CE6 avril 2018CE, 10‑9 chambres réunies, 6 avril 2018, Association nationale des supporters et autres, n° 406664, T., point 7(source)
Obligation de sécurisation du traitement – Invocation à l'appui de conclusions dirigées contre l'acte précisant les modalités de mise en œuvre des traitements – Inopérance
Les dispositions de l'article 34 de la loi n°78-17 du 6 janvier 1978 relatives aux obligations de sécurité des responsables des traitements (dispositions reprises à l'article 32 du RGPD) ne peuvent être utilement invoquées à l'appui de conclusions dirigées contre l'acte précisant les modalités de mise en œuvre de ces traitements.
CE17 juin 2015CE, 9ème/10ème SSR, 17 juin 2015, Syndicat national des industries des peintures enduits et vernis, n° 375853, Re, point 23(source)
Obligation d'informer toute personne concernée dès l'enregistrement de données à caractère personnel dans le traitement – Invocation contre l'acte portant création du traitement en cas de méconnaissance – Exclusion
S'il incombe au responsable d'un traitement de données à caractère personnel de fournir à toute personne concernée par l'inscription de données personnelles dans ce traitement, dès leur enregistrement, l'ensemble des informations prévues au I de l'article 32 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dans sa rédaction applicable au litige, y compris quand ces données personnelles ne sont pas recueillies auprès de la personne concernée elle‑même, la méconnaissance de ces obligations par le responsable d'un traitement ne peut en tout état de cause être utilement invoquée à l'appui de conclusions dirigées contre l'acte portant création de ce traitement.
CE4 juin 2012CE, 10 – 9 chambres réunies, 4 juin 2012, SFOIP, n° 334777, T., point 8(source)
Conclusions à fin d'injonction de destruction de données illégalement recueillies dans un traitement de données à caractère personnel – 1) Éléments pris en compte par le juge pour déterminer si l'exécution de sa décision implique nécessairement une telle destruction – Possibilité d'une régularisation appropriée – À défaut, mise en balance des motifs de l'illégalité constatée et des conséquences de la destruction des données pour l'intérêt général – 2) Application de ces principes en l'espèce – Injonction de détruire les données – Absence
1) Lorsque le juge administratif est saisi de conclusions à fin d'injonction de destruction de données illégalement recueillies dans un traitement de données à caractère personnel, il lui appartient, pour déterminer, en fonction de la situation de droit et de fait existant à la date à laquelle il statue, si l'exécution de sa décision implique nécessairement la destruction des données illégalement recueillies, de rechercher d'abord si, eu égard notamment aux motifs de la décision, une régularisation appropriée est possible. Dans la négative, il lui revient ensuite de prendre en considération, d'une part, les motifs de l'illégalité constatée, d'autre part, les conséquences de la destruction des données pour l'intérêt général, et d'apprécier, en rapprochant ces éléments, si la destruction des données n'entraîne pas une atteinte excessive à l'intérêt général.
2) En l'espèce, depuis l'introduction de la requête, un décret en Conseil d'État pris après avis de la Commission nationale de l'informatique et des libertés et portant création d'un traitement de données à caractère personnel relatif à la gestion informatisée des détenus en établissement a été publié au Journal officiel et autorise la collecte et le traitement des données initialement contenues dans le fichier contesté. Compte tenu de l'intérêt éminent qui s'attache à la conservation des données litigieuses, notamment pour ce qui concerne la prévention des risques suicidaires en détention, il n'y a pas lieu d'enjoindre au ministre de la justice de supprimer les données recueillies dans le traitement contesté.
