Tables CNIL

Cette application facilite et enrichit la navigation dans les Tables Informatique et Libertés publiées par la CNIL. Elles assemblent l’essentiel de la jurisprudence française et européenne et des décisions pertinentes de l'autorité administrative en matière de protection des données à caractère personnel, et constituent à cet égard un outil précieux pour les DPO et les avocats

Dernière mise à jour : Version du 20/02/2026 – V 2.3 [PDF]

14 décisions

Décisions de jurisprudence

Juridiction
Toutes les juridictions

CJUE30 janvier 2024CJUE, 30 janvier 2024, NG c./ Direktor na Glavna direktsia « Natsionalna politsia » pri Ministerstvo na vatreshnite raboti – Sofia, C-118/22(source)

Législation nationale prévoyant la conservation par les autorités de police, à des fins de prévention et de détection des infractions pénales de données à caractère personnel, y compris biométriques et génétiques, concernant des personnes ayant fait l'objet d'une condamnation pénale définitive jusqu'au décès de ces personnes - Inconventionnalité

L'article 4, paragraphe 1, sous c) et e), de la directive (UE) 2016/680 du Parlement européen et du Conseil, du 27 avril 2016, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision – cadre 2008/977/JAI du Conseil, lu en combinaison avec les articles 5 et 10, l'article 13, paragraphe 2, sous b), ainsi que l'article 16, paragraphes 2 et 3, de celle‑ci, et à la lumière des articles 7 et 8 de la Charte des droits fondamentaux de l'Union européenne doit être interprété en ce sens qu'il s'oppose à une législation nationale qui prévoit la conservation, par les autorités de police, à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, de données à caractère personnel, notamment de données biométriques et génétiques, concernant des personnes ayant fait l'objet d'une condamnation pénale définitive pour une infraction pénale intentionnelle relevant de l'action publique, et ce jusqu'au décès de la personne concernée, y compris en cas de réhabilitation de celle‑ci, sans mettre à la charge du responsable du traitement l'obligation de vérifier régulièrement si cette conservation est toujours nécessaire, ni reconnaître à ladite personne le droit à l'effacement de ces données, dès lors que leur conservation n'est plus nécessaire au regard des finalités pour lesquelles elles ont été traitées, ou, le cas échéant, à la limitation du traitement de celles‑ci.

CEDH8 septembre 2022CEDH, 8 septembre 2022, Affaire Drelon c. France, n° 3153/16, 27758/18, points 86-100(source)

Collecte et conservation de données reflétant l'orientation sexuelle supposée Données ne reposant sur aucune base factuelle avérée – Absence de démonstration de l'encadrement de la durée de conservation – Durée de conservation excessive – Violation de l'article 8 CEDH

Collecte et conservation de données personnelles indiquant que le requérant était concerné par la contre‑indication au don de sang, alors prévue pour les hommes ayant eu un rapport sexuel avec un homme en droit interne. De telles données comportent des indications explicites sur la vie sexuelle et sur l'orientation sexuelle supposée du requérant. Le fait que cette contre‑indication était conservée avec la simple référence à un code et non la description explicite d'un comportement sexuel n'est pas déterminant. Il était en outre prévu que les données saisies en 2004 soient conservées jusqu'en 2278.

La Cour EDH conclut que cette collecte et conservation de données personnelles sensibles constitue une ingérence dans le droit au respect de la vie privée du requérant. Néanmoins, cette ingérence était « prévue par la loi » et poursuivait le but légitime de la protection de la santé.

La collecte et la conservation de données personnelles relatives aux résultats des procédures de sélection des candidats au don du sang, et en particulier aux motifs d'exclusion du don éventuellement retenus, contribuent à garantir la sécurité transfusionnelle. Sans qu'il soit besoin de rechercher si d'autres critères de sélection des donneurs étaient envisageables, la collecte et la conservation des données litigieuses reposaient sur des motifs pertinents et suffisants.

