Tables CNILCette application facilite et enrichit la navigation dans les Tables Informatique et Libertés publiées par la CNIL. Elles assemblent l’essentiel de la jurisprudence française et européenne et des décisions pertinentes de l'autorité administrative en matière de protection des données à caractère personnel, et constituent à cet égard un outil précieux pour les DPO et les avocats
Dernière mise à jour : Version du 20/02/2026 – V 2.3 [PDF]
CE26 mai 2014CE, 10ème/9ème SSR, 26 mai 2014, Société IMS Health, n° 354903, T., point 7(source)
Un requérant ne saurait utilement opposer à la CNIL l’interprétation que celle‑ci aurait faite par le passé des dispositions législatives et réglementaires dont elle a pour mission d’assurer l’application.
CE18 décembre 2015CE, 10ème/9ème SSR, 18 décembre 2015, SARL Aderanet et autres, n° 381254, T., point 1(source)
Le juge de l'excès de pouvoir exerce un contrôle entier sur la délibération par laquelle la Commission nationale de l'informatique et des libertés (CNIL) exclut certains traitements du champ de l'autorisation unique prévue par le II de l'article 25 de la loi n°78‑17 du 6 janvier 1978, ainsi que sur le refus d'abroger cette délibération.
CE18 mars 2019CE, 10-9 chambres réunies, 18 mars 2019, Mme B., n° 406313, T., point 4(source)
La circonstance que les données à caractère personnel ont cessé d'être conservées dans le traitement litigieux prive d'objet les conclusions à fin d'annulation pour excès de pouvoir de la décision qui avait refusé de faire droit à l'opposition à ce traitement, sans qu'ait d'incidence le fait que les données en cause aient pu être transférées vers d'autres traitements vis-à-vis desquels s'exerce le droit d'opposition.
CJUE4 juillet 2023CJUE, grande chambre, 4 juillet 2023, Meta Platforms e.a., C-252/21(source)
Les articles 51 et suivants du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), ainsi que l'article 4, paragraphe 3, TUE doivent être interprétés en ce sens que, sous réserve du respect de son obligation de coopération loyale avec les autorités de contrôle, une autorité de la concurrence d'un État membre peut constater, dans le cadre de l'examen d'un abus de position dominante de la part d'une entreprise, au sens de l'article 102 TFUE, que les conditions générales d'utilisation de cette entreprise relatives au traitement des données à caractère personnel et leur mise en œuvre ne sont pas conformes à ce règlement, lorsque ce constat est nécessaire pour établir l'existence d'un tel abus.
Au vu de cette obligation de coopération loyale, l'autorité de la concurrence nationale ne peut s'écarter d'une décision de l'autorité de contrôle nationale compétente ou de l'autorité de contrôle chef de file compétente relative à ces conditions générales ou à des conditions générales similaires. Lorsqu'elle nourrit des doutes à l'égard de la portée d'une telle décision, lorsque lesdites conditions ou des conditions similaires font, en même temps, l'objet d'un examen de la part de ces autorités, ou encore lorsque, en l'absence d'enquête ou de décision desdites autorités, l'autorité de la concurrence considère que les conditions en cause ne sont pas conformes au règlement 2016/679, elle doit consulter ces mêmes autorités de contrôle et solliciter leur coopération, afin de lever ses doutes ou de déterminer s'il y a lieu d'attendre l'adoption d'une décision de leur part avant d'entamer sa propre appréciation. En l'absence d'objection de leur part ou de réponse dans un délai raisonnable, l'autorité de la concurrence nationale peut poursuivre sa propre enquête.
