CNIL15 juillet 2020CNIL, P, 15 juillet 2020, Mise en demeure, X, n° MED-2020-015, publié, points 45-48(source)
Traitements de données personnelles mis en œuvre pour la sécurité d'un traitement source – Absence d'obligation de figurer dans le décret – Mention dans l'analyse d'impact
Lorsqu'un utilisateur se connecte à l'application StopCovid France, l'adresse IP de l'ordinateur est collectée dans le cadre de la solution anti‑DDOS de la société ORANGE, la collecte de cette donnée à caractère personnel ayant comme seule finalité, en l'espèce, d'assurer la sécurité du dispositif.
Dans la mesure où la solution anti‑DDOS est une solution de sécurité du dispositif, qui n'a pas à figurer dans le décret du 29 mai 2020, les données traitées par cette solution n'ont pas non plus à figurer dans ce décret. La collecte des adresses IP dans ce cadre n'est donc pas irrégulière. En revanche, dès lors que cette solution de sécurité entraîne une collecte de données à caractère personnel, la description de cette opération de traitement doit apparaître dans l'analyse d’impact réalisée par le responsable de traitement.
CNIL8 avril 2021CNIL, SP, 8 avril 2021, Avis sur projet de loi, PJL Renseignement, n° 2021-040, publié, points 38-40(source)
Recherche et développement en matière de capacités techniques de recueil et d'exploitation des renseignements – Dispositions expresses prévoyant un mécanisme d'autorisation de mise en œuvre de tels traitements – Conséquence – Application du régime d'autorisation préalable de la loi Informatique et Libertés – Absence
Des dispositions législatives spéciales peuvent déroger au régime de formalités préalables prévu par la loi du 6 janvier 1978 modifiée. Les dispositions des titres I et IV de la loi du 6 janvier 1978 modifiée ont vocation à s'appliquer aux traitements intéressant la sûreté de l'État, tel que le traitement des données collectées par le biais de techniques de recueil de renseignement à des fins de recherche et de développement en matière de capacités techniques de recueil et d'exploitation des renseignements, sous réserve des dispositions spéciales du code de la sécurité intérieure y dérogeant. À cet égard, dès lors que des dispositions expresses prévoient un mécanisme spécifique d'autorisation de mise en œuvre de tels traitements, les programmes de recherche ne nécessitent pas l'autorisation par arrêté ministériel ou décret en Conseil d'État pris après avis de la Commission prévue par l'article 31 de la loi précitée.
CE24 décembre 2021CE, 10-9 chambres réunies, 24 décembre 2021, Ligue des droits de l'homme et autres, n° 447513, T., point 12ème Voir aussi: CE, 10ème – 9 chambres réunies, 24 décembre 2021, Ligue des droits de l'homme et(source)
Traitement relevant de la directive « Police - Justice » susceptible d'engendrer un risque élevé pour les droits et les libertés des personnes physiques et mis en œuvre pour le compte de l'État – Analyse d’impact devant être réalisée et transmise à la CNIL avant l'édiction de l'acte définissant le traitement
Il résulte de l'article 90 de la loi du 6 janvier 1978 applicable aux traitements à caractère personnel relevant de la directive (UE) 2016/80 du 27 avril 2016, mis en œuvre à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces. Lorsque l'analyse d'impact est exigée préalablement à la création ou à la modification d'un tel traitement mis en œuvre pour le compte de l'État, il appartient à l'administration, à peine d'irrégularité de l'acte instituant ou modifiant ce traitement, de la réaliser et de la transmettre à la Commission nationale de l'informatique et des libertés (CNIL) dans le cadre de la demande d'avis prévue à l'article 33 de la loi du 6 janvier 1978.
CE4 octobre 2019CE, 10-9 chambres réunies, 4 octobre 2019, Association C'ercle de réflexion et de proposition d'actions sur la psychiatrie, n° 421329, 422497, 424818, Rec., point 22(source)
Mention des modalités d'information des personnes dont les données sont recueillies – Absence d'obligation
Il ne résulte pas des dispositions des articles 29 et 32 de la loi du 6 janvier 1978 que l'acte portant création d'un traitement de données à caractère personnel doive mentionner les modalités d'information des personnes dont les données sont recueillies.
