Conseil d'État
N° 506370
ECLI:FR:CECHR:2026:506370.20260130
Mentionné aux tables du recueil Lebon
10ème - 9ème chambres réunies
M. Stéphane Eustache, rapporteur
SCP L. POULET-ODENT, avocats
Lecture du vendredi 30 janvier 2026
Vu la procédure suivante :
Par une requête et un nouveau mémoire, enregistrés les 18 juillet et 13 novembre 2025 au secrétariat du contentieux du Conseil d'Etat, la commune de Nice demande au Conseil d'Etat :
1°) d'annuler pour excès de pouvoir la délibération n° 2025-032 du 15 mai 2025 de la Commission nationale de l'informatique et des libertés (CNIL) en tant qu'elle porte sur les conditions de mise en oeuvre d'un traitement algorithmique de données à caractère personnel dénommé " zone d'intrusion entrées des écoles " ;
2°) de mettre à la charge de la CNIL la somme de 5 000 euros au titre de l'article L. 761-1 du code de justice administrative.
Vu les autres pièces du dossier ;
Vu :
- la Constitution, notamment son préambule ;
- le code de la sécurité intérieure ;
- la loi n° 78-17 du 6 janvier 1978 ;
- le décret n° 2019-536 du 29 mai 2019 ;
- le code de justice administrative ;
Après avoir entendu en séance publique :
- le rapport de M. Stéphane Eustache, maître des requêtes,
- les conclusions de M. Frédéric Puigserver, rapporteur public ;
La parole ayant été donnée, après les conclusions, à la SCP L. Poulet, Odent, avocat de la commune de Nice ;
Considérant ce qui suit :
1. A la suite d'un contrôle effectué le 5 avril 2023 dans les locaux de la commune de Nice, la présidente de la Commission nationale de l'informatique et des libertés (CNIL) a mis en demeure cette commune le 13 novembre 2024, sur le fondement de l'article 20 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, de lui remettre une analyse d'impact relative à la protection des données (AIPD) sur les traitements algorithmiques d'images de vidéosurveillance dénommés " franchissement de ligne " et " zone d'intrusion ", et de saisir la Commission pour avis sur ces projets de traitement en application de l'article 90 de la même loi. Par sa délibération n° 2025-032 du 15 mai 2025 portant avis sur les conditions de mise en oeuvre de ces traitements, la CNIL a estimé, aux points 9 à 13 de cet avis, que la mise en oeuvre du traitement algorithmique de données à caractère personnel dénommé " zone intrusion entrées des écoles " n'était pas permise en l'état actuel de la législation. Dans cette mesure, la commune de Nice demande l'annulation pour excès de pouvoir de cette délibération.
Sur la légalité externe :
2. En premier lieu, aux termes de l'article 3 du décret du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés : " La commission ne peut valablement délibérer que si la majorité de ses membres en exercice participe à la séance ". Aux termes de l'article 4 du même décret : " Les délibérations de la commission sont prises à la majorité absolue des membres présents (...) ". Aux termes de l'article 12 du règlement intérieur de la CNIL : " A l'exception de celles portant élection, les délibérations sont prises sur le fondement d'un projet de délibération et, le cas échéant, d'un rapport. Ces documents sont transmis aux membres de la Commission et au commissaire du gouvernement par tout moyen, y compris par voie électronique, huit jours au moins avant leur examen en séance plénière. "
3. Il ressort des pièces du dossier que, par un courrier du 6 mai 2025, les membres de la Commission ont été convoqués à la séance du 15 mai 2025 aux fins d'examiner un projet de délibération portant avis sur les conditions de mise en oeuvre par la commune de Nice d'un traitement algorithmique de données à caractère personnel " franchissement de ligne " et " zone d'intrusion ", que douze membres de la Commission, qui en comporte dix-huit, ont délibéré sur ce projet et que celui-ci a été adopté à la majorité absolue des membres présents. Dans ces conditions, et alors que la requérante ne fait état d'aucun élément précis et circonstancié sur la méconnaissance des règles citées au point 2, que l'avis litigieux n'était pas tenu de rappeler, le moyen tiré d'un vice de procédure doit être écarté.
