Tables CNIL

Cette application facilite et enrichit la navigation dans les Tables Informatique et Libertés publiées par la CNIL. Elles assemblent l’essentiel de la jurisprudence française et européenne et des décisions pertinentes de l'autorité administrative en matière de protection des données à caractère personnel, et constituent à cet égard un outil précieux pour les DPO et les avocats

Dernière mise à jour : Version du 20/02/2026 – V 2.3 [PDF]

669 décisions

Décisions de jurisprudence

Juridiction
Toutes les juridictions

CE30 décembre 2015CE, 1ère/6ème SSR, 30 décembre 2015, Société les Laboratoires Servier, n° 372230, Rec., point 2(source)

Application de la loi du 17 juillet 1978 (« loi CADA ») aux données relevant de la loi Informatique et Libertés (art. 37) Existence – Modalités

Il résulte de l'article art. 37 de la loi n° 78‑17 du 6 janvier 1978 (loi IL) que les dispositions de cette loi ne font, en principe, pas obstacle à l'application, au bénéfice de tiers, des dispositions du titre Ier de la loi n° 78‑753 du 17 juillet 1978. Lorsque des données à caractère personnel ont également le caractère de documents administratifs, elles ne sont communicables aux tiers, en vertu du III de l'article 6 de la loi du 17 juillet 1978, que s'il est possible d'occulter ou de disjoindre les mentions portant atteinte, notamment, à la protection de la vie privée ou au secret médical. Il ne peut être accédé à une demande de communication sur le fondement de la loi du 17 juillet 1978 que si le traitement nécessaire pour rendre impossible, s'agissant de données de santé, toute identification, directe ou indirecte, de l'une quelconque des personnes concernées, y compris par recoupement avec d'autres données, n'excède pas l'occultation ou la disjonction des mentions non communicables, seule envisagée par cette loi. Dans le cas contraire, sont seules applicables les dispositions de la loi du 6 janvier 1978 et des lois spéciales applicables au traitement de certaines catégories de données, notamment, en ce qui concerne les données de santé à caractère personnel, les chapitres IX et X de la loi du 6 janvier 1978.

CJUE4 octobre 2024CJUE, 4 octobre 2024, Patērētāju tiesību aizsardzības centrs, C-507/23(source)

Droit à réparation et responsabilité 1) Conditions – Existence d'un dommage causé par la violation – 2) Forme de la r éparation – Excuses – Inclusion – 3) Montant de la réparation – Minoration en raison de l'attitude du responsable de traitement – Absence

1) L'article 82, paragraphe 1, du règlement général sur la protection des données (RGPD), lu à la lumière de l’article 8, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne, doit être interprété en ce sens qu’une violation de dispositions de ce règlement ne suffit pas, à elle seule, pour constituer un dommage, au sens de cet article 82, paragraphe 1.

2) L’article 82, paragraphe 1, du RGPD doit être interprété en ce sens que la présentation d’excuses peut constituer une réparation adéquate d’un dommage moral sur le fondement de cette disposition, notamment lorsqu’il est impossible de rétablir la situation antérieure à la survenance de ce dommage, pour autant que cette forme de réparation soit de nature à compenser intégralement le préjudice subi par la personne concernée.

3) L’article 82, paragraphe 1, du RGPD doit être interprété en ce sens qu’il s’oppose à ce que l’attitude et la motivation du responsable de traitement puissent être prises en compte afin, le cas échéant, d’accorder à la personne concernée une réparation inférieure au préjudice qu’elle a concrètement subi.

CJUE4 octobre 2024CJUE, 4 octobre 2024, Agentsia po vpisvaniyata, C 200/23(source)

Article 82 du RGPD 1) Autorité responsable de la publicité obligatoire des actes Refus d'effacer les données non requises – Droit à réparation – Existence d'un préjudice moral - 2) Exonération de responsabilité prévue à l'article 82 du RGPD - Interprétation

Article 82, paragraphe 1, du règlement 2016/679 du 27 avril 2016 (RGPD) doit être interprété en ce sens qu'une perte de contrôle d'une durée limitée, par la personne concernée, sur ses données à caractère personnel en raison de la mise à la disposition du public de ces données, en ligne, dans le registre du commerce d'un État membre, peut suffire pour causer un « dommage moral », pour autant que cette personne démontre qu'elle a effectivement subi un tel dommage, aussi minime fût‑il, sans que cette notion de « dommage moral » requière la démonstration de l'existence de conséquences négatives tangibles supplémentaires. Article 82, paragraphe 3, du règlement 2016/679 du 27 avril 2016 (RGPD) doit être interprété en ce sens qu'un avis de l'autorité de contrôle d'un État membre, émis sur le fondement de l'article 58, paragraphe 3, sous b), de ce règlement, ne suffit pas à exonérer de responsabilité, au titre de l'article 82, paragraphe 2, dudit règlement, l'autorité chargée de la tenue du registre du commerce de cet État membre ayant la qualité de « responsable du traitement » au sens de l'article 4, point 7, du même règlement.

