Article
En savoir plus...
Jurisprudence
Actualités
Article 5 - Principes relatifs au traitement
1. Les données à caractère personnel doivent être:- a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence);
- b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités; le traitement ultérieur à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n'est pas considéré, conformément à l' article 89, paragraphe 1, comme incompatible avec les finalités initiales (limitation des finalités);
- c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données);
- d) exactes et, si nécessaire, tenues à jour; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder (exactitude);
- e) conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l'article 89, paragraphe 1, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation);
- f) traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle, à l'aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité);
En savoir plus...
Ces principes ont une longue histoire juridique et sont basés sur les principes de l'article 5 de la Convention 108 de 1981. Conformément à cette tradition, l'article 5 du GDPR est également largement cohérent avec l'article 6(1) de l'ancienne directive sur la protection des données 95/46/EC. Certains des principes sont également reflétés dans l'article 8 de la Charte des droits fondamentaux de l'UE (Charte de l'UE), d'autres principes peuvent être considérés comme une conséquence logique du test de proportionnalité en vertu de la Charte.L'article 5 du RGPD énonce tous les principes relatifs au traitement des données à caractère personnel : la licéité, l'équité et la transparence ; limitation de la finalité ; minimisation des données ; l'exactitude ; limitation du stockage ; l'intégrité et la confidentialité ; la responsabilité.
Le RGPD prévoit-il une amende en cas d'infraction à cet article ?
Conformément à l'article article 83 du RGPD, les infractions aux règles définies dans le présent article sont passibles d'amendes administratives pouvant aller jusqu'à 20 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial total réalisé au cours de l'exercice précédent, le montant le plus élevé étant retenu.
Considérants pertinents
[Principes relatifs aux traitements de données]
39. Tout traitement de données à caractère personnel devrait être licite et loyal. Le fait que des données à caractère personnel concernant des personnes physiques sont collectées, utilisées, consultées ou traitées d'une autre manière et la mesure dans laquelle ces données sont ou seront traitées devraient être transparents à l'égard des personnes physiques concernées. Le principe de transparence exige que toute information et communication relatives au traitement de ces données à caractère personnel soient aisément accessibles, faciles à comprendre, et formulées en des termes clairs et simples. Ce principe vaut, notamment, pour les informations communiquées aux personnes concernées sur l'identité du responsable du traitement et sur les finalités du traitement ainsi que pour les autres informations visant à assurer un traitement loyal et transparent à l'égard des personnes physiques concernées et leur droit d'obtenir la confirmation et la communication des données à caractère personnel les concernant qui font l'objet d'un traitement. Les personnes physiques devraient être informées des risques, règles, garanties et droits liés au traitement des données à caractère personnel et des modalités d'exercice de leurs droits en ce qui concerne ce traitement. En particulier, les finalités spécifiques du traitement des données à caractère personnel devraient être explicites et légitimes, et déterminées lors de la collecte des données à caractère personnel. Les données à caractère personnel devraient être adéquates, pertinentes et limitées à ce qui est nécessaire pour les finalités pour lesquelles elles sont traitées. Cela exige, notamment, de garantir que la durée de conservation des données soit limitée au strict minimum. Les données à caractère personnel ne devraient être traitées que si la finalité du traitement ne peut être raisonnablement atteinte par d'autres moyens. Afin de garantir que les données ne sont pas conservées plus longtemps que nécessaire, des délais devraient être fixés par le responsable du traitement pour leur effacement ou pour un examen périodique. Il y a lieu de prendre toutes les mesures raisonnables afin de garantir que les données à caractère personnel qui sont inexactes sont rectifiées ou supprimées. Les données à caractère personnel devraient être traitées de manière à garantir une sécurité et une confidentialité appropriées, y compris pour prévenir l'accès non autorisé à ces données et à l'équipement utilisé pour leur traitement ainsi que l'utilisation non autorisée de ces données et de cet équipement.
[Responsabilités du responsable de traitement]
74. Il y a lieu d'instaurer la responsabilité du responsable du traitement pour tout traitement de données à caractère personnel qu'il effectue lui-même ou qui est réalisé pour son compte. Il importe, en particulier, que le responsable du traitement soit tenu de mettre en œuvre des mesures appropriées et effectives et soit à même de démontrer la conformité des activités de traitement avec le présent règlement, y compris l'efficacité des mesures. Ces mesures devraient tenir compte de la nature, de la portée, du contexte et des finalités du traitement ainsi que du risque que celui-ci présente pour les droits et libertés des personnes physiques.
