Tables CNIL

Cette application facilite et enrichit la navigation dans les Tables Informatique et Libertés publiées par la CNIL. Elles assemblent l’essentiel de la jurisprudence française et européenne et des décisions pertinentes de l'autorité administrative en matière de protection des données à caractère personnel, et constituent à cet égard un outil précieux pour les DPO et les avocats

Dernière mise à jour : Version du 20/02/2026 – V 2.3 [PDF]

7 décisions

Décisions de jurisprudence

Juridiction
Toutes les juridictions

CJUE4 octobre 2024CJUE, 4 octobre 2024, Bezirkshauptmannschaft Landeck, C‑548/21(source)

Réglementation nationale qui octroie aux autorités compétentes la possibilité d'accéder aux données contenues dans un téléphone portable, à des fins de prévention, de recherche, de détection et de poursuite d'infractions pénales - Conditions - Contrôle préalable par une juridiction ou une autorité administrative indépendante Informations à mettre à la disposition de la personne concernée ou à lui fournir – Limites – Droit à un recours juridictionnel effectif

1) L'article 4, paragraphe 1, sous c), de la directive (UE) 2016/680 (directive « Police‑justice ») du 27 avril 2016 (principes relatifs au traitement des données à caractère personnel), lu à la lumière des articles 7 et 8 ainsi que de l'article 52, paragraphe 1, de la charte des droits fondamentaux de l'Union européenne, doit être interprété en ce sens qu'il ne s'oppose pas à une Réglementation nationale qui octroie aux autorités compétentes la possibilité d'accéder aux données contenues dans un téléphone portable, à des fins de prévention, de recherche, de détection et de poursuite d'infractions pénales en général, si cette réglementation :

  • définit de manière suffisamment précise la nature ou les catégories des infractions concernées,
  • garantit le respect du principe de proportionnalité, et
  • soumet l'exercice de cette possibilité, sauf cas d'urgence dûment justifié, à un contrôle préalable d'un juge ou d'une entité administrative indépendante.

2) Les articles 13 et 54 de la directive 2016/680 (droit à l'information et droit d'accès), lus à la lumière de l'article 47 et de l'article 52, paragraphe 1, de la charte des droits fondamentaux doivent être interprétés en ce sens qu'ils s'opposent à une réglementation nationale qui autorise les autorités compétentes à tenter d'accéder à des données contenues dans un téléphone portable sans informer la personne concernée, dans le cadre des procédures nationales applicables, des motifs sur lesquels repose l'autorisation d'accéder à ces données, délivrée par un juge ou une entité administrative indépendante, à partir du moment où la communication de cette information n'est plus susceptible de compromettre les missions incombant à ces autorités en vertu de cette directive.

CJUE30 avril 2024CJUE, 30 avril 2024, M. N. (EncroChat), C-670/22(source)

Directive 2014/41/UE Transmission et utilisation de preuves dans les affaires pénales revêtant une dimension transfrontalière – Conditions - 1) Compétence du procureur – 2) Décision de transmission de preuves acquises à la suite de l'interception de télécommunications chiffrées des utilisateurs de téléphones portables – 3) Notification de l'infiltration d'appareils terminaux visant à extraire des données de trafic, de localisation et de communication – 4) Protection des droits des utilisateurs concernés par une mesure d’« interception de télécommunications » – 5) Éléments de preuve que la personne soupçonnée n’est pas en mesure de commenter efficacement ces informations

1) L’article 1, paragraphe 1, et l’article 2, sous‑c), de la directive 2014/41/UE du Parlement européen et du Conseil, du 3 avril 2014, concernant la décision d’enquête européenne en matière pénale, doivent être interprétés en ce sens qu’une décision d’enquête européenne visant à la transmission de preuves déjà en la possession des autorités compétentes de l’État d’exécution ne doit pas nécessairement être prise par un juge lorsque, en vertu du droit de l’État d’émission, dans une procédure purement interne à cet État, la collecte initiale de ces preuves aurait dû être ordonnée par un juge, mais qu’un procureur est compétent pour ordonner la transmission desdites preuves.

2) L’article 6, paragraphe 1, de la directive 2014/41 doit être interprété en ce sens qu’il ne s’oppose pas à ce qu’un procureur adopte une décision d’enquête européenne qui vise à la transmission de preuves déjà en la possession des autorités compétentes de l’État d’exécution, lorsque ces preuves ont été acquises à la suite de l’interception de télécommunications chiffrées par ces autorités, sur le territoire de l’État d’émission, de l’ensemble des utilisateurs de téléphones portables qui permettent, grâce à un logiciel spécial et à un matériel modifié, une communication chiffrée de bout en bout, pourvu qu’une telle décision respecte l’ensemble des conditions prévues, le cas échéant, par le droit de l’État d’émission pour la transmission de telles preuves dans une situation purement interne à cet État.

