LogoMeilleurAvocats.fr
AvocatsAssistant IABlogPrix
ConnexionDéposer ma demande

Vous avez un problème juridique ?

Décrivez votre situation en 2 minutes — un avocat spécialisé vous répond sous 24h.

Déposer ma demandeJe suis avocat
Logo MeilleurAvocats.frMeilleurAvocats.fr

Mise en relation avocat–client par l'IA. Gratuit pour les particuliers.

Particuliers

  • Déposer une demande
  • Trouver un avocat
  • Assistant IA gratuit
  • Bibliothèque juridique
  • Guides pratiques
  • Jurisprudence

Avocats

  • Pour les avocats
  • Espace avocat
  • Tarifs et formules
  • Recevoir des leads
  • Programme d'affiliation
  • Contact commercial

Spécialités

  • Droit général
  • Droit du travail
  • Droit de la sécurité sociale et de la protection sociale
  • Droit fiscal et droit douanier
  • Droit de la famille, des personnes et de leur patrimoine
  • Droit immobilier

Légal

  • Mentions légales
  • Confidentialité
  • CGU
  • Cookies
  • Contact

Newsletter juridique hebdomadaire

Décisions clés, évolutions législatives, conseils pratiques — chaque semaine.

© 2026 MeilleurAvocats.fr— KONSEIL SAS. Tous droits réservés.

Mentions légales|Confidentialité|Cookies

BOB★La messagerie française & cryptée pour des échanges confidentiels entre avocats et clients.

En savoir +TéléchargerBOB
AccueilDélibérations CNIL

Délibérations CNIL

283délibérations de la Commission nationale de l'informatique et des libertés.

283

Total délibérations

274

En vigueur

283

Avec résumé IA

Par type d'acte

Sanctions
20 délibérations
Autorisations de recherche
148 délibérations
Avis
26 délibérations
Recommandations
6 délibérations
Dispositions internes
9 délibérations
Autres autorisations
19 délibérations

Par statut

En vigueur274Abrogé8Modifié1
Par année
20262025202420232022202120202019201820172016201520142013
DécisionAutorisation de rechercheEn vigueur7 janvier 2025

Décision DR-2025-002 du 7 janvier 2025 autorisant les HOSPICES CIVILS DE LYON à mettre en œuvre un traitement de données ayant pour finalité une étude portant le délai d'apparition de la première complication liée à une dose inadaptée de médicaments immunosuppresseurs, nécessitant un accès aux données du SNIIRAM et du PMSI, composantes du Système national des données de santé (SNDS), pour les années 2025 à 2032, intitulée « TAOIST ». (Demande d’autorisation n° 924279)

La CNIL autorise les Hospices Civils de Lyon à mettre en œuvre un traitement de données à caractère personnel pour l'étude TAOIST, portant sur les complications liées aux doses de médicaments immunosuppresseurs. L'autorisation concerne un accès spécifique aux données du SNIIRAM et du PMSI (SNDS) pour les années 2025 à 2032, dérogeant à la méthodologie de référence MR-001 sur le point de l'appariement probabiliste. Le traitement est soumis à des conditions strictes, notamment la fourniture d'une information aux participants et des durées de conservation limitées (5 ans pour les données SNDS).

DR-2025-002

DélibérationAvisEn vigueur26 septembre 2024

Délibération n° 2024-066 du 26 septembre 2024 portant avis sur un projet de décret en Conseil d'Etat modifiant le décret n° 2022-603 du 21 avril 2022 fixant la liste des autorités administratives et publiques indépendantes pouvant recourir à l'appui du pôle d'expertise de la régulation numérique et relatif aux méthodes de collecte de données mises en œuvre par ce service dans le cadre de ses activités d'expérimentation

La CNIL rend un avis sur un projet de décret du ministère de l'Économie concernant le PEReN (Pôle d'expertise de la régulation numérique). Ce projet vise à étendre les pouvoirs de collecte automatisée de données publiquement accessibles (moissonnage) du PEReN à ses activités de recherche publique, en plus de ses activités d'expérimentation déjà autorisées. Il prévoit également l'application des mêmes garanties et obligations de protection des données pour ces nouvelles activités de recherche.