CE19 juillet 2019CE, Assemblée, 19 juillet 2019, Association des Américains accidentels, n° 424216, Rec., point 8(source)
Traitement relevant du RGPD ayant pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou des mesures de sûreté (art. 31 de la loi du 6 janvier 1978) – Notion – Traitement ayant pour finalité le transfert de données fiscales vers l'administration fiscale américaine – Inclusion
Accord conclu le 14 novembre 2013 entre le Gouvernement de la République française et le Gouvernement des États-Unis d’Amérique en vue d’améliorer le respect des obligations fiscales à l’échelle internationale et de mettre en œuvre la loi relative au respect des obligations fiscales concernant les comptes étrangers (dite « loi FATCA »). Traitement d’échange automatique d’informations organisant notamment la collecte et le transfert de données à caractère personnel aux autorités fiscales américaines créé pour la mise en œuvre de cet accord. Si le traitement créé par l’arrêté du 5 octobre 2015 a pour finalité de lutter contre la fraude et l’évasion fiscales et relève à ce titre du RGPD et non de la directive n° 2016/680, il doit être regardé comme ayant parmi ses objets la prévention, la recherche, la constatation ou la poursuite des infractions pénales. Il s’ensuit, eu égard à cet objet, qu’il est au nombre des traitements visés à l’article 31 de la loi n° 78‑17 du 6 janvier 1978.
CE24 avril 2019CE, 10-9 chambres réunies, 24 avril 2019, Caisse d'épargne et de prévoyance Languedoc-Roussillon, n° 419498, T., point 8(source)
Traitement mis en œuvre par l'administration fiscale, permettant à des tiers de consulter les données fiscales d'un particulier pour vérifier l'authenticité des données que celui-ci leur a fournies – Définition insuffisamment précise des personnes susceptibles de consulter ce traitement – Conséquence – Méconnaissance de l'article 29 de la loi du 6 janvier 1978 dans sa rédaction applicable au litige
Arrêté créant un traitement ayant pour objet de permettre à des tiers à qui un contribuable a communiqué une copie de son avis d'impôt sur le revenu ou de son justificatif d'impôt sur le revenu, de vérifier l'authenticité des données qui y figurent au moyen d'une consultation directe du justificatif d'impôt sur le revenu du contribuable certifié par l'administration fiscale.
Les destinataires du traitement ne sont définis, par les dispositions de l'arrêté attaqué, que comme les personnes ayant besoin, dans le cadre de leurs activités, de connaître et de vérifier l'authenticité des informations contenues dans le justificatif d'impôt sur le revenu d'un contribuable. Une telle définition ne peut être regardée, eu égard à l'importance des données en cause, comme précisant suffisamment les destinataires ou catégories de destinataires habilités à en recevoir communication, comme l'exige l'article 29 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dite loi Informatique et Libertés. Dès lors que les dispositions en cause ne sont pas divisibles du reste de l'arrêté attaqué, celui-ci doit être déclaré illégal.
CE23 octobre 2017CE, 10-9 chambres réunies, 23 octobre 2017, Conseil national des barreaux, n° 394474, Rec., point 5(source)
Traitement destiné au recensement, à la gestion et au suivi des déclarations rectificatives – Mise en conformité avec la législation fiscale – Création subordonnée à la prise d'un arrêté du ministre compétent après avis de la CNIL
Doit être regardé comme ayant parmi ses objets celui de prévenir la continuation et la réitération d'infractions pénales, au sens des dispositions du 2° du I de l'article 26 de la loi du 6 janvier 1978 applicable au litige, le traitement destiné au recensement, à la gestion et au suivi des déclarations rectificatives faites spontanément par les contribuables en vue de la mise en conformité avec la législation fiscale de leurs avoirs détenus à l'étranger non déclarés à l'administration fiscale, qui contribue à éviter la continuation et la réitération de comportements susceptibles d'être constitutifs de fraude fiscale et pouvant, le cas échéant, faire l'objet de poursuites pénales. Par suite, la création subordonnée à la prise d'un arrêté du ministre compétent après avis de la CNIL ne peut résulter que d'un arrêté du ministre compétent, pris après avis motivé de la CNIL.
CE11 avril 2014CE, 10ème/9ème SSR, 11 avril 2014, Union générale des syndicats pénitentiaires CGT, n° 355624, Inédit., point 7(source)
Traitement mis en œuvre pour le compte de l'État relatif à la sûreté de l'État, la défense ou la sécurité publique faisant apparaître directement ou indirectement des données sensibles – Autorisation par décret en Conseil d'État pris après avis motivé et publié de la CNIL – Caractère consultatif de ce avis
Les traitements de données à caractère personnel mis en œuvre pour le compte de l'État, qui intéressent la sûreté de l'État, la défense ou la sécurité publique et qui portent sur des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci, sont autorisés par décret en Conseil d'État pris après avis motivé et publié de la CNIL. Cet avis ne saurait lier l'autorité administrative, mais celle-ci doit en toute hypothèse respecter les exigences de la loi du 6 janvier 1978 et les intérêts que le législateur a entendu protéger.