3) L’article 31 de la directive 2014/41 doit être interprété en ce sens qu’une mesure liée à l’infiltration d’appareils terminaux, visant à extraire des données de trafic, de localisation et de communication d’un service de communication fondé sur Internet, constitue une « interception de télécommunications », au sens de cet article, qui doit être notifiée à l’autorité désignée à cet effet par l’État membre sur le territoire duquel se trouve la cible de l’interception. Dans l’hypothèse où l’État membre interceptant n’est pas en mesure d’identifier l’autorité compétente de l’État membre notifié, cette notification peut être adressée à toute autorité de l’État membre notifié que l’État membre interceptant juge apte à cet effet.

4) L’article 31 de la directive 2014/41 doit être interprété en ce sens qu’il vise également à protéger les droits des utilisateurs concernés par une mesure d’« interception de télécommunications », au sens de cet article.

5) L’article 14, paragraphe 7, de la directive 2014/41 doit être interprété en ce sens qu’il impose au juge pénal national d’écarter, dans le cadre d’une procédure pénale ouverte contre une personne soupçonnée d’actes de criminalité, des informations et des éléments de preuve si cette personne n’est pas en mesure de commenter efficacement ces informations ainsi que ces éléments de preuve et que ceux‑ci sont susceptibles d’influencer de manière prépondérante l’appréciation des faits.

CJUE30 janvier 2024CJUE, 30 janvier 2024, NG c./ Direktor na Glavna direktsia « Natsionalna politsia » pri Ministerstvo na vatreshnite raboti – Sofia, C-118/22(source)

Législation nationale prévoyant la conservation par les autorités de police, à des fins de prévention et de détection des infractions pénales de données à caractère personnel, y compris biométriques et génétiques, concernant des personnes ayant fait l'objet d'une condamnation pénale définitive jusqu'au décès de ces personnes - Inconventionnalité

L'article 4, paragraphe 1, sous c) et e), de la directive (UE) 2016/680 du Parlement européen et du Conseil, du 27 avril 2016, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision - cadre 2008/977/JAI du Conseil, lu en combinaison avec les articles 5 et 10, l'article 13, paragraphe 2, sous b), ainsi que l'article 16, paragraphes 2 et 3, de celle-ci, et à la lumière des articles 7 et 8 de la charte des droits fondamentaux de l'Union européenne doit être interprété en ce sens qu'il s'oppose à une législation nationale qui prévoit la conservation, par les autorités de police, à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, de données à caractère personnel, notamment de données biométriques et génétiques, concernant des personnes ayant fait l'objet d'une condamnation pénale définitive pour une infraction pénale intentionnelle relevant de l'action publique, et ce jusqu'au décès de la personne concernée, y compris en cas de réhabilitation de celle-ci, sans mettre à la charge du responsable du traitement l'obligation de vérifier régulièrement si cette conservation est toujours nécessaire, ni reconnaître à ladite personne le droit à l'effacement de ces données, dès lors que leur conservation n'est plus nécessaire au regard des finalités pour lesquelles elles ont été traitées, ou, le cas échéant, à la limitation du traitement de celles-ci.

Cass14 octobre 2020Cass, 1 civ., 14 octobre 2020, n° 19-19.234, B., points 5-6(source)

Conservation et consultation des empreintes digitales d'un individu identifié ou identifiable Habilitation des agents pouvant les consulter – Procédure entachée d'une nullité d'ordre public en l'absence d'habilitation

Au regard de l'ingérence dans le droit au respect de la vie privée que constituent, au sens de l'article 8 de la Convention de sauvegarde des droits de l'homme et des libertés fondamentales, la conservation dans un fichier automatisé des empreintes digitales d'un individu identifié ou identifiable et la consultation de ces données, l'habilitation des agents pouvant les consulter est une garantie institutionnelle édictée pour la protection des libertés individuelles.

S'il ne résulte pas des pièces du dossier que l'agent ayant consulté les fichiers d'empreintes était expressément habilité à cet effet, la procédure se trouve entachée d'une nullité d'ordre public, sans que l'étranger qui l'invoque ait à démontrer l'existence d'une atteinte portée à ses droits.

