Délibérations CNIL

La CNIL rend un avis sur l'article 34 d'un projet de loi du ministère de l'Économie, qui désigne l'ARCEP comme autorité compétente pour l'application du règlement européen sur les données. La délibération souligne la nécessité d'une coopération entre l'ARCEP et la CNIL pour assurer une application cohérente de ce règlement. Elle considère comme pertinente une disposition facilitant l'échange d'informations entre les deux autorités, tout en prévoyant que la communication de données sensibles sera limitée aux cas strictement nécessaires.

2025-090

DélibérationAvisEn vigueur16 octobre 2025

Délibération n° 2025-097 du 16 octobre 2025 portant avis sur un projet de décret portant autorisation d'un traitement automatisé de données à caractère personnel dénommé « Visioplainte » et modifiant le code de procédure pénale

La CNIL émet un avis sur le projet de décret autorisant le traitement « Visioplainte », porté par le ministère de l'Intérieur, qui permet le dépôt de plainte par visioconférence. Elle relève que le traitement, qui peut inclure des données sensibles, est entouré de garanties satisfaisantes (sécurité, durée de conservation). La CNIL demande néanmoins des améliorations sur l'information des personnes concernées et une meilleure prise en compte des risques d'usurpation d'identité.

2025-097

DélibérationAvisEn vigueur16 octobre 2025

Délibération n° 2025-091 du 16 octobre 2025 portant avis sur un projet de décret relatif à l'expérimentation de caméras frontales embarquées sur les matériels roulants de transport guidé urbain

La CNIL émet un avis sur un projet de décret du ministère de l'aménagement du territoire et de la décentralisation, concernant une expérimentation de caméras frontales sur les tramways. Elle constate que le projet reprend globalement les garanties essentielles (comme la pseudonymisation et la durée de conservation limitée) issues d'un précédent cadre ferroviaire. La CNIL recommande toutefois de préciser certaines modalités techniques pour harmoniser les pratiques entre opérateurs et souligne l'importance d'un rapport d'évaluation détaillé qui devra lui être transmis.

2025-091

DélibérationAvisEn vigueur16 octobre 2025

Délibération n° 2025-098 du 16 octobre 2025 portant avis sur un projet de décret portant modification de certaines dispositions relatives à l'hébergement de données de santé à caractère personnel

La CNIL émet un avis favorable sur un projet de décret du Ministère du Travail, de la Santé, des Solidarités et des Familles concernant l'hébergement des données de santé. Ce projet renforce les obligations existantes, notamment en imposant l'hébergement physique des données exclusivement dans l'UE ou l'EEE et en précisant les informations obligatoires dans les contrats. La Commission salue ces mesures qui visent à accroître la transparence et la maîtrise des données face aux risques d'accès extra-européens.

2025-098

DélibérationEn vigueur9 octobre 2025

Délibération n° 2025-086 du 9 octobre 2025 portant approbation du transfert de l’agrément du Laboratoire national de métrologie et d’essai (LNE) en tant qu’organisme de contrôle du code de conduite européen porté par CISPE (Cloud Infrastructure Service Providers Europe) à BYCYB (demande d’approbation n° 25015551)

La CNIL approuve le transfert de l'agrément du Laboratoire national de métrologie et d'essai (LNE) à la société BYCYB. Cette décision permet à BYCYB de reprendre l'activité de contrôle du code de conduite européen CISPE pour les fournisseurs de services cloud. Aucun manquement n'est constaté et aucune sanction n'est prononcée dans le cadre de ce transfert d'agrément.

2025-086

DélibérationEn vigueur9 octobre 2025

Délibération n° 2025-088 du 09 octobre 2025 portant avis sur un projet de traitement à des fins de recherche scientifique dans le cadre d’un laboratoire commun d’expérimentation (SYNAPSES)

Le Centre national de la recherche scientifique (CNRS) a saisi la CNIL pour un avis préalable sur un traitement de données à des fins de recherche scientifique dans le cadre du laboratoire commun SYNAPSES avec Ouest-France. La CNIL a émis un avis favorable, reconnaissant la légitimité des finalités de recherche, tout en formulant des observations sur le respect du principe de minimisation des données et sur la garantie du droit à la rectification. Aucune sanction n'est mentionnée, cette délibération constituant un avis consultatif sur le projet de traitement.