CJUE25 janvier 2024CJEU, 25 janvier 2024, MediaMarktSaturn, C-687/21(source)

1 ) Demande de réparation d'un préjudice moral Cas d'une diffusion de données à caractère personnel à un tiers non autorisé 2 ) Condition de gravité de la violation – Absence – 3 ) Eléments de preuve Violation des dispo sitions du règlement – Existence d'un dommage matériel ou moral

1) L'article 82, paragraphe 1, du règlement 2016/679 doit être interprété en ce sens que dans l'hypothèse où un document contenant des données à caractère personnel a été remis à un tiers non autorisé dont il est établi qu'il n'a pas pris connaissance de celles - ci, un « dommage moral », au sens de cette disposition, n'est pas constitué par le simple fait que la personne concernée craint que, à la suite de cette communication ayant rendu possib le la réalisation d'une copie dudit document avant sa restitution, une diffusion, voire un usage abusif, de ses données se produise dans le futur.

Les articles 5, 24, 32 et 82 du règlement (UE) 2016/679 doivent être interprétés en ce sens que dans le cadr e d'une action en réparation fondée sur cet article 82, le fait que des employés du responsable du traitement ont remis par erreur à un tiers non autorisé un document contenant des données à caractère personnel ne suffit pas, à lui seul, pour considérer qu e les mesures techniques et organisationnelles mises en œuvre par le responsable du traitement en cause n'étaient pas « appropriées », au sens de ces articles 24 et 32.

2 ) L'article 82 du règlement 2016/679 doit être interprété en ce sens que cet article n e requiert pas que le degré de gravité de la violation commise par le responsable du traitement soit pris en compte aux fins de la réparation d'un dommage sur le fondement de cette disposition.

3 ) L'article 82, paragraphe 1, du règlement 2016/679 doit être interprété en ce sens que la personne demandant réparation au titre de cette disposition est tenue d'établir non seulement la violation de dispositions de ce règlement, mais également que cette violation lui a causé un dommage matériel ou moral.

CJUE21 décembre 2023CJUE, 21 décembre 2023, Krankenversicherung Nordrhein, C-667/21(source)

1) Fonction compensatoire du droit à réparation Existence – Fonction dissuasive de ce même droit – Exclusion - 2) Condition - Existence d'une faute du responsable du traitement en cas de manquement – Régime de faute présumée

1) L'article 82, paragraphe 1, du règlement 2016/679 doit être interprété en ce sens que le droit à réparation prévu à cette disposition remplit une fonction compensatoire, en ce qu'une réparation pécuniaire fondée sur ladite disposition doit permettre de compenser intégralement le préjudice concrètement subi du fait de la violation de ce règlement, et non une fonction dissuasive ou punitive.

2) L'article 82 du règlement 2016/679 doit être interprété en ce sens que d'une part, l'engagement de la responsabilité du responsable du traitement est subordonné à l'existence d'une faute commise par celui‑ci, laquelle est présumée à moins que ce dernier ne prouve que le fait qui a provoqué le dommage ne lui soit nullement imputable ; et, d'autre part, cet article 82 ne requiert pas que le degré de gravité de cette faute soit pris en compte lors de la fixation du montant des dommages‑intérêts alloués en réparation d'un préjudice moral sur le fondement de cette disposition.

CJUE14 décembre 2023CJUE, 14 décembre 2023, Gemeinde Ummendorf, C-456/22(source)

Réglementation ou pratique nationale fixant un « seuil de minimis » afin de caractériser un dommage moral causé par une violation du RGPD Illicéité – Obligation de démontrer qu e les conséquences de cette violation sont constitutives d'un préjudice – Existence

L'article 82, paragraphe 1, du RGPD doit être interprété en ce sens qu'il s'oppose à une réglementation nationale ou à une pratique nationale qui fixe un « seuil de minimis » afin de caractériser un dommage moral causé par une violation du RGPD. La personne concernée est tenue de démontrer que les conséquences de cette violation qu'elle prétend avoir subies sont constitutives d'un préjudice qui se différencie de la simple violation des dispositions dudit règlement.

CJUE14 décembre 2023CJUE, 14 décembre 2023, Natsiona lna agentsia za prihodite, C‑340/21(source)

Demande de réparation d'un préjudice moral fondée sur la crainte d'un potentiel usage abusif de données à caractère personnel

L'article 82, paragraphe 1, du règlement 2016/679 doit être interprété en ce sens que la crainte d'un potentiel usage abusif de ses données à caractère personnel par des tiers qu'une personne concernée éprouve à la suite d'une violation de ce règlement est susceptible, à elle seule, de constituer un « dommage moral », au sens de cette disposition.

