19délibérations de la Commission nationale de l'informatique et des libertés.
19
Total délibérations
274
En vigueur
283
Avec résumé IA
La CNIL approuve le code de conduite national porté par l'Alliance du Commerce, destiné aux magasins et enseignes du secteur du commerce de détail de l'équipement de la personne. Ce code, juridiquement contraignant pour ses adhérents, précise les modalités d'application du RGPD pour ce secteur spécifique. Il prévoit un mécanisme de contrôle de sa bonne application par un organisme qui devra obtenir un agrément de la CNIL.
2026-013
La CNIL autorise LIFEN Research SAS à constituer un entrepôt de données de santé nommé "LIFEN RESEARCH". L'autorisation est accordée sous réserve que la société mette en place une gouvernance stricte pour garantir le caractère d'intérêt public des futurs projets de recherche. Aucune sanction n'est prononcée, mais le traitement doit respecter le référentiel applicable et les mesures de gouvernance doivent être opérationnelles avant son démarrage.
2026-011
La CNIL accorde un agrément au Comité de surveillance (COSUP) de la fédération EUCROF en tant qu'organisme de contrôle de son code de conduite européen relatif à la protection des données. Cet agrément, valable pour une durée de cinq ans, fait suite à une demande jugée conforme au référentiel de la CNIL. Il peut être révoqué si le COSUP ne respecte plus les exigences requises pour exercer sa mission de surveillance du respect du code de conduite par les adhérents.
2026-006
La société HEVA, un bureau d'études en santé, a obtenu une autorisation de la CNIL pour modifier substantiellement son entrepôt de données de santé FREiA, concernant principalement ses modalités d'hébergement. La décision constate que les mesures de sécurité mises en œuvre, incluant chiffrement et gestion des clés, sont conformes aux exigences du RGPD. L'autorisation de mise en œuvre du traitement est accordée pour une durée de deux ans à compter de la disponibilité des données.
2026-002
La CNIL autorise la société CLINITYX BY GERS DATA à modifier son entrepôt de données de santé « SOG HEALTH ». Cette décision entérine le changement de responsable de traitement, désormais CLINITYX, et impose des mises à jour des modalités d'information et de transparence, notamment via les portails dédiés. Elle rappelle également l'obligation de supprimer les données gelées et de respecter strictement le cadre juridique des données de santé, en interdisant toute finalité de promotion ou d'assurance.
DT-2025-014
La CNIL autorise la société CLINITYX BY GERS DATA à modifier son entrepôt de données de santé "THIN". Cette autorisation permet notamment d'ajouter la réalisation d'études de faisabilité pour des recherches dans le domaine de la santé. Le traitement, fondé sur l'intérêt légitime, doit respecter le référentiel sécurité et les finalités interdites du Système national des données de santé.
DT-2025-015
La CNIL autorise la société ARROW GENERIQUES à mettre en œuvre un traitement de données pour la gestion d'un cadre de prescription compassionnelle du médicament BEFIZAL LP 400mg. Ce traitement, présentant un caractère d'intérêt public, est globalement conforme au référentiel applicable, bien que sa finalité spécifique (prescription compassionnelle) diffère légèrement du cadre de référence initial (accès compassionnel). L'autorisation est soumise à la condition que les patients et professionnels de santé concernés reçoivent une information complète sur leurs droits.
DT-2025-013
La CNIL autorise les Hospices Civils de Lyon, le CHU de Poitiers, l'Université d'Aix-Marseille et l'INSERM à mettre en œuvre l'entrepôt de données de santé "BANCCO+". Cette autorisation concerne un traitement à des fins d'aide au diagnostic des maladies rares génétiques et de recherche. La durée de conservation des données est fixée à trente ans, dérogeant au référentiel habituel mais justifiée par les finalités médicales.
DT-2025-010
La CNIL autorise la société BRISTOL MYERS SQUIBB à mettre en œuvre un traitement de données personnelles pour la pharmacovigilance. Cette autorisation est accordée malgré un écart au référentiel général, à savoir la collecte de données génétiques, jugée nécessaire pour l'évaluation médicale de certains effets indésirables. La décision impose des mesures de sécurité strictes, incluant une authentification forte des utilisateurs et le chiffrement des données au repos et en transit.
DT-2025-012
La société THERAVIA est autorisée par la CNIL à mettre en œuvre un traitement de données personnelles de santé pour la gestion d'un cadre de prescription compassionnelle des médicaments Orphacol. Cette autorisation est accordée malgré des manquements identifiés au référentiel de sécurité, notamment l'absence d'authentification multifacteur et de plateforme de transmission chiffrée. La société doit mettre en conformité ces mesures de sécurité dans un délai de dix-huit jours ouvrés et déployer une solution transitoire sécurisée en attendant.
