Disposition limitant expressément les finalités d'un traitement – Traitement mis en œuvre illicite au regard de cette disposition – Article 5 - 1 – a) RGPD – Compétence de la formation restreinte de la CNIL – 2) Application – Article L. 37 du code électoral

Les articles 5‑1 a) du RGPD et 4‑1° de la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dite loi Informatique et Liberté, disposent que tout traitement de données à caractère personnel doit être « licite » et, d’autre part, que l’article 16 de cette loi donne compétence à la formation restreinte de la Commission nationale de l’informatique et des libertés pour sanctionner les responsables de traitement ou sous‑traitants qui ne respectent pas les obligations découlant du RGPD et de la loi Informatique et Liberté.

Il en résulte que, lorsqu’une disposition limite expressément les finalités d’un traitement de données à caractère personnel, qu’elle soit contenue dans un acte réglementaire autorisant et régissant un traitement particulier de données sur le fondement des articles 31 et suivants de la loi Informatique et Liberté ou des dispositions qui y renvoient, ou qu’elle résulte d’une disposition législative ou réglementaire spéciale limitant la ou les finalités d’un traitement ou d’une catégorie de traitement, la formation restreinte de la CNIL est compétente pour sanctionner le traitement illicite que constitue la méconnaissance de cette disposition.

La formation restreinte est donc compétente en l’espèce pour examiner le manquement à l’article 5‑1 a) du RGPD qui résulterait, selon la rapporteure, de la méconnaissance de l’article L. 37 du code électoral prohibant l’utilisation des listes électorales, qui contiennent des données personnelles, pour des finalités commerciales.