CJUE4 mai 2023CJUE, 4 mai 2023, Österreichische Post, C-300/21, point 54(source)

Droit à réparation du dommage causé par le traitement de données effectué en violation du RGPD Conditions du droit à réparation – Simple violation dudit règlement – Insuffisance – Condition de gravité minimale – Absence

L’article 82, paragraphe 1, du RGPD doit être interprété en ce sens que la simple violation des dispositions de ce règlement ne suffit pas pour conférer un droit à réparation. L’article 82, paragraphe 1, du RGPD doit être interprété en ce sens qu’il s’oppose à une règle ou une pratique nationale subordonnant la réparation d’un dommage moral, au sens de cette disposition, à la condition que le préjudice subi par la personne concernée ait atteint un certain degré de gravité. Il y a lieu de relever que le RGPD ne contient pas de disposition ayant pour objet de définir les règles relatives à l’évaluation des dommages‑intérêts auxquels une personne concernée, au sens de l’article 4, point 1, de ce règlement, peut prétendre, en vertu de l’article 82 de celui‑ci, lorsqu’une violation dudit règlement lui a causé un préjudice. Par conséquent, à défaut de règles du droit de l’Union en la matière, il appartient à l’ordre juridique de chaque État membre de fixer les modalités des actions destinées à assurer la sauvegarde des droits que les justiciables tirent de cet article 82 et, en particulier, les critères permettant de déterminer l’étendue de la réparation due dans ce cadre, sous réserve du respect desdits principes d’équivalence et d’effectivité.

CJUE29 juillet 2019CJUE, 29 juillet 2019, Fashion ID, C-40/17(source)

Possible action en justice contre l'auteur présumé d'une atteinte à la protection des données à caractère personnel

Les articles 22 à 24 de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995 doivent être interprétés en ce sens qu'ils ne s'opposent pas à une réglementation nationale permettant aux associations de défense des intérêts des consommateurs d'agir en justice contre l'auteur présumé d'une atteinte à la protection des données à caractère personnel.

CJUE27 septembre 2017CJUE, 27 septembre 2017, Puškár, C‑73/16, points 97‑98(source)

Article 47 Charte des droits fondamentaux de l'Union européenne 1) Mode de preuve d'une violation de la protection des données à caractère personnel – Liste contenant des données à caractère personnel – Admissibilité – Obtention d'une telle liste sans le consentement, légalement requis, du responsable du traitement – Appréciation de la proportionnalité du rejet de cette liste litigieuse en tant que moyen de preuve – 2) Réglementation nationale subordonnant l'exercice d'un recours juridictionnel à l'épuisement préalable des voies de recours administratives – Conditions

1 ) L'article 47 de la Charte des droits fondamentaux de l'Union européenne doit être interprété en ce sens qu'il s'oppose à ce qu'une juridiction nationale rejette, en tant que moyen de preuve d'une violation de la protection des données à caractère personnel conférée par la directive 95/46, une liste, telle que la liste litigieuse, présentée par la personne concernée et contenant des données à caractère personnel de celle‑ci, dans l'hypothèse où cette personne aurait obtenu cette liste sans le consentement, légalement requis, du responsable du traitement de ces données, à moins qu'un tel rejet soit prévu par la législation nationale et qu'il respecte à la fois le contenu essentiel du droit à un recours effectif et le principe de proportionnalité. Ainsi, afin d'apprécier la proportionnalité d'un rejet de la liste litigeuse en tant que moyen de preuve, la juridiction de renvoi doit examiner si sa législation nationale limite ou non, par rapport aux données figurant sur cette liste, les droits d'information et d'accès énoncés aux articles 10 à 12 de la directive 95/46 et si une telle limitation est, le cas échéant, justifiée. En outre, même lorsque tel est le cas et qu'il existe des éléments plaidant en faveur d'un intérêt légitime à l'éventuelle confidentialité de la liste en cause, les juridictions nationales doivent vérifier au cas par cas si ceux‑ci prévalent sur l'intérêt à la protection des droits du particulier et s'il existe, dans le cadre de la procédure devant cette juridiction, d'autres moyens pour assurer cette confidentialité, notamment en ce qui concerne les données à caractère personnel des autres personnes physiques figurant sur cette liste.

2 ) L'article 47 de la Charte des droits fondamentaux de l'Union européenne doit être interprété en ce sens qu'il ne s'oppose pas à une législation nationale qui subordonne l'exercice d'un recours juridictionnel par une personne affirmant qu'il a été porté atteinte à son droit à la protection des données à caractère personnel garanti par la directive 95/46/CE à l'épuisement préalable des voies de recours disponibles devant les autorités administratives nationales, à condition que les modalités concrètes d'exercice desdites voies de recours n'affectent pas de manière disproportionnée le droit à un recours effectif devant un tribunal visé à cette disposition. Il importe, notamment, que l'épuisement préalable des voies de recours disponibles devant les autorités administratives nationales n'entraîne pas de retard substantiel pour l'introduction d'un recours juridictionnel, qu'il entraîne la suspension de la prescription des droits concernés et qu'il n'occasionne pas de frais excessifs.