DT-2025-011
La CNIL autorise l'Institut Gustave Roussy à mettre en œuvre l'entrepôt de données de santé « INTERCEPTION ». Ce traitement, destiné à la recherche et à la prévention des cancers, est licite car il répond à une mission d'intérêt public. L'autorisation est accordée sous réserve que les futurs projets de recherche utilisant ces données fassent l'objet de formalités propres et que les sous-traitants soient liés par des contrats conformes au RGPD.
2025-062
La CNIL autorise l'Institut national de la santé et de la recherche médicale (Inserm) à mettre en œuvre l'entrepôt de données de santé « GAZEL » pour des recherches en épidémiologie. L'autorisation est accordée malgré deux écarts au référentiel général : l'appariement de données cliniques avec celles du SNDS et les durées de conservation spécifiques. La décision impose le respect strict des conditions légales, notamment la séparation des données identifiantes et la conclusion de contrats avec les sous-traitants.
2025-049
La CNIL autorise l'**ASSOCIATION OBSERVEUR** à modifier substantiellement son entrepôt de données de santé « Canopée ». Cette autorisation concerne l'ajout de nouvelles catégories de données de santé et de vie sociale, ainsi que l'élargissement de l'accès aux données pour les établissements partenaires. La décision impose à l'association de mettre à jour l'information des personnes concernées et de respecter strictement les règles d'anonymisation pour les exports de données.
DT-2025-009
La CNIL autorise les sociétés Roche SAS, Pfizer, Celltrion Healthcare France, Amgen, Biocon Biologics France SAS, Organon, Zentiva France et les Hospices Civils de Lyon à mettre en œuvre un traitement de données pour la gestion d'un cadre de prescription compassionnelle du médicament Bevacizumab. Cette autorisation est accordée malgré deux écarts au référentiel de sécurité (absence d'authentification multifacteur et d'analyse automatique des journaux), pour lesquels des mesures compensatoires doivent être mises en place avant le démarrage du traitement. Les organismes sont responsables conjoints du traitement et doivent informer les patients et professionnels de santé, qui pourront exercer leurs droits auprès des Hospices Civils de Lyon ou du prescripteur.
DT-2025-008
La CNIL autorise le GROUPEMENT DE COOPERATION SANITAIRE UNICANCER à modifier substantiellement le traitement de données de santé "HARMONIE". Cette modification consiste uniquement en un changement de responsable de traitement, Unicancer remplaçant la Fédération nationale des centres de lutte contre le cancer. Les autres conditions d'accès au SNDS (SNIIRAM, PMSI, CépiDc) pour la période 2008-2030 restent inchangées.
DT-2025-007
Le Centre Hospitalier Universitaire de Poitiers a obtenu une autorisation de la CNIL pour mettre en œuvre un entrepôt de données de santé à des fins de recherche, d'études et de pilotage de l'activité. Le traitement, qui repose sur des données pseudonymisées de patients, a été jugé conforme au référentiel applicable, à l'exception de deux exigences de sécurité qui font l'objet d'un examen spécifique. L'autorisation encadre strictement les modalités d'information des personnes concernées, prévoyant des exceptions à l'information individuelle pour les anciens patients et une information systématique pour les patients actuels et futurs.
DT-2025-005
La CNIL autorise la société INSMED FRANCE SAS à mettre en œuvre un traitement de données personnelles pour la gestion d'un cadre de prescription compassionnelle du médicament ARIKAYCE. Le traitement, jugé d'intérêt public, présente une non-conformité mineure au référentiel (champ d'application et finalité) mais est globalement validé. L'autorisation est soumise à des conditions strictes, notamment l'information des patients et des professionnels de santé, et l'obligation de saisir la CNIL pour toute réutilisation future des données.
DT-2025-004
La CNIL autorise la société Les Laboratoires Grunenthal à mettre en œuvre un traitement de données pour la gestion d'un cadre de prescription compassionnelle du médicament VERSATIS 700 mg. Cette autorisation est accordée malgré des écarts identifiés par rapport au référentiel de sécurité, notamment sur certaines mesures techniques et organisationnelles. Le responsable de traitement doit mettre en conformité ces mesures de sécurité dans un délai de six mois et respecter les durées de conservation spécifiques définies pour les données.
DT-2025-003
La CNIL autorise la société BIWAKO à mettre en œuvre un entrepôt de données de santé nommé « Datavie » pour des recherches dans le domaine de la santé, notamment pour le développement de modèles d'intelligence artificielle diagnostique. La décision constate des non-conformités sur la base légale et certaines mesures de sécurité, qui font l'objet d'un examen spécifique dans l'autorisation. Le traitement est licite au regard de l'intérêt public et sous réserve que chaque futur projet de recherche fasse l'objet des formalités préalables requises.
DT-2025-002