234délibérations de la Commission nationale de l'informatique et des libertés.
234
Total délibérations
274
En vigueur
283
Avec résumé IA
La société X, une enseigne de distribution, fait l'objet d'une sanction de la CNIL pour plusieurs manquements au RGPD et à la loi Informatique et Libertés. Les manquements constatés concernent notamment la collecte et le traitement de données personnelles dans le cadre de son programme de fidélité et de son site web. La formation restreinte de la CNIL a prononcé une sanction pécuniaire à l'encontre de la société.
SAN-2025-017
La CNIL a prononcé une sanction pécuniaire à l'encontre de la société NEXPUBLICA FRANCE, éditrice et hébergeuse du progiciel "Public CRM" utilisé par la MDPH du Nord. La sanction fait suite à une violation de données majeure survenue en novembre 2022, où des usagers du portail ont eu accès à des documents personnels concernant des tiers. La décision sanctionne des manquements aux obligations de sécurité et de confidentialité des données de santé et d'action sociale, particulièrement sensibles. Le montant de l'amende n'est pas précisé dans l'extrait fourni.
SAN-2025-015
La CNIL, par cette délibération, modifie sa recommandation de 2020 sur les cookies pour y intégrer des lignes directrices sur le consentement multi-terminaux. Elle précise que ce mécanisme, qui permet d'appliquer les choix de l'utilisateur à tous ses appareils connectés à un compte, est facultatif et ne peut être mis en œuvre que dans un "univers logué" (utilisateur authentifié). La délibération rappelle les conditions de légalité de ce dispositif, qui doit respecter l'ensemble des obligations existantes en matière de recueil du consentement.
2025-131
La CNIL, en tant qu'organisme concerné, a adopté une délibération modifiant son règlement intérieur. Cette décision interne vise à actualiser et clarifier les procédures, sans porter sur des manquements ou des sanctions envers des tiers. Les modifications principales simplifient les formalités préalables pour les traitements de données, précisent le mode de comptabilisation des séances plénières pour les indemnités, et mettent à jour la charte de déontologie concernant la protection des lanceurs d'alerte.
2025-132
La société MOBIUS SOLUTIONS LTD (Optimove) a fait l'objet d'une sanction de la CNIL pour manquements au RGPD suite à une violation de données. Les manquements constatés concernent principalement la sécurité des données, avec une absence de chiffrement approprié ayant conduit à une fuite de données de millions d'utilisateurs de son client Deezer. La formation restreinte de la CNIL a prononcé une amende administrative de 450 000 euros à l'encontre de la société.
SAN-2025-014
La CNIL abroge sa recommandation de 2003 concernant les traitements de données par les registres du cancer, la jugeant obsolète. Cette décision fait suite à l'évolution du cadre juridique, notamment le RGPD et la loi de 2025 instaurant un registre national des cancers. Aucune sanction n'est prononcée, il s'agit d'une mise à jour du cadre normatif.
2025-119
La CNIL autorise la société IQVIA Operations France à renouveler, pour trois ans, l'accès aux données nationales du PMSI afin de réaliser des études de faisabilité pour cibler des établissements de santé pouvant accueillir des essais cliniques ou des études observationnelles. Cette décision unique, prise sur le fondement de l'intérêt légitime et de la recherche scientifique, couvre 150 à 200 traitements annuels et fait suite à une autorisation similaire délivrée en 2022. Aucune sanction n'est mentionnée, l'avis étant favorable sous réserve du respect des garanties légales encadrant l'utilisation du Système National des Données de Santé (SNDS).
2025-120
La CNIL émet un avis sur un projet de décret du Ministère du travail, de la santé, des solidarités et des familles concernant le futur registre national des cancers (RNC), piloté par l'Institut national du cancer (INCa). Elle relève des manquements dans la justification de la nécessité et de la proportionnalité de certaines collectes de données et demande des garanties renforcées, notamment sur l'information des personnes, le droit d'opposition et l'hébergement des données dans l'UE. La Commission s'interroge également sur la durée de conservation des données et la pertinence d'une base commune distincte du registre national.
2025-118
La CNIL autorise la société RESILIENCE SAS à modifier substantiellement son entrepôt de données de santé « Resilience Data Warehouse ». L'autorisation, qui étend les finalités (développement d'IA et mise à disposition pour la recherche), est assortie d'exigences de mise en conformité avec le référentiel de sécurité d'ici mai 2026. La décision impose également un plan d'action correctif pour plusieurs points de non-conformité identifiés, notamment concernant la gouvernance, les sources de données et les durées de conservation.
2025-123
La CNIL a sanctionné la société AMERICAN EXPRESS CARTE FRANCE pour plusieurs manquements au RGPD. Les manquements constatés concernaient principalement l'information insuffisante des personnes, l'exercice difficile des droits, une base légale inappropriée pour certains traitements et des mesures de sécurité inadéquates. La formation restreinte a prononcé une amende de 1 500 000 euros et assorti cette sanction d'une injonction de mise en conformité.