CE16 avril 2012CE, 10ème/9ème SSR, 16 avril 2012, Comité harkis et vérité, n° 335140, T., point 16(source)
Demande d'annulation d'une décision portant création d'un traitement de données à caractère personnel – Existence de ce traitement et de cette décision non établie devant le Conseil d'État – Conséquences – Renvoi de l'intéressé devant la CNIL pour lui demander de faire usage de ses pouvoirs de vérification de la licéité de traitements – Rejet en l'état des conclusions à fin d'annulation
Requérant demandant l'annulation d'une décision portant création d'un traitement de données à caractère personnel et produisant à l'appui de sa demande des éléments qui ne permettent, en l'état, ni de regarder comme établie l'existence du traitement, ni, par suite, d'identifier une éventuelle décision de le créer. Il appartient au requérant, s'il estime cependant que ces éléments sont de nature à faire présumer de l'existence d'un traitement de données personnelles et s'il s'y croit fondé, de demander à la Commission nationale de l'informatique et des libertés (CNIL) de faire usage des pouvoirs qu'elle détient pour vérifier la licéité de traitements au regard des dispositions de la loi n° 78‑17 du 6 janvier 1978. En l'état, rejet des conclusions à fin d'annulation présentées par le requérant.
CC11 mai 2020CC, 2020-800 DC, 11 mai 2020, Loi prorogeant l'état d'urgence sanitaire et complétant ses dispositions, points 35-38 Voir aussi: CC, 2006-544 DC, 14 décembre 2006, Loi de financement de la sécurité sociale pour(source)
Pouvoir réglementaire du Premier ministre – Décret d’application d’une loi prise après avis conforme de la CNIL – Censure
Dispositions relatives à un fichier prévoyant que le décret d'application de la loi est pris après avis public conforme de la Commission nationale de l'informatique et des libertés. Or, en vertu de l’article 21 de la Constitution et sous réserve de son article 13, le Premier ministre exerce le pouvoir réglementaire à l’échelon national. Ces dispositions n’autorisent pas le législateur à subordonner à l'avis conforme d’une autre autorité de l’État l’exercice, par le Premier ministre, de son pouvoir réglementaire. Censure, dès lors, du « conforme ».
CE30 décembre 2021CE, 10ème – 9 chambres réunies, 30 décembre 2021, Société B... Avocat Victimes et Préjudices et autres, n° 440376, Inédit., point 7ème Voir aussi : CE, 10-9 chambres réunies, 13 avril 2021, Ligue des droits de l'homme, n° 439360(source)
Forme des avis de la CNIL – Signature du seul président de la Commission – Légalité – Absence d'obligation d'autres signatures ou de mentions
La seule circonstance qu'un avis rendu par la CNIL ne comporte que la signature de son président ne suffit pas à établir qu'il n'aurait pas été rendu en formation plénière dès lors qu'aucune disposition ni aucun principe n'impose d'autres signatures ni ne prévoit de mentions obligatoires devant assortir l'avis. Lorsque l'avis a la forme d'une « délibération » et mentionne qu'il a été rendu par la Commission, il ne saurait être regardé, en l'absence d'élément contraire, comme émanant du seul président de la commission.
CE24 décembre 2021CE, 10ème – 9 chambres réunies, 24 décembre 2021, Ligue des droits de l'homme et autres, n° 447513, T., point 12ème Voir aussi: CE, 10ème – 9 chambres réunies, 24 décembre 2021, Ligue des droits de l'homme(source)
Traitement relevant de la directive « Police - Justice » susceptible d'engendrer un risque élevé pour les droits et les libertés des personnes physique s et mis en œuvre pour le compte de l'État – Analyse d'impact devant être réalisée et transmise à la CNIL avant l'édiction de l'acte définissant le traitement
Il résulte de l'article 90 de la loi n° 78‑17 du 6 janvier 1978, applicable aux traitements de données à caractère personnel relevant de la directive (UE) 2016/80 du 27 avril 2016, mis en œuvre à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces. Lorsque l'Analyse d’impact est exigée préalablement à la création ou à la modification d'un tel traitement mis en œuvre pour le compte de l'État, il appartient à l'administration, sous peine d'irrégularité de l'acte instituant ou modifiant ce traitement, de la réaliser et de la transmettre à la Commission nationale de l'informatique et des libertés (CNIL) dans le cadre de la demande d'avis prévue à l'article 33 de la loi du 6 janvier 1978. Les droits et les libertés des personnes physiques sont ainsi protégés.
