Tables CNILCette application facilite et enrichit la navigation dans les Tables Informatique et Libertés publiées par la CNIL. Elles assemblent l’essentiel de la jurisprudence française et européenne et des décisions pertinentes de l'autorité administrative en matière de protection des données à caractère personnel, et constituent à cet égard un outil précieux pour les DPO et les avocats
Dernière mise à jour : Version du 20/02/2026 – V 2.3 [PDF]
Cass3 novembre 2016Cass, 1 civ., 3 novembre 2016, n° 1522.595, B., point 5(source)
Les adresses IP, qui permettent d'identifier indirectement une personne physique, sont des données à caractère personnel, au sens de l'article 2 de la loi du 6 janvier 1978 dite « Informatique et Libertés », de sorte que leur collecte constitue un traitement de données à caractère personnel.
Cass12 mai 1998Cass, crim., 12 mai 1998, n° 96-85.900, B., point 5(source)
Les résultats d’un sondage portant sur une personne, qui représentent l’état statistique, à un moment donné, de l’opinion de la population sur celle‑ci, ne constituent pas une information nominative au sens de l’article 4 de la loi du 6 janvier 1978 dite « Informatique et Libertés ». Il s’en déduit que, dès lors que les résultats ne lui sont pas opposés, cette personne ne saurait bénéficier du droit d’accès et des prérogatives qui en découlent, prévus par les articles 34 et suivants de ladite loi, ni exiger la communication du nom du commanditaire de l’opération.
CE3 juillet 2002CE, Section, 3 juillet 2002, Ministre de l'équipement, des transports et du tourisme, n° 157402, T., point 2(source)
Il résulte des termes mêmes des dispositions des articles 4 et 5 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, éclairées au surplus par leurs travaux préparatoires, que les informations nominatives qu'elles mentionnent sont celles qui permettent d'identifier des personnes physiques. Les entrepreneurs individuels, pris en cette qualité, ne sont pas des personnes physiques pour l'application de ces dispositions.
CE9 juillet 1997CE, Section, 9 juillet 1997, Chambre syndicale Syntec Conseil, n° 148975, Rec., point 4(source)
Les résultats d'un sondage comportant des questions qui demandent aux personnes interrogées ce qu'elles pensent d'une personnalité ne constituent pas des informations nominatives concernant cette personnalité. Celle-ci ne saurait, par suite, être titulaire d’un droit d'accès organisé par l'article 34 de la loi du 6 janvier 1978, ni des droits de communication, de rectification et d'effacement qui en découlent.
CNIL15 juin 2023CNIL, FR, 15 juin 2023, Sanction, Société X, n° SAN-2023-009, publié, points 32-33, 39-41(source)
Le considérant 30 du RGPD, qui s'inscrit dans une jurisprudence bien établie de la Cour de justice de l'Union européenne (CJUE, 24 nov. 2011, Scarlet Extended SAC 70/10, pt. 51 et 19 oct. 2016, Breyer, C - 582/14) prévoit qu'un identifiant en ligne associé à une personne physique, tel qu'une adresse IP ou un témoin de connexion, peut « laisser des traces qui, notamment lorsqu'elles sont combinées aux identifiants uniques et à d'autres informations reçues par les serveurs, peuvent servir à créer des profils de personnes physiques et à identifier ces personnes ».
Dans son arrêt Breyer précité, la CJUE a souligné l'importance d'une approche casuistique du Caractère identifiant ou non d'une donnée plutôt qu'une position générale et de principe. Elle a indiqué que, pour déterminer si une personne est identifiable, il convenait de prendre en considération l'ensemble des moyens susceptibles d'être raisonnablement mis en œuvre, soit par le responsable du traitement, soit par une autre personne, pour identifier ladite personne.
