274délibérations de la Commission nationale de l'informatique et des libertés.
274
Total délibérations
274
En vigueur
283
Avec résumé IA
La CNIL autorise les Hospices Civils de Lyon, le CHU de Poitiers, l'Université d'Aix-Marseille et l'INSERM à mettre en œuvre l'entrepôt de données de santé "BANCCO+". Cette autorisation concerne un traitement à des fins d'aide au diagnostic des maladies rares génétiques et de recherche. La durée de conservation des données est fixée à trente ans, dérogeant au référentiel habituel mais justifiée par les finalités médicales.
DT-2025-010
La CNIL autorise la société BRISTOL MYERS SQUIBB à mettre en œuvre un traitement de données personnelles pour la pharmacovigilance. Cette autorisation est accordée malgré un écart au référentiel général, à savoir la collecte de données génétiques, jugée nécessaire pour l'évaluation médicale de certains effets indésirables. La décision impose des mesures de sécurité strictes, incluant une authentification forte des utilisateurs et le chiffrement des données au repos et en transit.
DT-2025-012
La CNIL rend un avis sur un projet de mesure législative, saisi par le Ministère du Travail, de la Santé, des Solidarités et des Familles, visant à modifier l'article L. 134 D du livre des procédures fiscales. Ce projet vise à fusionner les listes d'organismes sociaux habilités à accéder aux bases de données fiscales sensibles (FICOVIE, BNDP, PATRIM/PATUELA) pour lutter contre la fraude aux prestations sociales. La CNIL estime que la finalité de lutte contre la fraude est légitime et que les garanties prévues (accès strictement limité à des agents désignés pour des missions spécifiques) sont appropriées. Elle émet toutefois une réserve sur la vigilance nécessaire quant à la mise en œuvre concrète de ces accès, compte tenu du caractère sensible des données et du contexte actuel en matière de sécurité.
2025-071
La CNIL rend un avis sur un projet de mesure législative du Ministère du Travail visant à lutter contre la fraude au financement des formations via le Compte Personnel de Formation (CPF). Le projet prévoit l'obligation de communiquer au système d'information du CPF (SI-CPF) de nouvelles données relatives à l'inscription et à la présence aux examens de certification. La Commission estime que ce projet, qui implique un traitement de données à caractère personnel, ne soulève pas d'objection particulière au regard de la réglementation sur la protection des données, considérant que la finalité de lutte contre la fraude est légitime et que les mesures sont proportionnées.
2025-072
La CNIL rend un avis sur un projet de loi modifiant le code de la sécurité sociale, saisi par la Direction de la sécurité sociale. Le projet vise à encadrer les traitements de données de santé par les organismes d'assurance maladie complémentaire (OCAM) pour la liquidation des dépenses et la lutte contre la fraude, ainsi qu'à renforcer la coopération avec les organismes d'assurance maladie obligatoire (OAMO). La CNIL accueille favorablement ce projet qui sécurise des traitements existants, mais recommande de préciser et d'ajouter certaines garanties pour les droits des personnes, notamment si un intermédiaire centralisé devait avoir accès aux données de l'ensemble des assurés.
2025-074
La CNIL a émis un avis à la demande du Ministère de l'économie, des finances et de la souveraineté industrielle et numérique sur un projet de loi transposant la directive européenne relative aux bénéficiaires effectifs. Elle considère que les dispositions du projet sont globalement conformes au RGPD et à la loi "Informatique et Libertés", notamment car elles limitent l'accès aux données. Toutefois, la CNIL recommande d'ajouter une obligation d'information préalable des personnes concernées en cas de levée de la confidentialité de leurs données, afin de leur permettre d'exercer leurs droits.
2025-073
Le ministère de l'Europe et des affaires étrangères a saisi la CNIL pour un avis sur un projet de décret reconduisant et étendant une expérimentation de renouvellement dématérialisé du passeport pour les Français résidant à l'étranger. La CNIL émet un avis favorable à cette reconduction de deux ans et à son extension à l'Australie et l'Espagne, tout en soulignant les risques inhérents de fraude et d'usurpation d'identité liés à l'absence de comparution physique. Elle recommande de préciser les garanties concernant l'accès aux registres consulaires et d'évaluer l'efficacité des mesures anti-fraude à l'issue de cette nouvelle phase.
2025-076
La CNIL a émis un avis sur un projet de décret du ministère du Travail, de la Santé, des Solidarités et des Familles concernant la création de la base de données nationale des agréments en vue d'adoption (BDNA). Elle considère que le traitement des données relève d'une mission d'intérêt public et invite le ministère à modifier le projet pour exclure le droit d'opposition et pour expliciter le traitement des données sensibles et des données relatives aux infractions. La CNIL questionne également la nécessité des durées de conservation proposées et invite à les réduire.
2025-075
La CNIL a sanctionné les sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED pour des manquements liés au service Gmail et aux pratiques de ciblage publicitaire. Les manquements constatés concernent principalement le défaut de base légale pour le traitement des contenus des emails des utilisateurs à des fins publicitaires, ainsi que des insuffisances dans l'information fournie et le défaut de garantie du droit d'opposition. La formation restreinte a prononcé une amende de 200 millions d'euros à l'encontre des deux sociétés et leur a enjoint de mettre leur traitement en conformité avec le RGPD.
SAN-2025-004
La CNIL a sanctionné la société INFINITE STYLES SERVICES CO. LIMITED, responsable du site web "shein.com" pour le marché européen, pour des manquements au RGPD et à la loi Informatique et Libertés. Les manquements constatés concernent principalement le traitement des données des mineurs, l'information des personnes et le respect du droit d'opposition. La formation restreinte de la CNIL a prononcé une amende administrative de 10 millions d'euros à l'encontre de la société.
