Tables CNILCette application facilite et enrichit la navigation dans les Tables Informatique et Libertés publiées par la CNIL. Elles assemblent l’essentiel de la jurisprudence française et européenne et des décisions pertinentes de l'autorité administrative en matière de protection des données à caractère personnel, et constituent à cet égard un outil précieux pour les DPO et les avocats
Dernière mise à jour : Version du 20/02/2026 – V 2.3 [PDF]
CJUE4 octobre 2024CJUE, 4 octobre 2024, Agentsia po vpisvaniyata, C 200/23(source)
L'article 4, point 1, du règlement 2016/679 du 27 avril 2016 (RGPD) doit être interprété en ce sens que la signature manuscrite d'une personne physique relève de la notion de « données à caractère personnel » au sens de cette disposition.
CJUE7 mars 2024CJUE, 7 mars 2024, IAB Europe, Affaire C-604/22(source)
L'article 4, point 1, du RGPD doit être interprété en ce sens qu'une chaîne composée d'une combinaison de lettres et de caractères, telle que la TC String (Transparency and Consent String), contenant les préférences d'un utilisateur d'Internet ou d'une application relatives au consentement de cet utilisateur au traitement des données à caractère personnel le concernant par des fournisseurs de sites Internet ou d'applications ainsi que par des courtiers de telles données et par des plateformes publicitaires, constitue une donnée à caractère personnel au sens de cette disposition dans la mesure où, lorsque celle‑ci peut, par des moyens raisonnables, être associée à un identifiant, tels que notamment l'adresse IP de l'appareil dudit utilisateur, elle permet d'identifier la personne concernée. Dans de telles conditions, la circonstance que, sans une contribution extérieure, une organisation sectorielle détenant cette chaîne ne puisse ni accéder aux données qui sont traitées par ses membres dans le cadre des règles qu'elle a établies ni combiner ladite chaîne avec d'autres éléments ne fait pas obstacle à ce que la même chaîne constitue une donnée à caractère personnel au sens de ladite disposition.
CJUE9 novembre 2023CJUE, 9 novembre 2023, Gesamtverband Autoteile-Handel, C-319/22, points 46-50(source)
Le VIN (Vehicule Identification Number), code alphanumérique attribué au véhicule par son constructeur afin d’assurer l’identification adéquate de ce véhicule et qui, en tant que tel, est dépourvu de caractère « personnel », acquiert ce caractère à l’égard de quiconque dispose raisonnablement de moyens permettant de l’associer à une personne déterminée.
Or, il résulte de l’annexe I, point II.5, de la directive 1999/37 que le VIN doit figurer dans le certificat d’immatriculation d’un véhicule, tout comme le numéro et l’adresse du titulaire de ce certificat. En outre, en vertu des points II.5 et II.6 de cette annexe, une personne physique peut être désignée dans ledit certificat comme propriétaire du véhicule ou comme une personne pouvant disposer du véhicule à un titre juridique autre que celui de propriétaire. Dans ces conditions, le VIN constitue une donnée à caractère personnel, au sens de l’article 4, point 1, du RGPD, de la personne physique mentionnée dans le même certificat, dans la mesure où celui qui y a accès pourrait disposer de moyens lui permettant de l’utiliser pour identifier le propriétaire du véhicule auquel il se rapporte ou la personne pouvant disposer de ce véhicule à un titre juridique autre que celui de propriétaire.
Lorsque les opérateurs indépendants (personnes physiques ou morales, autres qu’un concessionnaire ou réparateur agréé, qui sont directement ou indirectement engagées dans la réparation et l’entretien de véhicules) peuvent raisonnablement disposer des moyens leur permettant de rattacher un VIN à une personne physique identifiée ou identifiable, ce VIN constitue pour eux une donnée à caractère personnel, au sens de l’article 4, point 1, du RGPD, ainsi que, indirectement, pour les constructeurs automobiles qui le mettent à disposition, même si le VIN n’est pas, en soi, pour ces derniers une donnée à caractère personnel et ne l’est pas, en particulier, lorsque le véhicule auquel ce VIN a été attribué n’appartient pas à une personne physique.