2024-066

DélibérationEn vigueur25 avril 2024

Délibération de la formation restreinte n°SAN-2024-007 du 25 avril 2024 relative à l’injonction prononcée à l’encontre de la société x par la délibération n° SAN-2023-025 du 29 décembre 2023

La société X, éditrice de sites de jeux-concours et de tests de produits, a fait l'objet d'une injonction de la CNIL pour mettre en conformité ses formulaires de collecte de consentement. La formation restreinte a examiné les trois nouveaux formulaires proposés par la société suite à cette injonction. Elle a considéré que ces formulaires permettaient désormais un choix éclairé, levant ainsi l'astreinte qui avait été prononcée.

SAN-2024-007

DélibérationSanctionEn vigueur4 avril 2024

Délibération de la formation restreinte n°SAN-2024-004 du 4 avril 2024 concernant la société x

La CNIL a sanctionné la société X, filiale du groupe Y spécialisée dans la vente de matériel de télécommunication, pour plusieurs manquements au RGPD et à la loi Informatique et Libertés liés à ses campagnes de prospection téléphonique et par SMS. Les manquements relevés concernent principalement l'absence de base légale pour le traitement des données de prospection, le défaut d'information des personnes et l'absence de coopération avec la CNIL. La formation restreinte a prononcé une amende administrative de 250 000 euros et assorti cette sanction d'une injonction de mettre en conformité ses traitements dans un délai de trois mois.

SAN-2024-004

DélibérationSanctionEn vigueur31 janvier 2024

Délibération de la formation restreinte n°SAN-2024-002 du 31 janvier 2024 concernant la société x

La société x, éditrice d'un site web immobilier, a fait l'objet d'une sanction par la formation restreinte de la CNIL. Les manquements constatés concernent le non-respect des principes de limitation de la conservation des données, d'information des personnes, de sécurité des traitements, ainsi que des obligations liées aux sous-traitants et aux communications électroniques. En conséquence, la société s'est vu infliger une amende de 250 000 euros et une injonction de se mettre en conformité sous astreinte.

SAN-2024-002

DélibérationSanctionEn vigueur31 janvier 2024

Délibération de la formation restreinte n°SAN-2024-003 du 31 janvier 2024 concernant la société x

La CNIL a sanctionné la société X, une filiale commercialisant des programmes de fidélité, pour des manquements au RGPD. Les manquements concernaient l'absence de base légale pour des opérations de prospection téléphonique (article 6) et le défaut de sécurité des données (article 32). La formation restreinte a prononcé une amende administrative et a ordonné la publication de la décision.

SAN-2024-003

DélibérationEn vigueur25 janvier 2024

Délibération n° 2024-007 du 25 janvier 2024 portant avis sur un projet de décret précisant les conditions et modalités de collecte des données publiquement accessibles des services d'informations sur les déplacements multimodaux aux agents habilités de l'Autorité de régulation des transports pour l'accomplissement de ses missions

L'organisme concerné est l'Autorité de régulation des transports (ART). La CNIL émet un avis favorable sur un projet de décret autorisant l'ART à collecter automatiquement des données publiquement accessibles auprès des services d'information multimodaux pour ses missions de contrôle. La CNIL salue les garanties prévues pour limiter et supprimer immédiatement toute collecte incidente de données personnelles. Elle recommande également que l'ART informe le public de ces collectes automatisées sur son site web.

2024-007

DélibérationSanctionEn vigueur29 décembre 2023

Délibération de la formation restreinte n°SAN-2023-024 du 29 décembre 2023 concernant la société X

La société X (anciennement x France) fait l'objet d'une sanction de la CNIL pour manquements liés aux cookies sur son moteur de recherche et son service de messagerie. Les manquements constatés concernent le dépôt de cookies sans consentement préalable et l'absence de moyen simple pour les refuser, en violation de l'article 82 de la loi Informatique et Libertés. La formation restreinte a prononcé une amende administrative à l'encontre de la société.

SAN-2023-024

DélibérationSanctionEn vigueur29 décembre 2023

Délibération de la formation restreinte n°SAN-2023-023 du 29 décembre 2023 concernant la société X

La société X, un distributeur de monnaie électronique, a fait l'objet d'une sanction par la CNIL. Les manquements constatés concernent principalement le dépôt de cookies sans consentement valide sur son site web et des insuffisances dans l'information des utilisateurs et la sécurité des données. La formation restreinte a prononcé une sanction pécuniaire à l'encontre de l'organisme.

