Délibération n° 2026-019 du 05 mars 2026 portant avis sur un projet de traitement à des fins de recherche scientifique dont l’objectif est d’étudier l’état du droit de la filiation procréative des personnes transgenres (PROTRANS)
| Numéro | 2016-019 |
| Date | jeudi 5 mars 2026 |
| Nature | Délibération |
| Type d'acte | Avis |
| État | En vigueur |
| Référence | CNILTEXT000053634250 |
|
N° de demande d’avis : 2241438 |
Thématiques : Recherche scientifique (hors santé) |
|
Organisme(s) à l’origine de la saisine : Université Lumière Lyon 2 |
Fondement de la saisine : Article 44.6° d e la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés |
L’essentiel :
L’université Lumière Lyon 2 a saisi la CNIL pour avis sur un traitement de données à caractère personnel poursuivant une finalité de recherche scientifique. Ce traitement permettra d’étudier l’état du droit de la filiation procréative des personnes transgenres.
Le traitement n’appelle pas d’observations particulières de la CNIL, sauf pour ce qui concerne les modalités de partage des responsabilités et les risques de réidentification au regard du nombre réduit de personnes concernées.
___________________
La Commission nationale de l'informatique et des libertés,
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (RGPD) ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (loi informatique et libertés ) ;
Sur proposition de Mme Aminata Niakaté, commissaire, et après avoir entendu les observations de M. Damien Milic, commissaire du Gouvernement,
Adopte la délibération suivante :
I. La saisine
A. Le contexte
Le traitement projeté s’inscrit dans le cadre d’un projet de recherche scientifique mis en œuvre à la demande du centre de recherches critiques sur le droit (CERCRID) de l’université Lyon 2.
Cette recherche en sciences sociales, qui mobilise plusieurs disciplines (droit, psychologie, sociologie, etc.), vise à permettre :
B. L’objet de la saisine
La CNIL a été saisie pour avis, par l’université Lumière Lyon 2, sur un traitement de données à caractère personnel mis en œuvre pour réaliser cette recherche.
Dans la mesure où il est susceptible de porter sur des données sensibles au sens de l’article 9 du RGPD (notamment des données de santé, relatives à l’orientation sexuelle, ou encore aux opinions politiques ou religieuses), le traitement fait l’objet d’un avis préalable de la CNIL conformément aux dispositions de l’article 44.6° de la loi informatique et libertés .
Il a pour base légale l’exercice d’une mission d’intérêt public, au regard des missions de l’université en matière de recherche scientifique (article L. 123-2 et L. 123-3 du code de l’éducation).
II. L’avis de la CNIL
A. Sur la responsabilité du traitement
Il ressort de l’analyse d’impact relative à la protection des données (AIPD) que l’université Lumière Lyon 2 met en œuvre le traitement en co-responsabilité avec plusieurs autres universités.
La CNIL rappelle que le responsable de traitement est la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement (article 4.7 du RGPD). Des cas de responsabilité conjointe sont possibles dès lors que deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement (article 26 RGPD). La répartition des responsabilités découle d’une analyse juridique qui doit être réalisée au cas par cas, à la lumière du rôle effectif de chaque acteur dans la définition des contours du traitement (v. CEPD, lignes directrices 07/2020 concernant les notions de responsable de traitement et de sous-traitant dans le RGPD, §82).
Au regard de ces éléments, la CNIL estime qu’il conviendrait :
B. Sur les données traitées
Les données nécessaires à la recherche seront issues :
a. S’agissant des mesures de minimisation des données
Concernant en particulier les entretiens, l’AIPD énumère les catégories de données susceptibles d’être collectées dans ce cadre.
Selon les précisions apportées, la conduite des entretiens ne sera pas encadrée de manière à ce que les réponses obtenues soient les moins orientées possibles. Les entretiens seront réalisés au domicile de la personne, parfois en présence de sa famille, et enregistrés au dictaphone.
Dès lors, l’enregistrement des entretiens présente un risque de collecte incidente de données à caractère personnel concernant les personnes concernées ou leurs proches.
La CNIL rappelle que les données collectées doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités du traitement, conformément à l’article 5-1-c du RGPD. Dans cette perspective, elle recommande de définir autant que possible, en amont des entretiens, les questions pertinentes.
b. S’agissant des risques de réidentification des personnes
Les décisions de justice collectées comporteront les communes de naissance des personnes concernées. Selon les précisions apportées, la collecte de telles données ne vise pas à identifier ces personnes mais à contacter le tribunal et la commune d’où émane la décision en question, afin de recueillir les témoignages du personnel ayant travaillé sur les cas identifiés.