2025-088

DélibérationEn vigueur2 octobre 2025

Délibération n° 2025-087 du 2 octobre 2025 autorisant la Société française de cardiologie à modifier un traitement automatisé de données à caractère personnel ayant pour finalité la constitution d’un entrepôt de données de santé, dénommé « Cardiohub » (Demande d’autorisation n° 2222005v4)

La CNIL autorise la Société française de cardiologie (SFC) à modifier son entrepôt de données de santé "Cardiohub". Cette modification consiste à intégrer les données de patients atteints de cardiomyopathie hypertrophique issues de l'observatoire Remy, collectées entre 2010 et 2024. La décision acte cette extension de la population de données, les autres conditions de mise en œuvre du traitement restant inchangées.

2025-087

DélibérationAvisEn vigueur2 octobre 2025

Délibération n° 2025-085 du 2 octobre 2025 portant avis sur un projet de décret relatif à l'usage de caméras individuelles par les agents mentionnés au 4° du I de l'article L. 2241-1 du code des transports, par les agents de l'exploitant du service de transport ou de l'entreprise de transport exerçant des missions de nature équivalente à celles exercées par les agents mentionnés au même 4° et par les agents des services internes de sécurité de la SNCF et de la Régie autonome des transports parisiens

La CNIL émet un avis sur un projet de décret du ministère de l'aménagement du territoire et de la décentralisation concernant l'usage de caméras individuelles par les agents de sécurité et les agents assermentés des opérateurs de transport. Elle considère que le projet devra être complété, notamment sur les motifs de déclenchement des enregistrements et les droits des personnes filmées. La CNIL recommande également au ministère d'harmoniser les doctrines d'emploi de ces caméras par les différents opérateurs.

2025-085

DélibérationAvisEn vigueur25 septembre 2025

Délibération n° 2025-092 du 25 septembre 2025 portant avis sur un projet de décret relatif aux données et informations de circulation et de sécurité routières visées à l’article L. 1513-2 du code des transports pour l’application des règlements (UE) 2022/670, (UE) 886/2013 et (UE) 885/2013 et aux articles D. 1514-1, D 1514-2 et D 1514-3 du code des transports

La CNIL émet un avis sur un projet de décret du Ministère de l'aménagement du territoire et de la décentralisation concernant la mise à disposition de données de trafic routier. Elle constate que le projet prévoit des niveaux de garantie différents pour deux finalités distinctes (services d'information routière et missions de service public). La Commission recommande d'harmoniser ces garanties, notamment en imposant une anonymisation systématique en amont, de clarifier les responsabilités des acteurs et d'assurer la conformité avec la directive sur la vie privée et les communications électroniques.

2025-092

DécisionAutorisation de rechercheEn vigueur25 septembre 2025

Décision DR-2025-216 du 25 septembre 2025 autorisant la FEDERATION ANTADIR à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur l’évolution de la prise en charge des enfants traités par ventilation non invasive, nécessitant un accès aux données du SNIIRAM, du PMSI et de Vaccin-Covid, composantes du Système national des données de santé (SNDS), pour les années 2007 à 2024, intitulée « VIVRE ». (Demande d’autorisation n° 925193)

La CNIL autorise la FEDERATION ANTADIR à mettre en œuvre un traitement de données pour l'étude "VIVRE", portant sur l'évolution de la prise en charge des enfants sous ventilation non invasive. L'autorisation concerne l'accès aux données du SNIIRAM, du PMSI et de Vaccin-Covid (SNDS) pour la période 2007-2024. La décision impose des conditions strictes, notamment l'hébergement par la Plateforme de données de santé (PDS), une information du public via les sites web (en dérogation de l'information individuelle), et la destruction des données après trois ans d'accès.