SAN-2023-023

DélibérationSanctionEn vigueur29 décembre 2023

Délibération de la formation restreinte n°SAN-2023-025 du 29 décembre 2023 concernant la société x

La société X, éditrice de sites de jeux-concours et de newsletters commerciales, a fait l'objet d'une sanction de la CNIL. La formation restreinte a constaté des manquements aux articles 5, 6, 30 et 32 du RGPD, notamment concernant la licéité du traitement, la sécurité et la tenue du registre. Une amende administrative a été prononcée à son encontre et la décision a été rendue publique.

SAN-2023-025

DélibérationSanctionEn vigueur27 décembre 2023

Délibération de la formation restreinte n°SAN-2023-021 du 27 décembre 2023 concernant la société X

La société X, prestataire logistique, a fait l'objet d'une sanction de la CNIL pour plusieurs manquements au RGPD concernant le traitement des données de ses salariés. Les manquements retenus portaient notamment sur des violations des principes de licéité, de minimisation des données et de sécurité, ainsi que sur des insuffisances en matière d'information des personnes. Suite à une décision du Conseil d'État, l'amende administrative initiale a été réduite à un montant final de 15 000 000 d'euros.

SAN-2023-021

DélibérationSanctionEn vigueur12 décembre 2023

Délibération de la formation restreinte no SAN-2023-018 du 12 décembre 2023 concernant la commune de x

La commune X fait l'objet d'une délibération de la formation restreinte de la CNIL pour manquement à l'obligation de désigner un délégué à la protection des données (DPD), en application de l'article 37-1-a) du RGPD. Malgré une mise en demeure et une précédente sanction, la commune n'a pas procédé à cette désignation obligatoire pour une autorité publique. La formation restreinte prononce un rappel à l'ordre, une injonction de désigner un DPD dans un délai de deux mois, assortie d'une astreinte de 150 euros par jour de retard, et rend sa décision publique.

SAN-2023-018

DélibérationSanctionEn vigueur11 décembre 2023

Délibération de la formation restreinte n°SAN-2023-017 du 11 décembre 2023 concernant le x

La délibération SAN-2023-017 concerne le ministère de l'Europe et des Affaires étrangères (X) et le ministère de l'Intérieur (Y) en tant que responsables conjoints du traitement RMV2 (Réseau Mondial Visas 2). La CNIL a constaté des manquements dans la gestion de ce système d'accès aux données du VIS, notamment une absence de documentation suffisante sur les mesures de sécurité et des durées de conservation des données non conformes. En conséquence, la formation restreinte a prononcé une injonction de mise en conformité sous astreinte.

SAN-2023-017

DélibérationEn vigueur9 novembre 2023

Délibération de la formation restreinte n°SAN-2023-016 du 9 novembre 2023 concernant x

La CNIL a prononcé un rappel à l'ordre à l'encontre de deux organismes publics, agissant en tant que responsables conjoints de traitement, pour l'envoi massif d'un courriel politique à des agents publics. Le manquement constaté concerne le principe de limitation des finalités (article 5-1-b du RGPD), l'utilisation des adresses électroniques professionnelles à des fins de communication politique n'étant pas compatible avec la finalité initiale de collecte. La décision, rendue publique de manière anonymisée, vise à rappeler aux organismes leurs obligations en matière de licéité du traitement des données.

SAN-2023-016

DélibérationSanctionEn vigueur12 octobre 2023

Délibération de la formation restreinte n°SAN-2023-015 du 12 octobre 2023 concernant la société X

La CNIL a sanctionné la société X pour plusieurs manquements au RGPD et au code des postes et des communications électroniques, suite à des plaintes concernant notamment de la prospection téléphonique. Les manquements constatés portent sur l'information des personnes, l'exercice de leurs droits, la sécurité des données et la gestion des sous-traitants. La formation restreinte a prononcé une amende de 800 000 euros à l'encontre de la société.

SAN-2023-015

DélibérationSanctionEn vigueur18 septembre 2023

Délibération de la formation restreinte no SAN-2023-013 du 18 septembre 2023 concernant la société x

La délibération concerne la société x (anciennement liée à un groupe chinois, désormais détenue par une société basée à Hong-Kong), active dans le fret aérien. La CNIL a constaté des manquements au RGPD et à la loi Informatique et Libertés, notamment la collecte excessive et illicite de données personnelles sensibles (comme l'ethnie ou l'affiliation politique) auprès des salariés via un formulaire. La formation restreinte a prononcé une sanction pécuniaire à l'encontre de la société.

