283délibérations de la Commission nationale de l'informatique et des libertés.
283
Total délibérations
274
En vigueur
283
Avec résumé IA
La CNIL autorise le Centre Hospitalier de Nancy à modifier son traitement de données pour l'étude EMERALD-US. L'autorisation concerne spécifiquement la prolongation de la durée de conservation des données en base active, qui passe de cinq à quinze ans, cette modification ayant été scientifiquement justifiée. Les autres conditions de mise en œuvre de l'étude restent inchangées.
DR-2025-143
Le Centre Hospitalier Universitaire de Tours est autorisé par la CNIL à mettre en œuvre un traitement de données pour une étude de recherche sur la méditation de pleine conscience chez les patients hémodialysés. L'autorisation est accordée malgré un écart à la méthodologie de référence concernant la communication de données directement identifiantes aux instructeurs de méditation, jugée nécessaire pour le suivi. Le traitement est soumis à des conditions strictes, notamment la séparation des bases de données, une information renforcée des participants et des durées de conservation définies (destruction des données d'identification après dix mois, archivage des autres données pendant quinze ans).
DR-2025-144
La CNIL autorise l'Institut national de la santé et de la recherche médicale (Inserm) à mettre en œuvre l'entrepôt de données de santé « GAZEL » pour des recherches en épidémiologie. L'autorisation est accordée malgré deux écarts au référentiel général : l'appariement de données cliniques avec celles du SNDS et les durées de conservation spécifiques. La décision impose le respect strict des conditions légales, notamment la séparation des données identifiantes et la conclusion de contrats avec les sous-traitants.
2025-049
La CNIL autorise la société Bristol-Myers Squibb à mettre en œuvre un traitement de données pour une étude en vie réelle sur le mavacamten, nécessitant l'accès aux données du SNIIRAM et du PMSI (SNDS) de 2013 à 2025. L'autorisation est accordée malgré des dérogations à la méthodologie de référence concernant la nature des données et l'information des personnes, pour lesquelles une information publique sur le site web est prévue. Le traitement implique un transfert de données pseudonymisées vers le Canada, qui devra être encadré par des clauses contractuelles types, sous la responsabilité du responsable de traitement de s'assurer du niveau de protection adéquat.
DR-2025-141
La CNIL autorise l'Assistance Publique - Hôpitaux de Paris (AP-HP) à mettre en œuvre un traitement de données pour l'étude clinique SHARE II sur le traitement de l'érysipèle. L'autorisation est accordée sous conditions, notamment concernant l'accès séparé et sécurisé aux données directement identifiantes par un sous-traitant, qui constitue une dérogation à la méthodologie de référence MR-001. Les durées de conservation des données sont strictement encadrées, avec une destruction des données d'identification à la fin du suivi et un archivage pouvant aller jusqu'à vingt-cinq ans pour les autres données.
DR-2025-139
La CNIL autorise l'**ASSOCIATION OBSERVEUR** à modifier substantiellement son entrepôt de données de santé « Canopée ». Cette autorisation concerne l'ajout de nouvelles catégories de données de santé et de vie sociale, ainsi que l'élargissement de l'accès aux données pour les établissements partenaires. La décision impose à l'association de mettre à jour l'information des personnes concernées et de respecter strictement les règles d'anonymisation pour les exports de données.
DT-2025-009
La CNIL habilite plusieurs de ses agents à procéder à des missions de vérification, conformément à l'article 19 de la loi Informatique et Libertés. Cette délibération, prise en 2025, concerne des agents issus de différentes directions de l'institution, notamment les contrôles, les technologies et l'exercice des droits. Il s'agit d'une mesure d'organisation interne et non d'une décision de sanction ou d'autorisation à l'encontre d'un organisme externe.
HAB-2025-004
Le Centre Hospitalier Universitaire d'Angers a été autorisé par la CNIL à mettre en œuvre un traitement de données pour une étude sur l'impact du logiciel « LOG-AFTER » sur le suivi à long terme des patients après un cancer. L'autorisation est accordée sous réserve du respect de la méthodologie de référence MR-001, avec une dérogation spécifique concernant l'information des deux titulaires de l'autorité parentale lorsque cela est impossible. Les durées de conservation des données sont fixées à sept ans et six mois en base active, suivis d'une période d'archivage de quinze ans.
DR-2025-135
La CNIL autorise l'Assistance Publique - Hôpitaux de Paris (AP-HP) à mettre en œuvre un traitement de données pour l'étude "TOCOKIDS", portant sur le suivi d'enfants nés de mères exposées à la nifédipine. L'autorisation est accordée malgré un point de non-conformité à la méthodologie de référence concernant l'accès d'un sous-traitant aux données directement identifiantes, qui devra être traitées séparément. Des mesures strictes sont imposées, notamment une information spécifique des parents et des durées de conservation limitées (destruction des données de contact à la fin du suivi).
DR-2025-136
La CNIL autorise l'Agence nationale de santé publique (ANSP) à mettre en œuvre un traitement de données pour l'étude "ALBANE", un suivi passif des participants via l'accès au Système national des données de santé (SNDS) de 2015 à 2036. L'autorisation est accordée malgré des non-conformités à la méthodologie de référence concernant la nature des données et les destinataires des données directement identifiantes. Des mesures strictes de sécurité sont imposées, notamment la séparation des bases de données identifiantes et de santé, et un accès limité aux personnes habilitées.