CE24 décembre 2021CE, 10-9 chambres réunies, 24 décembre 2021, Ligue des droits de l'homme et autres, n° 447515, Inédit., point 12ème Voir aussi : CE, 10ème – 9 chambres réunies, 24 décembre 2021, Ligue des droits de l'homme et(source)
Modification du projet d'acte après l'a vis de la CNIL – Modification posant une « question nouvelle » – Obligation de n ouvelle consultation de la CNIL
L'organisme dont une disposition législative ou réglementaire prévoit la consultation avant l'intervention d'un texte doit être mis à même d'exp rimer son avis sur l'ensemble des questions soulevées par ce texte. Dans le cas où, après avoir recueilli son avis, l'autorité compétente pour prendre ce texte envisage d'apporter à son projet des modifications qui posent des questions nouvelles, elle doit le consulter à nouveau.
En l'espèce, le Gouvernement a saisi la CNIL d'un projet de décret autorisant le traitement de données relatives aux « activités politiques, philosophiques, religieuses ou syndicales ». Or le décret publié autorise le traitement de données qui révèleraient des opinions politiques, des convictions philosophiques ou religieuses, ou une appartenance syndicale, alors même qu'elles ne procèderaient pas d'activités politiques, philosophiques, religieuses ou syndicales. L'extension du cham p des données sensibles collectées à laquelle procède le décret attaqué, en permettant la collecte de données relatives aux opinions et non, comme dans le projet de décret sur lequel la CNIL avait été consultée, de données relatives aux activités, soulevai t une question nouvelle qui requérait une nouvelle consultation de la Commission, à laquelle il n'a donc pas été procédé. Annulation de la disposition en cause.
ème ème
CE4 mai 2021CE, Section de l'intérieur, 4 mai 2021, Avis, n° 402612, Projet de décret modifiant l'article R. 841‑2 du code de la sécurité intérieure et le décret, n° 2007‑914 du 15 mai 2007 pris pour l'application du I de l'article 30 de la loi, n° 78‑17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiant l'article R. 841‑2 du code de la sécurité intérieure(source)
Détermination de la juridiction compétente pour connaître du contentieux de l'accès aux données contenues dans un traitement – Contentieux ne relevant pas de la formation spécialisée du Conseil d'État en matière de contentieux des fichiers intéressant la sûreté de l'État et la défense nationale – Incidence sur la protection des données à caractère personnel – Consultation obligatoire de la CNIL
Saisi d'un projet de décret modifiant l'article R. 841-2 du code de la sécurité intérieure et le décret n°2007-914 du 15 mai 2007 pris pour l'application du I de l'article 30 de la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiant l'article R. 841-2 du code de la sécurité intérieure qui fixe la liste des traitements ou parties de traitements de données à caractère personnel intéressant la sûreté de l'État, le Conseil d'État (section de l'intérieur) lui donne un avis favorable, à l'exception de ses dispositions attribuant le contentieux relatif au traitement de données de Tracfin, Startrac, à la formation spécialisée du Conseil d'État en matière de contentieux des fichiers intéressant la sûreté de l'État et la défense nationale. En effet, le traitement de données Startrac, qui contient notamment les déclarations de soupçon adressées à Tracfin par les professionnels qui y sont tenus aux termes de l'article L. 561-2 du code monétaire et financier, n'intéresse pas uniquement la sûreté de l'État et la défense nationale. Startrac étant un fichier mixte, le Conseil d'État estime que l'article R. 841-2 du code de la sécurité intérieure, qui dispose que « Le Conseil d'État est compétent pour connaître, dans les conditions prévues au chapitre III bis du titre VII du livre VII du code de justice administrative, des requêtes concernant la mise en œuvre de l'article 118 de la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, pour les traitements ou parties de traitements intéressant la sûreté de l'État dont la liste est fixée par décret en Conseil d'État », fait obstacle à ce que le contentieux de l'accès aux données qu'il contient, dont certaines n'intéressent pas la sûreté de l'État, soit unifié en premier ressort au profit de la formation spécialisée du Conseil d'État.