39. Tout traitement de données à caractère personnel devrait être licite et loyal. Le fait que des données à caractère personnel concernant des personnes physiques sont collectées, utilisées, consultées ou traitées d'une autre manière et la mesure dans laquelle ces données sont ou seront traitées devraient être transparents à l'égard des personnes physiques concernées. Le principe de transparence exige que toute information et communication relatives au traitement de ces données à caractère personnel soient aisément accessibles, faciles à comprendre, et formulées en des termes clairs et simples. Ce principe vaut, notamment, pour les informations communiquées aux personnes concernées sur l'identité du responsable du traitement et sur les finalités du traitement ainsi que pour les autres informations visant à assurer un traitement loyal et transparent à l'égard des personnes physiques concernées et leur droit d'obtenir la confirmation et la communication des données à caractère personnel les concernant qui font l'objet d'un traitement. Les personnes physiques devraient être informées des risques, règles, garanties et droits liés au traitement des données à caractère personnel et des modalités d'exercice de leurs droits en ce qui concerne ce traitement. En particulier, les finalités spécifiques du traitement des données à caractère personnel devraient être explicites et légitimes, et déterminées lors de la collecte des données à caractère personnel. Les données à caractère personnel devraient être adéquates, pertinentes et limitées à ce qui est nécessaire pour les finalités pour lesquelles elles sont traitées. Cela exige, notamment, de garantir que la durée de conservation des données soit limitée au strict minimum. Les données à caractère personnel ne devraient être traitées que si la finalité du traitement ne peut être raisonnablement atteinte par d'autres moyens. Afin de garantir que les données ne sont pas conservées plus longtemps que nécessaire, des délais devraient être fixés par le responsable du traitement pour leur effacement ou pour un examen périodique. Il y a lieu de prendre toutes les mesures raisonnables afin de garantir que les données à caractère personnel qui sont inexactes sont rectifiées ou supprimées. Les données à caractère personnel devraient être traitées de manière à garantir une sécurité et une confidentialité appropriées, y compris pour prévenir l'accès non autorisé à ces données et à l'équipement utilisé pour leur traitement ainsi que l'utilisation non autorisée de ces données et de cet équipement.
[Responsabilités du responsable de traitement]
74. Il y a lieu d'instaurer la responsabilité du responsable du traitement pour tout traitement de données à caractère personnel qu'il effectue lui-même ou qui est réalisé pour son compte. Il importe, en particulier, que le responsable du traitement soit tenu de mettre en œuvre des mesures appropriées et effectives et soit à même de démontrer la conformité des activités de traitement avec le présent règlement, y compris l'efficacité des mesures. Ces mesures devraient tenir compte de la nature, de la portée, du contexte et des finalités du traitement ainsi que du risque que celui-ci présente pour les droits et libertés des personnes physiques.
Droit souple
Lignes directrices et recommandations
> CNIL - Recommandations - Authentification multifacteur
20 mars 2025
> CNIL - Recommandations - Mots de passe
17 octobre 2022
> CNIL - Recommandations - La journalisation
14 octobre 2021
> ANSSI - Recommandations - Authentification multifacteur et mots de passe
8 octobre 2021
Référentiels
> CNIL - Référentiel - Durées de conservation des traitements santé hors recherche
28 juillet 2020
> CNIL - Référentiel - Durées de conservation des traitements de recherche en santé
28 juillet 2020
Guides pratiques
> CNIL - Guide pratique - Sécurité des données personnelles v2024
22 mars 2024
> CNIL - Guide pratique - Durées de conservation
18 juillet 2020
Documents anciens
> CNIL - Guide pratique - Sécurité des données personnelles v2023
03 avril 2023
> WP29 - Lignes directrices - La transparence
WP260, 29 novembre 2017, modifiées le 11 avril 2018
Rien trouvé ? N'hésitez pas à consulter la documentation sectorielle et transversale !
Références
Cet article cite...
> Article 89 - Garanties et dérogations applicables au traitement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques
Cet article est cité par...
> Article 23 - Limitations
> Article 83 - Conditions générales pour imposer des amendes administratives
Autres textes liés
> Article 25 - Protection des données dès la conception et protection des données par défaut
> Article 32 - Sécurité du traitement
En savoir plus...
Droit souple (sectoriel ou transversal)
Lignes directrices et recommandations
> CNIL - Recommandations - Applications mobiles
08 avril 2025
> CEPD - Lignes directrices 02/2023 - Champ d’application de l’article 5,3 de la directive ePrivacy (v2.0)
07 octobre 2024
> CNIL - Projet de recommandations - Données de localisation des véhicules connectées
25 mars 2025, ouvert à consultation public
> CNIL - Recommandations - Vidéosurveillance dans les Ehpad
29 février 2024
> CNIL - Recommandations - API
07 juillet 2023
> CNIL - Recommandations - Télésurveillance examens en ligne
8 juin 2023
> CEPD - Lignes directrices 02/2021 - Assistants vocaux virtuels (v2.0)
7 juillet 2021
> CEPD - Lignes directrices 8/2020 - Ciblage des utilisateurs de médias sociaux (v2.0)
13 avril 2021
> CEPD - Lignes directrices 01/2020 - Véhicules connectés et applications de mobilité (v2.0)
9 mars 2021
> CEPD - Lignes directrices 6/2020 - Intéraction directive services de paiement et RGPD (v2.0)
15 décembre 2020
> CNIL - Lignes directrices - Cookies et autres traceurs
17 septembre 2020
> CNIL - Recommandations - Cookies et autres traceurs
17 septembre 2020
> CEPD - Lignes directrices 3/2019 - Dispositifs vidéo (v2.0)
29 janvier 2020
Référentiels
> CNIL - Référentiel - Systèmes d'alertes professionnelles
06 juillet 2023
> CNIL - Référentiel - Officines de pharmacie
18 juillet 2022
> CNIL - Référentiel - Gestion commerciale
03 février 2022
> CNIL - Référentiel - Gestion des impayés
03 février 2022
> CNIL - Référentiel - Protection de l'enfance
20 janvier 2022
> CNIL - Référentiel - Gestion locative
6 mai 2021)
> CNIL - Référentiel - Accueil, hébergement et accompagnement social et médico-social des personnes en difficulté
11 mars 2021
> CNIL - Référentiel - Gestion RH
21 novembre 2019
Guides pratiques
> CNIL - Guide pratique - Obligations et responsabilités des collectivités locales
04 juillet 2022
> CNIL - Guide pratique - Guide pratique du développeur
13 décembre 2021 (sur le github de la CNIL)
> CNIL - Guide pratique - Guide pratique de l'UNAF
Mars 2021 (sur le site de l'UNAF)
> CNIL - Guide pratique - Sensibilisation pour les collectivités territoriales
18 septembre 2019
> CNIL - Guide pratique - Guide pratique de l'ordre des médecins
01 juin 2018
Jurisprudence
Note importante : cette base de données n'est pas achevée, il est donc possible que la partie soit vide, ou que certains résultats soient peu pertinents ou soient manquants. Veuillez ne pas hésiter à me le signaler !