La CNIL souligne les risques de réidentification qu’implique le traitement de ces données dès lors que la recherche concerne un nombre très limité de personnes. Elle prend acte des mesures prises pour atténuer ces risques et notamment la limitation de l’accès aux entretiens à certains chercheurs ayant besoin de traiter les données dans le cadre de la recherche. Les décisions issues de Jurica seront accessibles à un groupe de chercheurs distinct.
C. Sur l’information des personnes
Une notice d’information individuelle sera distribuée aux personnes concernées lors des entretiens, conformément à l’article 13 du RGPD.
La CNIL estime que cette notice devrait être complétée en indiquant, notamment :
D. Sur les mesures de sécurité
La CNIL note que les données brutes, notamment celles issues des entretiens, qui sont susceptibles de contenir des informations identifiantes et sensibles, seront temporairement copiées et sauvegardées sur des serveurs universitaires (ou de l’infrastructure Humanum) et des ordinateurs personnels des chercheurs, avant d’être versées sur l’outil Resana et supprimées de ces serveurs et ordinateurs. Afin que ce mode de fonctionnement n’entraîne pas de risque supplémentaire pour la confidentialité des données, il conviendra de s’assurer régulièrement que les données sont effectivement effacées des serveurs et ordinateurs en question.
La transcription des entretiens sera, avant analyse, rendue pseudonyme de manière non automatisée, par exemple en remplaçant ou supprimant les données susceptibles de permettre l’identification. Compte tenu de l’échelle de l’étude et de son objet, cette méthode apparaît adéquate pour minimiser l’exposition des personnes concernées dans le cadre de l’étude elle-même.
La CNIL appelle toutefois l’attention sur le fait que ces mesures sont susceptibles de ne pas être suffisantes pour rendre les données ou citations anonymes en vue de leur publication et recommande, l’utilisation systématique de méthodes supplémentaires pour empêcher l’identification.
La présidente,
M.-L. Denis
Délibération n° 2026-026 du 19 mars 2026 portant avis sur un projet de traitement à des fins de recherche scientifique relatif à la mise en oeuvre d’une analyse discursive et interactionnelle en intervention précoce en psychiatrie
L'Université de Montpellier Paul-Valéry a sollicité un avis de la CNIL sur un projet de recherche en psychiatrie impliquant le traitement de données sensibles. La Commission a émis un avis favorable, assorti de recommandations pour atténuer les risques de réidentification, notamment par la pseudonymisation et la suppression des données non pertinentes après analyse. Elle rappelle également l'obligation d'informer les personnes concernées et de vérifier l'application de la dérogation prévue pour la recherche scientifique.
19/03/2026
Délibération n° HABS-2026-001 du 19 mars 2026 habilitant des agents de la Commission nationale de l’informatique et des libertés à établir un rapport en application du cinquième alinéa de l'article 22-1 de la loi n° 78-17 du 6 janvier 1978 modifiée
La CNIL, en tant qu'organisme concerné, a adopté une délibération interne portant habilitation. Cette décision vise à habiliter vingt-cinq agents spécifiques de sa direction des contrôles et des sanctions à établir des rapports dans le cadre de ses pouvoirs de contrôle. Les habilitations sont accordées pour une durée de cinq ans et remplacent une précédente délibération. Aucune sanction n'est mentionnée, cette délibération étant un acte d'organisation interne de l'autorité.
19/03/2026
Délibération n° 2026-023 du 12 mars 2026 portant avis sur un projet de loi renforçant la sécurité du quotidien
La CNIL émet un avis sur un projet de loi du ministère de l'Intérieur visant à renforcer la sécurité du quotidien. Elle relève plusieurs manquements ou risques concernant l'élargissement de l'usage des caméras individuelles à des acteurs privés, l'expérimentation prolongée de traitements algorithmiques sur vidéosurveillance et drones, et la généralisation des dispositifs LAPI avec des durées de conservation allongées. La Commission souligne la nécessité de strictes limites, d'un meilleur encadrement et du respect du principe de proportionnalité pour ces dispositifs intrusifs, afin de protéger les libertés individuelles.
12/03/2026
Délibération n° 2026-021 du 5 mars 2026 portant avis sur les dispositions de l’article 3 du projet de loi sur la justice criminelle et le respect des victimes
La CNIL émet un avis sur un projet de loi saisi par le Ministère de la Justice concernant l'utilisation des données génétiques en matière pénale. La Commission relève plusieurs manquements ou risques, notamment l'élargissement des possibilités d'examen des caractéristiques génétiques constitutionnelles, l'autorisation de comparaisons avec des bases de données étrangères interdites en France, et une extension significative du champ d'enregistrement au Fichier National Automatisé des Empreintes Génétiques (FNAEG). Elle estime que ces évolutions banalisent l'usage de ces données sensibles et appelle à renforcer les garanties, notamment sur le consentement, et à réévaluer la proportionnalité des infractions concernées.
05/03/2026