CE24 octobre 2019CE, 10‑9 chambres réunies, 24 octobre 2019, Fédération des transports et de la logistique FO‑UNCP, n° 422583, inédit, point 3(source)
Différence entre le décret adopté et la version soumise pour avis à la CNIL – Régularité en l'absence de question nouvelle
Lorsque l'avis de la CNIL est réputé donné en vertu de l'article 6‑1 du décret du 20 octobre 2005, la circonstance que le décret adopté diffère de la version soumise à la CNIL n'emporte pas son irrégularité si cette nouvelle version ne soulève aucune question nouvelle.
CE18 juin 2019CE, Section des finances, 18 juin 2019, A vis, n° 397691, Projet d'ordonnance relatif à l'expérimentation de la dématérialisation des actes de l'état civil établi par le ministère des affaires étrangères(source)
Obligation de consulter la CNIL sur un projet d’ordonnance fixant les caractéristiques essentielles d’un traitement – Au titre de l’article 8 de la loi Informatique et Libertés – Absence – Au titre de l’article 36, paragraphe 4, du RGPD – Existence
Il résulte tant du paragraphe 4 de l’article 36 du règlement général sur la protection des données (RGPD) que de l’article 8 de la loi du 6 janvier 1978 que la CNIL doit être préalablement consultée sur tout projet de loi ou de décret qui détermine, dans leurs caractéristiques essentielles, les conditions de création ou de mise en œuvre d’un traitement de données à caractère personnel. Si un projet d’ordonnance n’est pas un projet de loi ou de décret, seuls soumis à l’obligation de consultation de la CNIL en vertu de l’article 8 de la loi du 6 janvier 1978, le Conseil d’État (section des finances) estime toutefois que ce projet d’ordonnance doit être regardé comme entrant dans le champ d’application du paragraphe 4 de l’article 36 du RGPD selon lequel « les États membres consultent l’autorité de contrôle dans le cadre de l’élaboration d’une proposition de mesure législative devant être adoptée par un parlement national, ou d’une mesure réglementaire fondée sur une telle mesure législative, qui se rapporte au traitement ». Il estime donc qu’en vue de la nature et de la portée du projet d’ordonnance relatif à l’expérimentation de la dématérialisation des actes de l’état civil établie par le ministère des affaires étrangères, la consultation de la CNIL, qui a rendu un avis le 13 juin 2019 sur ce projet, était requise au titre du paragraphe 4 de l’article 36 du RGPD.
CE9 octobre 2018CE, Section des travaux publics, 9 octobre 2018, Avis, n° 395259(source)
Formalités préalables à la mise en œuvre d es traitements – Autorisation de la CNIL
Il résulte tant du paragraphe 4 de l'article 36 du RGPD que de la première phrase du a) du 4° de l'article 11 de la loi n°78‑17 du 6 janvier 1978, dans sa rédaction résultant de la loi n°2018‑493 du 20 juin 2018, que la CNIL doit être préalablement consultée sur tout projet de loi ou de décret qui détermine, dans leurs caractéristiques essentielles, les conditions de création ou de mise en œuvre d'un traitement de données à caractère personnel.
A été réservée par le Conseil d'État (section des travaux publics) la question de savoir si cet article doit être interprété comme limitant la portée matérielle de la consultation obligatoire prévue par le paragraphe 4 de l'article 36 du RGPD aux seuls projets de décret déterminant les caractéristiques essentielles d'un traitement relevant de ceux, mentionnés aux paragraphes 3 et 4 de l'article 35 du même règlement, qui sont susceptibles d'engendrer, compte tenu de leur nature, de leur portée, de leur contexte et des finalités poursuivies, « un risque élevé pour les droits et libertés des personnes physiques » ou bien de l'étendre à l'ensemble des traitements dont la mise en œuvre repose sur un texte législatif ou réglementaire qui en définit les caractéristiques essentielles, sans qu'il y ait lieu de distinguer à ce stade entre ceux présentant un risque élevé et les autres.