Effacer les filtres
| Décision n° | Apport de la décision | + d'infos | Thème | Secteur | Autorite | Annee | ||
|---|---|---|---|---|---|---|---|---|
| C-247/23 | Deldits | 13/03/2025 | Droit à la rectification - Autorité chargée de la tenue du registre public relatif à l'identité de genre d'une personne physique - Admission | Lien | Champ d'application | Administration | Cour de Justice de l'UE | 2025 |
| C-394/23 | Mousse | 09/01/2025 | Minimisation - Titre de transport ferroviaire - Traitement du genre à des fins de communication personnalisée - Nécessaire pour l'exécution du contrat - Absence | Lien | Minimisation, Exécution du contrat | Transports | Cour de Justice de l'UE | 2025 |
| C-394/23 | Mousse | 09/01/2025 | Minimisation - Titre de transport ferroviaire - Traitement du genre à des fins de communication personnalisée - Nécessaire aux intérêts légitimes - Existence sous conditions | Lien | Intérêt légitime | Transports | Cour de Justice de l'UE | 2025 |
| C-65/23 | K GmbH (Traitement de données personnelles des employés) | 19/12/2024 | Traitement de données aux fins des relations de travail - Applicabilité de l'intégralité du RGPD - Admission | Lien | A classer | Travail | Cour de Justice de l'UE | 2024 |
| C-65/23 | K GmbH (Traitement de données personnelles des employés) | 19/12/2024 | Traitement de données aux fins des relations de travail - Capacité du juge à contrôler son caractère "nécessaire" - Admission | Lien | A classer | Travail | Cour de Justice de l'UE | 2024 |
| C-548/21 | Bezirkshauptmannschaft Landeck | 04/10/2024 | Accès de la police aux données contenues dans un téléphone portable - Limitation à la lutte contre la criminalité grave - Absence | Lien | Directive Police-Justice | Police-Justice | Cour de Justice de l'UE | 2024 |
| C-446/21 | Schrems (Communication de données au grand public) | 04/10/2024 | Publicité ciblée - Réseau social en ligne - Utilisation l’ensemble des données personnelles obtenues sans limitation dans le temps et sans distinction en fonction de leur nature - Illicéité | Lien | Minimisation, Conservation limitée | Technologie | Cour de Justice de l'UE | 2024 |
| C-470/21 | La Quadrature du Net e.a. (Données personnelles et lutte contre la contrefaçon) | 30/04/2024 | Directe ePrivacy - Réglementation nationale autorisant l'autorité chargée de la protection des droits d'auteur sur Internet (Hadopi) à demander les informations de connexion aux FAI en vue d'identifier les auteurs d'infractions - Conventionnalité sous conditions | Lien | Technologie | Cour de Justice de l'UE | 2024 | |
| C-178/22 | Procura della Repubblica presso il Tribunale di Bolzano | 30/04/2024 | Directive ePrivacy - Disposition nationale imposant au juge national d'autoriser un accès à l'ensemble des logs conservés par les FAI à des fins pénales (pour les peines des 3 ans et plus) - Conventionnalité sous conditions | Lien | Limitation des finalités | Cour de Justice de l'UE | 2024 | |
| C-61/22 | Landeshauptstadt Wiesbaden | 21/03/2024 | Droit fondamental à la vie privée - Insertion obligatoire dans les cartes d'identité de deux empreintes digitiales - Compatibilité - Admission | Lien | Minimisation | Administration | Cour de Justice de l'UE | 2024 |
| TSV.26.2020 | Verkkokauppa | 18/03/2024 | Exigence de création d'un compte client pour effectuer un achat en ligne - Rejet | Lien | Minimisation | CNIL ou équivalent | 2024 | |
| C-118/22 | Direktor na Glavna direktsia "Natsionalna politsia" pri MVR – Sofia | 30/01/2024 | Directive Police-Justice - Finalité de prévention et de détection des infractions pénales - Conservation des données d'un fichier de conservation des empreintes génétiques jusqu'au décès des concernés - Rejet | Lien | Conservation limitée | Police-Justice | Cour de Justice de l'UE | 2024 |
| C-687/21 | MediaMarktSaturn | 25/01/2024 | Rupture de la confidentialité des données liée à une erreur - Présomption d'insuffisance des mesures techniques et organisationnelle - Absence | Lien | A classer | Cour de Justice de l'UE | 2024 | |
| SAN-2023-021 | Amazon France Logistique | 27/12/2023 | Surveillance constante et pour toutes les tâches des salariés à des fins de suivi de l’activité et d’évaluation de la performance - Caractère excessif | Lien | Minimisation, Licéité | Travail | CNIL ou équivalent | 2023 |
| C-667/21 | Krankenversicherung Nordrhein | 21/12/2023 | Médecine préventive et du travail - Condition de validité relative à l'absence d'accès par des collègues de la personne concernée - Absence mais obligation à laquelle le responsable peut-être soumis | Lien | Médecine préventive et du travail, Confidentialité, Besoin d'en connaître | Santé, Travail | Cour de Justice de l'UE | 2023 |
| C-340/21 | Natsionalna agentsia za prihodite | 14/12/2023 | Caractère approprié des mesures de sécurité - Charge de la preuve supportée par le responsable de traitement | Lien | A classer | Cour de Justice de l'UE | 2023 | |
