Le Gouvernement a décidé de rendre public l'avis du Conseil d'État relatif à l’interprétation de la notion de caractéristique essentielle d’un traitement de données à caractère personnel nécessitant la consultation de la Commission nationale de l'informatique et des libertés.
Le Conseil d’Etat a été saisi par le Premier ministre, sur le fondement de l’article L. 112‑2 du code de justice administrative, d’une demande d’avis relative au caractère obligatoire de la consultation de la Commission nationale de l’informatique et des libertés (CNIL) en application du a du 4° du I de l’article 8 de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, qui prévoit que cette commission est consultée sur tout projet de loi ou de décret ou toute disposition de projet de loi ou de décret relatifs à la protection des données à caractère personnel ou au traitement de telles données.
Cette demande d’avis comporte les trois questions suivantes :
1° Comment interpréter la notion de « caractéristiques essentielles » d’un traitement de données ? Ces caractéristiques correspondent-elles à celles mentionnées aux articles 13 et 14 du règlement général sur la protection des données ou à l’article 33 de la loi du 6 janvier 1978 ?
2° Quel est le degré de précision requis pour que des dispositions relatives à un traitement de données à caractère personnel soient considérées comme en déterminant des caractéristiques essentielles ? En particulier, la circonstance que des dispositions législatives ou réglementaires prévoient un traitement de données mais renvoient à un texte de niveau inférieur le soin d’en préciser certains éléments constitutifs conduit-il à estimer que ces dispositions ne définissent pas les caractéristiques essentielles du traitement de données ?
3° Dans quelles conditions la modification d’une ou de plusieurs caractéristiques essentielles nécessite-t-elle de consulter la CNIL ? En particulier :
– la question de savoir si des dispositions modifient les caractéristiques essentielles d’un traitement de données suppose-t-elle d’apprécier l’étendue des modifications au regard de l’économie générale du dispositif existant, ou bien de déterminer si les caractéristiques du traitement qui sont modifiées sont au nombre de celles qui présentent un caractère essentiel ?
– la modification d’une seule caractéristique essentielle est-elle nécessairement une modification substantielle (CE, 2 juillet 2007, 290593, Rec.) imposant la saisine de la CNIL ?
Le Conseil d’État, saisi de cette demande,
Vu la Constitution, notamment son préambule ;
Vu la Charte des droits fondamentaux de l’Union européenne ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
EST D’AVIS de répondre dans le sens
des observations qui suivent :
1. A titre liminaire, le Conseil d’Etat souligne que la demande d’avis adressée par le Gouvernement ne porte que sur les consultations de la Commission nationale informatique et libertés (CNIL) réalisées sur le fondement du a du 4° du I de l’article 8 de la loi n° 78‑17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, qui dispose que « La Commission nationale de l'informatique et des libertés est une autorité administrative indépendante. / I. - Elle est l'autorité de contrôle nationale au sens et pour l'application du règlement (UE) 2016/679 du 27 avril 2016. Elle exerce les missions suivantes : / (…) 4° Elle se tient informée de l'évolution des technologies de l'information et rend publique le cas échéant son appréciation des conséquences qui en résultent pour l'exercice des droits et libertés mentionnés à l'article 1er ;/ A ce titre : / a) Elle est consultée sur tout projet de loi ou de décret ou toute disposition de projet de loi ou de décret relatifs à la protection des données à caractère personnel ou au traitement de telles données. (…) ».
Les considérations qui suivent ne s’inscrivent ainsi que dans ce cadre, et ne répondent pas aux autres hypothèses de consultations préalables obligatoires de la CNIL fondées sur d’autres dispositions de la loi du 6 janvier 1978, tels que les articles 30 à 32 ou encore la section 3 du chapitre III du titre II, ni sur les dispositions prévues expressément par une loi spéciale, tel que, par exemple, l’article 47 de la loi n° 2023‑1059 du 20 novembre 2023 d’orientation et de programmation du ministère de la justice 2023-2027. Elles peuvent toutefois constituer un cadre commun de réflexion, toutes les fois où les particularités des autres textes appelant une consultation n’y font pas obstacle.
