CNILDate non renseignéeCNIL, FR, 18 septembre 2025, Sanction, Société X, no SAN-2025-008, publiée
Installation de caméras dissimulées – Consultation du délégué à la protection des données avant toute installation du dispositif – absence – Manquement à l'article 38‑1 du RGPD
Le fait pour une société de ne pas associer le délégué à la protection des données alors qu’elle s’apprête à déployer un traitement de données à caractère personnel particulièrement intrusif au moyen de caméras dissimulées dans des détecteurs de fumée est susceptible de constituer un manquement à l'article 38‑1 du RGPD.
CNIL18 septembre 2025CNIL, FR, 18 septembre 2025, Sanction, Société X, no SAN-2025-008, publiée
Installation de caméras dissimulées – Consultation du délégué à la protection des données avant toute installation du dispositif – absence – Manquement à l'article 38‑1 du RGPD
Le fait pour une société de ne pas associer le délégué à la protection des données alors qu’elle s’apprête à déployer un traitement de données à caractère personnel particulièrement intrusif au moyen de caméras dissimulées dans des détecteurs de fumée est susceptible de constituer un manquement à l'article 38‑1 du RGPD.
CE24 décembre 2021CE, 10-9 chambres réunies, 24 décembre 2021, Ligue des droits de l'homme et autres, n° 447515, Inédit., point 12ème Voir aussi : CE, 10ème – 9 chambres réunies, 24 décembre 2021, Ligue des droits de l'homme et(source)
Modification du projet d'acte après l'a vis de la CNIL – Modification posant une « question nouvelle » – Obligation de n ouvelle consultation de la CNIL
L'organisme dont une disposition législative ou réglementaire prévoit la consultation avant l'intervention d'un texte doit être mis à même d'exp rimer son avis sur l'ensemble des questions soulevées par ce texte. Dans le cas où, après avoir recueilli son avis, l'autorité compétente pour prendre ce texte envisage d'apporter à son projet des modifications qui posent des questions nouvelles, elle doit le consulter à nouveau.
En l'espèce, le Gouvernement a saisi la CNIL d'un projet de décret autorisant le traitement de données relatives aux « activités politiques, philosophiques, religieuses ou syndicales ». Or le décret publié autorise le traitement de données qui révèleraient des opinions politiques, des convictions philosophiques ou religieuses, ou une appartenance syndicale, alors même qu'elles ne procèderaient pas d'activités politiques, philosophiques, religieuses ou syndicales. L'extension du cham p des données sensibles collectées à laquelle procède le décret attaqué, en permettant la collecte de données relatives aux opinions et non, comme dans le projet de décret sur lequel la CNIL avait été consultée, de données relatives aux activités, soulevai t une question nouvelle qui requérait une nouvelle consultation de la Commission, à laquelle il n'a donc pas été procédé. Annulation de la disposition en cause.
ème ème
CE18 juin 2019CE, Section des finances, 18 juin 2019, A vis, n° 397691, Projet d'ordonnance relatif à l'expérimentation de la dématérialisation des actes de l'état civil établi par le ministère des affaires étrangères(source)
Obligation de consulter la CNIL sur un projet d’ordonnance fixant les caractéristiques essentielles d’un traitement – Au titre de l’article 8 de la loi Informatique et Libertés – Absence – Au titre de l’article 36, paragraphe 4, du RGPD – Existence
Il résulte tant du paragraphe 4 de l’article 36 du règlement général sur la protection des données (RGPD) que de l’article 8 de la loi du 6 janvier 1978 que la CNIL doit être préalablement consultée sur tout projet de loi ou de décret qui détermine, dans leurs caractéristiques essentielles, les conditions de création ou de mise en œuvre d’un traitement de données à caractère personnel. Si un projet d’ordonnance n’est pas un projet de loi ou de décret, seuls soumis à l’obligation de consultation de la CNIL en vertu de l’article 8 de la loi du 6 janvier 1978, le Conseil d’État (section des finances) estime toutefois que ce projet d’ordonnance doit être regardé comme entrant dans le champ d’application du paragraphe 4 de l’article 36 du RGPD selon lequel « les États membres consultent l’autorité de contrôle dans le cadre de l’élaboration d’une proposition de mesure législative devant être adoptée par un parlement national, ou d’une mesure réglementaire fondée sur une telle mesure législative, qui se rapporte au traitement ». Il estime donc qu’en vue de la nature et de la portée du projet d’ordonnance relatif à l’expérimentation de la dématérialisation des actes de l’état civil établie par le ministère des affaires étrangères, la consultation de la CNIL, qui a rendu un avis le 13 juin 2019 sur ce projet, était requise au titre du paragraphe 4 de l’article 36 du RGPD.
