne également les risques de collecte incidente de données lors des entretiens et de réidentification des personnes, en raison du faible nombre de participants et de la collecte d'informations telles que la commune de naissance dans les décisions de justice.
05/03/2026