Eu égard à la sensibilité des données personnelles litigieuses, qui comportent des indications sur les pratiques et l'orientation sexuelles du requérant, il est particulièrement important qu'elles répondent aux exigences de qualité prévues à l'article 5 de la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel du Conseil de l'Europe. Il importe en particulier qu'elles soient exactes et, le cas échéant, mises à jour, qu'elles soient adéquates, pertinentes et non excessives par rapport aux finalités du traitement, et que leur durée de conservation n'excède pas celle qui est nécessaire. Par ailleurs, les données litigieuses, qui touchaient à l'intimité du requérant, ont été collectées et conservées sans le consentement explicite du requérant. En conséquence, la Cour se doit de procéder à cet examen de façon rigoureuse.

En premier lieu, s'agissant de l'exactitude des données personnelles, celle‑ci doit être appréciée au regard de la finalité pour laquelle ces données ont été collectées. Dans le traitement litigieux, cette catégorie de données avait pour finalité d'assurer le respect d'une contre‑indication au don spécifique, que le droit interne prévoyait alors de façon permanente. À cette fin, elle devait reposer sur une base factuelle précise et exacte. Or, le requérant s'est vu appliquer une contre‑indication propre aux hommes ayant eu un rapport sexuel avec un homme au seul motif qu'il avait refusé de répondre à des questions relatives à sa sexualité lors de l'entretien médical préalable au don. Aucun des éléments soumis à l'appréciation du médecin ne lui permettait de tirer une telle conclusion sur ses pratiques sexuelles. C'est pourtant ce motif d'exclusion du don qui fut renseigné et conservé. Les données collectées se fondaient sur de simples spéculations et ne reposaient pas sur aucune base factuelle avérée. Or, c'est aux autorités qu'il incombe de démontrer l'exactitude des données collectées. De surcroît, elles n'ont pas été mises à jour à la suite des protestations et de la plainte du requérant.

Par ailleurs, il est inadéquat de collecter une donnée personnelle relative aux pratiques et à l'orientation sexuelles sur le seul fondement de spéculations ou de présomptions. Au surplus, il aurait suffi, pour atteindre l'objectif de sécurité transfusionnelle recherché, de garder trace du refus du requérant de répondre aux questions relatives à sa sexualité, cet élément étant de nature à justifier, à lui seul, un refus de la candidature au don de sang.

En second lieu, le Gouvernement ne démontre pas qu'à l'époque des faits, la durée de conservation des données litigieuses était encadrée de telle sorte qu'elle ne puisse pas excéder celle nécessaire aux finalités pour lesquelles elles ont été collectées. Au moment de la collecte de ces données en 2004, l'outil informatique employé par l'ÉFS prévoyait leur conservation jusqu'en 2278, rendant ainsi possible leur utilisation de manière répétée. À la date du 26 mai 2016, soit près de douze ans après leur collecte, les données relatives au motif d'exclusion étaient encore conservées. À cet égard, la durée de conservation des données doit être encadrée pour chacune des catégories de données concernées et elle doit être révisée si les finalités pour lesquelles elles ont été collectées ont évolué. Au vu de la pratique constante de l'ÉFS, la durée excessive de conservation des données litigieuses a rendu possible leur utilisation répétée à l'encontre du requérant, entraînant son exclusion automatique du don de sang.

Au vu de l'ensemble des éléments qui précèdent, l'État défendeur a outrepassé sa marge d'appréciation en la matière.

CE24 septembre 2021CE, 10ème – 9 chambres réunies, 24 septembre 2021, Médecins du Monde et autres, n° 441317, I nédit., point 5(source)

Durée de conservation supérieure au délai de prescription pour une infraction Admissibilité en l'espèce

Dans le cadre d’un traitement de données ayant notamment pour finalité de constater l’ensemble des infractions non routières faisant l’objet d’une amende forfaitaire relevées au moyen d’appareils électroniques permettant l’établissement d’un procès-verbal électronique, la durée de conservation de cinq ans des données relatives aux contraventions non routières et la durée de conservation de dix ans des données relatives aux délits non routiers n’est pas disproportionnée, eu égard en particulier à ux délais de prescription de six ans des peines délictuelles et de trois ans des peines contraventionnelles, respectivement prévus par les articles 133‑3 et 133‑4 du code pénal, ainsi qu’aux règles de procédure qui régissent le recouvrement des amendes forfaitaires, en particulier les délais de recours et de mise en paiement.

