283délibérations de la Commission nationale de l'informatique et des libertés.
283
Total délibérations
274
En vigueur
283
Avec résumé IA
La CNIL autorise le **Cabinet Rajaonarivelo** à mettre en œuvre un traitement de données pour une étude sur l'optimisation des injections de toxine botulique par IA. L'autorisation est accordée sous conditions, notamment un avis favorable du comité éthique, le recueil d'un consentement spécifique pour les photographies identifiantes, et leur conservation séparée des données de santé. Les durées de conservation sont strictement encadrées (2 ans pour les photos, 15 ans d'archivage pour les autres données).
DR-2025-107
La CNIL autorise l'Assistance Publique - Hôpitaux de Paris (AP-HP) à mettre en œuvre un traitement de données pour l'étude « ALGO-IBD ». Cette autorisation concerne l'accès et l'appariement de données du SNIIRAM et du PMSI (SNDS) avec des données cliniques hospitalières, pour la période 2007-2023, afin de développer des algorithmes sur les maladies inflammatoires chroniques intestinales. La décision impose le respect de conditions strictes, notamment la formalisation d'une convention avec le GIP Plateforme de données de santé (sous-traitant) et la mise en place de mesures d'information adaptées pour les personnes concernées.
DR-2025-111
La CNIL autorise l'Institut du Cerveau et de la Moelle Épinière (ICM) à mettre en œuvre un traitement de données pour l'étude « PRODROBRAIN ». Cette autorisation concerne l'accès et l'appariement de données du Système National des Données de Santé (SNDS, 2009-2023) avec des données cliniques de l'AP-HP. La décision impose des conditions strictes, notamment la formalisation d'une convention avec le GIP Plateforme de Données de Santé (sous-traitant) et la mise en œuvre de mesures d'information collective du public en lieu et place d'une information individuelle.
DR-2025-114
La CNIL autorise l'Assistance Publique - Hôpitaux de Paris (AP-HP) à mettre en œuvre un traitement de données pour l'étude "AIME" sur l'analyse du mouvement du membre supérieur de l'enfant. Cette autorisation est accordée malgré un écart à la méthodologie de référence concernant la nature des données, car le traitement inclut des enregistrements vidéo identifiants de mineurs. Des garanties strictes sont imposées, notamment le consentement parental, la séparation des bases de données, un accès restreint, l'anonymisation des vidéos sous sept jours, et des durées de conservation définies (2 ans en base active, 15 ans en archivage).
DR-2025-109
La CNIL autorise l'ASSISTANCE PUBLIQUE - HÔPITAUX DE PARIS à mettre en œuvre un traitement de données pour l'étude médicale "EULODIA" sur le choc cardiogénique. Cette autorisation est accordée car la finalité présente un intérêt public, sous réserve du respect de la méthodologie de référence MR-001. Des modalités spécifiques d'information des personnes (ou de leurs proches en cas d'impossibilité) sont imposées, et les données pourront être conservées en base active pendant sept ans et deux mois, puis archivées quinze ans.
DR-2025-108
Le Centre Hospitalier Universitaire de Rennes est autorisé par la CNIL à mettre en œuvre un traitement de données pour l'étude « EARLY-PUMP » sur la maladie de Parkinson. L'autorisation concerne spécifiquement l'accès aux données du SNIIRAM et du PMSI (SNDS) de 2017 à 2025, dérogeant ainsi sur ce point à la méthodologie de référence MR-001. Le traitement est soumis à des conditions strictes, notamment une durée de conservation de cinq ans pour les données du SNDS, l'information individuelle des participants et l'enregistrement dans le répertoire public de la Plateforme des données de santé.
DR-2025-104
La CNIL autorise la société ALEXION PHARMACEUTICALS à mettre en œuvre un traitement de données pour une étude sur la prise en charge de la myasthénie généralisée. L'autorisation concerne l'accès, via un intermédiaire agréé, aux données historiques du SNIIRAM, PMSI et CépiDC (SNDS) pour la période 2012-2024. La décision est prise malgré un écart à la méthodologie de référence concernant la profondeur historique, et l'accès aux données individuelles est interdit au responsable de traitement.
DR-2025-105
La CNIL autorise le Centre Hospitalier de Grenoble et l'INSERM, en tant que responsables conjoints, à mettre en œuvre un traitement de données pour l'étude "EAI-ALGO". Cette autorisation concerne l'accès aux données du SNDS (SNIIRAM, PMSI, CépiDc) de 2015 à 2018 et la réutilisation de données d'une étude antérieure, sous réserve de conditions spécifiques. Les principales mesures imposées incluent la séparation des données identifiantes, une information du public via un site web en lieu et place d'une information individuelle (en raison d'efforts disproportionnés), et une durée d'accès limitée à cinq ans.
DR-2025-106
Le Centre Hospitalier Universitaire de Rennes est autorisé par la CNIL à mettre en œuvre un traitement de données pour l'étude « EARLY-PUMP » sur la maladie de Parkinson. L'autorisation concerne spécifiquement l'accès aux données du SNIIRAM et du PMSI (SNDS) de 2017 à 2025, dérogation nécessaire car cette opération d'appariement probabiliste sort du cadre de la méthodologie de référence MR-001. La décision impose des conditions strictes, notamment l'information individuelle des participants, une durée de conservation des données du SNDS limitée à cinq ans, et l'enregistrement du traitement sur la Plateforme des données de santé.
DR-2025- 104
La CNIL émet un avis sur un projet de décret de la Direction des Services de la Navigation Aérienne (DSNA) visant à autoriser un traitement biométrique par empreintes digitales pour contrôler la présence des contrôleurs aériens. Elle reconnaît l'existence de circonstances exceptionnelles fondées sur un impératif de sécurité aérienne justifiant une dérogation à l'interdiction générale de la biométrie pour le contrôle du temps de travail. La Commission conditionne son avis favorable à la mise en œuvre d'une expérimentation préalable du dispositif, dont elle souhaite recevoir l'évaluation.