CE17 novembre 2017CE, 1‑6 chambres réunies, 17 novembre 2017, Fondation Jérôme Lejeune, n° 401212, Inédit., point 8(source)
Avis rendus sur le fondement du d) de l'article 11 de la loi Informatique et Libertés dans sa version applicable au litige – Obligation de publication préalable à l'adoption d'un texte ayant fait l'objet d'un tel avis – Absence
Aucune disposition de la loi n°78‑17 du 6 janvier 1978 ni aucune autre disposition ni aucun principe n'impose la publication d'un avis rendu par la CNIL sur le fondement du d) de l’article 11 sur un projet d'arrêté préalablement à son adoption.
CE5 octobre 2014CE, 10ème/9ème SSR, 5 octobre 2014, Union nationale du personnel en retraite de la gendarmerie et autres, n° 358876, T., point 6(source)
Consultation de la CNIL (articles 26 et 27 de la loi du 6 janvier 1978) – Avis implicite favorable (article 28 de la loi du 6 janvier 1978) – Obligation de motivation – Absence
En application des dispositions de l'article 28 de la loi n° 78‑17 du 6 janvier 1978 dans sa rédaction applicable au litige, un avis implicite favorable naît du silence gardé par la Commission nationale de l'informatique et des libertés (CNIL) pendant les deux mois qui suivent la réception d’une saisine effectuée sur le fondement des articles 26 ou 27 de cette même loi. La loi a ainsi prévu que soient rendus des avis favorables implicites qui, par leur nature même, ne sauraient être motivés.
CE2 juillet 2007CE, Section, 2 juillet 2007, Association AC! et autres, n° 290593, Rec., point 6(source)
Modalités de consultation – Avis émis par le président sans que la CNIL ait délibéré en formation plénière – Irregularité
Il résulte des dispositions de l'article 15 de la loi du 6 janvier 1978 que, si la commission peut déléguer à son président ou à son vice‑président certaines de ses attributions, seule la commission réunie en formation plénière peut régulièrement émettre un avis sur les projets de texte qui lui sont soumis par le Gouvernement. La CNIL n’a pas délibéré en formation plénière pour ce projet.
CE23 juin 1993CE, 10ème/7ème SSR, 23 juin 1993, Syndicat CGT du personnel de l'hôpital Dupuytren, n° 114983, Inédit., point 2(source)
Avis de la CNIL sur les projets de loi s ou d'acte s réglementaire s – Actes ne constituant pas des décisions susceptibles de recours
L'avis que formule CNIL sur les projets qui lui sont soumis ne constitue pas une décision administrative faisant grief et n'est dès lors pas susceptible d'être déférée au juge de l'excès de pouvoir. Il en est de même du refus de formuler un avis défavorable.
CNIL16 mars 2023CNIL, SP, 16 mars 2023, Avis sur projet de mise en œuvre d'un traitement de données à caractère personnel, n°2023-025, non publié
Avis rendus sur le fondement du 6° de l'article 44 de la loi Informatique et libertés (projet de recherche publique impliquant le traitement de données sensibles) – 1) Création et exploitation par une université d'un entrepôt de données à des fins de recherche publique – Avis unique de la CNIL – 2) Cas de l'utilisation de l'entrepôt de données par des chercheurs externes à cette même université – Traitements distincts non couverts par la demande et devant faire l'objet de nouveaux avis de la CNIL
1) En vertu du 6° de l'article 44 de la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dite loi Informatique et libertés, la CNIL peut rendre un avis unique à la fois pour la création par une université d'un entrepôt de données et pour les recherches qui seront réalisées en son sein dans le cadre indiqué dans la demande émanant de cette université. 2) En revanche, les recherches mises en œuvre par des chercheurs externes à l'université et qui ne sont rattachés à aucun laboratoire de celle-ci, à des fins de recherche publique, à partir des données contenues dans l'entrepôt, constituent des traitements distincts, non couverts par la demande et devant faire l'objet de nouveaux avis au titre de cette même disposition.