CNIL15 juillet 2021CNIL, P, 15 juillet 2021, À vis sur projet de décret, Livret de parcours inclusif (LPI) n° 2021-082, publié, point 29(source)

Mineurs Traitement ayant pour finalité d'améliorer la prise en charge et le parcours scolaires d'élèves à besoins éducatifs particuliers – Obligation de prévoir dans le contrat de sous-traitance l'interdiction de transférer les données hors de l'Union européenne

Dans le cadre d'un projet de décret autorisant la mise en œuvre par le ministère de l'éducation nationale d'un traitement ayant pour finalité d'améliorer la prise en charge et le parcours scolaire des élèves à besoins éducatifs particuliers, dont des élèves handicapés, compte tenu des données traitées, de la minorité d'un grand nombre de personnes concernées par le traitement, du cadre dans lequel elles sont recueillies et du considérant 38 du RGPD qui indique que « Les enfants méritent une protection spécifique en ce qui concerne leurs données à caractère personnel parce qu'ils peuvent être moins conscients des risques, des conséquences et des garanties concernées et de leurs droits liés au traitement des données à caractère personnel », la CNIL considère que le contrat de sous-traitance devrait prévoir l'interdiction de transférer les données hors de l'Union européenne.

CJUE16 juillet 2020CJUE, grande chambre, 16 juillet 2020, Facebook Ireland et Schrems, C‑311/18(source)

Décision 2016/1250 constatant un niveau adéquat de protection assuré par le bouclier de protection des données Union européenne - États-Unis 1) Transfert de données à caractère personnel vers un pays tiers – Notion de niveau de protection adéquat à assurer par le pays tiers concerné lors de tels transferts – Interprétation au regard du droit de l'Union – Critères d'appréciation – 2) Autorité nationale de contrôle saisie d'une demande mettant en cause le caractère adéquat du niveau de protection assuré dans ce pays tiers – Obligation pour cette autorité d'examiner la demande – Invalidité – a ) Limitations de la protection des données à caractère personnel – Encadrement insuffisant pour répondre à des exigences substantiellement équivalentes – Méconnaissance du principe de proportionnalité – b) Absence de droits opposables aux autorités américaines devant les tribunaux – Mécanisme de médiation – Absence de garanties substantiellement équivalent­es – Méconnaissance du droit à une protection juridictionnelle effective

1) L'article 46, paragraphe 1, et l'article 46, paragraphe 2, sous c), du RGPD doivent être interprétés en ce sens que les garanties appropriées, les droits opposables et les voies de droit effectives requis par ces dispositions doivent assurer que les droits des personnes dont les données à caractère personnel sont transférées vers un pays tiers sur le fondement de clauses types de protection des données bénéficient d'un niveau de protection substantiellement équivalent à celui garanti au sein de l'Union européenne par ce règlement, lu à la lumière de la Charte des droits fondamentaux de l'Union européenne.

À cet effet, l'évaluation du niveau de protection assuré dans le contexte d'un tel transfert doit, notamment, prendre en considération tant les stipulations contractuelles convenues entre le responsable du traitement ou son sous‑traitant établi dans l'Union européenne et le destinataire du transfert établi dans le pays tiers concerné que, en ce qui concerne un éventuel accès des autorités publiques de ce pays tiers aux données à caractère personnel ainsi transférées, les éléments pertinents du système juridique de celui‑ci, notamment ceux énoncés à l'article 45, paragraphe 2, dudit règlement.

2) La décision d'exécution (UE) 2016/1250 de la Commission, du 12 juillet 2016, conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à l'adéquation de la protection assurée par le bouclier de protection des données UE – États-Unis, est invalide. Sont en particulier méconnus le principe de proportionnalité et le droit à une protection juridictionnelle effective.

a) La décision 2016/1250 consacre, à l'instar de la décision 2000/520, la primauté des exigences relatives à la sécurité nationale, à l'intérêt public et au respect de la législation américaine, rendant ainsi possibles des ingérences dans les droits fondamentaux des personnes dont les données sont transférées vers ce pays tiers. Les limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des États‑Unis portant sur l'accès et l'utilisation, par les autorités publiques américaines, de telles données transférées depuis l'Union vers ce pays tiers, et que la Commission a évaluées dans la décision 2016/1250, ne sont pas encadrées de manière à répondre à des exigences substantiellement équivalentes à celles requises, en droit de l'Union, par le principe de proportionnalité, en ce que les programmes de surveillance fondés sur cette réglementation ne sont pas limités au strict nécessaire. En se fondant sur les constatations figurant dans cette décision, il est relevé que, pour certains programmes de surveillance, ladite réglementation ne fait ressortir d'aucune manière l'existence de limitations à l'habilitation qu'elle comporte pour la mise en œuvre de ces programmes, pas plus que l'existence de garanties pour des personnes non américaines potentiellement visées.

b) Par ailleurs, si la même réglementation prévoit des exigences que les autorités américaines doivent respecter lors de la mise en œuvre des programmes de surveillance concernés, elle ne confère pas aux personnes concernées des droits opposables aux autorités américaines devant les tribunaux. Quant à l'exigence de protection juridictionnelle, contrairement à ce que la Commission a considéré dans la décision 2016/1250, le mécanisme de médiation visé par cette décision ne fournit pas à ces personnes une voie de recours devant un organe offrant des garanties substantiellement équivalentes à celles requises en droit de l'Union, de nature à assurer tant l'indépendance du médiateur prévu par ce mécanisme que l'existence de normes habilitant ledit médiateur à adopter des décisions contraignantes à l'égard des services de renseignement américains.