4. En second lieu, il résulte des termes mêmes des points 9 à 13 de la délibération attaquée que la CNIL a fait état des motifs de droit et de fait sur lesquels elle s'est fondée pour retenir que le traitement algorithmique dénommé " zone intrusion entrées des écoles " ne pouvait être mis en oeuvre en l'état actuel de la législation. Par suite et en tout état de cause, le moyen tiré d'une insuffisance de motivation doit être écarté.
Sur la légalité interne :
5. Aux termes de l'article L. 251-1 du code de la sécurité intérieure : " Les systèmes de vidéoprotection remplissant les conditions fixées à l'article L. 251-2 sont des traitements de données à caractère personnel régis par le présent titre, par le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/ CE (règlement général sur la protection des données) et par la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. " Aux termes de l'article L. 251-2 du même code : " Des systèmes de vidéoprotection peuvent être mis en oeuvre sur la voie publique par les autorités publiques compétentes aux fins d'assurer : / 1° La protection des bâtiments et installations publics et de leurs abords ; / (...) / 4° La constatation des infractions aux règles de la circulation ; / 5° La prévention des atteintes à la sécurité des personnes et des biens dans des lieux particulièrement exposés à des risques d'agression (...) / 6° La prévention d'actes de terrorisme, dans les conditions prévues au chapitre III du titre II du présent livre ; / (...) ".
6. Il ressort des pièces du dossier que le traitement de données à caractère personnel dénommé " zone d'intrusion entrées des écoles " consiste, d'une part, à détecter en temps réel, de manière continue et automatisée, au moyen d'un algorithme, dans les images issues d'un système de vidéosurveillance des voies publiques mis en oeuvre en application des dispositions précitées de l'article L. 251-2 du code de la sécurité intérieure, la présence de véhicules stationnant irrégulièrement devant les entrées des écoles pendant leurs horaires d'ouverture et, d'autre part, à alerter, par le même moyen, les services de police municipale de la survenance d'un tel événement, dans le but de prévenir des troubles à l'ordre public et, en particulier, d'assurer la sécurité de ces établissements.
7. Contrairement à ce que soutient la commune, les dispositions précitées de l'article L. 251-2 du code de la sécurité intérieure, si elles permettent la mise en oeuvre de systèmes de vidéosurveillance des voies publiques, ne sauraient, dans leur silence, être interprétées comme autorisant la mise en oeuvre de traitements algorithmiques permettant une analyse systématique et automatisée des images collectées dans des espaces publics au moyen de tels systèmes. Aucune autre disposition n'autorise, par ailleurs, la mise en oeuvre de tels traitements. Par suite, et alors même que le traitement envisagé ne serait, ainsi que le soutient la commune, pas qualifiable de système d'intelligence artificielle (IA) à " haut risque " au sens de l'article 6 du règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 établissant des règles harmonisées concernant l'intelligence artificielle, la CNIL a pu, sans commettre d'erreur droit ni excéder sa compétence, estimer qu'il ne pouvait être mis en oeuvre en l'état actuel de la législation nationale.
8. Il résulte de tout ce qui précède que la commune de Nice n'est pas fondée à demander l'annulation de la délibération de la CNIL qu'elle attaque. Sa requête doit ainsi être rejetée, y compris ses conclusions tendant à l'application des dispositions de l'article L. 761-1 du code de justice administrative.
D E C I D E :
--------------
Article 1er : La requête de la commune de Nice est rejetée.
Article 2 : La présente décision sera notifiée à la commune de Nice et à la Commission nationale de l'informatique et des libertés.
Délibéré à l'issue de la séance du 9 janvier 2026 où siégeaient : M. Pierre Collin, président adjoint de la section du contentieux, présidant ; M. Bertrand Dacosta, Mme Anne Egerszegi, présidents de chambre ; M. Nicolas Polge, M. Vincent Daumas, Mme Rozen Noguellou, M. Christophe Barthélemy, M. Bruno Delsol, conseillers d'Etat et M. Stéphane Eustache, maître des requêtes-rapporteur.
Rendu le 30 janvier 2026.
