CNIL, Délibération du 8 janvier 2026, n° 2026-002

CNIL 8 janvier 2026

Arguments

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Signaler une erreur.

Accepté
Conformité aux exigences du RGPD
La Commission a estimé que les mesures de sécurité mises en œuvre par HEVA répondent aux exigences du RGPD et que les modifications apportées sont justifiées.

Résumé de la juridiction

Délibération n° 2026-002 du 8 janvier 2026 autorisant la société HEVA à mettre en œuvre la modification d’un traitement automatisé de données à caractère personnel ayant pour finalité la constitution d’un entrepôt de données de santé, dénommé « FREiA ».

Commentaire • 0

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées.

Sur la décision

Référence :	CNIL, délib. n° 2026-002, 8 janv. 2026
Numéro :	2026-002
Nature de la délibération :	Autre autorisation
État :	VIGUEUR
Identifiant Légifrance :	CNILTEXT000053419955

Texte intégral

(Demande d’autorisation n° 2235345v1)

La Commission nationale de l’informatique et des libertés,

Saisie le 9 octobre 2025 par la société HEVA d’une demande de modification d’une autorisation concernant un traitement automatisé de données à caractère personnel ayant pour finalité la constitution d’un entrepôt de données de santé, dénommé FREiA ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 66, 72 et suivants ;

Vu le dossier et ses compléments ;

Sur la proposition de M^me Marie Zins, commissaire, et après avoir entendu les observations de M. Damien Milic, commissaire du Gouvernement,

Formule les observations suivantes :

Responsable du traitement

Créée en 2005, la société Heva est un bureau d’études qui réalise des recherches dans le domaine de la santé notamment à partir des données du Système national des données de santé (SNDS), pour son propre compte ou celui de ses clients.

En novembre 2024, la société HEVA a été autorisée à constituer un entrepôt de données de santé (délibération n° 2024-087) dénommé FREiA .

Modifications

HEVA souhaite apporter des modifications substantielles au traitement FREiA s’agissant des modalités d’hébergement des données.

Sur les mesures de sécurité

L’entrepôt FREiA a fait l’objet d’une homologation, intégrant sa nouvelle architecture d’hébergement, prononcée le 6 octobre 2025 pour une durée de trois ans.

Des mesures spécifiques de cloisonnement reposant sur des mécanismes de chiffrement des données et de maîtrise technique des clés, soutenus par une procédure formalisée de gestion des secrets (sécurisation du stockage et de l’utilisation des clés, gestion des rôles et habilitations d’accès aux clés, authentification des utilisateurs et des comptes de service) sont mises en œuvre.

Les mesures de sécurité décrites dans le dossier sont de nature à répondre aux exigences prévues par les articles 5,1, f) et 32 du RGPD compte tenu des risques identifiés par le responsable de traitement. Le responsable de traitement doit procéder à une réévaluation régulière des risques pour les personnes concernées et une mise à jour, le cas échéant, de ces mesures de sécurité.

Les autres conditions de mise en œuvre de l’entrepôt demeurent inchangées.

Autorise, conformément à la présente délibération, la société HEVA à mettre en œuvre le traitement pendant une durée de deux ans à compter de la mise à disposition des données.

La présidente,

M.-L. Denis