CJUEDate non renseignéeCJUE, grande chambre, 6 octobre 2015, Schrems, C-362/14(source)

Accord de « Safe Harbor » Décision 2000/520 – 1) Définition d'un niveau de protection « adéquat » – Obligations pesant sur la Commission – 2) Réglementation limitée au strict nécessaire – Exclusion – Atteinte à u droit au respect de la vie privée – 3) Réglementation ne prévoyant pas de voies de droit pour accéder aux données, les rectifier ou les supprimer – Atteinte au droit à une protection juridictionnelle effective – 4) Restriction des pouvoirs de contrôle de s autorités nationales – Invalidité de la décision

1) Le terme « adéquat » ne signifie pas que le pays tiers doit assurer un niveau de protection des libertés et droits fondamentaux « adéquat » à celui garanti dans l'ordre juridique de l'Union, mais à tout le moins substantiellement équivalent au sein de l'Union en vertu de la directive 95/46, lue à la lumière de la Charte.

La Commission est tenue de vérifier si les États‑Unis assurent effectivement, grâce à leur législation intérieure ou à leurs engagements internationaux, un niveau de protection des droits fondamentaux substantiellement équivalent au sein de l'Union en vertu de la directive lue à la lumière de la Charte.

Or, la Commission n'a pas opéré un tel constat, mais s'est bornée à examiner le régime de la « sphère de sécurité » (Safe Harbor). Sans qu'il y ait besoin de vérifier si ce régime assure un niveau de protection substantiellement équivalent, la Cour relève que ce régime est uniquement applicable aux entreprises américaines qui y souscrivent, sans que les autorités publiques des États‑Unis y soient elles‑mêmes soumises. Les exigences relatives à la sécurité nationale, à l'intérêt public et au respect des lois des États‑Unis l'emportent sur le régime de la « sphère de sécurité », si bien que les entreprises américaines sont tenues d'écarter, sans limitation, les règles de protection prévues par ce régime lorsqu'elles entrent en conflit avec de telles exigences.

Le régime américain de la « sphère de sécurité » rend ainsi possible des ingérences, par les autorités publiques américaines, dans les droits fondamentaux des personnes ; la décision de la Commission ne fait état ni de l'existence, aux États‑Unis, de règles destinées à limiter ces éventuelles ingérences ni d'une protection juridique efficace contre celles‑ci. La Cour considère que cette analyse du régime est corroborée par deux communications de la Commission, d'où il ressort notamment que les autorités des États‑Unis pouvaient accéder aux données à caractère personnel transférées depuis l'Union vers ce pays et traiter ces données d'une manière incompatible, notamment, avec les finalités de leur transfert et au-delà de ce qui était strictement nécessaire et proportionné à la protection de la sécurité nationale. De même, la Commission a constaté qu'il n'existait pas, pour les personnes concernées, de voies de droit administratives ou judiciaires permettant d'accéder aux données les concernant et, le cas échéant, d'obtenir leur rectification ou leur suppression.

2) S'agissant du niveau de protection substantiellement équivalent avec les libertés et droits fondamentaux garantis au sein de l'Union, la Cour constate que, en droit de l'Union, une réglementation n'est pas limitée au strict nécessaire, dès lors qu'elle autorise de manière généralisée la conservation de toutes les données à caractère personnel de toutes les personnes dont les données sont transférées depuis l'Union vers les États‑Unis sans aucune différenciation, limitation ou exception opérées en fonction de l'objectif poursuivi et sans que des critères objectifs ne soient prévus pour délimiter l'accès des autorités publiques aux données et leur utilisation ultérieure.

La Cour ajoute qu'une réglementation permettant aux autorités publiques d'accéder de manière généralisée au contenu de communications électroniques doit être considérée comme portant atteinte au contenu essentiel du droit fondamental au respect de la vie privée.

3) De même, la Cour relève qu'une réglementation ne prévoyant aucune possibilité pour le justiciable d'exercer des voies de droit afin d'avoir accès à des données à caractère personnel les concernant, ou d'obtenir leur rectification ou suppression, porte atteinte au contenu essentiel du droit fondamental à une protection juridictionnelle effective, une telle possibilité étant inhérente à l'existence d'un État de droit.

4) Enfin, la Cour constate que la décision de la Commission du 26 juillet 2000 prive les autorités nationales de contrôle de leurs pouvoirs, dans le cas où une personne remet en cause la compatibilité de la décision avec la protection de la vie privée et des libertés et droits fondamentaux des personnes. La Cour considère que la Commission n'avait pas la compétence de restreindre ainsi les pouvoirs des autorités nationales de contrôle.

Pour toutes ces raisons, la décision 2000/520 du 26 juillet 2000 est invalide.