Le président :
Signé : M. Pierre Collin
Le rapporteur :
Signé : M. Stéphane Eustache
La secrétaire :
Signé : Mme Thamila Mouloud
N° 506370
ECLI:FR:CECHR:2026:506370.20260130
Mentionné aux tables du recueil Lebon
10ème - 9ème chambres réunies
M. Stéphane Eustache, rapporteur
SCP L. POULET-ODENT, avocats
Lecture du vendredi 30 janvier 2026
REPUBLIQUE FRANCAISE
AU NOM DU PEUPLE FRANCAIS
AU NOM DU PEUPLE FRANCAIS
Vu la procédure suivante :
Par une requête et un nouveau mémoire, enregistrés les 18 juillet et 13 novembre 2025 au secrétariat du contentieux du Conseil d'Etat, la commune de Nice demande au Conseil d'Etat :
1°) d'annuler pour excès de pouvoir la délibération n° 2025-032 du 15 mai 2025 de la Commission nationale de l'informatique et des libertés (CNIL) en tant qu'elle porte sur les conditions de mise en oeuvre d'un traitement algorithmique de données à caractère personnel dénommé " zone d'intrusion entrées des écoles " ;
2°) de mettre à la charge de la CNIL la somme de 5 000 euros au titre de l'article L. 761-1 du code de justice administrative.
Vu les autres pièces du dossier ;
Vu :
- la Constitution, notamment son préambule ;
- le code de la sécurité intérieure ;
- la loi n° 78-17 du 6 janvier 1978 ;
- le décret n° 2019-536 du 29 mai 2019 ;
- le code de justice administrative ;
Après avoir entendu en séance publique :
- le rapport de M. Stéphane Eustache, maître des requêtes,
- les conclusions de M. Frédéric Puigserver, rapporteur public ;
La parole ayant été donnée, après les conclusions, à la SCP L. Poulet, Odent, avocat de la commune de Nice ;
Considérant ce qui suit :
1. A la suite d'un contrôle effectué le 5 avril 2023 dans les locaux de la commune de Nice, la présidente de la Commission nationale de l'informatique et des libertés (CNIL) a mis en demeure cette commune le 13 novembre 2024, sur le fondement de l'article 20 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, de lui remettre une analyse d'impact relative à la protection des données (AIPD) sur les traitements algorithmiques d'images de vidéosurveillance dénommés " franchissement de ligne " et " zone d'intrusion ", et de saisir la Commission pour avis sur ces projets de traitement en application de l'article 90 de la même loi. Par sa délibération n° 2025-032 du 15 mai 2025 portant avis sur les conditions de mise en oeuvre de ces traitements, la CNIL a estimé, aux points 9 à 13 de cet avis, que la mise en oeuvre du traitement algorithmique de données à caractère personnel dénommé " zone intrusion entrées des écoles " n'était pas permise en l'état actuel de la législation. Dans cette mesure, la commune de Nice demande l'annulation pour excès de pouvoir de cette délibération.
Sur la légalité externe :
2. En premier lieu, aux termes de l'article 3 du décret du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés : " La commission ne peut valablement délibérer que si la majorité de ses membres en exercice participe à la séance ". Aux termes de l'article 4 du même décret : " Les délibérations de la commission sont prises à la majorité absolue des membres présents (...) ". Aux termes de l'article 12 du règlement intérieur de la CNIL : " A l'exception de celles portant élection, les délibérations sont prises sur le fondement d'un projet de délibération et, le cas échéant, d'un rapport. Ces documents sont transmis aux membres de la Commission et au commissaire du gouvernement par tout moyen, y compris par voie électronique, huit jours au moins avant leur examen en séance plénière. "
3. Il ressort des pièces du dossier que, par un courrier du 6 mai 2025, les membres de la Commission ont été convoqués à la séance du 15 mai 2025 aux fins d'examiner un projet de délibération portant avis sur les conditions de mise en oeuvre par la commune de Nice d'un traitement algorithmique de données à caractère personnel " franchissement de ligne " et " zone d'intrusion ", que douze membres de la Commission, qui en comporte dix-huit, ont délibéré sur ce projet et que celui-ci a été adopté à la majorité absolue des membres présents. Dans ces conditions, et alors que la requérante ne fait état d'aucun élément précis et circonstancié sur la méconnaissance des règles citées au point 2, que l'avis litigieux n'était pas tenu de rappeler, le moyen tiré d'un vice de procédure doit être écarté.
