Tables CNIL

Cette application facilite et enrichit la navigation dans les Tables Informatique et Libertés publiées par la CNIL. Elles assemblent l’essentiel de la jurisprudence française et européenne et des décisions pertinentes de l'autorité administrative en matière de protection des données à caractère personnel, et constituent à cet égard un outil précieux pour les DPO et les avocats

Dernière mise à jour : Version du 20/02/2026 – V 2.3 [PDF]

3 décisions

DPO désignation

Juridiction
Toutes les juridictions

CE12 mars 2014CE, 10ème/9ème SSR, 12 mars 2014, Société Foncia Groupe, n° 354629, T., point 5(source)

1) Société déterminant la nature des données collectées, les droits d'accès des entités qui lui sont liées ainsi que la durée de conservation des données Inclusion – 2) Entités liées ayant désigné un correspondant à la protection des données – Exclusion

Société ayant mis un traitement de données à caractère personnel à disposition des entités qui lui sont liées, déterminant la nature des données collectées et déterminé les droits d'accès à celles-ci puis, après le contrôle de la Commission nationale de l'informatique et des libertés (CNIL), ayant fixé la durée de conservation des données et apporté des correctifs à leur traitement. Ainsi, cette société, qui détermine les finalités et les moyens du traitement, doit être regardée comme le responsable du traitement, la désignation d'un correspondant à la protection des données par les autres entités n'ayant pas, par elle‑même, pour effet de rendre celles‑ci responsables des traitements.

CJUE9 février 2023CJUE, 9 février 2023, X‑FAB Dresden, C – 453/21(source)

Interdiction de relèvement de ses fonctions pour l'exercice de ses missions Exigence d'indépendance fonctionnelle – 1) Réglementation nationale interdisant le relèvement de ses fonctions d'un DPO en l'absence d e motif grave – L icéité – 2) Conflit d'intérêts – Critères

1) L'article 38, paragraphe 3, deuxième phrase, du RGPD doit être interprété en ce sens qu'il ne s'oppose pas à une Réglementation nationale prévoyant qu'un responsable du traitement ou un sous-traitant ne peut révoquer un délégué à la protection des données qui est membre de son personnel que pour un motif grave, même si la révocation n'est pas liée à l'exercice des missions de ce délégué, pour autant qu'une telle réglementation ne compromette pas la réalisation des objectifs de ce règlement.

2) Un « conflit d'intérêts », au sens de l'article 38, paragraphe 6 du RGPD est susceptible d'exister lorsqu'un délégué à la protection des données se voit confier d'autres missions ou tâches, qui conduiraient ce dernier à déterminer les finalités et les moyens du traitement de données à caractère personnel auprès du responsable du traitement ou de son sous-traitant, ce qu'il incombe au juge national de déterminer au cas par cas, sur la base d'une appréciation de l'ensemble des circonstances pertinentes, notamment de la structure organisationnelle du responsable du traitement ou de son sous-traitant et à la lumière de l'ensemble de la réglementation applicable, y compris des éventuelles règles internes de ces derniers.

CNILDate non renseignéeCNIL, FR, 18 septembre 2025, Sanction, Société X, no SAN-2025-008, publiée

Installation de caméras dissimulées Consultation du délégué à la protection des données avant toute installation du dispositif – absence – Manquement à l'article 38‑1 du RGPD

Le fait pour une société de ne pas associer le délégué à la protection des données alors qu’elle s’apprête à déployer un traitement de données à caractère personnel particulièrement intrusif au moyen de caméras dissimulées dans des détecteurs de fumée est susceptible de constituer un manquement à l'article 38‑1 du RGPD.