📍82 Boulevard Haussmann, 75008 Paris

Demandez votre démo

Article 57 du RGPD : Missions

Sommaire

Introduction 

L’article 57 détaille les missions essentielles confiées aux autorités de contrôle au sein du RGPD. Ces missions reflètent la triple vocation de ces autorités : préventive, éducative et corrective, afin de garantir une protection effective des droits des personnes

Explication de l’article 

Ces missions couvrent à la fois le contrôle, la sensibilisation, l’accompagnement des acteurs, et la coopération européenne.

Missions principales des autorités de contrôle

  • Contrôler l’application du RGPD et veiller à son respect.
  • Informer et sensibiliser le public aux droits et risques liés aux traitements de données, en accordant une attention particulière à la protection des enfants.
  • Conseiller les pouvoirs publics (parlement, gouvernement) sur les mesures législatives ou administratives à adopter.
  • Sensibiliser les responsables de traitement et les sous-traitants à leurs obligations.
  • Aider les personnes à exercer leurs droits, en leur fournissant une information claire et accessible.
  • Traiter les réclamations reçues, informer l’auteur de l’état d’avancement et faciliter les démarches (via des formulaires par exemple).
  • Coopérer avec les autres autorités européennes pour garantir une application cohérente du RGPD.
  • Mener des enquêtes pour contrôler l’application du règlement.
  • Suivre les évolutions technologiques et commerciales susceptibles d’avoir un impact sur la protection des données.

Rôle normatif et de certification

  • Élaborer des clauses contractuelles types pour les sous-traitants et les transferts internationaux.
  • Tenir à jour la liste des traitements nécessitant une analyse d’impact.
  • Répondre aux demandes de consultation sur des traitements sensibles ou à risque.
  • Encourager et approuver des codes de conduite garantissant une bonne application du RGPD.
  • Encourager la certification, valider les critères de certification et contrôler régulièrement les certifications délivrées.
  • Définir les critères pour agréer les organismes en charge du suivi des codes de conduite.
  • Approuver les règles d’entreprise contraignantes (BCR).
  • Valider les clauses contractuelles assurant la protection des données dans le cadre de transferts transfrontaliers.
  • Tenir un registre interne recensant les violations du RGPD.

L’ensemble de ces missions est assuré gratuitement pour les personnes concernées. En revanche, si une demande est manifestement infondée ou excessive, l’autorité peut refuser d’y répondre ou demander une participation aux frais administratifs. C’est à l’autorité de justifier ce caractère infondé ou excessif.

Un DPO peut vous accompagner dans vos échanges avec la CNIL et sécuriser vos pratiques. Trouvez votre DPO externe.

Libérez-vous du RGPD
Un DPO externe certifié prend en charge votre conformité et sécurise vos données, sans contrainte pour vous.
Je prends rendez-vous avec un expert

Texte original du RGPD

1. Sans préjudice des autres missions prévues au titre du présent règlement, chaque autorité de contrôle, sur son territoire:

a) contrôle l’application du présent règlement et veille au respect de celui-ci;

b) favorise la sensibilisation du public et sa compréhension des risques, des règles, des garanties et des droits relatifs au traitement. Les activités destinées spécifiquement aux enfants font l’objet d’une attention particulière;

c) conseille, conformément au droit de l’État membre, le parlement national, le gouvernement et d’autres institutions et organismes au sujet des mesures législatives et administratives relatives à la protection des droits et libertés des personnes physiques à l’égard du traitement;

d) encourage la sensibilisation des responsables du traitement et des sous-traitants en ce qui concerne les obligations qui leur incombent en vertu du présent règlement;

e) fournit, sur demande, à toute personne concernée des informations sur l’exercice des droits que lui confère le présent règlement et, si nécessaire, coopère, à cette fin, avec les autorités de contrôle d’autres États membres;