| C-26/22 et C-64/22 | SCHUFA Holding (Libération de reliquat de dette) | 07/12/2023 | Intérêt légitime - Conservation de données en lien avec une dette pour une supérieure au registre public d'insolvabilité - Exclusion | Lien | Conservation limitée | Economie et fiscalité | Cour de Justice de l'UE | 2023 |
| 11519/20 | Glukhin c. Russie | 04/10/2023 | Prévention des infractions de nature pénale - Recours à la reconnaissance faciale : mesures particulièrement intrusives en l’espèce et traitement de données sensibles (notamment opinions politiques) - Violation de l’article 8 CEDH - Admission | Lien | Minimisation | Police-Justice | CEDH | 2023 |
| C-162/22 | Lietuvos Respublikos generalinė prokuratūra | 07/09/2023 | Directive ePrivacy - Réutilisation de données (relatives à des communications électroniques) initialement collectées à des fins de prévention de la criminalité grave afin de lutter contre des fautes de service - Rejet | Lien | Limitation des finalités | Police-Justice, Technologie | Cour de Justice de l'UE | 2023 |
| MED-2023-040 | Société X | 26/06/2023 | Minimisation - Opposition à la prospection - 1) Données nécessaire à la prise en compte de l’opposition (liste repoussoir) - Admission - 2) Conservation de la civilité, du nom/prénom, date de naissance, numéro de téléphone, adresse électronique, ville ou code postal, niveau d’imposition et situation familiale des prospects ayant exercé leur droit d’opposition - Illicéité | Lien | Minimisation, Liste repoussoir | Marketing et prospection | CNIL ou équivalent | 2023 |
| MED-2023-040 | Société X | 26/06/2023 | Durée de conversation - Données nécessaires à la prise en compte de l’opposition à de la prospection (liste repoussoir) - Durée minimale recommandée de trois ans | Lien | Conservation limitée | Marketing et prospection | CNIL ou équivalent | 2023 |
| SAN-2023-008 | KG COM | 08/06/2023 | Minimisation - Finalité de contrôle qualité - Enregistrement systématique des appels téléphoniques entre téléopérateurs et prospects - Caractère excessif | Lien | Minimisation | Marketing et prospection, Travail | CNIL ou équivalent | 2023 |
| SAN-2023-008 | KG COM | 08/06/2023 | Minimisation - Finalité probatoire - Enregistrement systématique des appels téléphoniques entre téléopérateurs et prospects - Caractère excessif | Lien | Minimisation | Marketing et prospection, Travail | CNIL ou équivalent | 2023 |
| C-268/21 | Norra Stockholm Bygg | 02/03/2023 | Ordre de produire un document contenant des données par une juridiction - Conditions - 1) Mise en balance des intérêts - 2) Respect du principe de proportionnalité (et de minimisation) | Lien | Licéité | Administration | Cour de Justice de l'UE | 2023 |
| C-205/21 | Ministerstvo na vatreshnite raboti (Enregistrement de données biométriques et génétiques par la police) | 26/01/2023 | Directive Police-Justice - Législation nationale prévoyant la collecte et l'enregistrement systématique des données biométriques et génétiques de toute personne mise en examen en l'absence de garde-fou - Inconventionnalité | Lien | Minimisation, Biométrie, Licéité | Police-Justice | Cour de Justice de l'UE | 2023 |
| C-180/21 | Inspektor v Inspektorata kam Visshia sadeben savet (Finalités du traitement de données – Enquête pénale) | 08/12/2022 | Directive Police-Justice - Données collectées à des fins de détection d'une infraction pénale - Utilisation aux fins de poursuivre une personne à l’issue de l’enquête pénale en cause - Cas de réutilisation - Inclusion - Indifférence de la qualité de la personne concernée au moment de la collecte | Lien | Limitation des finalités | Police-Justice | Cour de Justice de l'UE | 2022 |
| CEPD 04/2022 | Autorité irlandaise c/ Meta Platforms Ireland Limited | 05/12/2022 | Licéité - Primauté des principes du RGPD sur les intérêts économiques de l’entreprise responsable du traitement | Lien | Licéité | CNIL ou équivalent | 2022 | |
| CEPD 04/2022 | Autorité irlandaise c/ Meta Platforms Ireland Limited | 05/12/2022 | Licéité - Choix de la base légale de traitement - Absence de hiérarchie - Objectif de protéger les droits et libertés des personnes physiques | Lien | Licéité | CNIL ou équivalent | 2022 | |
| C-129/21 | Proximus (Annuaires électroniques publics) | 27/10/2022 | Retrait du consentement - Ordre, par l'autorité, à un fournisseur d'annuaire de prendre les mesures techniques et organisationnelles appropriées pour informer les responsables du traitement tiers de la demande - Admission | Lien | Responsabilité, | Technologie | Cour de Justice de l'UE | 2022 |
| C-77/21 | Digi | 20/10/2022 | Limitation des finalités - Réutilisation de données afin de créer une base "test" - Admission sous réserve de compatibilité | Lien | Limitation des finalités | Cour de Justice de l'UE | 2022 | |
| C-77/21 | Digi | 20/10/2022 | Réutilisation de données afin de créer une base "test" - Principe de conservation limitée - Applicabilité - Admission | Lien | Conservation limitée | Cour de Justice de l'UE | 2022 | |
