Tables CNIL

Cette application facilite et enrichit la navigation dans les Tables Informatique et Libertés publiées par la CNIL. Elles assemblent l’essentiel de la jurisprudence française et européenne et des décisions pertinentes de l'autorité administrative en matière de protection des données à caractère personnel, et constituent à cet égard un outil précieux pour les DPO et les avocats

Dernière mise à jour : Version du 20/02/2026 – V 2.3 [PDF]

4 décisions

Décisions de jurisprudence

Juridiction
Toutes les juridictions

CC12 juin 2018CC, 2018-765 DC, 12 juin 2018, Loi relative à la protection des données personnelles, points 41-42, 47-53(source)

Traitements de données à caractère personnel relativ es aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes Loi adaptant la législation nationale au RGPD – 1) Poursuite d'objectifs d'intérêt général – 2) Champ des personnes autorisées suffisamment restreint – Mise en œuvre encadrée – Conformité

Les dispositions contestées modifient l'article 9 de la loi n°78‑17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés afin de fixer le régime des traitements de données à caractère personnel relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes, lorsque ces traitements ne sont pas mis en œuvre par les autorités compétentes à des fins pénales au sens de la directive européenne du 27 avril 2016.

1) En premier lieu, d'une part, en adoptant ces dispositions, le législateur a entendu permettre la mise en œuvre de traitements de données à caractère personnel relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes par des personnes collaborant au service public de la justice, telles que des associations d'aide aux victimes ou d'accompagnement de personnes placées sous main de justice. Il a également entendu ouvrir cette faculté aux personnes victimes ou mises en cause dans une procédure pénale, afin de leur permettre de préparer ou de mettre en œuvre un recours en justice. Ce faisant, le législateur a poursuivi des objectifs d'intérêt général.

2) En second lieu, d'une part, en prévoyant qu'elles s'appliquent aux personnes morales de droit privé collaborant au service public de la justice appartenant à des catégories dont la liste est fixée par décret en Conseil d'État, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés, ainsi qu'aux personnes agissant soit en tant que victimes ou mises en cause soit pour le compte de ces dernières, les dispositions contestées circonscrivent suffisamment le champ des personnes ainsi autorisées à mettre en œuvre un traitement de données à caractère personnel en matière pénale. D'autre part, la mise en œuvre de ces traitements ne peut être effectuée, dans le premier cas, que dans la mesure strictement nécessaire à la mission exercée par la personne collaborant au service public de la justice et, dans le second, que pour une durée strictement proportionnée aux finalités poursuivies par les personnes victimes ou mises en cause. Dans ce dernier cas, la communication à un tiers n'est possible que sous les mêmes conditions et dans la mesure strictement nécessaire à la poursuite des mêmes finalités. Enfin, la mise en œuvre de ces traitements de données est subordonnée au respect des garanties prévues par le règlement européen du 27 avril 2016, en particulier les conditions posées à ses articles 5 et 6, et à celles prévues par la loi n°78‑17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. Le législateur, qui n'était pas tenu de prévoir un dispositif d'autorisation préalable des traitements de données en cause, n'a donc pas méconnu le droit au respect de la vie privée.

CC10 juin 2009CC, 2009-580 DC, 10 juin 2009, Loi favorisant la diffusion et la protection de la création sur internet, points 24-29(source)

Autorisation donnée à des personnes privées de traiter des données à caractère personnel relatives à des infractions pour repérer des contrefaçons en ligne Licéité – Condition – Limitation à la protection des droits des victimes

Les dispositions combinées de l’article L. 34‑1 du code des postes et des communications électroniques, tel qu’il est modifié par l’article 14 de la loi favorisant la diffusion et la protection de la création sur internet et les troisième et cinquième alinéas de l’article L. 331‑21 du code de la propriété intellectuelle ainsi que son article L. 331‑24, tels qu’ils résultent de l’article 5 de cette loi, ont pour effet de modifier les finalités en vue desquelles les personnes privées peuvent mettre en œuvre des traitements portant sur des données à caractère personnel relatives à des infractions. Elles permettent en effet que, désormais, les données recueillies relatives aux infractions de contrefaçon commises sur internet acquièrent un caractère nominatif non seulement dans le cadre d’une procédure judiciaire, mais également dans le cadre de la procédure conduite devant la commission de protection des droits de la haute autorité pour la diffusion des œuvres et la protection des droits sur internet.

