Délibérations CNIL

La CNIL autorise le LABORATOIRE DE LA MER à mettre en œuvre un traitement de données pour l'étude clinique "SEABRIDGE". L'autorisation est accordée malgré un point de non-conformité à la méthodologie de référence concernant l'accès d'un sous-traitant aux données directement identifiantes. Des mesures strictes de séparation des données et de limitation des accès sont imposées pour ce point spécifique. Les durées de conservation des données sont fixées à 4 ans en base active et 15 ans en archivage.

DR-2025-172

DécisionAutorisation de rechercheEn vigueur28 juillet 2025

Décision DR-2025-171 du 28 juillet 2025 autorisant le CENTRE HOSPITALIER UNIVERSITAIRE DE MONTPELLIER à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur le rôle de l’environnement et des perturbateurs endocriniens dans la cryptorchidie de l’enfant, intitulée « CRYPTENV ». (Demande d’autorisation n° 925136)

Le Centre Hospitalier Universitaire de Montpellier est autorisé par la CNIL à mettre en œuvre un traitement de données pour l'étude « CRYPTENV » sur la cryptorchidie infantile. Cette autorisation concerne un traitement de données de santé, incluant le code postal de la mère, justifié par la recherche. La décision encadre spécifiquement la durée de conservation des données et des échantillons biologiques, et valide le processus d'information des titulaires de l'autorité parentale.

DR-2025-171

DécisionAutorisation de rechercheEn vigueur28 juillet 2025

Décision DR-2025-164 du 28 juillet 2025 autorisant l’INSTITUT NATIONAL DE LA SANTÉ ET DE LA RECHERCHE MÉDICALE – ANRS – MALADIES INFECTIEUSES ÉMERGENTES à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur la diversité phylogénétique et génotypique des patients infectés par le VIH-1 groupe non-M au Cameroun, intitulée "OBSOCAM". (Demande d’autorisation n° 925149)

La CNIL autorise l'Institut national de la santé et de la recherche médicale (Inserm) – ANRS – Maladies infectieuses émergentes à mener l'étude "OBSOCAM" sur le VIH-1 au Cameroun. L'autorisation est accordée sous réserve du respect de la méthodologie de référence MR-003, avec des dérogations concernant l'information des participants pour le volet rétrospectif de l'étude. Le transfert de données pseudonymisées vers le Cameroun devra être encadré par des clauses contractuelles types, le responsable de traitement devant s'assurer du niveau de protection effectif dans ce pays tiers.

DR-2025-164

DécisionAutorisation de rechercheEn vigueur25 juillet 2025

Décision DR-2025-169 du 25 juillet 2025 autorisant le CENTRE LEON BERARD, la société SANOFI et l’INSTITUT NATIONAL DE RECHERCHE EN SCIENCES ET TECHNOLOGIES DU NUMERIQUE (INRIA) à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur l’évaluation in silico de nouvelles combinaisons de traitements en oncologie à partir de données de vie réelle et de connaissance du domaine, nécessitant un accès aux données du SNIIRAM et du PMSI, composantes du Système national des données de santé, pour les années 2006 à 2024, intitulée « COMBO ». (Demande d’autorisation n° 925043)

La CNIL autorise le Centre Léon Bérard, Sanofi et l'INRIA à mettre en œuvre un traitement de données pour l'étude COMBO en oncologie. Cette autorisation concerne l'accès et l'appariement de données du SNIIRAM et du PMSI (2006-2024) ainsi que la réutilisation de données d'une étude antérieure. La décision impose le respect de conditions strictes, notamment la formalisation des rôles entre responsables de traitement et le GIP Plateforme des données de santé, et encadre l'accès de Sanofi aux données du SNDS.

DR-2025-169

DécisionAutorisation de rechercheEn vigueur25 juillet 2025

Décision DR-2025-167 du 25 juillet 2025 autorisant le CENTRE HOSPITALIER UNIVERSITAIRE DE TOURS à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur l’efficience du modèle de pratique de soutien à l’emploi comparé à la méthode conventionnelle de suivi par les travailleurs sociaux chez les patients atteints de pathologie mentale sévère, nécessitant un accès aux données du SNIIRAM et du PMSI, composantes du Système national des données de santé (SNDS), pour les années 2025 à 2030, intitulée « MEDECO-IPS ». (Demande d’autorisation n° 925081)

Le Centre Hospitalier Universitaire de Tours est autorisé par la CNIL à mettre en œuvre un traitement de données pour l'étude MEDECO-IPS, visant à évaluer l'efficience d'un modèle de soutien à l'emploi pour les patients atteints de pathologies mentales sévères. L'autorisation concerne spécifiquement l'accès aux données du SNIIRAM et du PMSI (SNDS) pour la période 2025-2030, ainsi que le traitement du NIR via un circuit sécurisé impliquant un tiers de confiance. La décision impose le respect strict de la méthodologie de référence MR-004, avec des conditions renforcées pour la sécurité des données identifiantes et une durée de conservation limitée.