SAN-2025-011
La Commission nationale de l'informatique et des libertés (CNIL) a adopté une délibération habilitant une liste d'agents à procéder à des missions de vérification, conformément à l'article 19 de la loi du 6 janvier 1978. Cette décision, de nature interne, vise à autoriser légalement ces agents à effectuer des contrôles. Aucun manquement n'est relevé et aucune sanction n'est prononcée, car il s'agit d'un acte d'organisation du pouvoir de contrôle de la CNIL.
HAB-2025-006
La CNIL a sanctionné la société LES PUBLICATIONS CONDE NAST pour des manquements liés aux cookies sur son site vanityfair.fr. Les manquements constatés concernaient l'absence de consentement valide pour le dépôt de cookies non exemptés et l'absence d'option permettant de refuser aussi facilement qu'accepter. La formation restreinte a prononcé une amende de 150 000 euros et une injonction de se mettre en conformité sous astreinte.
SAN-2025-010
La CNIL approuve les règles d'entreprise contraignantes (BCR) « responsable du traitement » du groupe Tessi, permettant des transferts de données personnelles vers des pays tiers. Cette approbation est conditionnelle au respect des exigences de l'article 47 du RGPD, notamment la nature juridiquement contraignante des règles pour toutes les entités du groupe et la garantie des droits des personnes concernées. La décision souligne que la responsabilité de vérifier le niveau de protection effectif dans le pays tiers de destination et de mettre en œuvre des mesures supplémentaires si nécessaire incombe à l'exportateur de données.
2025-111
Le ministère de l'Éducation nationale a saisi la CNIL pour un avis sur un projet de décret autorisant le traitement automatisé « Faits établissement », destiné à recueillir et transmettre les signalements d'incidents en milieu scolaire, y compris dans les établissements privés. La CNIL émet un avis favorable, estimant les évolutions légitimes, mais recommande de préciser les finalités du traitement dans le texte du décret. Elle souligne également la nécessité de mettre en place des mesures garantissant la minimisation des données, notamment en raison du caractère subjectif de certaines qualifications d'incidents et de la sensibilité des informations traitées.
2025-110
La CNIL émet un avis sur un projet de décret concernant le service Viginum, saisi par le SGDSN. Elle prend acte des justifications pour l'élargissement des sources de données et l'allongement de leur conservation, estimant que le projet comporte des garanties pour le principe de minimisation. La Commission recommande de préciser les catégories de destinataires des analyses et les personnes ayant accès aux données pour la nouvelle mission de R&D en IA, et rappelle l'importance du contrôle par le comité éthique et scientifique.
2025-108
La CNIL rend un avis sur un projet de décret de l'INSEE modifiant l'encadrement du Répertoire national d'identification des personnes physiques (RNIPP). Elle accueille favorablement le principe de création d'un identifiant unique non signifiant pour faciliter la mise à jour des données d'état-civil par les organismes autorisés, car cela améliore la fiabilité des traitements. Toutefois, la Commission souligne la nécessité d'un cloisonnement strict de ces identifiants et d'une limitation rigoureuse des accès, car ils pourraient révéler à quelles "populations d'intérêt" une personne est rattachée.
2025-107
L'Université de Caen Normandie a sollicité un avis préalable de la CNIL pour un projet de recherche scientifique portant sur l'impact des chiens d'assistance judiciaire lors d'auditions de mineurs victimes. La CNIL émet un avis favorable, tout en formulant des recommandations pour limiter l'atteinte à la vie privée, notamment l'établissement d'une grille de données pertinente. Elle recommande également des mesures de sécurité spécifiques, comme l'interdiction de conservation locale des données et la mise en place de profils d'habilitation stricts.
2025-104
La CNIL autorise la société ALIRA HEALTH à prolonger pour trois ans l'accès aux données nationales du PMSI afin de réaliser des études de faisabilité pour estimer la volumétrie de patients pour des projets de recherche en santé. Cette décision unique renouvelle une autorisation précédente, considérant que les traitements, fondés sur l'intérêt légitime, sont licites et nécessaires à des fins de recherche scientifique. Aucune sanction n'est mentionnée, l'avis étant favorable sous réserve du respect des conditions légales, notamment la minimisation des données et l'encadrement de leur accès.
2025-101
La CNIL émet un avis favorable sur un projet de décret du ministère de l'Intérieur modifiant le traitement "TES" (Titres Électroniques Sécurisés). Les modifications étendent légitimement les finalités du fichier à la lutte contre l'ensemble des procédés de fraude à l'identité et intègrent la vérification en mairie pour l'identité numérique (CNIe). La CNIL relève également que les évolutions améliorent la lisibilité des durées de conservation des données sans les allonger.
2025-100
La CNIL émet un avis sur le projet de décret autorisant le traitement « infoParquet », une plateforme de transmission centralisée des signalements et plaintes vers les autorités judiciaires, porté par le ministère de la Justice. Elle estime que les finalités du traitement sont légitimes, mais relève une difficulté concernant l'énumération exhaustive des catégories de données personnelles collectées, en raison de la grande variété des signalements. La Commission recommande de préciser la typologie des données d'identité traitées et accueille favorablement la mention de la collecte incidente de données dans les documents joints, sous réserve des garanties prévues contre un traitement excessif.
2025-103