283délibérations de la Commission nationale de l'informatique et des libertés.
283
Total délibérations
274
En vigueur
283
Avec résumé IA
L'Assistance Publique – Hôpitaux de Marseille a obtenu une autorisation de la CNIL pour modifier un traitement de données dans le cadre de l'étude AILSI. Cette modification consiste à étendre l'accès aux données du Système national des données de santé (SNDS) pour inclure l'année 2026, portant ainsi la période de traitement de 2021 à 2026. L'autorisation est accordée car la finalité de l'étude, qui évalue une alternative à l'incarcération pour des personnes sans logement avec des troubles psychiatriques, présente un intérêt public et a reçu un avis favorable du comité d'éthique.
DR-2023-070
La CNIL autorise l'Institut Gustave Roussy à mettre en œuvre un traitement de données pour l'étude de recherche en santé « STEPPING STONE ». Cette autorisation est accordée malgré un point de non-conformité à la méthodologie de référence (MR-001) concernant les destinataires des données directement identifiantes, dû au suivi dématérialisé. Le traitement est soumis à des conditions strictes, notamment la séparation des bases de données, la limitation des accès et des durées de conservation définies (destruction des données d'identification à la fin du suivi, archivage de quinze ans pour les autres données).
DR-2025-073
La CNIL autorise la société SONIVIE à mettre en œuvre un traitement de données pour l'étude clinique « The THRIVE Study ». L'autorisation est accordée malgré un point de non-conformité concernant les destinataires des données directement identifiantes, lié à l'utilisation d'une solution de contrôle qualité à distance. La décision impose des mesures de sécurité strictes pour ce contrôle à distance et valide un transfert de données vers Israël, pays reconnu offrant un niveau de protection adéquat.
DR-2025-072
Le Centre Hospitalier Universitaire de Bordeaux est autorisé par la CNIL à mettre en œuvre un traitement de données pour l'étude « GRECCAR 17 » sur le cancer du rectum. Cette autorisation concerne l'accès aux données du SNIIRAM et du PMSI (SNDS) pour les années 2022 à 2025, malgré un point de non-conformité lié à l'appariement probabiliste avec les données cliniques. L'autorisation est soumise à des conditions strictes, notamment l'information individuelle des participants, une durée d'accès limitée à quatre ans et l'enregistrement du traitement sur la Plateforme des données de santé.
DR-2025-074
La CNIL autorise l'INSERM à modifier le traitement de données pour son étude "LILLY" sur l'exposition nocturne à la lumière et le sommeil. La décision acte un changement de responsable de traitement, désormais exclusivement l'INSERM, tout en confirmant le caractère d'intérêt public de la recherche. Les autres conditions de mise en œuvre restent inchangées, sous réserve de l'avis favorable du comité éthique et scientifique.
DR-2025-071
La CNIL habilite des agents de sa direction des contrôles et des sanctions à établir des rapports dans le cadre de ses pouvoirs de contrôle. Cette délibération, qui abroge une précédente habilitation, concerne spécifiquement dix-huit agents nommément désignés. Les habilitations sont accordées pour une durée de cinq ans.
HABS-2025-002
La CNIL autorise l'Assistance Publique - Hôpitaux de Paris (AP-HP) à mettre en œuvre un traitement de données pour l'étude de recherche en santé « FEMIDIP ». L'autorisation est accordée sous réserve de conditions spécifiques, notamment concernant la gestion séparée des données directement identifiantes et des données de santé, ainsi que la limitation des accès. Les durées de conservation des données sont strictement définies, avec une destruction des données nominatives à la fin du suivi des participants.
DR-2025-067
La CNIL autorise l'ASSISTANCE PUBLIQUE - HÔPITAUX DE PARIS à mettre en œuvre un traitement de données pour l'étude clinique « IRON-DEP » sur l'anémie et la dépression post-partum. L'autorisation est accordée malgré un écart à la méthodologie de référence concernant l'accès d'un sous-traitant aux données directement identifiantes. Des garanties strictes sont imposées, notamment la séparation des bases de données et un accès limité, avec des durées de conservation définies (6 ans en base active, 25 ans en archivage).
DR-2025-069
Le Centre Hospitalier Universitaire de Bordeaux a obtenu une autorisation de la CNIL pour un traitement de données dans le cadre de l'étude "IHTALi" sur l'impact d'une intervention de littératie en santé chez des patients hypertendus. L'autorisation est accordée malgré un écart à la méthodologie de référence concernant la transmission des données directement identifiantes (nom, prénom, coordonnées) à un chargé d'études pour le volet qualitatif, sous réserve de conditions strictes de séparation et de sécurité. Les durées de conservation sont fixées à 5 ans en base active et 15 ans en archivage, avec destruction des données identifiantes à la fin du suivi et des enregistrements vocaux après retranscription.
DR-2025-068
L'Assistance Publique - Hôpitaux de Paris (AP-HP) a reçu une autorisation de la CNIL pour mettre en œuvre un traitement de données à caractère personnel dans le cadre de l'étude "BYQoL-GC" sur la qualité de vie après une gastrectomie partielle pour cancer gastrique. Cette autorisation est accordée sous réserve du respect de conditions spécifiques, notamment concernant l'accès séparé et sécurisé aux données directement identifiantes par un sous-traitant. Les durées de conservation des données sont strictement encadrées, avec une destruction des données nominatives à la fin du suivi et une conservation des autres données en base active pour huit ans, puis en archivage pour quinze ans.