CJUE17 juin 2021CJUE, 17 juin 2021, M.I.C.M., C-597/19(source)
L'article 6, paragraphe 1, premier alinéa, sous f), du RGPD, lu en combinaison avec l'article 15, paragraphe 1, de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002 (directive vie privée et communications électroniques), doit être interprété en ce sens qu'il ne s'oppose, en principe, ni à l’enregistrement systématique, par le titulaire de droits de propriété intellectuelle ainsi que par un tiers pour son compte, d'adresses IP d'utilisateurs de réseaux de pair à pair (peer‑to‑peer) dont les connexions internet ont été prétendument utilisées dans des activités contrefaisantes ni à la communication des noms et des adresses postales de ces utilisateurs à ce titulaire ou à un tiers afin de lui permettre d'introduire un recours en indemnisation devant une juridiction civile pour un dommage prétendument causé par lesdits utilisateurs, à condition toutefois que les initiatives et les demandes en ce sens dudit titulaire ou d'un tel tiers soient justifiées, proportionnées et non abusives et trouvent leur fondement juridique dans une mesure législative nationale, au sens de l'article 15, paragraphe 1, de la directive 2002/58, qui limite la portée des règles énoncées aux articles 5 et 6 de cette directive.
CJUE14 février 2019CJUE, 14 février 2019, Buivids, C‑34 5/17, point 31 Voir aussi: CJUE, 11 décembre 2014, Ryneš, C‑212/13, point 22(source)
L image d'une personne enregistrée par une caméra constitue une « donnée à caractère personnel », au sens de l'article 2, sous a), de la directive 95/46, dans la mesure où elle permet d'identifier la personne concernée.
CJUE20 décembre 2017CJUE, 20 décembre 2017, Nowak, C-434/16(source)
Les réponses écrites fournies par un candidat lors d'un examen professionnel et les éventuelles annotations de l'examinateur relatives à ces réponses constituent des données à caractère personnel. Le candidat a, en principe, un droit d'accès à ces données.
CJUE19 octobre 2016CJUE, 19 octobre 2016, Breyer, C‑582/14 Voir aussi : CJUE, 17 juin 2021, M.I.C.M., C‑597/19, point 102(source)
Une adresse IP dite « adresse IP », enregistrée par un fournisseur de services de médias en ligne à l'occasion de la consultation par une personne d'un site internet que ce fournisseur rend accessible au public, constitue, à l'égard dudit fournisseur, une donnée à caractère personnel au sens de l'article 2, sous a), de la directive 95/46, lorsqu'il dispose de moyens légaux lui permettant de faire identifier la personne concernée grâce aux informations supplémentaires dont dispose le fournisseur d'accès à internet de cette personne.
CJUE17 juillet 2014CJUE, 17 juillet 2014, YS, C-141/12, C-372/12(source)
Les données relatives au demandeur d'un titre de séjour figurant dans un document administratif, telle que la « minute » en cause au principal, exposant les motifs que l'agent instructeur avance à l'appui du projet de décision qu'il est chargé de rédiger dans le cadre de la procédure préalable à l'adoption d'une décision relative à la demande d'un tel titre, et, le cas échéant, celles figurant dans l’analyse juridique que contient ce document constituent des « données à caractère personnel », au sens de la directive 95/46/CE du 24 octobre 1995. Tel n'est pas le cas en revanche de ladite analyse juridique : si celle-ci peut certes contenir des données à caractère personnel, elle ne constitue pas pour autant en elle‑même une telle donnée.
CJUE30 mai 2013CJUE, 30 mai 2013, Worten, C‑342/12(source)
Un registre du temps de travail qui comporte l'indication pour chaque travailleur des heures de début et de fin du travail, ainsi que des interruptions ou des pauses correspondantes, relève de la notion de « données à caractère personnel », au sens de l'article 2 de la directive 95/46/CE.
Cass3 novembre 2016Cass, 1 civ., 3 novembre 2016, n° 1522.595, B., point 5(source)
Les adresses IP, qui permettent d'identifier indirectement une personne physique, sont des données à caractère personnel, au sens de l'article 2 de la loi du 6 janvier 1978 dite « Informatique et Libertés », de sorte que leur collecte constitue un traitement de données à caractère personnel.
Cass12 mai 1998Cass, crim., 12 mai 1998, n° 96-85.900, B., point 5(source)
Les résultats d’un sondage portant sur une personne, qui représentent l’état statistique, à un moment donné, de l’opinion de la population sur celle‑ci, ne constituent pas une information nominative au sens de l’article 4 de la loi du 6 janvier 1978 dite « Informatique et Libertés ». Il s’en déduit que, dès lors que les résultats ne lui sont pas opposés, cette personne ne saurait bénéficier du droit d’accès et des prérogatives qui en découlent, prévus par les articles 34 et suivants de ladite loi, ni exiger la communication du nom du commanditaire de l’opération.
CE3 juillet 2002CE, Section, 3 juillet 2002, Ministre de l'équipement, des transports et du tourisme, n° 157402, T., point 2(source)
Il résulte des termes mêmes des dispositions des articles 4 et 5 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, éclairées au surplus par leurs travaux préparatoires, que les informations nominatives qu'elles mentionnent sont celles qui permettent d'identifier des personnes physiques. Les entrepreneurs individuels, pris en cette qualité, ne sont pas des personnes physiques pour l'application de ces dispositions.