DR-2025-167

DécisionAutorisation de rechercheEn vigueur25 juillet 2025

Décision DR-2025-168 du 25 juillet 2025 autorisant l’INSTITUT DE RECHERCHE POUR LE DEVELOPPEMENT à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur la schistosomiase zoonotique africaine, intitulée " AfZoonS". (Demande d’autorisation n° 925124)

La CNIL autorise l'Institut de Recherche pour le Développement (IRD) à mettre en œuvre un traitement de données pour l'étude de santé publique "AfZoonS" sur la schistosomiase au Bénin. L'autorisation est accordée sous conditions, notamment concernant l'information renforcée des participants et l'encadrement spécifique des transferts de données pseudonymisées vers le Bénin. La décision impose le respect de durées de conservation définies et exige un consentement écrit spécifique pour tout examen génétique sur des participants mineurs.

DR-2025-168

DécisionAutorisation de rechercheEn vigueur25 juillet 2025

Décision DR-2025-166 du 25 juillet 2025 autorisant l’UNIVERSITE DE REIMS CHAMPAGNE-ARDENNE à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur la comparaison de l’efficacité de l’hydropulseur et des brossettes interdentaires dans l’hygiène bucco-dentaire des patients atteints de gingivite, intitulée « Hydro-Paro ». (Demande d’autorisation n° 925069)

La CNIL autorise l'Université de Reims Champagne-Ardenne à mettre en œuvre un traitement de données pour une étude de santé intitulée "Hydro-Paro". Cette autorisation est accordée malgré un point de non-conformité à la méthodologie de référence concernant l'accès aux données directement identifiantes par l'attaché de recherche clinique. La décision impose des conditions strictes, notamment la séparation des bases de données et des durées de conservation limitées (destruction des données d'identification trois mois après la fin du suivi).

DR-2025-166

DécisionAutorisation de rechercheEn vigueur24 juillet 2025

Décision DR-2025-163 du 24 juillet 2025 autorisant le CENTRE HOSPITALIER UNIVERSITAIRE DE BORDEAUX à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur la construction et l’entraînement de modèles de prédiction du risque d’accident vasculaire cérébral cardioembolique nécessitant un accès aux données du SNIIRAM, PMSI et CépiDc, composantes du Système national des données de santé (SNDS), pour les années 2006 à 2027, intitulée « TALENT-SNDS ». (Demande d’autorisation n° 924256)

Le Centre Hospitalier Universitaire de Bordeaux a obtenu une autorisation de la CNIL pour mener l'étude « TALENT-SNDS », visant à construire des modèles de prédiction du risque d'AVC cardioembolique. Cette autorisation permet l'accès et l'appariement de données du SNDS (SNIIRAM, PMSI, CépiDc) avec des données cliniques existantes, incluant le traitement du NIR à des fins d'appariement spécifique. La décision impose le respect strict d'un protocole de chaînage sécurisé du NIR et une formalisation des rôles entre le CHU et le GIP Plateforme des données de santé, qui agit en tant que sous-traitant pour l'hébergement et l'appariement.

DR-2025-163

DélibérationEn vigueur24 juillet 2025

Délibération n° 2025-069 du 24 juillet 2025 portant avis sur un projet d'arrêté modifiant l'arrêté du 29 novembre 2011 portant création d'un traitement automatisé d'informations relatif à l'enregistrement des bateaux de plaisance naviguant ou stationnant dans les eaux intérieures nationales

La CNIL émet un avis sur un projet d'arrêté du Ministère de la transition écologique modifiant le traitement SIMBA, relatif à l'enregistrement des bateaux de plaisance. Elle constate que ce traitement relève d'un régime juridique mixte, combinant le RGPD pour les finalités administratives et la directive "police-justice" pour les contrôles et enquêtes. La Commission prend acte que les droits des personnes (accès, rectification) s'exerceront uniquement sur le fondement du RGPD, une position conforme à la jurisprudence du Conseil d'État, et ne formule pas d'autres observations sur le projet.