SAN-2023-013

DélibérationAvisEn vigueur2 février 2023

Délibération n° 2023-008 du 2 février 2023 portant avis sur un projet de décret relatif aux modalités techniques de résiliation et de dénonciation des contrats et règlements par voie électronique (demande d’avis n° 22018681)

La CNIL a émis un avis sur un projet de décret du ministère de l'économie concernant la résiliation électronique des contrats d'assurance, de mutuelle et de prévoyance. Ce projet, pris en application de la loi pour la protection du pouvoir d'achat, impose aux assureurs de mettre en place une fonctionnalité de résiliation en ligne simplifiée. La Commission a relevé des risques liés à la collecte de données, notamment via des zones de texte libre pour le motif de résiliation, et a rappelé la nécessité de limiter strictement la collecte aux informations nécessaires à l'identification et à l'instruction de la demande.

2023-008

DécisionAutorisation de rechercheEn vigueur15 septembre 2021

Décision DR-2021-255 autorisant le CENTRE HOSPITALIER UNIVERSITAIRE DE CLERMONT-FERRAND à mettre en oeuvre un traitement de données ayant pour finalité une étude portant sur l’impact de l’utilisation d’un outil d’aide à la décision de contention mécanique des patients hospitalisés en réanimation, intitulée « ARBORea ». (Demande d’autorisation n° 921262)

La CNIL autorise le Centre Hospitalier Universitaire de Clermond-Ferrand à mettre en œuvre un traitement de données pour l'étude "ARBORea" sur l'impact d'un outil d'aide à la décision de contention mécanique en réanimation. L'autorisation est accordée sous réserve du respect de la méthodologie de référence MR-001, avec des dérogations concernant l'information des personnes en situation d'urgence vitale et les destinataires des données directement identifiantes. Les données directement identifiantes doivent être traitées séparément et conservées en base active pendant 4 ans et 3 mois, puis archivées 15 ans, avec une destruction des données nominatives après 2 ans et 4 mois.

DR-2021-255

DécisionAutorisation de rechercheEn vigueur2 avril 2021

Décision DR-2021-092 autorisant l’ASSISTANCE PUBLIQUE - HÔPITAUX DE PARIS à mettre en oeuvre un traitement de données ayant pour finalité une étude portant sur l’évaluation en vie réelle de COAGUCLIC, un outil d’aide à la décision thérapeutique et à la surveillance des antithrombotiques en ville, nécessitant un accès aux données du SNIIRAM et du PMSI, composantes du Système national des données de santé (SNDS), pour les années 2019 à 2023, intitulée « COAGUCLIC ». (Demande d’autorisation n° 921033)

La CNIL autorise l'Assistance Publique - Hôpitaux de Paris (AP-HP) à mettre en œuvre un traitement de données pour une étude de recherche intitulée "COAGUCLIC". Cette autorisation permet l'accès aux données du SNIIRAM et du PMSI (composantes du SNDS) pour les années 2019 à 2023, afin d'évaluer un outil d'aide à la décision thérapeutique. Le traitement, qui présente un caractère d'intérêt public, est soumis à des conditions strictes, notamment une durée d'accès de cinq ans et une inscription au répertoire public de la Plateforme des données de santé.

DR-2021-092

DécisionAutorisation de rechercheEn vigueur27 novembre 2020

Décision DR-2020-365 autorisant le CENTRE REGIONAL DE COORDINATION DES DEPISTAGES DES CANCERS EN OCCITANIE à mettre en oeuvre un traitement de données ayant pour finalité l’évaluation de l’apport de l’utilisation d’une Intelligence Artificielle dans le programme de dépistage organisé du cancer du sein français et nécessitant un accès aux données du SNIIRAM et du PMSI pour les années 2006 à 2019 et au CépiDC pour les années 2006 à 2016, composantes du Système national des données de santé, intitulé « DEEP-PISTE » (Demande d’autorisation n° 920266)

La CNIL autorise le Centre Régional de Coordination des Dépistages des Cancers en Occitanie (CRCDC-OC) à mettre en œuvre un traitement de données pour le projet de recherche « DEEP-PISTE ». Cette autorisation concerne l'évaluation d'une intelligence artificielle dans le dépistage du cancer du sein et permet l'accès et l'appariement de données du SNDS (SNIIRAM, PMSI, CépiDC) avec une base locale de dépistage. La décision encadre strictement le traitement, notamment en prévoyant des mesures d'information adaptées (communication publique et information différée) pour les personnes concernées.

DR-2020-365

« Précédent9101112131415Suivant »