2025-039
La CNIL autorise les Hôpitaux Universitaires de Strasbourg à mettre en œuvre le traitement de données « FEMICLOCK » pour une étude de recherche dans le domaine de la santé. L'autorisation est accordée malgré un point de non-conformité à la méthodologie de référence concernant le suivi dématérialisé des données directement identifiantes, qui fait l'objet d'un examen spécifique. Le traitement est soumis à des conditions strictes, notamment la séparation des bases de données, la limitation des accès et le respect de durées de conservation définies.
DR-2025-102
Le Centre Hospitalier Universitaire de Dijon a obtenu une autorisation de la CNIL pour modifier un traitement de données. Cette décision permet la prolongation de l'accès aux données du Système national des données de santé (SNDS) pour deux années supplémentaires, dans le cadre d'une étude sur les complications des chirurgies ophtalmologiques. L'autorisation, fondée sur un avis favorable du comité éthique et scientifique, ne mentionne pas de sanction, car il s'agit d'une autorisation de mise en œuvre.
DR-2025-100
La CNIL, en tant qu'organisme concerné, a adopté une délibération habilitant une liste d'agents à procéder à des missions de vérification. Cette décision, de nature administrative, autorise ces agents à effectuer les contrôles prévus par la loi. Aucun manquement n'est constaté et aucune sanction n'est prononcée, cette délibération étant un acte d'organisation interne de l'autorité de contrôle.
HAB-2025-003
La CNIL autorise l'Institut National de la Santé et de la Recherche Médicale (INSERM) à mettre en œuvre un traitement de données pour l'étude REVIBIO sur les maladies rares de l'œil. L'autorisation est accordée malgré un traitement de photographies identifiantes, qui nécessite un consentement exprès et des mesures de sécurité spécifiques comme la séparation des bases de données. Le traitement est soumis à des durées de conservation limitées (3 ans en base active pour les données principales) et toute réutilisation ultérieure des données devra faire l'objet d'une nouvelle demande.
DR-2025-099
La CNIL autorise le Centre Hospitalier Universitaire de Tours à modifier son traitement de données pour l'étude "STOP SCA +". Cette modification consiste en une extension de la durée d'accès aux données du SNDS (SNIIRAM, PMSI, CépiDc) pour une période totale de cinq ans. L'autorisation est accordée malgré un point de non-conformité concernant l'information des personnes, le traitement présentant par ailleurs un caractère d'intérêt public et ayant reçu un avis favorable du comité éthique.
DR-2025-103
La CNIL autorise le **GROUPE DES ECOLES NATIONALES D’ECONOMIE ET STATISTIQUES** à modifier un traitement de données pour une étude sur l'allocation des patients dans l'offre de soins. L'autorisation porte principalement sur l'extension de la période des données du SNIIRAM et du PMSI (SNDS) de 2014 à 2024 et l'ajout de certaines variables. Aucune sanction n'est mentionnée, la décision constituant une autorisation de mise en œuvre suite à un avis favorable du comité éthique et scientifique.
DR-2025-101
Le Centre Hospitalier Universitaire de Montpellier est autorisé par la CNIL à mettre en œuvre un traitement de données pour l'étude « PROMESS 1 » sur les facteurs de risque d'arthrite. L'autorisation concerne l'accès aux données du SNIIRAM et du PMSI (SNDS) de 2020 à 2028 et le traitement de catégories particulières de données (origine ethnique, vie sexuelle, historique de résidence), sous réserve de justifications scientifiques. La décision impose des conditions strictes, notamment un circuit d'appariement sécurisé via un tiers de confiance, la séparation des données identifiantes, et des durées de conservation limitées (par exemple, 10 ans pour les données SNDS).
DR-2025-098
La CNIL autorise l'Institut national de la santé et de la recherche médicale (ANRS) à mettre en œuvre un traitement de données pour une étude sur la délivrance d'autotests VIH en pharmacie au Cambodge. L'autorisation est accordée malgré des dérogations à la méthodologie de référence concernant la nature des données, les destinataires et le cadre juridique local. La décision impose le respect de conditions spécifiques, notamment sur la sécurité, la durée de conservation et l'information des participants, et n'autorise pas de transfert de données hors UE vers un pays sans niveau de protection adéquat.
DR-2025-095
La CNIL émet un avis sur un projet de décret, saisi par le Secrétariat général de la défense et de la sécurité nationale (SGDSN), concernant le répertoire des activités d'influence pour le compte de mandants étrangers. Elle recommande de préciser les données collectées sur les intermédiaires et les contacts opérationnels, et de réduire les durées de conservation des données personnelles traitées par la Haute Autorité pour la transparence de la vie publique (HATVP) pour les aligner sur le délai de prescription. La Commission souligne la nécessité de documenter chaque traitement et de garantir les droits des personnes concernées.
2025-031
La CNIL autorise l'Institut national de la santé et de la recherche médicale – ANRS Maladies infectieuses émergentes à mettre en œuvre un traitement de données pour une étude sur la réponse immunitaire au VRS chez l'adulte. L'autorisation est accordée malgré un écart à la méthodologie de référence MR-004 concernant la nature des données, dûment justifié, et sous condition du respect de plusieurs garanties. Ces garanties incluent l'information des personnes via un site web dédié, la pseudonymisation des données avec destruction de la table de correspondance après analyse, et des durées de conservation strictes (base active : 2 ans et 10 mois ; archivage : 15 ans).
DR-2025-097