274délibérations de la Commission nationale de l'informatique et des libertés.
274
Total délibérations
274
En vigueur
283
Avec résumé IA
La CNIL autorise l'ASSISTANCE PUBLIQUE - HÔPITAUX DE PARIS à mettre en œuvre un traitement de données pour l'étude clinique « IRON-DEP » sur l'anémie et la dépression post-partum. L'autorisation est accordée malgré un écart à la méthodologie de référence concernant l'accès d'un sous-traitant aux données directement identifiantes. Des garanties strictes sont imposées, notamment la séparation des bases de données et un accès limité, avec des durées de conservation définies (6 ans en base active, 25 ans en archivage).
DR-2025-069
La CNIL autorise l'Assistance Publique - Hôpitaux de Paris (AP-HP) à mettre en œuvre un traitement de données pour l'étude de recherche en santé « FEMIDIP ». L'autorisation est accordée sous réserve de conditions spécifiques, notamment concernant la gestion séparée des données directement identifiantes et des données de santé, ainsi que la limitation des accès. Les durées de conservation des données sont strictement définies, avec une destruction des données nominatives à la fin du suivi des participants.
DR-2025-067
Le Centre Hospitalier Universitaire de Bordeaux a obtenu une autorisation de la CNIL pour un traitement de données dans le cadre de l'étude "IHTALi" sur l'impact d'une intervention de littératie en santé chez des patients hypertendus. L'autorisation est accordée malgré un écart à la méthodologie de référence concernant la transmission des données directement identifiantes (nom, prénom, coordonnées) à un chargé d'études pour le volet qualitatif, sous réserve de conditions strictes de séparation et de sécurité. Les durées de conservation sont fixées à 5 ans en base active et 15 ans en archivage, avec destruction des données identifiantes à la fin du suivi et des enregistrements vocaux après retranscription.
DR-2025-068
La CNIL autorise l'Assistance Publique - Hôpitaux de Paris (AP-HP) à mettre en œuvre un traitement de données pour l'étude AMBUMIC sur la prise en charge des maladies inflammatoires chroniques intestinales. L'autorisation est accordée malgré un point de non-conformité concernant l'accès d'un sous-traitant aux données directement identifiantes, qui est soumis à des conditions strictes de séparation et de sécurité. Le traitement doit respecter la méthodologie de référence MR-003, avec des durées de conservation définies (5 ans en base active, 15 ans en archivage) et une information complète des participants.
DR-2025-064
L'Assistance Publique - Hôpitaux de Paris (AP-HP) a reçu une autorisation de la CNIL pour mettre en œuvre un traitement de données à caractère personnel dans le cadre de l'étude "BYQoL-GC" sur la qualité de vie après une gastrectomie partielle pour cancer gastrique. Cette autorisation est accordée sous réserve du respect de conditions spécifiques, notamment concernant l'accès séparé et sécurisé aux données directement identifiantes par un sous-traitant. Les durées de conservation des données sont strictement encadrées, avec une destruction des données nominatives à la fin du suivi et une conservation des autres données en base active pour huit ans, puis en archivage pour quinze ans.
DR-2025-065
La CNIL autorise l'Institut National de la Santé et de la Recherche Médicale (INSERM) à mettre en œuvre le traitement de données pour l'étude JASMIN, qui vise à comparer l'état de santé des personnes vivant avec le VIH à celui de la population générale. L'autorisation couvre la réutilisation de données issues de la cohorte CONSTANCES et du SNDS, ainsi que le traitement de catégories particulières de données (orientation sexuelle, origine ethnique) justifiées scientifiquement. Des dérogations à l'information individuelle sont accordées pour les proches des participants, avec obligation de publier une note d'information sur le site web dédié, et la durée d'accès aux données est fixée à cinq ans.
DR-2025-061
La CNIL autorise l'Assistance Publique – Hôpitaux de Marseille à mettre en œuvre un traitement de données pour l'étude "PAREN" sur les parents d'enfants prématurés. L'autorisation est accordée malgré un écart à la méthodologie de référence concernant le traitement de données vidéo et vocales, qui constituent des catégories particulières de données. Le traitement est soumis à des conditions strictes, notamment la séparation des bases de données, la durée limitée de conservation des enregistrements (10 ans maximum), et l'obligation d'un consentement spécifique des titulaires de l'autorité parentale.
DR-2025-062
Le Centre Hospitalier Universitaire de Nantes est autorisé par la CNIL à mettre en œuvre un traitement de données pour l'étude "OSCAR", visant à évaluer un outil de suivi cardiopédiatrique à domicile. L'autorisation est accordée malgré des dérogations à la méthodologie de référence MR-001 concernant la nature des données et certains destinataires. Des conditions strictes sont imposées, notamment la séparation des données identifiantes, une durée de conservation limitée et une information renforcée des parents des mineurs participants.
DR-2025-063
La CNIL émet un avis favorable sur un projet de décret du ministère de la justice modifiant le décret d'application de la loi "Informatique et Libertés". Ce projet vise à adapter l'organisation interne de la CNIL, notamment en étendant les délégations de signature et en abaissant le quorum de sa formation restreinte, pour fluidifier ses procédures face à l'augmentation du volume d'activité. Il intègre également les nouvelles compétences de la CNIL concernant les fournisseurs de plateformes en ligne au titre du règlement sur les services numériques (DSA). La CNIL prend acte de l'engagement du gouvernement à modifier la rédaction pour garantir le droit d'être entendu dans le cadre de la nouvelle procédure d'injonction provisoire.