CE20 juin 2018CE, 1-4 chambres réunies, 20 juin 2018, Syndicat national des vétérinaires d'exercice libéral et autres, n° 408185, 408192, T., points 2, 4ème Voir aussi: CE, 2-7 chambres réunies, 8 juillet 2020, Fédération française du transport de(source)
Consultation obligatoire sur les projets de loi ou de décret relatifs à la protection des données à caractère personnel ou au traitement de telles données – 1) Notion – Projet portant sur le cadre général de la protection des droits et libertés des personnes ou déterminant les caractéristiques essentielles d'un traitement ou d'une catégorie de traitement – 2) Application – Décret prévoyant que les déclarations incombant aux professionnels sont transmises par voie électronique à l'autorité administrative compétente – Consultation obligatoire – Absence
1) Il résulte du a ) du 4° de l'article 11 de la loi n°78‑17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dans sa rédaction issue de la loi n°2016‑1321 du 7 octobre 2016, que la Commission nationale de l'informatique et des libertés (CNIL) doit être préalablement consultée sur tout projet de loi ou décret comportant des dispositions, soit qui portent sur le cadre général de la protection des droits et libertés des personnes s'agissant de leurs données à caractère personnel ou du traitement de ces données, soit qui déterminent, dans certaines de leurs caractéristiques essentielles, les conditions de création ou de mise en œuvre d'un traitement ou d'une catégorie de traitements de données à caractère personnel.
2) Le décret n°2016‑1788 du 19 décembre 2016, relatif à la transmission de données de cession des médicaments utilisés en médecine vétérinaire comportant une ou plusieurs substances antibiotiques, prévoit que les déclarations auxquelles sont soumises les professionnels concernés sont transmises par voie électronique à l'autorité administrative compétente. Si ces dispositions, qui ne portent pas sur le cadre général de la protection des droits et libertés des personnes s'agissant de leurs données à caractère personnel ou du traitement de ces données, impliquent la mise en œuvre d'un traitement automatisé de données à caractère personnel, elles ne déterminent pas elles‑mêmes les formalités de création ou les conditions de mise en œuvre de ce traitement. Par suite, le Premier ministre n'était pas tenu de consulter la CNIL.
CE18 juin 2019CE, Section des finances, 18 juin 2019, Avis, n° 397691, Projet d'ordonnance relatif à l'expérimentation de la dématérialisation des actes de l'état civil du service central d'état civil et des autorités diplomatiques ou consulaires(source)
Projet d'ordonnance relatif à l'expérimentation de la dématérialisation des actes de l'état civil – Obligation de consultation de la CNIL – Au titre de l'article 8 de la loi Informatique et Libertés – Absence – Au titre de l'article 36(4) RGPD – Existence
Il résulte tant du paragraphe 4 de l’article 36 du RGPD que de l’article 8 de la loi n°78-17 du 6 janvier 1978, dite loi Informatique et Libertés, que la CNIL doit être préalablement consultée sur tout projet de loi ou de décret qui détermine, dans leurs caractéristiques essentielles, les conditions de création ou de mise en œuvre d'un traitement de données à caractère personnel.
Si un projet d'ordonnance n'est pas un projet de loi ou de décret, seuls soumis à l'obligation de consultation de la CNIL en vertu de l’article 8 de la loi Informatique et Libertés, le Conseil d'État estime toutefois que ce projet d'ordonnance doit être regardé comme entrant dans le champ d'application du paragraphe 4 de l’article 36 du RGPD : « les États membres consultent l'autorité de contrôle dans le cadre de l'élaboration d'une proposition de mesure législative devant être adoptée par un parlement national, ou d'une mesure réglementaire fondée sur une telle mesure législative, qui s rapporte au traitement. »
Il estime donc qu'eu égard à la nature et à la portée du projet d'ordonnance relatif à l'expérimentation de la dématérialisation des actes de l'état civil établi par le ministère des affaires étrangères, la consultation de la CNIL, qui a rendu un avis le 13 juin 2019 sur ce projet, était requise au titre du paragraphe 4 de l’article 36 du RGPD.
CE20 mars 2018CE, Section sociale, 20 mars 2018, Avis, n° 394296, Projet décret relatif aux déclarations obligatoires de certaines maladies(source)
Déclaration obligatoire de certaines maladies (article R.3113 - 2 du code de la santé publique) – Suppression de l'avis préalable de la CNIL pour un arrêté du ministre de la santé sur les données cliniques, biologiques et sociodémographiques
Selon l'article R.3113-2 du code de la santé publique, les données cliniques, biologiques et sociodémographiques destinées à la surveillance épidémiologique que comporte la notification des maladies sont arrêtées par le ministre chargé de la santé après avis de la CNIL.