CJUE16 juillet 2020CJUE, grande chambre, 16 juillet 2020, Facebook Ireland et Schrems, C‑311/18(source)

Contrôle des transferts de données à caractère personnel vers des pays tiers Obligation de suspendre ou d'interdire de tels transferts en cas de violation du niveau de protection adéquat dans le pays tiers concerné – Conditions

L'article 58, paragraphe 2, sous f) et j), du RGPD doit être interprété en ce sens que, à moins qu'il existe une décision d'adéquation valablement adoptée par la Commission européenne, l'autorité de contrôle compétente est tenue de suspendre ou d'interdire un transfert de données vers un pays tiers fondé sur des clauses types de protection des données adoptées par la Commission, lorsque cette autorité de contrôle considère, à la lumière de l'ensemble des circonstances propres à ce transfert, que ces clauses ne sont pas ou ne peuvent pas être respectées dans ce pays tiers et que la protection des données transférées requise par le droit de l'Union, en particulier par les articles 45 et 46 de ce règlement et par la Charte des droits fondamentaux, ne peut pas être assurée par d'autres moyens, à défaut pour le responsable du traitement ou son sous-traitant établis dans l'Union d'avoir lui‑même suspendu le transfert ou d'avoir mis fin à celui‑ci.

CJUE6 octobre 2015CJUE, grande chambre, 6 octobre 2015, Schrems, C-362/14, points 53, 57, 64(source)

Transfert de données à caractère personnel Plainte d’une personne physique dont les données ont été transférées depuis l’Union européenne vers les États‑Unis – Décision de la Commission constatant un niveau adéquat de protection – Office des autorités nationales de contrôle

Une décision de la Commission constatant un niveau adéquat de protection assuré par un pays tiers, autorisant le transfert des données à caractère personnel vers ce pays, ne saurait « ni annihiler ni réduire les pouvoirs expressément reconnus aux autorités nationales de contrôle par l’article 8 paragraphe 3 de la Charte ». Les autorités nationales de contrôle, saisies par une personne d'une demande relative à la protection de ses droits et libertés à l’égard du traitement des données à caractère personnel la concernant, doivent pouvoir examiner, en toute indépendance, si le transfert de ces données respecte les exigences posées par la directive. L’article 25, paragraphe 6, de la directive 95/46/CE du 24 octobre 1995, lu à la lumière des articles 7, 8 et 47 de la Charte des droits fondamentaux de l’Union européenne, doit être interprété en ce sens qu’une décision adoptée au titre de cette disposition, telle que la décision 2000/520/CE de la Commission, du 26 juillet 2000 (« Safe Harbor »), conformément à la directive 95/46 relative à la pertinence de la protection assurée par les principes de la « sphère de sécurité » et par les questions souvent posées y afférentes, publiés par le ministère du commerce des États‑Unis d’Amérique, par laquelle la Commission européenne constate qu’un pays tiers assure un niveau de protection adéquat, ne fait pas obstacle à ce qu’une autorité de contrôle d’un État membre, au sens de l’article 28 de cette directive, examine la demande d’une personne relative à la protection de ses droits et libertés à l’égard du traitement de données à caractère personnel la concernant qui ont été transférées depuis un État membre vers ce pays tiers, lorsque cette personne fait valoir que le droit et les pratiques en vigueur dans celui‑ci n’assurent pas un niveau de protection adéquat. Dans l’hypothèse où ladite autorité estime fondés les griefs avancés par la personne ayant saisi une demande relative à la protection de ses droits et libertés à l’égard du traitement de ses données à caractère personnel, cette même autorité doit, conformément à l’article 28, paragraphe 3, premier alinéa, troisième tiret, de la directive 95/46, lu à la lumière notamment de l’article 8, paragraphe 3, de la Charte, pouvoir ester en justice. À cet égard, il incombe au législateur national de prévoir des voies de recours permettant à l’autorité nationale de contrôle concernée de faire valoir les griefs qu’elle estime fondés devant les juridictions nationales afin que ces dernières procèdent, si elles partagent les doutes de cette autorité quant à la validité de la décision de la Commission, à un renvoi préjudiciel aux fins de l’examen de la validité de cette décision.

CNIL3 février 2022CNIL, P, 3 février 2022, Mise en demeure, Société X, n° MED-2022-005, non publié

Transfert de données à caractère personnel vers les États-Unis 1) Évaluation du niveau de protection d'un pays tiers après l'arrêt dit Schrems II et avant l'adoption du Data Privacy Framework – 2) Efficacité des « mesures additionnelles » de protection – Notification aux utilisateurs, rapports de transparence ou de politique de gestion des demandes d'accès gouvernementales – Insuffisance – 3) Techniques de chiffrement – Importateur – Obligation d'accorder l'accès ou de fournir les données importées

1) Pour les transferts de données à caractère personnel vers les États-Unis encadrés par des garanties appropriées telles que les clauses contractuelles types, il n'est pas nécessaire d'analyser plus en détail le cadre légal applicable aux États-Unis dans la mesure où la Cour a déjà procédé à une telle analyse dans son arrêt du 16 juillet 2020 (C‑311/18). En effet, la Cour a constaté, d'une part, que les programmes de surveillance en cause ne correspondaient pas aux exigences minimales attaquées, en droit de l'Union, au principe de proportionnalité, si bien qu'il n'était pas permis de considérer que les programmes de surveillance fondés sur ces dispositions sont limités au strict nécessaire. D'autre part, la Cour a constaté que le cadre juridique en cause ne conférait pas aux personnes concernées des droits opposables aux autorités américaines devant les tribunaux, si bien que ces personnes ne disposaient pas d'un droit au recours effectif.