En l'espèce, l'identifiant attribué par la société au moyen des cookies qu'elle dépose a pour but de distinguer chaque individu dont elle collecte les données et de très nombreuses informations destinées à enrichir le profil publicitaire de l'internaute sont associées à cet identifiant, parmi lesquelles : des données liées à l'identification de la personne (emplacement géographique à partir d'adresse IP, identifiant utilisateur, identifiant de terminal, identifiants fournis par des partenaires, adresse de courrier électronique sous forme hachée fournie par les partenaires), des données liées à l'activité de la personne (suivi de l'historique de navigation de l'internaute à travers les sites visités, les produits consultés, ceux ajoutés au panier ainsi que l'acte d'achat, les éventuelles interactions de l'utilisateur avec les publicités qui lui sont présentées : l'utilisateur a‑t‑il cliqué sur la bannière ? a‑t‑il procédé à un achat ?) ou encore des données dérivées ou inférées à partir des informations précédentes afin de pouvoir proposer à l'utilisateur les produits les plus pertinents, compte tenu de ses centres d'intérêt.
Pour la CNIL, si la société ne dispose pas directement de l'identité des personnes physiques auxquelles sont liés les terminaux sur lesquels des cookies sont inscrits, la réidentification peut être facilitée par le fait que, dans certaines hypothèses, la société collecte, ou traite les données liées aux événements de navigation, d'autres données qui facilitent la réidentification telles que les adresses électroniques des personnes ayant fait leur parcours de navigation depuis un environnement authentifié (ou « logué ») sous forme hachée, des identifiants leur correspondant générés par d’autres acteurs, l'adresse IP sous forme hachée ou encore l'agent utilisateur du terminal utilisé. Par conséquent, dès lors que la société est en mesure de réidentifier des personnes par des moyens raisonnables, les données traitées conservent un caractère personnel, au sens de l'article 4, 1) du RGPD.
CNIL3 juin 2021CNIL, FR, 3 juin 2021, Sanction, Société X, n° SAN-2021-007, non publié
La formation restreinte considère que l'adresse postale peut constituer une donnée à caractère personnel indirectement identifiante dans la mesure où, notamment combinée à d’autres informations, elle peut, dans certaines conditions, permettre l’identification d’une personne. C’est par exemple le cas lorsqu’une seule personne habite à cette adresse ou lorsque l’adresse est combinée à un numéro de téléphone ou à des données de réseaux telles que l’identifiant Wi‑Fi ou l’adresse MAC d’un routeur.
CNIL10 décembre 2020CNIL, P, 10 décembre 2020, Mise en demeure, Société X, n° MED-2020-043, non publié
L’ensemble des propos tenus dans le cadre d’une conversation téléphonique enregistrée sont susceptibles de constituer des données à caractère personnel concernant les deux parties à cette conversation.
CE2 décembre 2019CE, Formation spécialisée, 2 décembre 2019, M. B… A…, n° 420917, Inédit., point 4(source)
La loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés n'ouvre la possibilité demander la communication de données à caractère personnel figurant dans un traitement automatisé ou de solliciter un accès indirect à de telles données qu'à la personne concernée par celles-ci. La seule qualité d’ayant droit de son père décédé dont se p révaut une personne ne lui confère pas la qualité de personne concernée par les données susceptibles de concerner son père dans un fichier intéressant la sûreté de l'État ou la défense.
CE7 juin 2017CE, 10 – 9 chambres réunies, 7 juin 2017, M. X, n° 399446, T., points 2-3(source)
1) Il résulte des dispositions des articles 2 et 39 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés que la communication de données à caractère personnel n'est possible qu'à la personne concernée par ces données. Par suite, la seule qualité d'ayant droit d'une personne à laquelle se rapportent des données ne confère pas la qualité de « personne concernée » par leur traitement au sens de ces dispositions.