CE9 octobre 2018CE, Section des travaux publics, 9 octobre 2018, Avis, n° 395259(source)
Formalités préalables à la mise en œuvre d es traitements – Autorisation de la CNIL
Il résulte tant du paragraphe 4 de l'article 36 du RGPD que de la première phrase du a) du 4° de l'article 11 de la loi n°78‑17 du 6 janvier 1978, dans sa rédaction résultant de la loi n°2018‑493 du 20 juin 2018, que la CNIL doit être préalablement consultée sur tout projet de loi ou de décret qui détermine, dans leurs caractéristiques essentielles, les conditions de création ou de mise en œuvre d'un traitement de données à caractère personnel.
A été réservée par le Conseil d'État (section des travaux publics) la question de savoir si cet article doit être interprété comme limitant la portée matérielle de la consultation obligatoire prévue par le paragraphe 4 de l'article 36 du RGPD aux seuls projets de décret déterminant les caractéristiques essentielles d'un traitement relevant de ceux, mentionnés aux paragraphes 3 et 4 de l'article 35 du même règlement, qui sont susceptibles d'engendrer, compte tenu de leur nature, de leur portée, de leur contexte et des finalités poursuivies, « un risque élevé pour les droits et libertés des personnes physiques » ou bien de l'étendre à l'ensemble des traitements dont la mise en œuvre repose sur un texte législatif ou réglementaire qui en définit les caractéristiques essentielles, sans qu'il y ait lieu de distinguer à ce stade entre ceux présentant un risque élevé et les autres.
CE18 juin 2019CE, Section des finances, 18 juin 2019, Avis, n° 397691, Projet d'ordonnance relatif à l'expérimentation de la dématérialisation des actes de l'état civil du service central d'état civil et des autorités diplomatiques ou consulaires(source)
Projet d'ordonnance relatif à l'expérimentation de la dématérialisation des actes de l'état civil – Obligation de consultation de la CNIL – Au titre de l'article 8 de la loi Informatique et Libertés – Absence – Au titre de l'article 36(4) RGPD – Existence
Il résulte tant du paragraphe 4 de l’article 36 du RGPD que de l’article 8 de la loi n°78-17 du 6 janvier 1978, dite loi Informatique et Libertés, que la CNIL doit être préalablement consultée sur tout projet de loi ou de décret qui détermine, dans leurs caractéristiques essentielles, les conditions de création ou de mise en œuvre d'un traitement de données à caractère personnel.
Si un projet d'ordonnance n'est pas un projet de loi ou de décret, seuls soumis à l'obligation de consultation de la CNIL en vertu de l’article 8 de la loi Informatique et Libertés, le Conseil d'État estime toutefois que ce projet d'ordonnance doit être regardé comme entrant dans le champ d'application du paragraphe 4 de l’article 36 du RGPD : « les États membres consultent l'autorité de contrôle dans le cadre de l'élaboration d'une proposition de mesure législative devant être adoptée par un parlement national, ou d'une mesure réglementaire fondée sur une telle mesure législative, qui s rapporte au traitement. »
Il estime donc qu'eu égard à la nature et à la portée du projet d'ordonnance relatif à l'expérimentation de la dématérialisation des actes de l'état civil établi par le ministère des affaires étrangères, la consultation de la CNIL, qui a rendu un avis le 13 juin 2019 sur ce projet, était requise au titre du paragraphe 4 de l’article 36 du RGPD.
CE20 mars 2018CE, Section sociale, 20 mars 2018, Avis, n° 394296, Projet décret relatif aux déclarations obligatoires de certaines maladies(source)
Déclaration obligatoire de certaines maladies (article R.3113 - 2 du code de la santé publique) – Suppression de l'avis préalable de la CNIL pour un arrêté du ministre de la santé sur les données cliniques, biologiques et sociodémographiques
Selon l'article R.3113-2 du code de la santé publique, les données cliniques, biologiques et sociodémographiques destinées à la surveillance épidémiologique que comporte la notification des maladies sont arrêtées par le ministre chargé de la santé après avis de la CNIL.
Si le projet de décret relatif aux déclarations obligatoires de certaines maladies supprime cet avis préalable, le Conseil d'État (section sociale) relève que la CNIL a émis un avis favorable à cette suppression. Surtout, il considère qu'il ne résulte d'aucune disposition de la loi n°78-17 du 6 janvier 1978, ni d'aucune autre disposition législative que cette consultation préalable soit obligatoire avant l'adoption d'un tel texte réglementaire. L'arrêté en question ne constitue pas une autorisation de mise en œuvre du traitement, laquelle relève au demeurant d'une décision de la Commission. Constatant que cette suppression n'aura pas pour effet de soustraire ces informations de tout contrôle de la CNIL, le Conseil d'État (section sociale) émet un avis favorable.