2. Lors de l’examen du projet de loi d’adaptation au droit de l’Union européenne de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (Assemblée générale, n° 393836, 7 décembre 2017), le Conseil d’Etat observait que le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD) opérait « un renversement complet des logiques antérieures » et estimait nécessaire « d’insérer dès le début de l’article 11 de la loi n° 78‑17 relative à l’informatique, aux fichiers et aux libertés, qui définit les missions de la Commission nationale de l’informatique et des libertés (CNIL), la disposition selon laquelle celle-ci est l’autorité de contrôle nationale au sens et pour l’application du règlement (UE) 2016/679 ». Il souligne à nouveau que depuis l’entrée en application de ce règlement, la mission principale de la CNIL, en tant qu’ « autorité de contrôle », est de « surveiller l’application » de ce règlement « afin de protéger les libertés et droits fondamentaux des personnes physiques » (article 51 du RGPD).
3. Dans ce cadre, il appartient d’abord à l’administration de déterminer le moment où la consultation de la CNIL permet à celle-ci de remplir pleinement son office. A ce titre, si le législateur national a entendu maintenir un avis préalable de la CNIL sur certains projets de texte, l’obligation d’assurer la conformité des traitements de données à caractère personnel ne s’épuise pas par le seul respect de l’obligation de consultation prévue par le a du 4° du I de l’article 8 de la loi du 6 janvier 1978. Il s’en déduit en premier lieu que l’existence d’une consultation de la CNIL sur un projet de loi ou de décret, y compris lorsqu’elle a donné lieu à un avis favorable, n’implique pas nécessairement que la mise en œuvre du traitement de données à caractère personnel qu’il prévoit soit conforme au RGPD. En deuxième lieu la CNIL demeure pleinement investie des pouvoirs qu’elle tire de ce même règlement pour contrôler les traitements de données à caractère personnel prévus par des lois ou des décrets sur lesquels elle a été préalablement consultée. En troisième lieu, la circonstance qu’une norme supérieure ait, y compris après un premier avis de cette autorité, fixé certaines des caractéristiques essentielles du traitement ne fait pas obstacle à ce que la CNIL, saisie dans un cadre consultatif, en apprécie, au regard de l’ensemble des données qui lui sont soumises, la conformité au RGPD, pouvant ainsi, le cas échéant, estimer contraire au règlement un traitement dont certaines caractéristiques ont été fixées par un texte de niveau supérieur à celui qui est soumis à son avis.
4. Le paragraphe 4 de l’article 36 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (dit « RGPD ») prévoit que « les Etats membres consultent l'autorité de contrôle dans le cadre de l'élaboration d'une proposition de mesure législative devant être adoptée par un parlement national, ou d'une mesure réglementaire fondée sur une telle mesure législative, qui se rapporte au traitement ».
L'article 8 de la loi n° 78‑17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, dans sa rédaction résultant de l'ordonnance n° 2018‑1125 du 12 décembre 2018, dispose par ailleurs que CNIL est consultée sur « tout projet de loi ou de décret ou toute disposition de projet de loi ou de décret relatifs à la protection des données à caractère personnel ou au traitement de telles données ».
Le Conseil d’Etat rappelle qu’il résulte de ces dispositions du droit de l’Union européenne et du droit national que la consultation de la CNIL est requise sur tout projet de loi ou de décret qui détermine, dans certaines de leurs caractéristiques essentielles, les conditions de création ou de mise en œuvre d'un traitement ou d'une catégorie de traitements de données à caractère personnel. Telle est l’interprétation retenue par le Conseil d’Etat statuant au contentieux (CE, 20 juin 2018, n° 408185, 408192, Syndicat national des vétérinaires d’exercice libéral et autres), jugeant que doivent être soumis à l’avis de la CNIL les textes qui « déterminent, dans certaines de leurs caractéristiques essentielles, les conditions de création ou de mise en œuvre d’un traitement ou une catégorie de traitements de données à caractère personnel ». Il n’y a en conséquence pas d’obligation de consultation lorsqu’un texte prévoit l’existence d’un traitement, sans déterminer « les conditions de création ou de mise en œuvre de ce traitement ».
5. Le Conseil d’Etat est d’avis, en réponse à la première question, que constituent par nature des caractéristiques essentielles d’un traitement de données au sens et pour l’application des dispositions précitées, les caractéristiques qui permettent d’assurer la conformité d’un tel traitement, compris comme un ensemble cohérent d’opérations de traitement, aux exigences de l’article 5 du RGPD.