CNIL3 mars 2022CNIL, P, 3 mars 2022, A vis sur projet de loi, LOPMI, n° 2022-028, publié, points 9-10(source)
Pérennisation d'un traitement de données à caractère expérimental – Éléments accompagnant une saisine pour avis – Rapport d'évaluation
Pour pouvoir se prononcer sur la pérennisation d'un traitement de données à caractère personnel expérimental, il est nécessaire pour la Commission de disposer, avec la saisine, d'une évaluation des bénéfices tirés du dispositif expérimental, afin de les comparer à l'atteinte à la vie privée qu'implique une généralisation du dispositif. Ce rapport d'évaluation doit permettre d'apprécier si le traitement mis en œuvre à titre expérimental a permis de répondre aux finalités poursuivies.
CE26 mai 2014CE, 10ème/9ème SSR, 26 mai 2014, Société IMS Health, n° 354903, T., point 5(source)
Traitement soumis à autorisation – Délibérations de la CNIL – Obligation de motivation
Les délibérations par lesquelles la Commission nationale de l'informatique et des libertés (CNIL), sur le fondement des dispositions du III de l'article 8 de la loi n°78-17 du 6 janvier 1978, qui définissent les possibilités de dérogation à l'interdiction de principe posée au I du même article, autorisent, compte tenu de leurs finalités, certaines catégories de traitement de données sensibles, sont au nombre des actes devant obligatoirement être motivés en vertu de l'article 2 de la loi n°79-587 du 11 juillet 1979.
CNIL8 avril 2021CNIL, SP, 8 avril 2021, Avis sur projet de loi, PJL Renseignement, n° 2021-040, publié, points 38-40(source)
Recherche et développement en matière de capacités techniques de recueil et d'exploitation des renseignements – Dispositions expresses prévoyant un mécanisme d'autorisation de mise en œuvre de tels traitements – Conséquence – Application du régime d'autorisation préalable de la loi Informatique et Libertés – Absence
Des dispositions législatives spéciales peuvent déroger au régime de formalités préalables prévu par la loi du 6 janvier 1978 modifiée. Les dispositions des titres I et IV de la loi du 6 janvier 1978 modifiée ont vocation à s'appliquer aux traitements intéressant la sûreté de l'État, tel que le traitement des données collectées par le biais de techniques de recueil de renseignement à des fins de recherche et développement en matière de capacités techniques de recueil et d'exploitation des renseignements, sous réserve des dispositions spéciales du code de la sécurité intérieure y dérogeant. À cet égard, dès lors que des dispositions expresses prévoient un mécanisme spécifique d'autorisation de mise en œuvre de tels traitements, les programmes de recherche ne nécessitent pas l'autorisation par arrêté ministériel ou décret en Conseil d'État pris après avis de la Commission prévue par l'article 31 de la loi précitée.
CE6 juillet 2021CE, Juge des référés, 6 juillet 2021, n° 453505, Inédit., points 9, 12-13(source)
Contrôle local des données – Absence d'échange de données avec un serveur central – Risques limités d'accès illégitime, de modification non désirée ou de disparition des données concernées – Saisine obligatoire de la CNIL pour avis sur une AIPD – Absence
Le juge des référés refuse de suspendre l'application du passe sanitaire. Le choix d'offrir un système décentralisé limitant la constitution de traitements ou bases nationales de données de santé, au prix de la conservation, par la personne concernée, sur son propre téléphone mobile, de certaines de ses propres données de santé, remplit un motif d'intérêt public dans le domaine de la santé publique et n'est pas manifestement contraire au principe de minimisation des données.