2) Toutefois, lorsque la victime d'un dommage décède, son droit à la réparation de ce dommage, entré dans son patrimoine, est transmis à ses héritiers, saisis de plein droit des biens, droits et actions du défunt en application du premier alinéa de l'article 724 du code civil. Par suite, lorsque la victime a engagé une action en réparation avant son décès ou lorsque ses héritiers ont ultérieurement eux‑mêmes engagé une telle action, ces derniers doivent être regardés comme des « personnes concernées » au sens des articles 2 et 39 de la loi n°78‑17 du 6 janvier 1978 pour l'exercice de leur droit d'accès aux données à caractère personnel concernant le défunt, dans la mesure nécessaire à l'établissement du préjudice que ce dernier a subi en vue de sa réparation et pour les seuls besoins de l'instance engagée.
CJUE2 décembre 2025CJUE, 2 décembre 2025, Russmedia Digital et Inform Media Press, aff. C‑492/23(source)
1) L'article 5, paragraphe 2, ainsi que les articles 24 à 26 du [RGPD] doivent être interprétés en ce sens que l'exploitant d'une place de marché en ligne est co‑responsable du traitement, au sens de l’article 4, point 7, de ce règlement, des données à caractère personnel contenues dans les annonces publiées sur sa place de marché. 2) Il est à ce titre tenu, avant la publication des annonces et au moyen de mesures techniques et organisationnelles appropriées : a) d’identification préalable des annonces qui contiennent des données sensibles, au sens de l’article 9, paragraphe 1, du règlement ; b) de vérifier si l’utilisateur annonceur s’apprêtant à placer une telle annonce est la personne dont les données sensibles figurent dans cette annonce ; c) si tel n’est pas le cas, de refuser la publication de ladite annonce, à moins que cet utilisateur annonceur ne puisse démontrer que la personne concernée a donné son consentement explicite à ce que les données en question soient publiées sur cette place de marché, au sens de l’article 9, paragraphe 2, sous‑a), ou que l’une des autres exceptions prévues à l’article 9, paragraphe 2, sous‑b) à j), soit remplie. 3) L'article 32 du [RGPD] doit être interprété en ce sens que l'exploitant d'une place de marché en ligne, en tant que responsable du traitement des données à caractère personnel contenues dans les annonces publiées sur sa place de marché, est tenu de mettre en œuvre des mesures de sécurité techniques et organisationnelles appropriées afin d’empêcher que des annonces y étant publiées et contenant des données sensibles soient copiées et illicitement publiées sur d’autres sites Internet. 4) L’article 1, paragraphe 5, sous‑b), de la directive 2000/31/CE sur le commerce électronique, et l'article 2, paragraphe 4, du RGPD doivent être interprétés en ce sens que l'exploitant d'une place de marché en ligne, en tant que responsable du traitement, au sens de l’article 4, point 7, du RGPD, des données à caractère personnel contenues dans les annonces publiées sur sa place de marché, ne peut pas se prévaloir, à l’égard d’une violation des obligations découlant de l’article 5, paragraphe 2, ainsi que des articles 24 à 26 et 32 de ce règlement, des articles 12 à 15 de cette directive, relatifs à la responsabilité des prestataires intermédiaires.
CJUE5 juin 2023CJUE, grande chambre, 5 juin 2023, Commission c/ Pologne, C-204/21, points 344-345 er Voir aussi: CJUE, grande chambre, 1 août 2022, Vyriausioji tarnybines etikos komisija, C-184/20(source)
L'article 9 RGPD s'applique à des traitements portant non seulement sur les données intrinsèquement sensibles auxquelles il est traité, mais également sur des données dévoilant indirectement, au terme d'une opération intellectuelle de déduction ou de recoupement, des informations de cette nature. Une interprétation large de la notion de « données sensibles » est confortée par l'objectif du RGPD qui est de garantir un niveau élevé de protection des libertés et des droits fondamentaux des personnes physiques, notamment de leur vie privée, à l'égard du traitement des données à caractère personnel les concernant. Une telle interprétation est également conforme à la finalité de l'article 9, paragraphe 1, du RGPD, consistant à assurer une protection accrue à l'encontre de traitements qui, en raison de la sensibilité particulière des données qui en sont l'objet, sont susceptibles de constituer, comme il ressort du considérant 51 de ce règlement, une ingérence particulièrement grave dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel, garantis aux articles 7 et 8 de la Charte.
