DécisionEn vigueur

Décision DT-2025-009 du 26 juin 2025

Décision DT-2025-009 du 26 juin 2025 autorisant l’ASSOCIATION OBSERVEUR à mettre en œuvre la modification d’un traitement de données ayant pour finalité la constitution d’un entrepôt de données de santé, dénommé « Canopée ». (Demande d’autorisation n° 2225387v2)

Numéro	DT-2025-009
Date	jeudi 26 juin 2025
Nature	Décision
Type d'acte	Autre autorisation
État	En vigueur
Référence	CNILTEXT000053480171

Résumé IA

La CNIL autorise l'**ASSOCIATION OBSERVEUR** à modifier substantiellement son entrepôt de données de santé « Canopée ». Cette autorisation concerne l'ajout de nouvelles catégories de données de santé et de vie sociale, ainsi que l'élargissement de l'accès aux données pour les établissements partenaires. La décision impose à l'association de mettre à jour l'information des personnes concernées et de respecter strictement les règles d'anonymisation pour les exports de données.

Texte intégral

La Commission nationale de l’informatique et des libertés,

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu le décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu la décision du 2 juin 2025 portant délégation de signature du secrétaire général de la Commission nationale de l’informatique et des libertés au directeur de l’accompagnement juridique et au directeur adjoint de l’accompagnement juridique ;

Saisie d’une demande de modification d’une autorisation relative à un traitement de données à caractère personnel ;

Considérant que ce traitement, dont la finalité présente un caractère d’intérêt public, relève des dispositions de la section 3 du chapitre III du titre II de la loi du 6 janvier 1978 modifiée ;

Considérant que le traitement présente les caractéristiques et répond aux conditions suivantes :

Modification substantielle du traitement de données

La modification envisagée porte sur les catégories de données traitées et les destinataires des données.

S’agissant des catégories de données :

Les données suivantes seront collectées, en plus de celles dont la collecte était initialement prévue dans le cadre de l’EDS "Canopée" :

données de santé : CIM 10, indice de masse corporelle, carnet de contacts de santé (liste des métiers des professionnels soignant la personne et de leurs codes postaux) ;
données sur l’accès aux droits et prestations liées au handicap (PCH, APA, AAH, AEEH, ASH) ;
données sur l’entourage proche : existence ou non dans l’entourage de la personne accompagnée d’autres membres de la famille que les parents, d’un aidant (collecte de l’année de naissance) ;
données pseudonymisées issues du Projet Personnalisé d’Accompagnement (mis à jour annuellement) : besoins, souhaits et objectifs sur les thématiques de l’habitat, des loisirs, de l’accompagnement aux actes quotidiens, du travail, de la vie sociale, de la vie intime et sexuelle.

S’agissant des destinataires des données :

Les établissements partenaires pourront accéder aux indicateurs calculés au sein de l’EDS les concernant.

L’exigence SEC-EXP-1 du référentiel "entrepôts de données de santé" prévoit que seuls des jeux de données anonymes peuvent faire l'objet d'une exportation hors de l'entrepôt ou d'un espace de travail, à l’exception des données relatives aux procédures de réidentification SEC-REI-1 à SEC-REI-3 qui permettent d’assurer respectivement l’exercice des droits, la participation à des recherches et l’urgence médicale.

Si un jeu de données ne peut pas être anonymisé, au sens de l’avis 05/2014 sur les techniques d’anonymisation du groupe de travail "Article 29" sur la protection des données, les données devront être mises à disposition des utilisateurs dans un espace de travail de l’entrepôt.

Information des personnes

Une note d’information mise à jour sera transmise aux personnes concernées afin de les informer des modifications du traitement.

Le cas échéant, les proches de la personne concernée sont informés du versement de données les concernant au sein de l’EDS.

Observations complémentaires

L’entrepôt "Canopée" demeure conforme aux dispositions du référentiel "entrepôt de données dans le domaine de la santé", à l’exception de la base légale et de la nature des données traitées.

Les autres conditions de mise en œuvre de l’entrepôt restent inchangées.

AUTORISE l’ASSOCIATION OBSERVEUR à mettre en œuvre le traitement décrit ci-dessus.