CE9 juillet 1997CE, Section, 9 juillet 1997, Chambre syndicale Syntec Conseil, n° 148975, Rec., point 4(source)
Les résultats d'un sondage comportant des questions qui demandent aux personnes interrogées ce qu'elles pensent d'une personnalité ne constituent pas des informations nominatives concernant cette personnalité. Celle-ci ne saurait, par suite, être titulaire d’un droit d'accès organisé par l'article 34 de la loi du 6 janvier 1978, ni des droits de communication, de rectification et d'effacement qui en découlent.
CNIL15 juin 2023CNIL, FR, 15 juin 2023, Sanction, Société X, n° SAN-2023-009, publié, points 32-33, 39-41(source)
Le considérant 30 du RGPD, qui s'inscrit dans une jurisprudence bien établie de la Cour de justice de l'Union européenne (CJUE, 24 nov. 2011, Scarlet Extended SAC 70/10, pt. 51 et 19 oct. 2016, Breyer, C - 582/14) prévoit qu'un identifiant en ligne associé à une personne physique, tel qu'une adresse IP ou un témoin de connexion, peut « laisser des traces qui, notamment lorsqu'elles sont combinées aux identifiants uniques et à d'autres informations reçues par les serveurs, peuvent servir à créer des profils de personnes physiques et à identifier ces personnes ».
Dans son arrêt Breyer précité, la CJUE a souligné l'importance d'une approche casuistique du Caractère identifiant ou non d'une donnée plutôt qu'une position générale et de principe. Elle a indiqué que, pour déterminer si une personne est identifiable, il convenait de prendre en considération l'ensemble des moyens susceptibles d'être raisonnablement mis en œuvre, soit par le responsable du traitement, soit par une autre personne, pour identifier ladite personne.
En l'espèce, l'identifiant attribué par la société au moyen des cookies qu'elle dépose a pour but de distinguer chaque individu dont elle collecte les données et de très nombreuses informations destinées à enrichir le profil publicitaire de l'internaute sont associées à cet identifiant, parmi lesquelles : des données liées à l'identification de la personne (emplacement géographique à partir d'adresse IP, identifiant utilisateur, identifiant de terminal, identifiants fournis par des partenaires, adresse de courrier électronique sous forme hachée fournie par les partenaires), des données liées à l'activité de la personne (suivi de l'historique de navigation de l'internaute à travers les sites visités, les produits consultés, ceux ajoutés au panier ainsi que l'acte d'achat, les éventuelles interactions de l'utilisateur avec les publicités qui lui sont présentées : l'utilisateur a‑t‑il cliqué sur la bannière ? a‑t‑il procédé à un achat ?) ou encore des données dérivées ou inférées à partir des informations précédentes afin de pouvoir proposer à l'utilisateur les produits les plus pertinents, compte tenu de ses centres d'intérêt.
Pour la CNIL, si la société ne dispose pas directement de l'identité des personnes physiques auxquelles sont liés les terminaux sur lesquels des cookies sont inscrits, la réidentification peut être facilitée par le fait que, dans certaines hypothèses, la société collecte, ou traite les données liées aux événements de navigation, d'autres données qui facilitent la réidentification telles que les adresses électroniques des personnes ayant fait leur parcours de navigation depuis un environnement authentifié (ou « logué ») sous forme hachée, des identifiants leur correspondant générés par d’autres acteurs, l'adresse IP sous forme hachée ou encore l'agent utilisateur du terminal utilisé. Par conséquent, dès lors que la société est en mesure de réidentifier des personnes par des moyens raisonnables, les données traitées conservent un caractère personnel, au sens de l'article 4, 1) du RGPD.
CNIL3 juin 2021CNIL, FR, 3 juin 2021, Sanction, Société X, n° SAN-2021-007, non publié
La formation restreinte considère que l'adresse postale peut constituer une donnée à caractère personnel indirectement identifiante dans la mesure où, notamment combinée à d’autres informations, elle peut, dans certaines conditions, permettre l’identification d’une personne. C’est par exemple le cas lorsqu’une seule personne habite à cette adresse ou lorsque l’adresse est combinée à un numéro de téléphone ou à des données de réseaux telles que l’identifiant Wi‑Fi ou l’adresse MAC d’un routeur.
CNIL10 décembre 2020CNIL, P, 10 décembre 2020, Mise en demeure, Société X, n° MED-2020-043, non publié
L’ensemble des propos tenus dans le cadre d’une conversation téléphonique enregistrée sont susceptibles de constituer des données à caractère personnel concernant les deux parties à cette conversation.