2025-069

DélibérationEn vigueur24 juillet 2025

Délibération n° 2025-068 du 24 juillet 2025 portant avis sur un projet d'arrêté portant création d'un traitement de données à caractère personnel relatif à l'organisation des épreuves et la délivrance informatisée des permis de conduire les bateaux de plaisance à moteur dénommé « OEDIPP »

La CNIL émet un avis sur le projet d'arrêté du Ministère de la transition écologique créant le traitement « OEDIPP » pour les permis de conduire des bateaux de plaisance. Elle constate que ce traitement relève d'un régime juridique mixte, combinant le RGPD pour la gestion administrative des permis et la directive « police-justice » pour les contrôles et enquêtes. La Commission relève que les droits des personnes (accès, rectification) s'exerceront uniquement sur le fondement du RGPD, une position conforme à la jurisprudence du Conseil d'État, et n'émet pas d'autres observations sur le projet.

2025-068

DélibérationEn vigueur24 juillet 2025

Délibération n° 2025-067 du 24 juillet 2025 portant avis sur un projet d'arrêté portant création d'un traitement de données à caractère personnel relatif à la constitution d'un référentiel des navires de plaisance dénommé « PUMA » et au traitement automatisé permettant la gestion du droit annuel de francisation et de navigation

La CNIL émet un avis sur le projet d'arrêté du Ministère de la transition écologique créant le traitement « PUMA », un référentiel des navires de plaisance. Elle constate que le traitement relève d'un régime juridique mixte, combinant le RGPD et la directive « police-justice ». La Commission relève que les droits des personnes concernées se fondent uniquement sur le RGPD, conformément à la jurisprudence du Conseil d'État. Elle ne formule pas d'observations sur les autres dispositions du projet.

2025-067

DélibérationAutre autorisationEn vigueur24 juillet 2025

Délibération n° 2025-062 du 24 juillet 2025 autorisant l’Institut Gustave Roussy à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la constitution d’un entrepôt de données de santé, dénommé « INTERCEPTION ». (Demande d’autorisation n° 2235266 V1)

La CNIL autorise l'Institut Gustave Roussy à mettre en œuvre l'entrepôt de données de santé « INTERCEPTION ». Ce traitement, destiné à la recherche et à la prévention des cancers, est licite car il répond à une mission d'intérêt public. L'autorisation est accordée sous réserve que les futurs projets de recherche utilisant ces données fassent l'objet de formalités propres et que les sous-traitants soient liés par des contrats conformes au RGPD.

2025-062

DélibérationEn vigueur24 juillet 2025

Délibération n° 2025-066 du 24 juillet 2025 portant avis sur un projet d'arrêté portant modification de l'arrêté du 26 novembre 2015 portant création d'un traitement de données à caractère personnel relatif à la constitution d'un référentiel des navires professionnels dénommé « NAVPRO »

La CNIL émet un avis sur un projet d'arrêté du Ministère de la transition écologique modifiant le traitement « NAVPRO », un référentiel des navires professionnels. Elle constate que ce traitement relève d'un régime juridique mixte, combinant le RGPD pour des finalités administratives et la directive « police-justice » pour les contrôles et la prévention d'infractions. La Commission relève que les droits des personnes (accès, rectification) s'exercent uniquement sur le fondement du RGPD, une position conforme à la jurisprudence du Conseil d'État, et ne formule pas d'autres observations sur le projet.

2025-066

DélibérationEn vigueur24 juillet 2025

Délibération n° 2025-060 du 24 juillet 2025 portant avis sur un projet d'arrêté portant autorisation de mise en œuvre de traitements automatisés de données à caractère personnel au moyen de dispositifs installés sur des aéronefs à des fins de protection des installations militaires

La CNIL émet un avis favorable sur un projet d'arrêté-cadre du ministère des Armées et du ministère de l'Intérieur autorisant l'utilisation de caméras sur drones pour la protection des installations militaires. La Commission estime que les traitements de données personnelles (images vidéo, horodatage, identification des opérateurs) sont proportionnés et légitimes, étant limités au survol des enceintes militaires. Elle prend acte des engagements des ministères à diffuser une doctrine d'emploi pour garantir un déploiement uniforme et encadré des dispositifs.

2025-060

DécisionAutorisation de rechercheEn vigueur24 juillet 2025

Décision DR-2025-165 du 24 juillet 2025 autorisant la société ARGEN-X à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur l’évaluation de l’efficacité et la sécurité d’emploi de l’efgartigimod IV chez des participants adultes atteints de purpura thrombopénique immunologique, intitulée "advance NEXT". (Demande d’autorisation n° 925143)

La société ARGEN-X est autorisée par la CNIL à mettre en œuvre un traitement de données pour une étude clinique (advance NEXT) sur l'efgartigimod IV chez des adultes atteints de purpura thrombopénique immunologique. L'autorisation est accordée malgré une dérogation à la méthodologie de référence MR-001 concernant la collecte de l'origine ethnique des participants, cette collecte ayant été jugée justifiée. Le traitement doit respecter le cadre de la MR-001 et a reçu un avis favorable du comité de protection des personnes.