CE28 janvier 2022CE, 10ème – 9 chambres réunies, 28 janvier 2022, Sociétés Google LLC et Google Ireland Limited, n° 449209, Rec., point 12(source)
1) Il résulte des paragraphes 1 des articles 55 et 56 du règlement (UE) 2016/679 du 27 avril 2016 (RGPD) et de l'article 15 bis de la directive 2002/58/CE du 12 juillet 2002, tels qu'interprétés par la Cour de justice de l'Union européenne (CJUE) dans son arrêt du 1 octobre 2019, Bundesverband der Verbraucherzentralen und Verbraucherverbände Verbraucherzentrale Bundesverband eV/Plan et49 GmbH (C‑673/17) et son arrêt du 15 juin 2021, Facebook Ireland Ltd e.a. (C‑645/19), que si les conditions de recueil du consentement de l'utilisateur prévues par le règlement du 27 avril 2016 sont applicables aux opérations de lecture et d'écriture dans le terminal d'un utilisateur, il n'a pas été prévu l'application du mécanisme dit du « Guichet unique » applicable aux traitements transfrontaliers, défini à l'article 56 de ce règlement, pour les mesures de mise en œuvre et de contrôle de la directive 2002/58/CE, qui relèvent de la compétence des autorités nationales de contrôle en vertu de l'article 15 bis de cette directive.
2) Il s'ensuit que, pour ce qui concerne le contrôle des opérations d'accès et d'inscription d'informations dans les terminaux des utilisateurs en France d'un service de communications électroniques, même procédant d'un traitement transfrontalier, les mesures de contrôle de l'application des dispositions ayant transposé les objectifs de la directive 2002/58/CE relèvent de la compétence conférée à la Commission nationale de l'informatique et des libertés (CNIL) par la loi n°78‑17 du 6 janvier 1978.
CEDate non renseignéeCE, 10-9 chambres réunies, 4 mai 2023, n° 464445, T., point 4(source)
1) Il résulte clairement des articles 7, 16 et 23 de l’article 4 du RGPD ainsi que des articles 51, 55 et 56 que, lorsqu’un traitement transfrontalier de données à caractère personnel est opéré au sein de l’Union européenne, l’autorité de contrôle compétente de l’établissement principal dans l’Union du responsable de ce traitement est en principe compétente, en tant qu’autorité chef de file, pour contrôler le respect des exigences du RGPD, sous réserve du cas prévu au paragraphe 2 de l’article 56 de ce règlement, dans lequel l’objet de la réclamation concerne uniquement un établissement de l’État membre dont relève une autre autorité de contrôle ou affecte sensiblement les personnes concernées dans cet État membre uniquement.
2) Pour la détermination de l’autorité chef de file, l’administration centrale du responsable du traitement, c’est‑à‑dire le lieu de son siège réel, doit en principe être regardée comme son établissement principal. Il en va autrement si un autre de ses établissements est compétent pour prendre les décisions relatives aux finalités et aux moyens du traitement et dispose du pouvoir de les faire appliquer à l’échelle de l’Union.
Lieu de l'établissement principal
CJUE15 juin 2021CJUE, grande chambre, 15 juin 2021, Facebook Ireland Ltd, C‑6 45/19, point s 75, 83‑84, 96, 71 Entrée en vigueur(source)
1) En matière de traitement transfrontalier, la possibilité pour une autorité de contrôle n'ayant pas la qualité d'autorité chef de file de porter toute violation du RGPD à l'attention d'une juridiction et d'ester en justice n'est possible que dans les cas où le règlement confère à cette autorité de contrôle une compétence pour adopter une décision constatant qu'un tel traitement méconnaît les règles qu'il contient (par exemple, si l'objet de la réclamation ne concerne qu'un établissement dans l'État membre dont elle relève ou affecte sensiblement des personnes concernées dans cet État membre uniquement – art 56 §2 – ou en cas d'urgence – art 66) et dans le respect des procédures de coopération et de contrôle prévues par le RGPD.
2) L'exercice du pouvoir d'une autorité de contrôle d'un État membre, autre que l'autorité chef de file, d'intenter une action en justice ne requiert pas que le responsable du traitement ou le sous-traitant pour le traitement transfrontalier de données à caractère personnel contre qui cette action est intentée dispose d'un établissement principal ou d'un autre établissement sur le territoire de cet État membre. Cependant, l'exercice de ce pouvoir doit relever du champ d'application territorial du RGPD, ce qui suppose que le responsable du traitement ou le sous-traitant pour le traitement transfrontalier dispose d'un établissement sur le territoire de l'Union.