Dans le cas d’espèce, les délais de prescription ne s’imposent pas à la conservation des données. En effet, la prescription de l’action publique et la prescription de la peine peuvent faire l’objet, l’une et l’autre, d’interruptions. Dans la mesure où les délais de conservation ont été fixés non pas pour la prévention de la récidive, mais pour couvrir la procédure dans son ensemble, incluant l’encaissement effectif de l’amende et le cas échéant les procédures judiciaires, les durées de dix ans pour les délits et de cinq ans pour les contraventions ne sont pas disproportionnées.

CE4 juillet 2017CE, Section de l'intérieur, 4 juillet 2017, Avis, n° 393336, Projet de décret portant création d'un traitement automatisé nommé « Automatisation de la consultation centralisée de renseignements et de données »(source)

Traitements automatisés de données à caractère personnel intéressant la sûreté de l'État ou la sécurité publique Obligation de fixer une durée maximale de conservation et de la respecter – Obligation de préciser cette durée dans l'acte autorisant le traitement – Absence – Cas particuliers des personnes âgées de moins de 13 ans

Le Conseil d'État (section de l'intérieur) a donné un avis favorable à un projet de décret portant création d'un traitement automatisé de données à caractère personnel dénommé « Automatisation de la consultation centralisée de renseignements et de données » (ACCReD).

Le projet crée un traitement automatisé de données à caractère personnel permettant, à l'occasion de la réalisation d'enquêtes administratives sur le fondement des articles L. 114‑1, L. 114‑2 et L. 211‑11‑1 du code de la sécurité intérieure, de consulter automatiquement d'autres traitements automatisés de données à caractère personnel ou d'entrer en relation avec eux. Cette consultation peut prendre la forme d'une consultation automatique ou d'une mise en relation. En application des dispositions du 5° de l'article 6 de la loi n°78‑17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, les responsables de tout traitement doivent veiller à ne conserver les données du traitement que pendant une durée qui n'excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées. La fixation, par ces responsables, d'une durée maximale de conservation des données est donc obligatoire, même si, comme c'est possible pour ceux des traitements intéressant la sûreté de l'État ou la sécurité publique mentionnés à l'article 1er du décret du 15 mai 2007, cette durée peut ne pas être mentionnée dans l'acte réglementaire autorisant le traitement.

Mais le Conseil d'État considère que la collecte, dans le cadre de ces mêmes traitements, de données relatives à des personnes âgées de moins de 13 ans, doit s'accompagner de la fixation, par l'acte réglementaire autorisant ce traitement, d'une durée de conservation de ces données.

CE13 juin 2016CE, 10-9 chambres réunies, 13 juin 2016, SASP Paris-Saint-Germain Football, n° 377194, Inédit., point 8(source)

Données relatives aux impayés Conservation au-delà du règlement de la somme due

Les conséquences ou les risques résultant de la commission d'un impayé ne peuvent être réputés avoir disparu dès le règlement de la dette. Il n'est dès lors pas disproportionné de prévoir une conservation des données relatives aux incidents de cette nature pendant une durée suffisante, au-delà du règlement de la somme due, pour prévenir le renouvellement de tels incidents.

CE18 novembre 2015CE, 10ème/9ème SSR, 18 novembre 2015, Mme B…D… et Mme A…C…, n° 372111, T., point 6(source)

Carte nationale d'identité Collecte, conservation et consultation des empreintes digitales – Durée de conservation illimitée faute de dispositions expresses la régissant – Illégalité

Faute de dispositions expresses la régissant, la durée de conservation des empreintes digitales relevées sur le fondement de l'article 5 du décret du 22 octobre 1955 est illimitée. Une telle durée de conservation ne peut être regardée comme nécessaire aux finalités du fichier, eu égard à la durée de validité de la carte nationale d'identité et au délai dans lequel tout détenteur d'une carte nationale d'identité périmée peut en solliciter le renouvellement. Elle est donc illégale.