Cass17 octobre 2018Cass, 1 civ., 17 octobre 2018, n° 17-16.852, B., point 10 Catégories de données(source)

Contestation de l'habilitation d'un fonctionnaire de police Accès à des fichiers biométriques – Retenue pour vérification du droit de circulation et de séjour

Lorsqu'une Contestation porte sur la habilitation d'un fonctionnaire de police à accéder à des fichiers biométriques à l'occasion d'une retenue pour vérification du droit de circulation et du séjour, il incombe au juge de vérifier s'il résulte des actes de la procédure, notamment des mentions faisant foi jusqu'à preuve contraire, d'un procès-verbal contenant le résultat de la consultation des fichiers, que le fonctionnaire de police les ayant consultés était expressément habilité à cet effet.

CEDH4 octobre 2023CEDH, 4 octobre 2023, Glukhin c. Russie, n° 11519/20(source)

Recours à la reconnaissance faciale en temps réel à des fins de prévention des infractions pénales Mesures particulièrement intrusives en l'espèce et traitement de données sensibles – Manifestation d'opinions politiques – Inconventionnalité

Dans une jurisprudence constante, la Cour EDH juge que la conservation de photographies par la police, combinée à la possibilité de leur appliquer des techniques de recours à la reconnaissance faciale en temps réel, constitue une ingérence dans l'exercice du droit à la vie privée. La Cour rappelle également qu'il est essentiel, dans le cadre de la mise en œuvre de la technologie de reconnaissance faciale, de disposer de règles détaillées régissant la portée et l'application des mesures ainsi que de garanties solides contre le risque d'abus et d'arbitraire. La nécessité de disposer de garanties est d'autant plus grande lorsque la technologie de reconnaissance faciale est utilisée en temps réel.

En l'espèce, le requérant russe qui a manifesté pacifiquement dans le métro moscovite, et dont des photographies et une vidéo ont été publiées sur un canal public de Telegram, a été identifié à partir de ces éléments, localisé puis interpellé, au moyen d'une technologie de recours à la reconnaissance faciale en temps réel.

Partant du principe selon lequel les mesures litigieuses poursuivaient le but légitime de la prévention des infractions pénales, la Cour estime que les mesures prises contre le requérant ont été particulièrement intrusives, surtout le recours à la technologie de reconnaissance faciale en temps réel. Un niveau élevé de justification est donc nécessaire pour qu'elles puissent être considérées comme « nécessaires dans une société démocratique », le niveau de justification le plus élevé étant requis pour l'utilisation de cette technologie. De plus, les données à caractère personnel qui ont été traitées renfermant des informations sur la participation du requérant à une manifestation pacifique, elles ont par conséquent révélé les opinions politiques de l'intéressé. Elles appartenaient donc aux catégories particulières de données sensibles qui appellent un niveau de protection accru.

Le droit interne russe autorisait le traitement des données biométriques à caractère personnel dans le cadre de l'enquête et des poursuites engagées pour toute infraction, quelles qu'en fussent la nature et la gravité.

Le requérant a été poursuivi pour une infraction administrative mineure qui n'a représenté aucun risque pour l'ordre public ou la sécurité des transports. Il n'a pas été accusé d'avoir commis un acte répréhensible au cours de sa manifestation. L'utilisation d'une technologie de reconnaissance faciale très intrusive pour identifier et arrêter les participants à des actions de protestation pacifiques pourrait produire un effet dissuasif dans le domaine des droits à la liberté d'expression et de réunion.

Dans ces conditions, le traitement des données à caractère personnel du requérant au moyen de la technologie de reconnaissance faciale dans le cadre de la procédure administrative ne répondait pas à un « besoin social impérieux » et ne pouvait être considéré comme « nécessaire dans une société démocratique ». La Cour EDH conclut donc à une violation de l'article 8.

CC13 mars 2003CC, 2003-467 DC, 13 mars 2003, Loi pour la sécurité intérieure, points 36-38(source)

Personnes mineures Durée de conservation – Conciliation entre la nécessité d'identifier les auteurs d'infractions et celle de rechercher le relèvement éducatif et moral des mineurs délinquants

S'agissant des traitements automatisés d'informations nominatives des services de police et de gendarmerie, il appartiendra au décret prévu au V de l'article 21 de la loi pour la sécurité intérieure de déterminer une durée de conservation des faits impliquant des personnes mineures conciliant, d'une part, la nécessité d'identifier les auteurs d'infractions et, d'autre part, celle de rechercher le relèvement éducatif et moral des mineurs délinquants.