Tables CNIL

Cette application facilite et enrichit la navigation dans les Tables Informatique et Libertés publiées par la CNIL. Elles assemblent l’essentiel de la jurisprudence française et européenne et des décisions pertinentes de l'autorité administrative en matière de protection des données à caractère personnel, et constituent à cet égard un outil précieux pour les DPO et les avocats

Dernière mise à jour : Version du 20/02/2026 – V 2.3 [PDF]

5 décisions

Décisions de jurisprudence

Juridiction
Toutes les juridictions

CJUE26 janvier 2023CJUE, 26 janvier 2023, Ministerstvo na vatreshnite raboti, C-205/21(source)

Traitements relevant de la directive Police justice - Exigence d'une autorisation du traitement par le droit de l'Etat membre Circonstance que la disposition légale se réfère également au RGPD - Circonstance sans incidence sur la validité de la base juridique

L'article 10, sous a), de la directive (UE) 2016/680 du Parlement européen et du Conseil, du 27 avril 2016, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, lu à la lumière de l'article 52 de la Charte des droits fondamentaux de l'Union européenne, doit être interprété en ce sens que le traitement de données biométriques et génétiques par les autorités de police en vue de leurs activités de recherche, à des fins de lutte contre la criminalité et de maintien de l'ordre public, est autorisé par le droit d'un État membre, au sens de l'article 10, sous a), de cette directive, dès lors que le droit de cet État membre contient une base juridique suffisamment claire et précise pour autoriser ledit traitement. Le fait que l'acte législatif national contenant une telle base juridique se réfère, par ailleurs, au règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et non à la directive 2016/680, n'est pas de nature, en lui‑même, à remettre en cause l'existence d'une telle autorisation, pour autant qu'il ressort, de manière suffisamment claire, précise et dénuée d'équivoque de l'interprétation de l'ensemble des dispositions applicables du droit national que le traitement de données biométriques et génétiques en cause relève du champ d'application de cette directive, et non de ce règlement.

CE6 avril 2018CE, 10-9 chambres réunies, 6 avril 2018, Association française des sociétés financières, n° 406664, T., point 4(source)

Enregistrement dans un traitement de données à caractère personnel en l'absence de procédure contradictoire préalable Admission

Aucune disposition législative ou réglementaire ni aucun principe n'impose que le enregistrement, dans un traitement, de données à caractère personnel soit précédé d'une procédure contradictoire menée avec la personne dont les données sont recueillies.

CE15 décembre 2017CE, 10-9 chambres réunies, 15 décembre 2017, Société Odeolis, n° 403776, Rec., point 7(source)

Utilisation par un employeur d'un système de géolocalisation pour le contrôle de la durée du travail de ses salariés Caractère excessif – Existence, sauf lorsque ce contrôle ne peut pas être fait par un autre moyen, même moins efficace

Il résulte des articles 6 de la loi n° 78‑17 du 6 janvier 1978 et L. 1121‑1 du code du travail que l'utilisation par un employeur d'un système de géolocalisation pour assurer le contrôle de la durée du travail de ses salariés n'est licite que lorsque ce contrôle ne peut pas être fait par un autre moyen, même moins efficace. En dehors de cette hypothèse, la collecte et le traitement de telles données à des fins de contrôle du temps de travail doivent être regardés comme excessifs au sens du 3° de l'article 6 de la loi du 6 janvier 1978.

CE30 octobre 2001CE, Section, 30 octobre 2001, Association française des sociétés financières, n° 204909, Rec., points 5-8(source)

Données à caractère personnel pouvant faire l'objet d'un traitement automatisé Nationalité d'un demandeur de prêt bancaire – a) Donnée pertinente au sens de l'article 5 de la convention du 28 janvier 1981 – Notion – Existence – b) Donnée dont la prise en compte constitue une discrimination au sens des stipulations du traité instituant la Communauté européenne ou au sens des articles 225 - 1 et 225 - 2 du code pénal – Absence

a) Au sein d'un traitement automatisé d'informations nominatives destiné à aider à la prise des décisions d'octroi ou de refus d'un prêt, en contribuant à évaluer le risque qu'une demande présente pour l'établissement prêteur et consistant à combiner dans un calcul automatisé divers critères tirés des renseignements que les auteurs de demandes fournissent sur leur situation familiale, professionnelle et bancaire, la référence à la nationalité comme l'un des éléments de pur fait d'un calcul automatisé du risque, dont la mise en œuvre n'entraîne pas le rejet d'une demande sans l'examen individuel de celle-ci, ne constitue pas une discrimination et dès lors n'entre pas dans le champ d'application de l'article 6 du traité instituant la Communauté économique européenne (traité CE) devenu, après modification, l'article 12 du traité CE.

b) Elle ne saurait davantage, en l'absence d'élément intentionnel, être regardée comme tombant sous le coup des articles 225‑1 et 225‑2 du code pénal.

CNIL3 juin 2021CNIL, FR, 3 juin 2021, Sanction, Société X, n° SAN-2021-007, non publié

Disposition limitant expressément les finalités d'un traitement Traitement mis en œuvre illicite au regard de cette disposition – Article 5 - 1 – a) RGPD – Compétence de la formation restreinte de la CNIL – 2) Application – Article L. 37 du code électoral

Les articles 5‑1 a) du RGPD et 4‑1° de la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dite loi Informatique et Liberté, disposent que tout traitement de données à caractère personnel doit être « licite » et, d’autre part, que l’article 16 de cette loi donne compétence à la formation restreinte de la Commission nationale de l’informatique et des libertés pour sanctionner les responsables de traitement ou sous‑traitants qui ne respectent pas les obligations découlant du RGPD et de la loi Informatique et Liberté.

Il en résulte que, lorsqu’une disposition limite expressément les finalités d’un traitement de données à caractère personnel, qu’elle soit contenue dans un acte réglementaire autorisant et régissant un traitement particulier de données sur le fondement des articles 31 et suivants de la loi Informatique et Liberté ou des dispositions qui y renvoient, ou qu’elle résulte d’une disposition législative ou réglementaire spéciale limitant la ou les finalités d’un traitement ou d’une catégorie de traitement, la formation restreinte de la CNIL est compétente pour sanctionner le traitement illicite que constitue la méconnaissance de cette disposition.

La formation restreinte est donc compétente en l’espèce pour examiner le manquement à l’article 5‑1 a) du RGPD qui résulterait, selon la rapporteure, de la méconnaissance de l’article L. 37 du code électoral prohibant l’utilisation des listes électorales, qui contiennent des données personnelles, pour des finalités commerciales.