CE9 novembre 2015CE, 10ème/9ème SSR, 9 novembre 2015, Conseil national de l'ordre des médecins, n° 383313, Inédit., point 8(source)

Traitement public encadré par décret Conservation des données pour une finalité non prévue par l'acte réglementaire – Illicéité

Eu égard à la finalité du fichier ayant notamment trait à la gestion des contentieux entre l'administration pénitentiaire et les personnes placées sous main de justice, la durée de conservation de deux ans prévue à l'article R. 57-9-21 à compter de la date de levée de l'écrou n'est pas excessive. En revanche, la conservation ultérieure de ces données pour un délai de huit ans, qui poursuit, selon la garde des sceaux, la conduite éventuelle de contentieux, est dépourvue de fondement légal dès lors que cette finalité n'est pas explicitée par le décret attaqué et que la durée de conservation ainsi définie ne s'y rattache pas spécifiquement.

CE19 juillet 2010CE, 10ème/9ème SSR, 19 juillet 2010, M. X et Mme Y, n° 334014, T., point 13(source)

Durée totale de conservation de s données relatives à l’identification des élèves scolarisés équivalent à 35 ans Durée excessive – Conséquence – Illégalité totale de la décision mettant en œuvre le traitement

Si les données relatives à l'identification des élèves peuvent être conservées au sein de la « Base nationale des identifiants des élèves » pendant la durée du cycle d’étude — premier cycle dans l’état actuel du fichier, cycle complet d’étude en cas de généralisation de l’utilisation de l’identifiant à l’enseignement secondaire et à l’enseignement supérieur — une durée totale de conservation de 35 ans n’apparaît pas nécessaire aux finalités du traitement et est donc excessive au regard des dispositions du 5° de l’article 6 de la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Ce vice entache d’illégalité l’ensemble de la décision mettant en œuvre le traitement.

CE30 décembre 2009CE, Section, 30 décembre 2009, Association SOS Racisme et GISTI, n° 312051, Rec., points 19-21(source)

Création d'un traitement automatisé destiné à faciliter la mise en œuvre des mesures d'éloignement des étrangers (décret du 26 décembre 2007) Durée de conservation des données étendue à 3 ans pour certaines d'entre elles – Stricte nécessité – Absence – Conséquence – Illégalité

En l'absence de justification de l'extension à 3 ans, à compter de l'éloignement effectif, de la Durée de conservation des données relatives à l'identification de l'étranger et de ses enfants, aux caractéristiques de la mesure d'éloignement, à la soustraction éventuelle de l'étranger à l'exécution de cette mesure, à l'exercice de recours contentieux et à la demande de laissez-passer auprès des autorités consulaires du pays vers lequel l'éloignement est ordonné, celle-ci ne répond pas à l'exigence de stricte nécessité découlant de la loi n°78‑17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. Illégalité du décret dans cette mesure.

CNILDate non renseignéeCNIL, P, 26 juin 2023, Mise en demeure, Société X, n°MED-2023-040, non publié

Opposition à la prospection Liste repoussoir – Conservation des données nécessaires à la prise en compte de l'opposition – Durée minimale recommandée de trois ans

Afin d'assurer l'effectivité du droit d'opposition, le responsable de traitement peut créer une « liste repoussoir » lui permettant de ne pas utiliser à nouveau les données de contact si elles venaient à lui être transmises à nouveau par une autre personne que la personne concernée. La CNIL recommande de conserver l'inscription à la « liste repoussoir » de la personne ayant fait opposition pendant une durée minimale de trois ans et de ne conserver que les empreintes de l'adresse ou du numéro utilisé pour la prospection. Cela permet de prendre en compte l'opposition dans le temps sans conserver de données directement identifiantes.