CJUEDate non renseignéeCJUE, grande chambre, 1er août 2022, Vyriausioji tarnybinės etikos komisija, C-184/20, points 127-128(source)
Un traitement de données à caractère personnel susceptible de dévoiler, de manière indirecte, des informations sensibles concernant une personne physique peut relever de la protection renforcée du régime des catégories particulières de données au sens de l'article 9, paragraphe 1, du RGPD. Tel est le cas de la publication, sur le site internet de l'autorité publique chargée de collecter et de contrôler la teneur des déclarations d'intérêts privés, de données à caractère personnel susceptibles de divulguer indirectement l'orientation sexuelle d'une personne physique.
CNIL31 mars 2022CNIL, P, 31 mars 2022, A vis sur projet d'arrêté, VidéoCRA, n° 2022-045, publié, point 12 Voir aussi: CNIL, SP, 25 juin 2020, Avis sur projet de décret, PASP, n° 2020-064, publié(source)
Un enregistrement vidéo, quoiqu’il puisse contenir des images révélant des données sensibles ou des données d’infraction, n’est pas considéré en soi comme relevant de ces catégories particulières de données à caractère personnel. En revanche, si les images font l’objet d’un traitement spécifique sur des données sensibles ou d’infraction, l’article 6 de la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ou l’article 10 du RGPD seraient susceptibles de s’appliquer.
CNIL17 février 2022CNIL, P, 17 février 2022, A vis sur projet de décret, n° 2022-021, non publié
En vertu de l’article 6 de la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dite loi Informatique et Libertés (ci‑après LIL), le traitement des données sensibles n’est possible, sauf disposition législative spéciale l’autorisant, que s’il s’inscrit dans le cadre de l’une des exceptions prévues à l’article 9 du RGPD ou, s’agissant de traitements relevant du champ d’application des articles 31 et 32 de la loi Informatique et Libertés (en particulier le champ d’application de la directive « Police‑Justice » et les traitements intéressant la sûreté et la défense nationale), s’il est autorisé selon les modalités prévues à ces articles, à savoir un décret en Conseil d’État après avis de la CNIL.
Il y a lieu d’interpréter le titre I de la LIL de façon à ce que ses dispositions ne portent pas une atteinte disproportionnée à des droits ou objectifs de valeur constitutionnelle. Dès lors, il est nécessaire de lire la loi de sorte que les traitements ne relevant que du titre I puissent bénéficier de certaines exceptions à l’interdiction de traiter des données sensibles, notamment pour les données manifestement rendues publiques, pour les traitements d’intérêt public, ou en cas de consentement de la personne. Le renvoi aux exceptions de l’article 9 du RGPD opéré par l’article 6 de la LIL doit être entendu comme ayant vocation à s’appliquer non seulement aux traitements relevant du RGPD mais aussi aux traitements relevant des autres titres, et notamment ceux relevant du seul titre I.
Cette question ne se pose que pour le titre I dès lors que, pour les traitements du titre III (directive « Police‑Justice »), la loi a prévu des dispositions spéciales, transposant la directive sur ce point et que, pour ceux du titre IV, tous les traitements relèveront du champ des articles 31 et 32 et seront autorisés par décret en Conseil d’État.