En outre, le choix de ne pas saisir la CNIL de l'analyse d'impact préalable à la mise en œuvre du traitement n'entache la mise en œuvre du passe sanitaire d'aucune illégalité manifeste. En effet, le traitement TousAntiCovid Vérif repose sur un contrôle local des données contenues par les justificatifs. Il n'y a pas d'échange de données avec le serveur central de la société prestataire lors de la vérification des justificatifs. Il apparaît donc qu'il y a peu de risques d'accès illégitime, de modification non désirée ou de disparition des données concernées. Enfin, le passe est de nature à permettre, par la limitation des flux et croisements de personnes qu'il implique, de réduire la circulation du virus de la Covid‑19 dans le pays. Son usage est restreint à des situations précises et reste facultatif. Les personnes sont également libres de produire leur justificatif par voie papier ou sur tout autre support numérique.
Le traitement ne nécessite pas la saisine de la CNIL pour avis sur une AIPD, conformément aux dispositions applicables.
CE8 avril 2022CE, 10 ème – 9 chambres réunies, 8 avril 2022, Syndicat national du marketing à la performance (SNMP), n° 452668, Rec., point 8 Voir aussi: CE, Assemblée, 21 mars 2016, Société X, n° 368082, Rec.; CE, Section, 12 juin 2020, Groupe d'information et de soutien des immigré.e.s (GISTI), n° 418142, Rec.(source)
Prise de position de la CNIL dans une « foire aux questions » mise en ligne sur son site internet – Acte susceptible de recours – Existence, eu égard à sa teneur
Par la question‑réponse n°12 mise en ligne le 18 mars 2021 sur le site internet de la Commission nationale de l’informatique et des libertés (CNIL), cette autorité a fait part aux responsables de traitement et personnes concernées de son interprétation de l’article 82 de la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés quant à la portée et au champ d’application des exemptions à l’obligation de consentement préalable au dépôt des traceurs de connexion, en ce qui concerne les opérations dites d’affiliation. Eu égard à sa teneur, cette prise de position, émise par l’autorité de régulation sur son site internet, est susceptible de produire des effets notables sur la situation des personnes qui se livrent à des opérations d’affiliation et des utilisateurs et abonnés de services électroniques. Il suit de là que cette question‑réponse n°12 et le refus de la CNIL de la retirer sont susceptibles de faire l’objet d’un recours pour excès de pouvoir.
CE19 juin 2020CE, 10 – 9 chambres réunies, 19 juin 2020, Association des agences-conseil en communication et autres, n° 434684, T., points 5, 10, 16-17(source)
Compétence – 1) Champ – Tout traitement de données, à caractère personnel ou non, relevant du champ d'application de la loi du 6 janvier 1978 – 2) Modalités d'exercice – a) Possibilité de recourir à un instrument de droit souple – b) Illustrations – c) Limite – Liberté du consentement – Possibilité pour la CNIL d'interdire le blocage d 'accès à un site en cas de refus des cookies (« cookie walls ») par un acte de droit souple – Absence
1) Il résulte de l'économie générale de la loi du 6 janvier 1978 et, en particulier, de ses articles 8, 16, 20 et 82 que la CNIL est chargée de veiller à la conformité de tout traitement de données relevant de son champ d'application, qu'il concerne ou non des données à caractère personnel, à ses dispositions ainsi qu'aux obligations résultant du règlement (UE) n° 2016/679 du 27 avril 2016 (RGPD).
2) a) La CNIL dispose, pour l'accomplissement de ses missions, du pouvoir de mettre en œuvre ses prérogatives selon les modalités qu'elle juge les plus appropriées, y compris en recourant à des instruments de droit souple.
b) Par suite, la CNIL était compétente pour adopter des « lignes directrices » applicables, de manière générale, aux cookies et autres traceurs de connexion.
Ces lignes directrices ont légalement pu préconiser des durées limites d'usage de cookies de mesure d'audience afin de permettre le réexamen périodique de leur nécessité au regard des dérogations à la règle du consentement prévues à l'article 82 de la loi du 6 janvier 1978 ou favoriser la diffusion de bonnes pratiques mais ne sauraient imposer de nouvelles obligations non prévues par la loi ou fixer une durée limite de validité aux cookies de mesure d'audience.
c) La CNIL affirme, à l'article 2 de la délibération attaquée, que la validité du consentement est soumise à la condition que la personne concernée ne subisse pas d'inconvénient majeur en cas d'absence ou de retrait de son consentement, un tel inconvénient majeur pouvant consister, selon elle, dans l'impossibilité d'accéder à un site Internet, en raison de la pratique des « cookie walls », qui consiste à bloquer l'accès à un site web ou à une application mobile pour qui ne consent pas à être suivi.