DR-2025-065
La CNIL autorise l'Assistance Publique - Hôpitaux de Paris (AP-HP) à mettre en œuvre un traitement de données pour l'étude AMBUMIC sur la prise en charge des maladies inflammatoires chroniques intestinales. L'autorisation est accordée malgré un point de non-conformité concernant l'accès d'un sous-traitant aux données directement identifiantes, qui est soumis à des conditions strictes de séparation et de sécurité. Le traitement doit respecter la méthodologie de référence MR-003, avec des durées de conservation définies (5 ans en base active, 15 ans en archivage) et une information complète des participants.
DR-2025-064
La CNIL autorise l'Assistance Publique – Hôpitaux de Marseille à mettre en œuvre un traitement de données pour l'étude "PAREN" sur les parents d'enfants prématurés. L'autorisation est accordée malgré un écart à la méthodologie de référence concernant le traitement de données vidéo et vocales, qui constituent des catégories particulières de données. Le traitement est soumis à des conditions strictes, notamment la séparation des bases de données, la durée limitée de conservation des enregistrements (10 ans maximum), et l'obligation d'un consentement spécifique des titulaires de l'autorité parentale.
DR-2025-062
Le Centre Hospitalier Universitaire de Nantes est autorisé par la CNIL à mettre en œuvre un traitement de données pour l'étude "OSCAR", visant à évaluer un outil de suivi cardiopédiatrique à domicile. L'autorisation est accordée malgré des dérogations à la méthodologie de référence MR-001 concernant la nature des données et certains destinataires. Des conditions strictes sont imposées, notamment la séparation des données identifiantes, une durée de conservation limitée et une information renforcée des parents des mineurs participants.
DR-2025-063
La CNIL autorise l'Institut National de la Santé et de la Recherche Médicale (INSERM) à mettre en œuvre le traitement de données pour l'étude JASMIN, qui vise à comparer l'état de santé des personnes vivant avec le VIH à celui de la population générale. L'autorisation couvre la réutilisation de données issues de la cohorte CONSTANCES et du SNDS, ainsi que le traitement de catégories particulières de données (orientation sexuelle, origine ethnique) justifiées scientifiquement. Des dérogations à l'information individuelle sont accordées pour les proches des participants, avec obligation de publier une note d'information sur le site web dédié, et la durée d'accès aux données est fixée à cinq ans.
DR-2025-061
La CNIL émet un avis favorable sur un projet de décret du ministère de la justice modifiant le décret d'application de la loi "Informatique et Libertés". Ce projet vise à adapter l'organisation interne de la CNIL, notamment en étendant les délégations de signature et en abaissant le quorum de sa formation restreinte, pour fluidifier ses procédures face à l'augmentation du volume d'activité. Il intègre également les nouvelles compétences de la CNIL concernant les fournisseurs de plateformes en ligne au titre du règlement sur les services numériques (DSA). La CNIL prend acte de l'engagement du gouvernement à modifier la rédaction pour garantir le droit d'être entendu dans le cadre de la nouvelle procédure d'injonction provisoire.
2025-025
Cette délibération concerne la Commission nationale de l'informatique et des libertés (CNIL) elle-même. Il s'agit d'une décision d'habilitation interne, autorisant une liste nominative d'agents de la CNIL à procéder à des missions de vérification et de contrôle, conformément à l'article 19 de la loi Informatique et Libertés. Aucun manquement n'est constaté et aucune sanction n'est prononcée, cette délibération étant un acte d'organisation interne nécessaire à l'exercice des pouvoirs de contrôle de l'autorité.
HAB-2025-002
La CNIL rend un avis sur un projet de décret du ministère de la Justice concernant l'application ASTREA, le nouveau système du Casier Judiciaire National automatisé. Le projet encadre notamment la gestion des empreintes digitales et la création de "marqueurs" pour les condamnations terroristes ou graves dans le cadre du système européen ECRIS-TCN. La CNIL recommande la mise en place d'un mécanisme automatisé pour vérifier le respect des délais d'effacement de ces marqueurs sensibles et prend acte de la reconnaissance de l'identifiant de personne physique (IDPP) comme donnée personnelle.
2025-023
La CNIL autorise la société INSMED FRANCE SAS à mettre en œuvre un traitement de données personnelles pour la gestion d'un cadre de prescription compassionnelle du médicament ARIKAYCE. Le traitement, jugé d'intérêt public, présente une non-conformité mineure au référentiel (champ d'application et finalité) mais est globalement validé. L'autorisation est soumise à des conditions strictes, notamment l'information des patients et des professionnels de santé, et l'obligation de saisir la CNIL pour toute réutilisation future des données.
DT-2025-004
La CNIL autorise la société Les Laboratoires Grunenthal à mettre en œuvre un traitement de données pour la gestion d'un cadre de prescription compassionnelle du médicament VERSATIS 700 mg. Cette autorisation est accordée malgré des écarts identifiés par rapport au référentiel de sécurité, notamment sur certaines mesures techniques et organisationnelles. Le responsable de traitement doit mettre en conformité ces mesures de sécurité dans un délai de six mois et respecter les durées de conservation spécifiques définies pour les données.
DT-2025-003
La CNIL autorise la société BIWAKO à mettre en œuvre un entrepôt de données de santé nommé « Datavie » pour des recherches dans le domaine de la santé, notamment pour le développement de modèles d'intelligence artificielle diagnostique. La décision constate des non-conformités sur la base légale et certaines mesures de sécurité, qui font l'objet d'un examen spécifique dans l'autorisation. Le traitement est licite au regard de l'intérêt public et sous réserve que chaque futur projet de recherche fasse l'objet des formalités préalables requises.
DT-2025-002