2025-025
La CNIL rend un avis sur un projet de décret du ministère de la Justice concernant l'application ASTREA, le nouveau système du Casier Judiciaire National automatisé. Le projet encadre notamment la gestion des empreintes digitales et la création de "marqueurs" pour les condamnations terroristes ou graves dans le cadre du système européen ECRIS-TCN. La CNIL recommande la mise en place d'un mécanisme automatisé pour vérifier le respect des délais d'effacement de ces marqueurs sensibles et prend acte de la reconnaissance de l'identifiant de personne physique (IDPP) comme donnée personnelle.
2025-023
La CNIL autorise la société INSMED FRANCE SAS à mettre en œuvre un traitement de données personnelles pour la gestion d'un cadre de prescription compassionnelle du médicament ARIKAYCE. Le traitement, jugé d'intérêt public, présente une non-conformité mineure au référentiel (champ d'application et finalité) mais est globalement validé. L'autorisation est soumise à des conditions strictes, notamment l'information des patients et des professionnels de santé, et l'obligation de saisir la CNIL pour toute réutilisation future des données.
DT-2025-004
La CNIL autorise la société Les Laboratoires Grunenthal à mettre en œuvre un traitement de données pour la gestion d'un cadre de prescription compassionnelle du médicament VERSATIS 700 mg. Cette autorisation est accordée malgré des écarts identifiés par rapport au référentiel de sécurité, notamment sur certaines mesures techniques et organisationnelles. Le responsable de traitement doit mettre en conformité ces mesures de sécurité dans un délai de six mois et respecter les durées de conservation spécifiques définies pour les données.
DT-2025-003
La CNIL autorise la société BIWAKO à mettre en œuvre un entrepôt de données de santé nommé « Datavie » pour des recherches dans le domaine de la santé, notamment pour le développement de modèles d'intelligence artificielle diagnostique. La décision constate des non-conformités sur la base légale et certaines mesures de sécurité, qui font l'objet d'un examen spécifique dans l'autorisation. Le traitement est licite au regard de l'intérêt public et sous réserve que chaque futur projet de recherche fasse l'objet des formalités préalables requises.
DT-2025-002
La CNIL autorise les Hospices Civils de Lyon à mettre en œuvre un traitement de données à caractère personnel pour l'étude TAOIST, portant sur les complications liées aux doses de médicaments immunosuppresseurs. L'autorisation concerne un accès spécifique aux données du SNIIRAM et du PMSI (SNDS) pour les années 2025 à 2032, dérogeant à la méthodologie de référence MR-001 sur le point de l'appariement probabiliste. Le traitement est soumis à des conditions strictes, notamment la fourniture d'une information aux participants et des durées de conservation limitées (5 ans pour les données SNDS).
DR-2025-002
La CNIL rend un avis sur un projet de décret du ministère de l'Économie concernant le PEReN (Pôle d'expertise de la régulation numérique). Ce projet vise à étendre les pouvoirs de collecte automatisée de données publiquement accessibles (moissonnage) du PEReN à ses activités de recherche publique, en plus de ses activités d'expérimentation déjà autorisées. Il prévoit également l'application des mêmes garanties et obligations de protection des données pour ces nouvelles activités de recherche.
2024-066
La société X, éditrice de sites de jeux-concours et de tests de produits, a fait l'objet d'une injonction de la CNIL pour mettre en conformité ses formulaires de collecte de consentement. La formation restreinte a examiné les trois nouveaux formulaires proposés par la société suite à cette injonction. Elle a considéré que ces formulaires permettaient désormais un choix éclairé, levant ainsi l'astreinte qui avait été prononcée.
SAN-2024-007
La CNIL a sanctionné la société X, filiale du groupe Y spécialisée dans la vente de matériel de télécommunication, pour plusieurs manquements au RGPD et à la loi Informatique et Libertés liés à ses campagnes de prospection téléphonique et par SMS. Les manquements relevés concernent principalement l'absence de base légale pour le traitement des données de prospection, le défaut d'information des personnes et l'absence de coopération avec la CNIL. La formation restreinte a prononcé une amende administrative de 250 000 euros et assorti cette sanction d'une injonction de mettre en conformité ses traitements dans un délai de trois mois.
SAN-2024-004
La CNIL a sanctionné la société X, une filiale commercialisant des programmes de fidélité, pour des manquements au RGPD. Les manquements concernaient l'absence de base légale pour des opérations de prospection téléphonique (article 6) et le défaut de sécurité des données (article 32). La formation restreinte a prononcé une amende administrative et a ordonné la publication de la décision.
SAN-2024-003
La société x, éditrice d'un site web immobilier, a fait l'objet d'une sanction par la formation restreinte de la CNIL. Les manquements constatés concernent le non-respect des principes de limitation de la conservation des données, d'information des personnes, de sécurité des traitements, ainsi que des obligations liées aux sous-traitants et aux communications électroniques. En conséquence, la société s'est vu infliger une amende de 250 000 euros et une injonction de se mettre en conformité sous astreinte.
SAN-2024-002
L'organisme concerné est l'Autorité de régulation des transports (ART). La CNIL émet un avis favorable sur un projet de décret autorisant l'ART à collecter automatiquement des données publiquement accessibles auprès des services d'information multimodaux pour ses missions de contrôle. La CNIL salue les garanties prévues pour limiter et supprimer immédiatement toute collecte incidente de données personnelles. Elle recommande également que l'ART informe le public de ces collectes automatisées sur son site web.
2024-007