Les dispositions du I de l’article 33 de la loi du 6 janvier 1978, précisant les informations que doit contenir toute demande d’avis adressée à la CNIL, fait la liste des caractéristiques sur lesquelles cette dernière se fonde pour évaluer la conformité d’un traitement de données à caractère personnel. Si les informations qu’il énumère ne constituent pas toutes des caractéristiques essentielles, le sont en principe la définition des finalités du traitement de données ainsi que, en fonction des circonstances et finalités poursuivies, les catégories de données à caractère personnel concernées par le traitement, l’indication des accédants et destinataires, l’identification du responsable du traitement, la durée de conservation des données et les conditions de leur destruction, ainsi que les mesures de sécurité mises en place et l’existence de transferts éventuels de données hors de l’Union européenne.
A l’inverse, les dispositions des articles 13 et 14 du RGPD, qui sont relatives aux informations qui doivent être communiquées à la personne concernée par le traitement de données, ne peuvent être regardées, même si certaines d’entre elles sont analogues à celles mentionnées à l’article 33 de la loi du 6 janvier 1978, comme ayant pour objet, au regard de leur finalité, d’éclairer les cas dans lesquels la consultation de l’autorité de contrôle est requise en application des dispositions visées au point 3.
6. Le Conseil d’Etat observe ensuite que l’obligation de recueillir l’avis préalable de la CNIL sur certains projets de loi ou de décret ne se comprend que dans la limite des compétences de cette autorité. Tant la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés que le RGPD confient à la CNIL la mission de contrôler la conformité aux exigences qu’ils fixent des traitements de données à caractère personnel mis en œuvre.
Lorsqu’un projet de texte, définissant les conditions de mise en œuvre d’une politique publique, implique la création d’un traitement de données à caractère personnel ou participe à la définition des conditions de mise en œuvre d’un traitement dont l’existence est induite par ce texte, sans en déterminer les conditions de création ou de mise en œuvre, la consultation préalable de la CNIL n’est pas une condition de sa régularité.
Le Conseil d’Etat est d’avis qu’il en va notamment ainsi, en réponse à la deuxième question, lorsqu’un projet de loi, bien que définissant certaines caractéristiques essentielles d’un traitement ou de ses conditions de création ou de mise en œuvre, renvoie à un décret le soin de définir complètement les conditions de sa création et de sa mise en œuvre, ou encore lorsqu’un texte contient certains éléments d’un tel traitement, mais sans que les éléments qu’il détermine permettent à la CNIL de disposer des informations suffisantes pour apprécier la conformité au RGPD du traitement dans sa globalité. C’est lorsqu’elle en dispose qu’il convient alors de saisir la CNIL, qui, comme indiqué au point 3, dispose alors de l’ensemble des éléments nécessaires pour apprécier la conformité du traitement aux exigences du RGPD.
7. En réponse à la question 3, le Conseil d’Etat note que les dispositions mentionnées au point 3 n’opèrent aucune différence entre les projets de texte qui instituent ou mettent en œuvre, pour la première fois, un traitement de données à caractère personnel et ceux qui modifient le cadre applicable à un traitement existant.
Le Conseil d’Etat est cependant d’avis qu’un projet de loi ou de décret qui modifie une ou plusieurs caractéristiques essentielles d’un traitement de données à caractère personnel déjà mis en œuvre, ne peut être regardé comme déterminant les conditions de création ou de mise en œuvre de ce traitement, qu’à la condition que les modifications qu’il apporte au cadre juridique antérieur soient substantielles. Le caractère substantiel s’apprécie tant de manière quantitative que qualitative, notamment lorsque les modifications apportées sont telles qu’elles ne pouvaient être comprises dans les prévisions initiales. De même, le caractère substantiel peut résulter d’une succession de modifications isolément ou initialement mineures, telles que l’ajout d’un ou plusieurs accédants, ou la modification d’une durée de conservation, ou encore l’ajout de données, mais dont la somme modifie l’équilibre du traitement initialement soumis à la CNIL.
8. Enfin le Conseil d’Etat observe que les dispositions actuelles de la loi du 6 janvier 1978 et de ses décrets d’application s’appuient encore principalement sur un ensemble d’autorisations et de contrôles préalables à la mise en œuvre des traitements de données à caractère personnel. Il invite le Gouvernement à engager un travail de réflexion sur l’adéquation de ces mécanismes aux exigences du RGPD et au rôle central que ce règlement confie au responsable du traitement.
Cet avis a été délibéré par l’assemblée générale du Conseil d’Etat dans sa séance du jeudi 25 septembre 2025.