À l’issue de la censure résultant des considérants 19 et 20 de sa décision, le Conseil constate que la commission de protection des droits ne peut prononcer les sanctions prévues par la loi déférée : seul un rôle préalable à une procédure judiciaire lui est confié. Une telle intervention est justifiée par l’ampleur des contrefaçons commises au moyen d’internet et l’utilité, dans l’intérêt d’une bonne administration de la justice, de limiter le nombre d’infractions dont l’autorité judiciaire sera saisie. Il en résulte que les traitements de données à caractère personnel mis en œuvre par les sociétés et organismes précités ainsi que la transmission de ces données à la commission de protection des droits pour l’exercice de ses missions s’inscrivent dans un processus de saisine des juridictions compétentes.

En outre, ces traitements seront soumis aux exigences prévues par la loi n° 78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Les données ne pourront être transmises qu’à cette autorité administrative ou aux autorités judiciaires. Il appartiendra à la Commission nationale de l’informatique et des libertés, saisie pour autoriser de tels traitements, de s’assurer que les modalités de leur mise en œuvre, notamment les conditions de conservation des données, seront strictement proportionnées à cette finalité.

Cass23 juin 2021Cass, 2 civ., 23 juin 2021, n° 18-18.824, Inédit., points 8-9(source)

Mesure d'identification d'une adresse IP par le juge sur le fondement de l'article 145 du code de procédure civile Communication nécessaire à l'exercice ou à la défense d'un droit en justice – Licéité – Conditions

Hors des conditions prévues par le code des postes et des communications électroniques (saisie d'adresse IP pour la recherche, la constatation et la poursuite d'infractions pénales) et la loi pour la confiance dans l'économie numérique (qui ne s'applique pas aux correspondances privées que sont les courriels anonymes adressés à des personnes identifiées), une mesure d'identification à fin d'identifier une adresse IP peut être ordonnée par un juge, sur le fondement de l'article 145 du code de procédure civile, selon lequel s'il existe un motif légitime de conserver ou d'établir avant tout procès la preuve de faits dont pourrait dépendre la solution d'un litige, les mesures d'instruction légalement admissibles peuvent être ordonnées à la demande de tout intéressé, sur requête ou en référé.

Une telle mesure peut être regardée comme légalement admissible lorsque la communication nécessaire à l'exercice ou à la défense d'un droit en justice à un tiers d'une adresse IP est nécessaire à l'exercice ou à la défense d'un droit en justice, qu'elle ne porte pas une atteinte disproportionnée au droit à la vie privée de la personne dont les données sont ainsi communiquées à un tiers et qu'enfin, ce tiers fasse de ces données un usage licite.

Cass13 janvier 2009Cass, crim., 13 janvier 2009, n° 08-84.088, B., point 6(source)

Constatations visuelles effectuées sur internet et renseignements Propriété intellectuelle – Contrefaçons – Exclus ion

Ne constituent pas un traitement de données à caractère personnel relatives à des infractions, au sens des articles 2, 9 et 25 de la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, les constatations visuelles effectuées sur internet et les renseignements recueillis en exécution de l’article L. 331‑2 du code de la propriété intellectuelle par un agent assermenté qui, sans recourir à un traitement préalable de surveillance automatisé, utilise un appareillage informatique et un logiciel de pair à pair pour accéder manuellement aux fins de téléchargement à la liste des œuvres protégées irrégulièrement proposées sur la toile par un internaute, dont il se contente de relever l’adresse IP pour pouvoir localiser son fournisseur d’accès en vue de la découverte ultérieure de l’auteur des contrefaçons.