CNIL7 juillet 2022CNIL, FR, 7 juillet 2022, Sanction, Société X, n° SAN-2022-015, publié, points 74-75(source)

Véhicules connectés Géolocalisation – Durée de conservation des données à caractère personnel excessive au regard de la finalité du traitement

Le fait que le point de départ de la durée de conservation des Géolocalisation soit lié non pas au contrat de location mais à la fin de la relation commerciale avec l'utilisateur ne permet pas de respecter le principe selon lequel les données à caractère personnel ne doivent pas être conservées pour une durée qui excède celle nécessaire au regard des finalités pour lesquelles elles sont traitées. En l'espèce, la société a conservé les données de Géolocalisation en cause pour une durée qui excédait celle nécessaire au regard des finalités pour lesquelles elles étaient traitées et a ainsi méconnu ses obligations au regard de l'article 5.1.e du RGPD.

CNIL23 juin 2022CNIL, FR, 23 juin 2022, Clôture d'injonction, Société X, n° SAN-2022-012, non publié(source)

Respect de la durée de conservation par anonymisation des données Licéité

L'anonymisation peut être considérée comme un moyen permettant de se conformer aux obligations en matière de limitation de la durée de conservation lorsqu'à l'issue d'une période de conservation en base active pendant la durée d'une relation contractuelle, une société procède à un premier tri des données en anonymisant les données non pertinentes et en conservant, en base d'archivage intermédiaire, les données permettant de répondre aux obligations légales ou lorsqu'elles présentent un intérêt administratif pour la société, et lorsqu'à l'issue de cette période d'archivage intermédiaire les données sont automatiquement anonymisées.

CNIL21 avril 2022CNIL, P, 21 avril 2022, Avis sur projet de décret, n° 2022-051, non publié

Traitements publics encadrés par un acte réglementaire 1) Obligation d'inscrire l'archivage intermédiaire dans l'acte réglementaire – Appréciation d'espèce – 2) Obligation d'inscrire l'archivage définitif dans l'acte réglementaire – Absence

Cas d'un traitement de l'État permettant d'enregistrer des informations sur les ressortissants français et leurs ayants droit ainsi que documents relatifs à une situation de crise à l'étranger en vue d'en faciliter la gestion et d'informer et associer les personnes concernées.

1) Une fois que les données ne sont plus utilisées dans le cadre de la gestion opérationnelle liée à l'événement survenu à l'étranger ou pour réaliser les statistiques prévues, il est recommandé de mettre en place un archivage intermédiaire afin de limiter la consultation de ces données à des personnes spécifiquement habilitées. En gardant à l'écart entre la durée d'utilisation opérationnelle des données et leur durée de conservation en base intermédiaire (10 ans), le principe d'un tel archivage intermédiaire devrait, dans l'espèce, être inscrit dans le décret portant création du traitement, à titre de garantie apportée aux personnes concernées.

2) S'agissant de l'archivage définitif au titre de l'application des règles régissant les archives publiques issues du code du patrimoine, un acte réglementaire régissant un traitement public réservé toujours implicitement l'application des obligations du code du patrimoine et l'archivage définitif n'a pas besoin d'être expressément prévu par l'acte réglementaire.

CNILDate non renseignéeCNIL, FR, 29 octobre 2021, Sanction, X, n° SAN-2021-019, publié, points 56-57(source)

Obligations à l'issue de la durée de conservation des données lorsque la finalité poursuivie par le traitement est atteinte

La durée de conservation des données à caractère personnel doit être déterminée en fonction de la finalité poursuivie par le traitement. Lorsque cette finalité est atteinte, les données doivent en principe être supprimées, anonymisées ou faire l'objet d'un archivage intermédiaire lorsque leur conservation est nécessaire pour le respect d'obligations légales ou à des fins précontentieuses ou contentieuses.

L'effectivité de la mise en œuvre d'une politique de durée de conservation des données est le pendant nécessaire de sa définition et permet d'assurer que les données sont conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées. Cela permet notamment de réduire les risques d'usage non autorisé des données en cause, par un salarié ou par un tiers.