Tables CNIL

Cette application facilite et enrichit la navigation dans les Tables Informatique et Libertés publiées par la CNIL. Elles assemblent l’essentiel de la jurisprudence française et européenne et des décisions pertinentes de l'autorité administrative en matière de protection des données à caractère personnel, et constituent à cet égard un outil précieux pour les DPO et les avocats

Dernière mise à jour : Version du 20/02/2026 – V 2.3 [PDF]

2 décisions

obligation de consultation

Juridiction
Toutes les juridictions

CE24 décembre 2021CE, 10-9 chambres réunies, 24 décembre 2021, Ligue des droits de l'homme et autres, n° 447515, Inédit., point 12ème Voir aussi : CE, 10ème – 9 chambres réunies, 24 décembre 2021, Ligue des droits de l'homme et(source)

Modification du projet d'acte après l'a vis de la CNIL Modification posant une « question nouvelle » – Obligation de n ouvelle consultation de la CNIL

L'organisme dont une disposition législative ou réglementaire prévoit la consultation avant l'intervention d'un texte doit être mis à même d'exp rimer son avis sur l'ensemble des questions soulevées par ce texte. Dans le cas où, après avoir recueilli son avis, l'autorité compétente pour prendre ce texte envisage d'apporter à son projet des modifications qui posent des questions nouvelles, elle doit le consulter à nouveau.

En l'espèce, le Gouvernement a saisi la CNIL d'un projet de décret autorisant le traitement de données relatives aux « activités politiques, philosophiques, religieuses ou syndicales ». Or le décret publié autorise le traitement de données qui révèleraient des opinions politiques, des convictions philosophiques ou religieuses, ou une appartenance syndicale, alors même qu'elles ne procèderaient pas d'activités politiques, philosophiques, religieuses ou syndicales. L'extension du cham p des données sensibles collectées à laquelle procède le décret attaqué, en permettant la collecte de données relatives aux opinions et non, comme dans le projet de décret sur lequel la CNIL avait été consultée, de données relatives aux activités, soulevai t une question nouvelle qui requérait une nouvelle consultation de la Commission, à laquelle il n'a donc pas été procédé. Annulation de la disposition en cause.

ème ème

CE18 juin 2019CE, Section des finances, 18 juin 2019, Avis, n° 397691, Projet d'ordonnance relatif à l'expérimentation de la dématérialisation des actes de l'état civil du service central d'état civil et des autorités diplomatiques ou consulaires(source)

Projet d'ordonnance relatif à l'expérimentation de la dématérialisation des actes de l'état civil Obligation de consultation de la CNIL – Au titre de l'article 8 de la loi Informatique et Libertés – Absence – Au titre de l'article 36(4) RGPD – Existence

Il résulte tant du paragraphe 4 de l’article 36 du RGPD que de l’article 8 de la loi n°78-17 du 6 janvier 1978, dite loi Informatique et Libertés, que la CNIL doit être préalablement consultée sur tout projet de loi ou de décret qui détermine, dans leurs caractéristiques essentielles, les conditions de création ou de mise en œuvre d'un traitement de données à caractère personnel.

Si un projet d'ordonnance n'est pas un projet de loi ou de décret, seuls soumis à l'obligation de consultation de la CNIL en vertu de l’article 8 de la loi Informatique et Libertés, le Conseil d'État estime toutefois que ce projet d'ordonnance doit être regardé comme entrant dans le champ d'application du paragraphe 4 de l’article 36 du RGPD : « les États membres consultent l'autorité de contrôle dans le cadre de l'élaboration d'une proposition de mesure législative devant être adoptée par un parlement national, ou d'une mesure réglementaire fondée sur une telle mesure législative, qui s rapporte au traitement. »

Il estime donc qu'eu égard à la nature et à la portée du projet d'ordonnance relatif à l'expérimentation de la dématérialisation des actes de l'état civil établi par le ministère des affaires étrangères, la consultation de la CNIL, qui a rendu un avis le 13 juin 2019 sur ce projet, était requise au titre du paragraphe 4 de l’article 36 du RGPD.