3) Ce pouvoir peut être exercé tant à l'égard de l'établissement principal du responsable du traitement qui se trouve dans l'État membre dont relève cette autorité qu'à l'égard d'un autre établissement de ce responsable, pour autant que l'action en justice vise un traitement de données effectué dans le cadre des activités de cet établissement et que le règlement confère à ladite autorité une compétence pour exercer ce pouvoir.
4) Par ailleurs, l'exercice du pouvoir d'une autorité de contrôle d'un État membre de s'adresser aux juridictions de son État ne saurait être exclu lorsque, après avoir requis l'assistance mutuelle de l'autorité chef de file, en vertu de l'article 61 du règlement 2016/679, cette dernière ne lui fournit pas les informations demandées. Dans ce cas de figure, en vertu de l'article 61, paragraphe 8, de ce règlement, l'autorité de contrôle concernée peut adopter une mesure provisoire sur le territoire de l'État membre dont elle relève et, si elle estime que des mesures définitives doivent être adoptées d'urgence, cette autorité peut, conformément à l'article 66, paragraphe 2, du règlement, demander un avis d'urgence ou une décision contraignante d'urgence au comité européen de la protection des données. En outre, en vertu de l'article 64, paragraphe 2, du même règlement, une autorité de contrôle peut demander que toute question d'application générale ou produisant des effets dans plusieurs États membres soit examinée par le comité européen de la protection des données en vue d'obtenir un avis, en particulier lorsqu'une autorité de contrôle compétente ne respecte pas les obligations relatives à l'assistance mutuelle mises à sa charge à l'article 61 de celui‑ci. Or, à la suite de l'adoption d'un tel avis ou d'une telle décision, et pour autant que le comité européen de la protection des données y soit favorable après avoir pris en compte l'ensemble des circonstances pertinentes, l'autorité de contrôle concernée doit pouvoir prendre les mesures nécessaires aux fins d'assurer le respect des règles relatives à la protection des droits des personnes physiques à l'égard du traitement de données à caractère personnel figurant dans le règlement 2016/679 et, à ce titre, exercer le pouvoir que lui confère l'article 58, paragraphe 5, de ce règlement.
CJUE15 juin 2021CJUE, grande chambre, 15 juin 2021, Facebook Ireland Ltd, C‑645/19(source)
Lorsqu'une autorité de contrôle d'un État membre qui n'est pas l’« autorité de contrôle chef de file » a intenté, avant la date d’entrée en vigueur du RGPD, une action en justice visant un traitement transfrontalier de données à caractère personnel, cette action peut être maintenue, en vertu du droit de l'Union, sur le fondement des dispositions de la directive 95/49/CE relative à la protection des données, laquelle demeure applicable en ce qui concerne les infractions aux règles qu’elle prévoit commises jusqu’à la date à laquelle cette directive a été abrogée.
TUE7 décembre 2022TUE, 7 décembre 2022, Whatsapp Ireland / Comité européen de la protection des données, T-709/21, points 43-62(source)
Une décision du CEPD peut être attaquable sous certaines conditions par d'autres requérants que les requérants dits privilégiés au sens de l'article 263 du TFUE.
1) L'acte doit modifier de façon caractérisée la situation juridique de ces requérants. Or, le fait qu'un acte intermédiaire exprime la position définitive d'une autorité qui devra être reprise dans la décision finale clôturera la procédure en cause, tel l'acte du CEPD statuant sur une objection pertinente et motivée à un projet de décision en application du art. 1 de l'article 65 du RGPD, ne signifie pas nécessairement que cet acte intermédiaire modifie lui‑même de façon caractérisée la situation juridique de la partie requérante.
2) La partie requérante doit être directement concernée par l'acte. Pour cela, l'acte doit produire des effets juridiques directement sur sa situation, ce qui n'est pas le cas d'un acte intermédiaire qui ne constitue pas une décision finale. En outre, cet acte ne doit laisser aucun pouvoir d'appréciation à ses destinataires chargés de sa mise en œuvre, celle‑ci ayant un caractère automatique et découlant de la seule réglementation de l'Union, sans application d'autres règles intermédiaires, ce qui n'est pas le cas en l'espèce.