DR-2025-126
La CNIL autorise l'Agence nationale de santé publique (ANSP) et l'Agence nationale de sécurité sanitaire de l'alimentation, de l'environnement et du travail (ANSES) à mettre en œuvre un traitement de données pour une étude sur la non-réponse des participants à l'étude "ALBANE". Cette autorisation, dérogatoire à la méthodologie de référence MR-004, permet l'accès à des données directement identifiantes et au Système national des données de santé (SNDS) pour les années 2023 à 2026. La décision impose des conditions strictes, notamment la séparation des bases de données et un accès limité aux données identifiantes, sous réserve du droit d'opposition des personnes concernées.
DR-2025-129
La CNIL autorise les sociétés Roche SAS, Pfizer, Celltrion Healthcare France, Amgen, Biocon Biologics France SAS, Organon, Zentiva France et les Hospices Civils de Lyon à mettre en œuvre un traitement de données pour la gestion d'un cadre de prescription compassionnelle du médicament Bevacizumab. Cette autorisation est accordée malgré deux écarts au référentiel de sécurité (absence d'authentification multifacteur et d'analyse automatique des journaux), pour lesquels des mesures compensatoires doivent être mises en place avant le démarrage du traitement. Les organismes sont responsables conjoints du traitement et doivent informer les patients et professionnels de santé, qui pourront exercer leurs droits auprès des Hospices Civils de Lyon ou du prescripteur.
DT-2025-008
La CNIL autorise le GROUPEMENT DE COOPERATION SANITAIRE UNICANCER à modifier substantiellement le traitement de données de santé "HARMONIE". Cette modification consiste uniquement en un changement de responsable de traitement, Unicancer remplaçant la Fédération nationale des centres de lutte contre le cancer. Les autres conditions d'accès au SNDS (SNIIRAM, PMSI, CépiDc) pour la période 2008-2030 restent inchangées.
DT-2025-007
La CNIL autorise l'association PROMESS à mettre en œuvre le traitement de données « PREVAJEUNE » pour une étude sur la prévention des troubles anxieux, dépressifs et des conduites addictives chez les jeunes. L'autorisation est accordée malgré des non-conformités à la méthodologie de référence MR-001 concernant l'information des personnes et la nature des données traitées, sous réserve du respect de conditions spécifiques. Ces conditions incluent des mesures strictes pour les enregistrements audio et les données sensibles, ainsi que des durées de conservation définies (5 ans en base active, 15 ans en archivage).
DR-2025-134
Le Centre Hospitalier Universitaire de Brest est autorisé par la CNIL à mettre en œuvre un traitement de données pour l'étude « TRAUMAF » sur les traumatismes liés aux accidents nautiques. Cette autorisation est accordée malgré un point de non-conformité concernant l'accès aux données directement identifiantes par l'équipe coordinatrice, qui doit les traiter séparément. Les données d'identification seront détruites à la fin du suivi, tandis que les autres données seront conservées en base active pendant deux ans et six mois, puis archivées pendant quinze ans.
DR-2025-140
La CNIL autorise l'Assistance Publique - Hôpitaux de Paris (AP-HP) à mettre en œuvre un traitement de données pour l'étude clinique "INSEPTION" sur la sédation inhalée. Cette autorisation est accordée car la finalité présente un intérêt public, sous réserve du respect de la méthodologie de référence MR-001. Une dérogation spécifique est prévue concernant l'information des patients, qui peut être différée pour raison médicale et délivrée à leur représentant légal, avec un droit d'opposition maintenu. La durée de conservation des données est fixée à 8 ans et 6 mois en base active, suivie d'une période d'archivage de 25 ans.
DR-2025-138
La CNIL autorise l'Assistance Publique - Hôpitaux de Paris (AP-HP) à mettre en œuvre un traitement de données pour l'étude clinique « T-REX » sur les protocoles d'extubation. Cette autorisation est accordée car la finalité présente un intérêt public, sous réserve du respect de la méthodologie de référence MR-001. Une attention particulière est portée aux modalités d'information des patients, avec des procédures adaptées pour les personnes hors d'état d'être informées ou décédées. La durée de conservation des données est fixée à sept ans et un mois en base active, suivie d'une période d'archivage de quinze ans.
DR-2025-137
La CNIL a émis un avis sur un projet de loi du ministère de l'intérieur visant à adapter le droit français aux systèmes d'information européens (SIS, VIS, EES, CIR). Elle considère comme légitime l'objectif de collecte d'empreintes digitales et de photographies lors de contrôles d'identité, aux frontières et du droit au séjour pour interroger ces fichiers, car cela réduit les risques d'homonymie. Toutefois, la Commission recommande que le texte précise davantage les fondements et conditions de cette collecte biométrique pour éviter qu'elle ne devienne systématique et pour garantir la conformité avec les fichiers nationaux comme le FPR.
2024-049
La CNIL autorise le Centre Hospitalier Universitaire de Nantes à mettre en œuvre un traitement de données pour l'étude clinique "DEXA-BURN". Cette autorisation est accordée malgré une dérogation aux modalités d'information standard des patients, justifiée par l'inclusion de personnes en situation d'urgence vitale. Le traitement devra respecter la méthodologie de référence MR-001, avec des durées de conservation fixées à 5 ans en base active et 25 ans en archivage.
DR-2025-132
La CNIL autorise le Centre Hospitalier Universitaire de Tours et l'Université de Melbourne à mettre en œuvre un traitement de données pour l'étude clinique "POST-ETERNAL" sur le traitement de l'AVC. L'autorisation est accordée malgré une dérogation aux modalités standard d'information des patients, due à la situation d'urgence vitale, avec des procédures adaptées pour informer les proches. Elle est conditionnée au respect de mesures spécifiques pour le transfert de données pseudonymisées vers l'Australie, notamment l'utilisation de clauses contractuelles types complétées par des garanties supplémentaires.
DR-2025-133