En déduisant pareille interdiction générale et absolue de la seule exigence d'un consentement libre, posée par le RGPD, la CNIL a excédé ce qu'elle peut légalement faire, dans le cadre d'un instrument de droit souple, édicté sur le fondement du 2° du I de l'article 8 de la loi du 6 janvier 1978.
Compétence, Champ, Limite, Liberté du consentement.
CE16 octobre 2019CE, 10–9 chambres réunies, 16 octobre 2019, La Quadrature du Net et Caliopen, n° 433069, Rec., points 3-4(source)
Prise de position publique de la CNIL sur le maniement de ses pouvoirs, notamment de sanction, pour veiller au respect des règles relatives à la protection des données à caractère personnel – Acte susceptible de faire l'objet d'un recours pour excès de pouvoir
Les avis, recommandations, mises en garde et prises de position publique adoptés par les autorités de régulation dans l'exercice des missions dont elles sont investies peuvent être déférés au juge de l'excès de pouvoir lorsqu'ils revêtent le caractère de dispositions générales et impératives ou lorsqu'ils énoncent des prescriptions individuelles dont ces autorités pourraient ultérieurement censurer la méconnaissance. Ces actes peuvent également faire l'objet d'un tel recours, introduit par un requérant justifiant d'un intérêt direct et certain à leur annulation, lorsqu'ils sont de nature à produire des effets notables, notamment de nature économique, ou ont pour objet d'influer de manière significative sur les comportements des personnes auxquelles ils s'adressent.
L'acte révélé par deux communiqués de presse qui présentent le plan d'actions élaboré par la CNIL dans le domaine du ciblage publicitaire en ligne constitue une prise de position publique de la commission quant au maniement des pouvoirs dont elle dispose, en particulier en matière répressive, pour veiller au respect des règles applicables au recueil du consentement au dépôt de cookies et autres traceurs. Elle doit être regardée comme ayant pour objet d'influer sur le comportement des opérateurs auxquels elle s'adresse et comme étant de nature à produire des effets notables tant sur ces opérateurs qu'e sur les utilisateurs et abonnés de services électroniques. Elle est donc susceptible de faire l'objet d'un recours contentieux.
CJUE9 janvier 2025CJUE, 9 janvier 2025, Österreischische Datenschutzbehörde, C‑416/23(source)
Missions de l'autorité de contrôle – Notions de (1) “demande” et de (2) “demandes excessives” – (3) Exigence de paiement de frais raisonnables ou refus de donner suite aux demandes en cas de demandes manifestement infondées ou excessives – Conditions
L'article 57, paragraphe 4, du règlement général sur la protection des données doit être interprété en ce sens que:
1) La notion de demande qui y figure recouvre les réclamations visées à l’article 57, paragraphe 1, sous f), et à l’article 77, paragraphe 1, de ce règlement.
2) Des demandes ne peuvent être qualifiées d’excessives, au sens de l’article 57, paragraphe 4, de ce règlement, uniquement en raison de leur nombre pendant une période déterminée, l’exercice de la faculté prévue à cette disposition étant subordonné à la démonstration, par l’autorité de contrôle, de l’existence d’une intention abusive de la part de la personne ayant introduit ces demandes.
3) Lorsqu’elle est confrontée à des demandes excessives, une autorité de contrôle peut choisir, par une décision motivée, entre exiger le paiement de frais raisonnables basés sur les coûts administratifs ou refuser de donner suite à ces demandes, en tenant compte de l’ensemble des circonstances pertinentes et en s’assurant du caractère approprié, nécessaire et proportionné de l’option choisie.