SAN-2025-005
La CNIL autorise l'Institut de Recherches Internationales Servier à mettre en œuvre un traitement de données pour l'étude clinique pédiatrique "KANDLE". Cette autorisation est accordée malgré des dérogations à la méthodologie de référence concernant le traitement d'enregistrements vidéo identifiants et leurs destinataires. Des conditions strictes sont imposées, notamment la séparation des données identifiantes, un accès limité et la suppression des vidéos dans un délai de trois mois après la fin de l'étude.
DR-2025-197
La CNIL autorise la société Bristol Myers Squibb à mettre en œuvre un traitement de données pour l'étude "RePhlect-SNDS". Ce traitement, qui présente un caractère d'intérêt public, implique l'accès et l'appariement probabiliste aux données du SNIIRAM et du PMSI (SNDS) pour les années 2020 à 2031. L'autorisation est soumise à des conditions strictes, notamment un avis favorable du comité éthique, une durée d'accès limitée à deux ans, et le respect des référentiels de sécurité et des droits des personnes concernées.
DR-2025-198
La CNIL autorise l'Assistance Publique - Hôpitaux de Paris (AP-HP) à mettre en œuvre un traitement de données pour l'étude de recherche en santé "PREVI". L'autorisation est accordée malgré un point de non-conformité à la méthodologie de référence concernant l'accès d'un sous-traitant aux données directement identifiantes, sous réserve de conditions strictes de séparation et de sécurité. Les données identifiantes seront détruites après les entretiens, tandis que les autres données seront conservées en base active pendant sept ans et trois mois, puis archivées pendant quinze ans.
DR-2025-199
La CNIL autorise l'Institut Gustave Roussy à mettre en œuvre un traitement de données pour l'étude de recherche en santé « TOLERATE ». L'autorisation est accordée malgré un point de non-conformité à la méthodologie de référence concernant l'utilisation de données directement identifiantes pour un suivi dématérialisé. La décision impose des garanties strictes, notamment la séparation des bases de données et une durée de conservation limitée pour les données d'identification.
DR-2025-196
L'ASSISTANCE PUBLIQUE HOPITAUX DE PARIS (AP-HP) a obtenu une autorisation de la CNIL pour un traitement de données à des fins de recherche dans le domaine de la santé. Cette autorisation concerne l'étude "IMPREST", visant à évaluer l'impact médico-économique d'un programme de restauration fonctionnelle pour la lombalgie chronique. Le traitement est autorisé sous réserve du respect de conditions spécifiques, notamment concernant la gestion séparée des données directement identifiantes et des données de santé, ainsi que des durées de conservation définies (destruction des données nominatives à la fin du suivi, conservation des autres données en base active pendant huit ans puis en archivage pendant quinze ans).
DR-2025-194
La CNIL autorise l'Assistance Publique - Hôpitaux de Paris (AP-HP) à mettre en œuvre un traitement de données pour l'étude "COGNIPULM" sur les plaintes cognitives des patients atteints d'un cancer bronchique. L'autorisation est accordée sous conditions, notamment concernant la gestion séparée des données directement identifiantes et l'information complète des participants. Aucune sanction n'est infligée, mais le traitement doit respecter les durées de conservation spécifiées (5 ans en base active, 15 ans en archivage) et les modalités encadrant l'accès aux données identifiantes.
DR-2025-195
Le Centre Hospitalier Universitaire (CHU) de Montpellier a obtenu une autorisation de la CNIL pour mener l'étude "DESIRE MS", une recherche sur la sclérose en plaques. Le traitement implique l'accès aux données du SNIIRAM et du PMSI (SNDS) de 2025 à 2030 et l'utilisation du NIR pour l'appariement des données. L'autorisation est soumise à des conditions strictes, notamment un circuit d'appariement sécurisé via un tiers de confiance, la non-conservation du NIR après appariement, et l'enregistrement du traitement sur la Plateforme des données de santé.
DR-2025-185
L'Assistance Publique - Hôpitaux de Paris (AP-HP) a obtenu une autorisation de la CNIL pour mettre en œuvre un traitement de données de santé dans le cadre de l'étude de recherche "DIMREATOX". Cette autorisation est accordée malgré une non-conformité ponctuelle concernant les modalités d'information initiale des patients, qui sera délivrée à leur représentant légal si nécessaire puis au patient dès que son état le permet. Le traitement est autorisé pour une durée en base active de 4 ans et 7 jours, suivie d'une période d'archivage de 25 ans.
DR-2025-190
Le Centre Hospitalier Universitaire de Brest a obtenu une autorisation de la CNIL pour modifier un traitement de données dans le cadre d'une étude de recherche sur la maladie veineuse thromboembolique (projet européen MORPHEUS). La modification autorisée consiste en l'ajout d'un sous-traitant chargé de la pseudonymisation des données d'imagerie, constituant une modification substantielle du traitement initial. Cette autorisation est accordée sous réserve du maintien des autres conditions de l'étude et fait suite à un avis favorable du comité éthique et scientifique compétent.
DR-2025-191
L'Institut National de la Santé et de la Recherche Médicale (INSERM) est autorisé par la CNIL à mettre en œuvre un traitement de données pour l'étude "HHAVOC" sur la vulnérabilité du bâti à la chaleur et la consommation de soins. L'autorisation est accordée malgré un écart à la méthodologie de référence concernant la transmission d'adresses postales identifiantes au Centre Scientifique et Technique du Bâtiment (CSTB) pour un appariement. Le traitement est strictement encadré : les adresses ne seront pas conservées après l'appariement, et les autres données seront conservées deux ans en base active, avec une information préalable et annuelle des personnes concernées via la cohorte Constances.
DR-2025-192