2) En ce qui concerne les mesures juridiques et organisationnelles adoptées par un responsable du traitement en complément de clauses contractuelles types pour le transfert de données vers les États-Unis, ni la notification des utilisateurs, ni la publication d'un rapport de transparence ou d'une politique de gestion des demandes d'accès gouvernementales ne permet concrètement d'empêcher ou de réduire l'accès des services de renseignement américains.

3) En ce qui concerne les techniques de chiffrement, telles que celles pour les données entreposées dans des centres de données transférés vers les États-Unis, un importateur établi aux États-Unis a dans tous les cas l'obligation d'accorder l'accès ou de fournir les données importées qui sont en sa possession, y compris les clés de chiffrement nécessaires pour rendre les données intelligibles. Tant qu'un importateur établi aux États-Unis a la possibilité d'accéder aux données des personnes physiques en texte clair, de telles mesures techniques ne peuvent être considérées comme efficaces dans l'espèce.

CJUE16 juillet 2020CJUE, grande chambre, 16 juillet 2020, Facebook Ireland et Schrems, C‑311/18, points 136–137, 141–142(source)

Décision 2010/87/UE instituant des clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers Validité – Conditions d'examen – Insuffisance de la seule circonstance que les autorités du pays tiers ne sont pas liées – Existence de mécanismes permettant d'assurer un niveau de protection requis par le droit de l'Union et de suspendre ou d'interdire de tels transferts en cas de violation desdites clauses

L'examen de la décision 2010/87/UE de la Commission, du 5 février 2010, relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers, en vertu de la directive 95/46/CE du Parlement européen et du Conseil, telle que modifiée par la décision d'exécution (UE) 2016/2297 de la Commission, du 16 décembre 2016, au regard des articles 7, 8 et 47 de la Charte des droits fondamentaux n'a révélé aucun élément de nature à affecter la validité de cette décision.

La validité de cette décision n'est pas remise en cause par le seul fait que les clauses contractuelles types de protection des données figurant dans celle‑ci ne lient pas, en raison de leur caractère contractuel, les autorités du pays tiers vers lequel un transfert des données pourrait être opéré. En revanche, cette validité dépend du point de savoir si ladite décision comporte des mécanismes effectifs permettant, en pratique, d'assurer que le niveau de protection requis par le droit de l'Union soit respecté et que les transferts de données à caractère personnel, fondés sur de telles clauses, soient suspendus ou interdits en cas de violation de ces clauses ou d'impossibilité de les honorer.

Or, la décision 2010/87 met en place de tels mécanismes. Cette décision instaure notamment une obligation pour l'exportateur des données et le destinataire du transfert de vérifier, au préalable, que ce niveau de protection soit respecté dans le pays tiers concerné et qu'elle oblige ce destinataire à informer l'exportateur des données de son éventuelle incapacité de se conformer aux clauses contractuelles types de protection, à charge alors pour ce dernier de suspendre le transfert de données et/ou de résilier le contrat conclu avec le premier.

CNIL3 février 2022CNIL, P, 3 février 2022, Mise en demeure, Société X, n° MED-2022-005, non publié

Consentement au dépôt de cookies Consentement explicite au transfert de données vers un pays tiers – Absence d'équivalence

Consentement par la personne concernée au dépôt de traceurs lors de sa visite sur un site internet ne saurait être considéré comme équivalent au « consentement explicite au transfert envisagé, après avoir été informée des risques que ce transfert pouvait comporter pour elle en raison de l’absence de décision d'adéquation et de garanties appropriées » au sens de l'article 49.1.a du RGPD. absence d'équivalence

CJUE26 juillet 2017CJUE, grande chambre, 26 juillet 2017, Avis sur l'accord entre le Canada et l'Union européenne sur le transfert et le traitement de données des passagers, Avis 1/15(source)

Données PNR Conditions de compatibilité d'un accord de transfert de données avec la Charte des droits fondamentaux

Le projet d'accord entre le Canada et l'Union européenne sur le transfert et le traitement de données des dossiers passagers permet le transfert systématique et continu des données PNR de l'ensemble des passagers aériens à une autorité canadienne en vue de leur utilisation et de leur conservation, ainsi que de leur éventuel transfert ultérieur à d'autres autorités et d'autres pays tiers, dans le but de lutter contre le terrorisme et les formes graves de criminalité transnationale. À cet effet, l'accord envisagé prévoit, entre autres, une durée de stockage des données de cinq ans ainsi que des exigences en matière de sécurité et d'intégrité des données PNR, un masquage immédiat des données sensibles, des droits d'accès aux données, de rectification et d'effacement et la possibilité d'introduire des recours administratifs ou judiciaires.