| SAN-2022-018 | Infogreffe | 08/09/2022 | Durée de conservation - Expiration de la durée initiale - 1) Tri des données pertinentes à archiver - 2) Archivage intermédiaire - Base de données d’archives dédiée ou séparation logique | Lien | Conservation limitée | Economie et fiscalité | CNIL ou équivalent | 2022 |
| C-184/20 | Vyriausioji tarnybinės etikos komisija | 01/08/2022 | 1) Appréciation conjointe avec la condition de nécessité du traitement, en fonction de la base légale - 2) Publication de déclaration d’intérêts privés d’un directeur d’établissement recevant des fonds publics - Données nominatives relatives au conjoint, concubin ou partenaire - Absence de stricte nécessité | Lien | Licéité, Minimisation | Cour de Justice de l'UE | 2022 | |
| SAN-2022-012 | Société X | 23/06/2022 | Respect de la durée de conservation par anonymisation des données - Admission | Lien | Conservation limitée | CNIL ou équivalent | 2022 | |
| Avis 2022-051 | Avis sur projet de décret | 21/04/2022 | Archivage - Traitements publics encadrés par un acte réglementaire - 1) Obligation d’inscrire l’archivage intermédiaire dans l’acte réglementaire - Appréciation d’espèce - 2) Obligation d’inscrire l’archivage définitif dans l’acte réglementaire - Absence | Lien | Conservation limitée | Administration | CNIL ou équivalent | 2022 |
| 40/2022 | Mme X | 17/03/2022 | Exercice des droits - Interdiction de l'exigence systématique de la carte d'identité - Possibilité de masquer les parties non obligatoires - Admission | Lien | Minimisation, Procédure | CNIL ou équivalent | 2022 | |
| 2021-976/977 QPC | M. Habib A. et autre | 25/02/2022 | Conservation généralisée et indifférenciée des données de connexion - Contraire à la Constitution | Lien | Conservation limitée | Technologie | Conseil constitutionnel | 2022 |
| C-175/20 | Valsts ieņēmumu dienests | 24/02/2022 | Minimisation - Application à l'administration fiscale - Admission | Lien | Minimisation | Administration, Economie et fiscalité | Cour de Justice de l'UE | 2022 |
| MED-2021-131 | Société X | 01/12/2021 | Collecte de données non utilisées - Manquement au principe de limitation des finalités | Lien | Limitation des finalités | CNIL ou équivalent | 2021 | |
| SAN-2021-019 | RATP | 29/10/2021 | Durée de conservation - Obligations à l’issue de la durée lorsque la finalité poursuivie par le traitement est atteinte - Suppression ou archivage des données | Lien | Conservation limitée | Transports | CNIL ou équivalent | 2021 |
| 441317 | Médecins du Monde et autres | 24/09/2021 | Durée de conservation supérieure au délai de prescription pour une infraction - Admissibilité en l’espèce | Lien | Conservation limitée | Police-Justice | Conseil d'Etat | 2021 |
| Avis 2021-082 | Avis sur projet de décret, livret de parcours inclusif (LPI) | 15/07/2021 | Cloisonnement - Identifiant spécifique et distinct de l’identifiant national pour la mise en œuvre d’un traitement spécifique - Admission | Lien | Confidentialité, Minimisation | Jeunesse et éducation | CNIL ou équivalent | 2021 |
| 19-13.856 | B. | 23/06/2021 | Utilisation par un employeur d’un tel dispositif pour le contrôle des règles d’hygiène et de sécurité - Disproportion - Inopposabilité au salarié des enregistrements issus de cette vidéosurveillance dans le cadre d’une procédure de licenciement | Lien | Minimisation, Licéité | Travail | Cour de cassation | 2021 |
| 2021-917 QPC | Union nationale des syndicats autonomes de la fonction publique | 11/06/2021 | Données de nature médicale - Communication - Nécessité d'être particulièrement vigilant | Lien | Confidentialité | Administration, Santé | Conseil constitutionnel | 2021 |
| 2021-917 QPC | Union nationale des syndicats autonomes de la fonction publique | 11/06/2021 | Communication de données de santé (médicales) - Finalité de contrôle administratif des congés d’invalidité - Atteinte disproportionnée au droit au respect de la vie privée - Admission en l’espèce | Lien | Minimisation, Besoin d'en connaître | Administration, Santé | Conseil constitutionnel | 2021 |
| SAN-2021-007 | Société X | 03/06/2021 | Disposition limitant expressément les finalités d’un traitement - Traitement mis en œuvre illicite au regard de cette disposition - Compétence de la CNIL | Lien | Limitation des finalités | CNIL ou équivalent | 2021 | |
| C-623/17 | Privacy International | 06/10/2020 | Directive ePrivacy - Réglementation nationale permettant à une autorité étatique d'imposer aux FAI la transmission généralisée et indifférenciée des données relatives au trafic et des données de localisation aux services de sécurité et de renseignement - Inconventionnalité | Lien | Minimisation | Police-Justice | Cour de Justice de l'UE | 2020 |
| 424440 | Office public de l’habitat de Rennes Métropole-Archipel Habitat | 05/10/2020 | Courrier méconnaissant la finalité informative du traitement pour laquelle il a été autorisé - Incompatibilité | Lien | Limitation des finalités | Marketing et prospection | Conseil d'Etat | 2020 |