CE10 mars 2004CE, Section, 10 mars 2004, M.C, n° 252691, T., point 3(source)
Les informations individuelles détenues par l'Institut national de la statistique et des études économiques (INSEE), collectées à partir des listes d'émargement de scrutins électoraux et relatives à la participation électorale ou aux abstentions constatées lors de ces scrutins, ne peuvent être regardées comme de nature à faire apparaître, même indirectement, les opinions politiques ou philosophiques des individus concernés, au sens et pour l'application de l'article 31 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. Par suite, la création d'un traitement automatisé de ces informations ne figure pas parmi les mesures qui, en vertu de cet article, ne peuvent être prises qu'avec le consentement exprès des intéressés ou par décret en Conseil d'État pris sur proposition ou avis conforme de la Commission nationale de l'informatique et des libertés.
CE5 juin 1987CE, S'ection, 5 juin 1987, M.X, n° 59674, Rec., point 3er Voir aussi: CJUE, grande chambre, 1 août 2022, Vyriausioji tarnybinės etikos komisija, C-184/20(source)
Le fichier créé par l’arrêté du 28 février 1984 du secrétaire d’État auprès du ministère des affaires sociales et de la solidarité nationale chargé des rapatriés concerne exclusivement des personnes visées à l’article 2 de l’ordonnance du 21 juillet 1962 qui définit les conditions dans lesquelles les « personnes de statut civil de droit local originaires d'Algérie » peuvent se faire reconnaître la nationalité française. Ce fichier fait ainsi apparaître indirectement les opinions religieuses des personnes intéressées.
CE28 mars 2014CE, 10ème/9ème SSR, 28 mars 2014, Syndicat National des Enseignements de Second Degré (SNES), n° 361042, T., point 15(source)
La mention du taux d'incapacité permanente ou du taux d'invalidité du « conjoint ou partenaire » et des personnes à la charge de l'agent n'est pas une donnée « relative à la santé » au sens des dispositions précitées de l'article 8 de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dès lors qu'il n'est même allégué qu'elle donnerait une information sur la nature du handicap.
CE19 juillet 2010CE, 10e/9e SSR, 19 juillet 2010, M. A et Mme B, n° 317182, Rec., point 18(source)
La mention exacte, dans la « Base élèves 1ᵉʳ degré », de la catégorie de classe d’intégration scolaire (CLIS) dont relève l'élève, identifiée par l'un des quatre chiffres codant le type de handicap ou de déficience de l'élève, ce qui permet d'identifier la nature de l'affection ou du handicap dont il souffre, est une donnée relative à la santé au sens de l'article 8 de la loi n°78‑17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. Tel n'est pas le cas, en revanche, de la structure de soins qui l'accueille ; celle‑ci ne permettant qu'en très rares cas, où sa dénomination est explicite, d'identifier directement la pathologie de l'élève.
CE19 juillet 2010CE, 10ème/9ème SSR, 19 juillet 2010, M. F et Mme C, n° 334014, T., point 10(source)
Les codes d’identification propres aux établissements dans lesquels sont scolarisés les enfants, y compris dans les cas où l’enfant est scolarisé dans une structure hospitalière ou dans un établissement de santé, permettent de savoir que l’élève a été souffrant mais ne fournissent par eux‑mêmes aucune information sur la nature, la durée ou la gravité de l’affection de l’élève, information qui ne peut être obtenue qu’en accédant à un autre fichier mettant en correspondance les codes et la dénomination de l’établissement. Ce n’est que dans de très rares cas que la dénomination de l’établissement est explicite quant à la nature des pathologies qu’il soigne. Par conséquent, ces données ne sont pas relatives à la santé au sens de l’article 8 de la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dite loi Informatique et Libertés.
CNIL11 mai 2023CNIL, FR, 11 mai 2023, Sanction, Société X, n° SAN-2023-006, publié, point 56 Données contenant la santé(source)
Lorsque le service demandé par l'utilisateur implique nécessairement le traitement de données de santé, il est cependant indispensable que l'utilisateur ait pleinement conscience de ce que ses données de santé seront traitées et parfois conservées par le responsable de traitement, ce qui implique en principe une information explicite sur ce point lors du recueil du consentement.