DR-2025-216

DélibérationDisposition interne CNILEn vigueur25 septembre 2025

Délibération n° HABS-2025-005 du 25 septembre 2025 habilitant des agents de la Commission nationale de l'informatique et des libertés à établir un rapport en application du cinquième alinéa de l'article 22-1 de la loi n° 78-17 du 6 janvier 1978 modifiée

La CNIL habilite des agents de sa direction des contrôles et des sanctions à établir des rapports dans le cadre de ses pouvoirs de contrôle. Cette délibération interne, prise en application de l'article 22-1 de la loi Informatique et Libertés, désigne nominativement vingt-deux agents. Les habilitations sont accordées pour une durée de cinq ans et remplacent une précédente décision.

HABS-2025-005

DélibérationEn vigueur25 septembre 2025

Délibération n° 2025-084 du 25 septembre 2025 portant avis sur un projet de loi portant diverses dispositions d’adaptation au droit de l’Union européenne en matière de transparence de la publicité politique ciblée

La CNIL a été saisie par le ministère de la Culture d'un projet de loi visant à adapter le droit français au règlement européen sur la transparence de la publicité politique ciblée. Elle émet un avis favorable, saluant notamment la prévision d'une convention entre autorités compétentes. La Commission recommande toutefois des clarifications rédactionnelles, notamment pour mieux mentionner les sous-traitants et le caractère "en ligne" des activités concernées. Le projet de loi confirme la CNIL comme autorité de contrôle pour les obligations liées au ciblage politique en ligne et étend ses pouvoirs de sanction en la matière.

2025-084

DélibérationEn vigueur25 septembre 2025

Délibération n° HAB-2025-005 du 25 septembre 2025 habilitant des agents de la Commission nationale de l'informatique et des libertés à procéder à des missions de vérification

La CNIL habilite plusieurs de ses agents à procéder à des missions de vérification, conformément à l'article 19 de la loi Informatique et Libertés. Cette délibération, de nature interne, liste nominativement les agents concernés, issus de diverses directions (contrôles, technologies, exercice des droits). Elle ne sanctionne pas un manquement mais organise légalement le pouvoir de contrôle de l'autorité. Aucune sanction n'est donc prononcée dans ce texte.

HAB-2025-005

DélibérationAvisEn vigueur25 septembre 2025

Délibération n° 2025-093 du 25 septembre 2025 portant avis sur un projet de décret relatif à la numérisation des données et informations de circulation et de sécurité routières visées à l'article L. 1513-2 du code des transports

La CNIL émet un avis sur un projet de décret du ministère de l'aménagement du territoire et de la décentralisation concernant la numérisation des données de circulation routière. Elle recommande de clarifier les responsabilités des acteurs pour les traitements de données personnelles en amont de la mise à disposition. Elle invite également à limiter l'obligation de numérisation aux données collectées après l'entrée en vigueur du décret et à préciser les conditions d'anonymisation des données transmises.

2025-093

DélibérationEn vigueur25 septembre 2025

Délibération n° 2025-083 du 25 septembre 2025 portant avis sur un projet de loi relatif à l’extension des compétences des polices municipales et des gardes champêtres

La CNIL a émis un avis sur un projet de loi du ministère de l'Intérieur visant à étendre les compétences des polices municipales et des gardes champêtres. Elle prend acte de certaines garanties, comme la tenue d'un registre pour l'expérimentation des caméras aéroportées (drones) par la police municipale, mais recommande de préciser leurs finalités. La Commission souligne la nécessité d'un encadrement strict des dispositifs de lecture automatisée des plaques d'immatriculation (LAPI) et regrette de ne pas avoir reçu le rapport d'expérimentation concernant la pérennisation des caméras individuelles pour les gardes champêtres.

2025-083

DélibérationEn vigueur25 septembre 2025

Délibération n° 2025-084 du 25 septembre 2025 portant avis sur un projet de loi portant diverses dispositions d’adaptation au droit de l’Union européenne en matière de transparence de la publicité politique ciblée

La CNIL a été saisie par le ministère de la Culture d'un projet de loi transposant le règlement européen sur la transparence de la publicité politique ciblée. Elle émet un avis favorable, saluant notamment la prévision d'une convention entre autorités compétentes. La Commission recommande toutefois des clarifications rédactionnelles, notamment pour mieux mentionner les sous-traitants et le caractère "en ligne" des activités concernées. Le projet de loi confirme et précise le rôle de la CNIL en tant qu'autorité de contrôle nationale pour les obligations liées au ciblage politique en ligne.