| 74440/17 | P.N c Allemagne | 11/06/2020 | Durée de conservation - Photographies, du signalement et des empreintes digitales et palmaires d’un récidiviste subordonnée à des garanties et à un contrôle individualisé : 5 ans - Violation de l’article 8 CEDH - Absence | Lien | Conservation limitée | Police-Justice | CEDH | 2020 |
| 2020-800 QC | Loi autorisant la prorogation de l'état d'urgence sanitaire et portant diverses mesures de gestion de la crise sanitaire | 11/05/2020 | Extension de l’accès aux données des personnes atteintes de la COVID-19 - Respect du droit à la vie privée - Conditions : strict respect du besoin d'en connaitre | Lien | Confidentialité, Besoin d'en connaître | Santé | Conseil constitutionnel | 2020 |
| 45245/15 | Gaughran c. Royaume-Uni | 13/02/2020 | Durée de conservation - Absence de limitation de durée et de possibilité de réexamen de la situation, du profil ADN, des empreintes digitales et de la photographie d’une personne reconnue coupable d’une infraction mineure - Caractère disproportionné et violation de l’article 8 CEDH - Admission | Lien | Conservation limitée | Police-Justice | CEDH | 2020 |
| DI 191260 | Lycées de la région X | 25/10/2019 | Systèmes d’identification par reconnaissance faciale de mineurs - Objectifs pouvant être atteints par des moyens aussi efficaces et moins intrusifs | Lien | Minimisation | Jeunesse et éducation | CNIL ou équivalent | 2019 |
| 2019-797 QPC | Unicef France et autres | 26/07/2019 | Traitement de données à caractère personnel poursuivant plusieurs finalités - Admission | Lien | Limitation des finalités | Conseil constitutionnel | 2019 | |
| C-496/17 | Deutsche Post | 16/01/2019 | Demandeur du statut d’opérateur économique agréé - Licéité d’une demande de communication des numéros d’identification fiscale des personnes physiques par les autorités douanières - Admission sous condition que les données ne servent qu'à la recherche infractions graves ou répétées à la législation pertinente | Lien | Minimisation | Administration, Economie et fiscalité | Cour de Justice de l'UE | 2019 |
| 403776 | Société Odeolis | 15/12/2017 | Géolocalisation pour le contrôle de la durée du travail de ses salariés - Caractère excessif sauf lorsque ce contrôle ne peut pas être fait par un autre moyen, même moins efficace | Lien | Minimisation | Travail | Conseil d'Etat | 2017 |
| C-398/15 | Manni | 09/03/2017 | Droit d'opposition (directive 95/16) - Traitement résultant du registre de sociétés - Admission sous conditions | Lien | Cour de Justice de l'UE | 2017 | ||
| 377194 | SASP Paris-Saint-Germain Football | 13/06/2016 | Données relatives aux impayés - Conservation au-delà du règlement de la somme due - Admission | Lien | Conservation limitée | Economie et fiscalité | Conseil d'Etat | 2016 |
| 372111 | Mme X et Mme Y | 18/11/2015 | Carte nationale d'identité - Empreintes digitales - Durée de conservation illimitée faute de dispositions expresses la régissant - Illicéité | Lien | Conservation limitée | Administration | Conseil d'Etat | 2015 |
| 384869 | M. A…C… et Mme B…D… | 18/11/2015 | « Base nationale des identifiants élèves » - Qualification d'identifiant de portée générale [ou d'équivalent du NIR] - Rejet | Lien | Licéité, A classer | Jeunesse et éducation | Conseil d'Etat | 2015 |
| 383313 | Cons. national de l’ordre des médecins | 09/11/2015 | Traitement public encadré par décret - Conservation des données pour une finalité non prévue par l’acte réglementaire - Conséquence : Illicéité et annulation de l'acte réglementaire créant le traitement | Lien | Licéité | Administration, Police-Justice | Conseil d'Etat | 2015 |
| C-201/14 | Bara e.a | 01/10/2015 | Transfert par une administration publique d’un État membre de données fiscales à caractère personnel en vue de leur traitement par une autre administration publique sans information - Illicéité | Lien | Licéité, Transparence | Administration, Economie et fiscalité | Cour de Justice de l'UE | 2015 |
| 389815 | Association de défense et d’assistance juridique des intérêts des supporters | 21/09/2015 | Minimisation - Transmission de données - Condition de limitation des données transmises à celles strictement nécessaires aux destinataires pour poursuivre les finalités du traitement (principe du besoin d'en connaître) | Lien | Minimisation | Conseil d'Etat | 2015 | |
| C-293/12 et C-594/12 | Digital Rights Ireland e.a. | 08/04/2014 | Directive 2006/24 - Absence de proportionnalité des traitements qu'elle engendre (notamment sur les durées et le lieu de conservation) - Conséquence - Invalidité | Lien | Conservation limitée | Cour de Justice de l'UE | 2014 | |
| C-291/12 | Schwarz | 17/10/2013 | Passeport biométrique - Empreintes digitales - Incapacité du requérant à apporter la preuve de l'existence d'une méthode aussi efficace et moins intrusive pour prévenir les fraudes - Conséquence : proportionnalité de la méthode | Lien | Minimisation | Administration | Cour de Justice de l'UE | 2013 |