La Cour juge que certaines stipulations du projet d'accord envisagé sont incompatibles avec les droits fondamentaux, à moins que celui‑ci ne soit révisé pour mieux encadrer et préciser les ingérences. Cet accord doit, pour être compatible avec les articles 7 et 8 ainsi qu'avec l'article 52, paragraphe 1, de la Charte des droits fondamentaux:

a) déterminer de manière claire et précise les données des dossiers passagers à transférer depuis l'Union européenne vers le Canada;

b) prévoir que les modèles et les critères utilisés dans le cadre du traitement automatisé des données des dossiers passagers seront spécifiques, fiables et non discriminatoires; prévoir que les bases de données utilisées seront limitées à celles exploitées par le Canada en rapport avec la lutte contre le terrorisme et la criminalité transnationale grave;

c) soumettre, hormis dans le cadre des vérifications relatives aux modèles et aux critères préétablis sur lesquels sont fondés les traitements automatisés des données des dossiers passagers, l'utilisation de ces données par l'autorité canadienne compétente pendant le séjour des passagers aériens au Canada et après leur départ de ce pays, ainsi que toute communication desdites données à d'autres autorités, à des conditions matérielles et procédurales fondées sur des critères objectifs; subordonner cette utilisation et cette communication, sauf cas d'urgence dûment justifiés, à un contrôle préalable effectué soit par une juridiction soit par une entité administrative indépendante, dont la décision autorisant l'utilisation intervient à la suite d'une demande motivée de ces autorités, notamment dans le cadre de procédures de prévention, de détection ou de poursuites pénales;

d) limiter la conservation des données des dossiers passagers après le départ des passagers aériens à celles des passagers à l'égard desquels il existe des éléments objectifs permettant de considérer qu'ils pourraient présenter un risque en termes de lutte contre le terrorisme et la criminalité transnationale grave;

e) soumettre la communication des données des dossiers passagers par l'autorité canadienne compétente aux autorités publiques d'un pays tiers à la condition qu'il existe soit un accord entre l'Union européenne et ce pays tiers équivalent à l'accord entre le Canada et l'Union européenne sur le transfert et le traitement de données des dossiers passagers, soit une décision de la Commission européenne, au titre de l'article 25, paragraphe 6, de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, couvrant les autorités vers lesquelles la communication des données des dossiers passagers est envisagée;

f) prévoir un droit à l'information individuelle des passagers aériens en cas d'utilisation des données des dossiers passagers les concernant pendant leur séjour au Canada et après leur départ de ce pays ainsi qu'en cas de divulgation de ces données par l'autorité canadienne compétente à d'autres autorités ou à des particuliers, et

g) garantir que la surveillance des règles prévues par l'accord entre le Canada et l'Union européenne sur le transfert et le traitement de données des dossiers passagers, relatives à la protection des passagers aériens à l'égard du traitement des données des dossiers passagers les concernant, est assurée par une autorité de contrôle indépendante.

CE12 février 2019CE, Section des finances, 12 février 2019, Avis, n° 396689, A venant à la convention du 15 avril 1999 entre la France et le Botswana en vue d'éviter les doubles impositions et de prévenir l'évasion et la fraude fiscale en matière d'impôts(source)

Transfert de données vers un pays ne faisant pas l'objet d'une décision d'adéquation et ne présentant pas de garantie suffisante au regard du niveau de protection offert par le droit européen La ratification d'un accord de transfert ne saurait avoir pour effet de dispenser les autorités françaises chargées de transférer ces données des obligations qui leur incombent en application du RGPD. – Conditions de vérification

L'avenant à la convention du 15 avril 1999 entre le Gouvernement de la République française et le Gouvernement de la République du Botswana, en vue d'éviter les doubles impositions et de prévenir l'évasion et la fraude fiscales en matière d'impôts, comporte, dans son article premier, des dispositions dont la mise en œuvre peut impliquer des transferts aux autorités botswanaises de données personnelles par les autorités françaises.

La législation concernant les données personnelles dans la République du Botswana, qui n'a pas fait l'objet d'une décision d'adéquation de la Commission européenne et ne présentant pas aujourd'hui de garantie suffisante au regard du niveau de protection offert par le droit européen, le Conseil d'État (section des finances) estime que la ratification, après autorisation parlementaire, de cet accord ne saurait avoir pour effet de dispenser les autorités françaises chargées de transférer des données contenues dans des traitements automatisés de données à caractère personnel vers un État n'appartenant pas à l'Union européenne, des obligations qui leur incombent en application du RGPD ainsi que, le cas échéant, des articles 123 et 124 de la section 3 du chapitre II de la loi n°78‑17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés dans sa version issue de l'ordonnance n°2018‑1125 du 12 décembre 2018.

Cette vérification devra tenir compte, à la date du transfert des données, non seulement du niveau spécifique de protection garanti par le traitement appliqué aux données objet du transfert, mais aussi de l'ensemble des circonstances qui commandent l'application effective des règles de protection définies pour ce transfert.