4. En second lieu, il résulte des termes mêmes des points 9 à 13 de la délibération attaquée que la CNIL a fait état des motifs de droit et de fait sur lesquels elle s'est fondée pour retenir que le traitement algorithmique dénommé " zone intrusion entrées des écoles " ne pouvait être mis en oeuvre en l'état actuel de la législation. Par suite et en tout état de cause, le moyen tiré d'une insuffisance de motivation doit être écarté.
Sur la légalité interne :
5. Aux termes de l'article L. 251-1 du code de la sécurité intérieure : " Les systèmes de vidéoprotection remplissant les conditions fixées à l'article L. 251-2 sont des traitements de données à caractère personnel régis par le présent titre, par le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/ CE (règlement général sur la protection des données) et par la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. " Aux termes de l'article L. 251-2 du même code : " Des systèmes de vidéoprotection peuvent être mis en oeuvre sur la voie publique par les autorités publiques compétentes aux fins d'assurer : / 1° La protection des bâtiments et installations publics et de leurs abords ; / (...) / 4° La constatation des infractions aux règles de la circulation ; / 5° La prévention des atteintes à la sécurité des personnes et des biens dans des lieux particulièrement exposés à des risques d'agression (...) / 6° La prévention d'actes de terrorisme, dans les conditions prévues au chapitre III du titre II du présent livre ; / (...) ".
6. Il ressort des pièces du dossier que le traitement de données à caractère personnel dénommé " zone d'intrusion entrées des écoles " consiste, d'une part, à détecter en temps réel, de manière continue et automatisée, au moyen d'un algorithme, dans les images issues d'un système de vidéosurveillance des voies publiques mis en oeuvre en application des dispositions précitées de l'article L. 251-2 du code de la sécurité intérieure, la présence de véhicules stationnant irrégulièrement devant les entrées des écoles pendant leurs horaires d'ouverture et, d'autre part, à alerter, par le même moyen, les services de police municipale de la survenance d'un tel événement, dans le but de prévenir des troubles à l'ordre public et, en particulier, d'assurer la sécurité de ces établissements.
7. Contrairement à ce que soutient la commune, les dispositions précitées de l'article L. 251-2 du code de la sécurité intérieure, si elles permettent la mise en oeuvre de systèmes de vidéosurveillance des voies publiques, ne sauraient, dans leur silence, être interprétées comme autorisant la mise en oeuvre de traitements algorithmiques permettant une analyse systématique et automatisée des images collectées dans des espaces publics au moyen de tels systèmes. Aucune autre disposition n'autorise, par ailleurs, la mise en oeuvre de tels traitements. Par suite, et alors même que le traitement envisagé ne serait, ainsi que le soutient la commune, pas qualifiable de système d'intelligence artificielle (IA) à " haut risque " au sens de l'article 6 du règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 établissant des règles harmonisées concernant l'intelligence artificielle, la CNIL a pu, sans commettre d'erreur droit ni excéder sa compétence, estimer qu'il ne pouvait être mis en oeuvre en l'état actuel de la législation nationale.
8. Il résulte de tout ce qui précède que la commune de Nice n'est pas fondée à demander l'annulation de la délibération de la CNIL qu'elle attaque. Sa requête doit ainsi être rejetée, y compris ses conclusions tendant à l'application des dispositions de l'article L. 761-1 du code de justice administrative.
D E C I D E :
--------------
Article 1er : La requête de la commune de Nice est rejetée.
Article 2 : La présente décision sera notifiée à la commune de Nice et à la Commission nationale de l'informatique et des libertés.
Délibéré à l'issue de la séance du 9 janvier 2026 où siégeaient : M. Pierre Collin, président adjoint de la section du contentieux, présidant ; M. Bertrand Dacosta, Mme Anne Egerszegi, présidents de chambre ; M. Nicolas Polge, M. Vincent Daumas, Mme Rozen Noguellou, M. Christophe Barthélemy, M. Bruno Delsol, conseillers d'Etat et M. Stéphane Eustache, maître des requêtes-rapporteur.
Rendu le 30 janvier 2026.
Le président :
Signé : M. Pierre Collin
Le rapporteur :
Signé : M. Stéphane Eustache
La secrétaire :
Signé : Mme Thamila Mouloud