| C-342/12 | Worten | 30/05/2013 | Réglementation nationale imposant à l’employeur de mettre à la disposition de l’autorité nationale compétente le registre du temps de travail - Licéité sous conditions | Lien | Licéité | Cour de Justice de l'UE | 2013 | |
| 2012-652 DC | Loi relative à la protection de l'identité | 22/03/2012 | Traitement destiné à préserver l’intégrité des données nécessaires à la délivrance des titres d’identité et de voyage (passeports) - Disproportionnalité au regard de la sensibilité des données, de l'ampleur du traitement, de sa possible interrogation à d’autres fins - Inconstitutionnalité | Lien | Limitation des finalités, Minimisation | Administration, Police-Justice | Conseil constitutionnel | 2012 |
| 317827 | Association pour la promotion de l’image et autres | 26/10/2011 | Minimisation - Conservation dans un traitement informatisé des données à caractère personnel recueillies lors de l'établissement ou du renouvellement des passeports de huit empreintes digitales alors que le passeport n'en contient que deux - Caractère excessif | Lien | Minimisation | Administration | Conseil d'Etat | 2011 |
| 334014 | M. F et Mme C | 19/07/2010 | Durée de conservation - Données relatives à l’identification des élèves scolarisés : 35 ans - Durée excessive - Conséquence : annulation totale de la décision mettant en œuvre le traitement | Lien | Conservation limitée | Administration | Conseil d'Etat | 2010 |
| 317182 | M. X et Mme Y | 19/07/2010 | Minimisation - Données pertinentes à l'atteinte des finalités - Cas de la gestion d'une école de premier cycle | Lien | Minimisation | Jeunesse et éducation | Conseil d'Etat | 2010 |
| 312051 | Association SOS Racisme et GISTI | 30/12/2009 | Durée de conservation - Création d'un traitement destiné à faciliter la mise en œuvre des mesures d'éloignement des étrangers - Durée étendue à 3 ans pour certaines d'entre elles - Stricte nécessité : absence - Conséquence : illicéité et annulation de l'acte règlementaire créant le traitement | Lien | Conservation limitée | Police-Justice | Conseil d'Etat | 2009 |
| C-524/06 | Huber | 16/12/2008 | Mission d'intérêt public - Traitement de données à caractère personnel relatives aux citoyens de l’Union non-ressortissants de l’État membre ayant pour objectif le soutien des autorités nationales en charge de l’application de la réglementation sur le droit de séjour - Conditions de licéité | Lien | Licéité, Mission d'intérêt public | Police-Justice | Cour de Justice de l'UE | 2008 |
| 05-83.423 | B. | 14/03/2006 | Caractère déloyal de la collecte d’adresses électroniques personnelles de personnes physiques, à leur insu, sur l’espace public d’internet - Existence | Lien | Traitement de données, Loyauté | Marketing et prospection, Technologie | Cour de cassation | 2006 |
| C-465/00, C-138/01 et C-139/01 | Österreichischer Rundfunk e.a. | 20/05/2003 | Réglementation nationale prévoyant la divulgation du montant des revenus annuels de certaines personnes publiques dépassant un certain plafond (directive 95/46) - Conventionnalité | Lien | A classer | Economie et fiscalité | Cour de Justice de l'UE | 2003 |
| C-465/00, C-138/01 et C-139/01 | Österreichischer Rundfunk e.a. | 20/05/2003 | Applicabilité directe des articles 6 et 7 de la directive 95/46 [équivalent des articles 5 et 6 du RGPD] - Admission | Lien | A classer | Cour de Justice de l'UE | 2003 | |
| 241325 | M. X | 05/03/2003 | Exactitude des données - Effets de l'amnistie et de la réhabilitation - Interdiction de rappeler l'existence de condamnations, de sanctions, d'interdictions, de déchéances ou d'incapacités - Conséquence - 1) Obligation de prévoir l'effacement des données correspondantes sur les fichiers permettant dans les tribunaux la gestion automatisée des procédures - 2) Annulation partielle de l'arrêté ne le prévoyant pas | Lien | Exactitude | Police-Justice | Conseil d'Etat | 2003 |
| 204909 | Association française des sociétés financières | 30/10/2001 | "Credit scoring" - Pertinence du traitement de la nationalité d'un demandeur de prêt bancaire - Admission | Lien | Minimisation | Economie et fiscalité | Conseil d'Etat | 2001 |
| 51779 | M. X | 13/05/1987 | Fichiers de police - Refus de rectification - Absence de justification de l’exactitude des mentions - Faute susceptible d’engager la responsabilité de l’État | Lien | Exactitude, A classer | Police-Justice | Conseil d'Etat | 1987 |
Actualités
Profitez de nos actualités en lien avec cet article !AEPD (autorité espagnole)
22 avril 2025
L’autorité espagnole rappelle que l’exigence systématique de la carte d’identité pour l’exercice des droits n’est pas conforme au RGPD
L’Agence espagnole de protection des données (AEPD) a aujourd’hui publié une décision de sanction à l’encontre de la société EDA TV CONSULTING, S.L. (EDA TV) en raison d’un manquement au principe de minimisation: et pour cause, l’entreprise [...]