2025-084

DécisionAutorisation de rechercheEn vigueur24 septembre 2025

Décision DR-2025-209 du 24 septembre 2025 autorisant l’ASSISTANCE PUBLIQUE HOPITAUX DE PARIS à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur l’efficacité d’un suivi par messagerie texte automatisée sur la limitation d’activité des patients lombalgiques chroniques, intitulée « LOMBATEXT ». (Demande d’autorisation n° 925217)

La CNIL autorise l'Assistance Publique Hôpitaux de Paris (AP-HP) à mettre en œuvre un traitement de données pour l'étude de recherche en santé « LOMBATEXT ». L'autorisation est accordée malgré un point de non-conformité à la méthodologie de référence concernant l'accès de deux sous-traitants aux données directement identifiantes. Des garanties strictes sont imposées, notamment la séparation des bases de données et la limitation des accès. Les durées de conservation des données sont fixées, avec une destruction des données identifiantes à la fin du suivi des patients.

DR-2025-209

DécisionAutorisation de rechercheEn vigueur24 septembre 2025

Décision DR-2025-214 du 24 septembre 2025 autorisant le CENTRE HOSPITALIER UNIVERSITAIRE DE BORDEAUX à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur la coordination et des besoins en soins primaires pour la prise en charge des victimes de violences entre partenaires intimes en ex-Aquitaine, sur l’île de La Réunion et en Polynésie française, intitulée « AQUREPOL-VPI ». (Demande d’autorisation n° 925121)

Le Centre Hospitalier Universitaire de Bordeaux a obtenu une autorisation de la CNIL pour un traitement de données dans le cadre de l'étude de recherche en santé « AQUREPOL-VPI ». Cette autorisation concerne spécifiquement le traitement de données sensibles, notamment des enregistrements vocaux identifiants, et l'accès à des données directement identifiantes par des internes de médecine générale. La décision impose des conditions strictes, comme la séparation des bases de données, la limitation des accès, et des durées de conservation définies (destruction après retranscription pour les enregistrements, 5 ans en base active, 15 ans en archivage).

DR-2025-214

DécisionAutorisation de rechercheEn vigueur24 septembre 2025

Décision DR-2025-215 du 24 septembre 2025 autorisant le CENTRE HOSPITALIER UNIVERSITAIRE DE TOURS à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur la comparaison entre l’oxygénation apnéique et l’oxygénothérapie nasale à haut débit après préoxygénation par ventilation non invasive avant intubation de patients hypoxémique en réanimation, intitulée « APNEIC ». (Demande d’autorisation n° 925224)

Le Centre Hospitalier Universitaire de Tours a obtenu une autorisation de la CNIL pour un traitement de données à caractère personnel dans le cadre de l'étude de recherche clinique « APNEIC ». Cette autorisation est accordée malgré une dérogation concernant l'information préalable des patients en situation d'urgence vitale, qui devront être informés dès que leur état le permettra. Le traitement est soumis à des durées de conservation spécifiques : cinq ans et un mois en base active, puis vingt-cinq ans en archivage.

DR-2025-215

DécisionAutorisation de rechercheEn vigueur24 septembre 2025

Décision DR-2025-217 du 24 septembre 2025 autorisant l’ASSISTANCE PUBLIQUE HOPITAUX DE PARIS à mettre en œuvre la modification d’un traitement de données ayant pour finalité une étude portant sur l’optimisation et le management des opérations médicales, nécessitant un accès aux données du SNIIRAM, du PMSI et du CépiDc, composantes du Système national des données de santé (SNDS), pour les années 2018 à 2023, intitulée « GRO2M ». (Demande d’autorisation n° 924335v1)

L'Assistance Publique Hôpitaux de Paris (AP-HP) a obtenu une autorisation de la CNIL pour modifier un traitement de données de santé. Cette décision permet l'extension de l'étude "GRO2M" sur l'optimisation des opérations médicales, en incluant désormais les données du SNDS (SNIIRAM, PMSI, CépiDc) pour les années 2018 à 2023. L'autorisation, fondée sur un avis favorable du comité éthique et scientifique, confirme que la finalité de l'étude présente un caractère d'intérêt public.

DR-2025-217