Si le projet de décret relatif aux déclarations obligatoires de certaines maladies supprime cet avis préalable, le Conseil d'État (section sociale) relève que la CNIL a émis un avis favorable à cette suppression. Surtout, il considère qu'il ne résulte d'aucune disposition de la loi n°78-17 du 6 janvier 1978, ni d'aucune autre disposition législative que cette consultation préalable soit obligatoire avant l'adoption d'un tel texte réglementaire. L'arrêté en question ne constitue pas une autorisation de mise en œuvre du traitement, laquelle relève au demeurant d'une décision de la Commission. Constatant que cette suppression n'aura pas pour effet de soustraire ces informations de tout contrôle de la CNIL, le Conseil d'État (section sociale) émet un avis favorable.
CE2 juillet 2007CE, Section, 2 juillet 2007, Association AC! et autres, n° 290593, Rec., point 4(source)
Fichier organisant les modalités selon lesquelles les agents chargés du contrôle de la recherche d'emploi ont accès à certaines données dont le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques (art. R. 351 - 30 du code du travail) – Consultation obligatoire de la CNIL
Les dispositions de l'article R. 351‑30 du Code du Travail issues du décret n° 2005‑1624 du 22 décembre 2005 relatif au suivi de la recherche d’emploi organisent les modalités selon lesquelles les agents chargés du contrôle de la recherche d’emploi, par les travailleurs involontairement privés d’emploi, ont accès, pour l’exercice de leur mission, à certaines de ces données, parmi lesquelles figure le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques. Elles autorisent des traitements de données à caractère personnel et relèvent, ains‑i, eu égard à la nature des données en cause, des dispositions de l’article 27 de la loi n° 78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
En conséquence, le Gouvernement était tenu de recueillir l’avis motivé de la Commission nationale de l’informatique et des libertés dès lors que les modifications apportées au traitement antérieurement autorisé par décret en Conseil d’État, qui portent tant sur le champ des personnes ayant accès à ces données que sur les finalités de ce traitement, étaient substantielles.
CE24 septembre 2021CE, 10ème – 9 chambres réunies, 24 septembre 2021, Médecins du Monde et autres, n° 441317, Inédit., point 10(source)
Les obligations du responsable du traitement en matière de sécurité ne peuvent être utilement invoquées contre l'acte par lequel le traitement est autorisé.
Les dispositions de l’article 121 de la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, selon lesquelles « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées ou que des tiers non autorisés y aient accès », qui sont relatives aux obligations du responsable du traitement quant à l’utilisation de ce dernier, ne peuvent être utilement invoquées à l’appui de conclusions dirigées contre l’acte par lequel le traitement est autorisé.
CE27 mai 2021CE, 10-9 chambres réunies, 27 mai 2021, M. A… B…, n° 441977, Inédit., point 3(source)
Article 31 de la loi Informatique et Libertés – Publication de l'avis de la CNIL postérieure à celle du décret – Illégalité – Absence
Les dispositions du II de l'article 31 de la loi n°78-17 du 6 janvier 1978, qui régissent les modalités de publication des avis de la CNIL sur les décrets autorisant la mise en œuvre de certains traitements de données à caractère personnel mis en œuvre pour le compte de l'État, sont sans incidence sur la légalité de ce décret. Par suite, un requérant ne peut utilement soutenir que la circonstance que l'avis de la CNIL ait été publié quelques jours après la publication du décret entacherait ce dernier d'irrégularité.
CE6 novembre 2019CE, 2–7 chambres réunies, 6 novembre 2019, Fédération des acteurs de la solidarité et autres, n° 434376, T., point 13(source)
Analyse d’impact devant être effectuée par le responsable d’un traitement de données (art. 35 du RGPD) – 1) Obligation relevant de la mise en œuvre du traitement – 2) Conséquence – Circonstance que cette analyse n’a pas été réalisée avant l’édition de l’acte définissant le traitement – Circonstance sans incidence sur la légalité de cet acte
1) L’article 35 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD) prévoit que le responsable du traitement effectue une analyse d’impact relative à la protection des données lorsque le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques. Si cette analyse incombe au responsable, sa réalisation est en principe préalable à la mise en œuvre du traitement et l’analyse doit être actualisée après le lancement effectif afin de garantir en permanence une prise en compte adaptée des risques pour les droits et libertés liés aux données à caractère personnel.
2) Ainsi, alors que la réalisation d’une analyse d’impact d’un traitement de données personnelles, dont l’absence peut donner lieu à des sanctions par la CNIL en application de l’article 20 de la loi n° 78‑17 du 6 janvier 1978, est liée à la mise en œuvre de ce traitement, la seule circonstance qu’elle n’aurait pas été réalisée avant la signature de l’instruction définissant les caractéristiques du traitement n’est pas de nature à entacher celle‑ci d’illégalité.