AEPD (autorité espagnole)
22 avril 2025
Une université espagnole sanctionnée pour la visibilité des numéros de DNI de ses professeurs
L’Agence espagnole de protection des données (AEPD) a aujourd’hui publié une décision sanctionnant l’Université de Vigo pour avoir publié les numéros de carte d’identité (DNI) des professeurs sur une plateforme numérique. Comme souvent, cette affaire débute avec une plainte, cette fois de la part d’un pr [...]
AEPD (autorité espagnole)
21 avril 2025
Publication de données personnelles sur Internet en raison d’une erreur: une structure condamnée en Espagne
L’AEPD a aujourd’hui publié une décision de sanction à l’encontre de la Fédération de la colombiculture de Castille-La Manche (FCCM) pour avoir publié des données sur un site internet. Plus précisément, la procédure a été initiée après une réclamation concernant la publication non sécurisé [...]
AEPD (autorité espagnole)
21 avril 2025
Vidéosurveillance : deux entreprises condamnées pour des systèmes mal encadrés
L’autorité espagnole a aujourdh’ui publié deux décisions de sanction à l’encontre d’entreprises ayant installé des systèmes de vidéosurveillance de manière incorrecte, avec des plans trop larges.
* LÁSER METALPRINT 3D, S.L. : La procédure a été initiée suite à une réclamation du 19 juillet 2023 concernant l&rsqu [...]
APD (autorité belge)
15 avril 2025
Réprimandes pour le SPF Finances et Bruxelles Fiscalité pour l’envoi de courriers aux adresses privées de curateurs
La Chambre Contentieuse de l’Autorité de protection des données (APD) a aujourd’hui publié une rendu une décision (69/2025) sanctionnant le Service Public Fédéral Finances (SPF Finances) et le Service Public Régional de Bruxelles Fiscalité (Bruxelles Fiscalité) pour avoir envoyé des courr [...]
AEPD (autorité espagnole)
11 avril 2025
Espagne : Sanction de 21 600 euros contre SCHOOL FITNESS pour des manquements relatifs au consentement et au rôle des responsables du traitement
L’Agence espagnole de protection des données (AEPD) a aujourd’hui publié une décision de sanction à l’encontre de la société SCHOOL FITNESS HOLIDAY & FRANCHISING, S.L. (SCHOOL FITNESS) pour des manquements aux articles 6, 7 et 28. De manière extrêmement cl [...]
AEPD (autorité espagnole)
11 avril 2025
Orange Bank sanctionné en Espagne à payer une amende de 200 000 euros en raison de problèmes de sécurité
L’Agence espagnole de protection des données (AEPD) a aujourd’hui publié une décision de sanction à l’encontre de ORANGE BANK, S.A. SUCURSAL EN ESPAÑA en lien avec des manquements relatifs à la confidentialité des données. L’affaire a débuté suite à la réception de notifications de violations [...]
AEPD (autorité espagnole)
09 avril 2025
Une société condamnée à 8 000 euros d’amende pour avoir fusionné par erreur des tickets ouverts par des clients
L’autorité espagnole a aujourd’hui publié une décision de sanction à l’encontre de la société ALL ABOUT WATER, S.L. pour avoir divulgué des données personnelles à un tiers suite à une erreur de manipulation de tickets de service client et, en conséquence, pour ne pas avoir mis en place des mesures techn [...]
AEPD (autorité espagnole)
09 avril 2025
En Espagne, l’autorité sanctionne les services sociaux attachés au gouvernement régional d’Estrémadure pour manquement à la minimisation
L’Agence Espagnole de Protection des Données (AEPD) a aujourd’hui publié une décision de sanction à l’encontre des services sociaux du gouvernement régional d’Estrémadure (CONSEJERÍA) pour manquement à la minimisation. L’affaire a débuté par un [...]
AEPD (autorité espagnole)
04 avril 2025
Une société condamnée à 300 euros pour défaut de confidentialité dans l’envoi d’emails commerciaux : les destinataires multiples n’étaient pas en copie cachée
L’autorité espagnole de protection des données (AEPD) a publié une décision de sanction à l’encontre d’une société (dont le nom n’est pas publié) pour un manquement au principe de confidentialité des données lors de l’envoi d&rs [...]
<< Retourner au menu