La Cheffe du service de la santé

Hélène GUIMIOT

Délibérations similaires

DécisionAutorisation de recherche

Décision DR-2026-032 du 25 février 2026 autorisant le CENTRE HOSPITALIER UNIVERSITAIRE D’ANGERS à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur le développement de modèles d’aide à la détection de deux maladies rares, intitulée « PAI ». (Demande d’autorisation n° 925250)

La CNIL autorise le Centre Hospitalier Universitaire d'Angers à mettre en œuvre un traitement de données pour l'étude "PAI", visant à développer des modèles d'aide à la détection de deux maladies rares. L'autorisation est accordée malgré certains écarts à la méthodologie de référence MR-004, notamment concernant le traitement du NIR pour l'appariement des données et les modalités d'information des personnes. La décision impose le respect strict du cadre défini, incluant des mesures de minimisation des données et une documentation sur la réduction progressive du nombre de patients dans l'échantillon.

25/02/2026

DélibérationAutre autorisation

Délibération n° 2026-011 du 12 février 2026 autorisant LIFEN RESEARCH SAS à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la constitution d’un entrepôt de données dans le domaine de la santé, dénommé « LIFEN RESEARCH »

La CNIL autorise LIFEN Research SAS à constituer un entrepôt de données de santé nommé "LIFEN RESEARCH". L'autorisation est accordée sous réserve que la société mette en place une gouvernance stricte pour garantir le caractère d'intérêt public des futurs projets de recherche. Aucune sanction n'est prononcée, mais le traitement doit respecter le référentiel applicable et les mesures de gouvernance doivent être opérationnelles avant son démarrage.

12/02/2026

DélibérationAutre autorisation

Délibération n° 2026-013 du 12 février 2026 portant approbation du code de conduite national porté par l’Alliance du Commerce

La CNIL approuve le code de conduite national porté par l'Alliance du Commerce, destiné aux magasins et enseignes du secteur du commerce de détail de l'équipement de la personne. Ce code, juridiquement contraignant pour ses adhérents, précise les modalités d'application du RGPD pour ce secteur spécifique. Il prévoit un mécanisme de contrôle de sa bonne application par un organisme qui devra obtenir un agrément de la CNIL.

12/02/2026

DélibérationAutre autorisation

Délibération n° 2026-006 du 29 janvier 2026 portant agrément du Comité de surveillance (« Supervisory Committee » ou « COSUP ») en tant qu’organisme de contrôle du code de conduite européen porté par la fédération EUCROF (European Contract Research Organizations Federation).

La CNIL accorde un agrément au Comité de surveillance (COSUP) de la fédération EUCROF en tant qu'organisme de contrôle de son code de conduite européen relatif à la protection des données. Cet agrément, valable pour une durée de cinq ans, fait suite à une demande jugée conforme au référentiel de la CNIL. Il peut être révoqué si le COSUP ne respecte plus les exigences requises pour exercer sa mission de surveillance du respect du code de conduite par les adhérents.

29/01/2026

← Retour aux délibérations Voir sur Légifrance →

La Commission nationale de l’informatique et des libertés,

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu le décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Saisie d’une demande de modification d’une autorisation relative à un traitement de données à caractère personnel ;

Considérant que le traitement présente les caractéristiques et répond aux conditions suivantes :

Modification substantielle du traitement de données

La modification envisagée porte sur les catégories de données traitées et les destinataires des données.

S’agissant des catégories de données :

Les données suivantes seront collectées, en plus de celles dont la collecte était initialement prévue dans le cadre de l’EDS "Canopée" :

données de santé : CIM 10, indice de masse corporelle, carnet de contacts de santé (liste des métiers des professionnels soignant la personne et de leurs codes postaux) ;
données sur l’accès aux droits et prestations liées au handicap (PCH, APA, AAH, AEEH, ASH) ;
données sur l’entourage proche : existence ou non dans l’entourage de la personne accompagnée d’autres membres de la famille que les parents, d’un aidant (collecte de l’année de naissance) ;
données pseudonymisées issues du Projet Personnalisé d’Accompagnement (mis à jour annuellement) : besoins, souhaits et objectifs sur les thématiques de l’habitat, des loisirs, de l’accompagnement aux actes quotidiens, du travail, de la vie sociale, de la vie intime et sexuelle.

S’agissant des destinataires des données :

Les établissements partenaires pourront accéder aux indicateurs calculés au sein de l’EDS les concernant.

Information des personnes

Une note d’information mise à jour sera transmise aux personnes concernées afin de les informer des modifications du traitement.

Le cas échéant, les proches de la personne concernée sont informés du versement de données les concernant au sein de l’EDS.

Observations complémentaires

Les autres conditions de mise en œuvre de l’entrepôt restent inchangées.

AUTORISE l’ASSOCIATION OBSERVEUR à mettre en œuvre le traitement décrit ci-dessus.

La Cheffe du service de la santé

Hélène GUIMIOT