DR-2025-165

DécisionAutorisation de rechercheEn vigueur21 juillet 2025

Décision DR-2025-162 du 21 juillet 2025 autorisant l’INSTITUT DE RECHERCHE POUR LE DEVELOPPEMENT, l’UNIVERSITE IBA DER THIAM DE THIES et l’UNIVERSITE CHEIKH-ANTA-DIOP DE DAKAR à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur l’administration de masse d'antipaludiques et la lutte ciblée contre le portage pour réduire la transmission de plasmodium au Sahel, intitulée "AMARETi". (Demande d’autorisation n° 925093)

La CNIL autorise l'Institut de Recherche pour le Développement, l'Université Iba Der Thiam de Thiès et l'Université Cheikh-Anta-Diop de Dakar à mettre en œuvre un traitement de données pour l'étude de santé publique "AMARETi". Cette autorisation est accordée sous conditions, notamment concernant le traitement de données de localisation et d'enregistrements vocaux, l'information spécifique des mineurs et des participants devenant majeurs, et l'encadrement strict des transferts de données pseudonymisées vers le Sénégal. La décision impose également des durées de conservation précises pour les différentes catégories de données et échantillons biologiques.

DR-2025-162

DécisionAutorisation de rechercheEn vigueur18 juillet 2025

Décision DR-2025-161 du 18 juillet 2025 autorisant le CENTRE HOSPITALIER UNIVERSITAIRE DE RENNES à mettre en œuvre un traitement de données ayant pour finalité une étude portant sur l’effet de la lidocaïne intraveineuse continue sur l'inconfort des patients hospitalisés en post-opératoire en soins critiques, intitulée « LIDOCRIT ». (Demande d’autorisation n° 925152)

La CNIL autorise le Centre Hospitalier Universitaire de Rennes à mettre en œuvre un traitement de données pour l'étude clinique "LIDOCRIT". Cette autorisation est accordée malgré une dérogation concernant l'information des patients, qui peut être différée lorsque leur état de santé ne le permet pas. Les données seront conservées en base active pendant quatre ans, puis archivées pendant vingt-cinq ans.

DR-2025-161

DélibérationDisposition interne CNILABROGE17 juillet 2025

Délibération n° HABS-2025-004 du 17 juillet 2025 habilitant des agents de la Commission nationale de l'informatique et des libertés à établir un rapport en application du cinquième alinéa de l'article 22-1 de la loi n° 78-17 du 6 janvier 1978 modifiée

La CNIL habilite des agents de sa direction des contrôles et des sanctions à établir des rapports dans le cadre de ses pouvoirs de contrôle. Cette habilitation, accordée pour une durée de cinq ans, concerne une liste nominative de 22 agents. La décision abroge l'habilitation précédente et sera publiée au Journal officiel.

HABS-2025-004

DélibérationEn vigueur17 juillet 2025

Délibération n° 2025-056 du 17 juillet 2025 portant avis sur un projet de décret relatif aux conditions et modalités de mise en œuvre de collectes automatisées de données publiquement accessibles sur les déplacements multimodaux par les agents habilités de l'Autorité de régulation des transports

La CNIL rend un avis sur un projet de décret concernant l'Autorité de régulation des transports (ART). Ce texte vise à encadrer les collectes automatisées de données publiquement accessibles par l'ART pour ses missions de contrôle des services de mobilité. La CNIL constate que le projet limite le risque de traitement de données personnelles et prévoit leur destruction immédiate si cela devait se produire, mais recommande néanmoins une information générale du public et des garanties de sécurité suffisantes.

2025-056

DélibérationAvisEn vigueur17 juillet 2025

Délibération n° 2025-058 du 17 juillet 2025 portant avis sur un projet de décret en Conseil d’État relatif à la protection des informations personnelles des personnes physiques dirigeantes et associés indéfiniment responsables de personnes morales figurant au registre du commerce et des sociétés

La CNIL émet un avis sur un projet de décret du Ministère de la Justice concernant la protection des données des dirigeants et associés au registre du commerce et des sociétés (RCS). Elle juge l'objectif du projet conforme à la réglementation, mais formule plusieurs recommandations pour l'améliorer. Elle préconise notamment de garantir le droit à la confidentialité de l'adresse personnelle à tout moment et d'étendre ce droit à d'autres personnes physiques exposées. La CNIL regrette certaines limitations du dispositif et appelle à un travail structurel pour harmoniser la divulgation des données dans l'ensemble des registres publics.

2025-058