f) traite les réclamations introduites par une personne concernée ou par un organisme, une organisation ou une association, conformément à l’article 80, examine l’objet de la réclamation, dans la mesure nécessaire, et informe l’auteur de la réclamation de l’état d’avancement et de l’issue de l’enquête dans un délai raisonnable, notamment si un complément d’enquête ou une coordination avec une autre autorité de contrôle est nécessaire;

g) coopère avec d’autres autorités de contrôle, y compris en partageant des informations, et fournit une assistance mutuelle dans ce cadre en vue d’assurer une application cohérente du présent règlement et des mesures prises pour en assurer le respect;

h) effectue des enquêtes sur l’application du présent règlement, y compris sur la base d’informations reçues d’une autre autorité de contrôle ou d’une autre autorité publique;

i) suit les évolutions pertinentes, dans la mesure où elles ont une incidence sur la protection des données à caractère personnel, notamment dans le domaine des technologies de l’information et de la communication et des pratiques commerciales;

j) adopte les clauses contractuelles types visées à l’article 28, paragraphe 8, et à l’article 46, paragraphe 2, point d);

k) établit et tient à jour une liste en lien avec l’obligation d’effectuer une analyse d’impact relative à la protection des données en application de l’article 35, paragraphe 4;

l) fournit des conseils sur les opérations de traitement visées à l’article 36, paragraphe 2;

m) encourage l’élaboration de codes de conduite en application de l’article 40, rend un avis et approuve les codes de conduite qui fournissent des garanties suffisantes, en application de l’article 40, paragraphe 5;

n) encourage la mise en place de mécanismes de certification ainsi que de labels et de marques en matière de protection des données en application de l’article 42, paragraphe 1, et approuve les critères de certification en application de l’article 42, paragraphe 5;

o) procède, le cas échéant, à l’examen périodique des certifications délivrées conformément à l’article 42, paragraphe 7;

p) rédige et publie les critères d’agrément d’un organisme chargé du suivi des codes de conduite en application de l’article 41 et d’un organisme de certification en application de l’article 43;

q) procède à l’agrément d’un organisme chargé du suivi des codes de conduite en application de l’article 41 et d’un organisme de certification en application de l’article 43;

r) autorise les clauses contractuelles et les dispositions visées à l’article 46, paragraphe 3;

s) approuve les règles d’entreprise contraignantes en application de l’article 47;

t) contribue aux activités du comité;

u) tient des registres internes des violations au présent règlement et des mesures prises conformément à l’article 58, paragraphe 2; et

v) s’acquitte de toute autre mission relative à la protection des données à caractère personnel.

2. Chaque autorité de contrôle facilite l’introduction des réclamations visées au paragraphe 1, point f), par des mesures telles que la fourniture d’un formulaire de réclamation qui peut aussi être rempli par voie électronique, sans que d’autres moyens de communication ne soient exclus.

3. L’accomplissement des missions de chaque autorité de contrôle est gratuit pour la personne concernée et, le cas échéant, pour le délégué à la protection des données.

4. Lorsque les demandes sont manifestement infondées ou excessives, en raison, notamment, de leur caractère répétitif, l’autorité de contrôle peut exiger le paiement de frais raisonnables basés sur les coûts administratifs ou refuser de donner suite à la demande. Il incombe à l’autorité de contrôle de démontrer le caractère manifestement infondé ou excessif de la demande.

Équivalent directive 95/46 CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. 

Article 28

1. Chaque État membre prévoit qu’une ou plusieurs autorités publiques sont chargées de surveiller l’application, sur son territoire, des dispositions adoptées par les États membres en application de la présente directive.

(…).

2. Chaque État membre prévoit que les autorités de contrôle sont consultées lors de l’élaboration des mesures réglementaires ou administratives relatives à la protection des droits et libertés des personnes à l’égard du traitement de données à caractère personnel.

3. Chaque autorité de contrôle peut être saisie par toute personne, ou par une association la représentant, d’une demande relative à la protection de ses droits et libertés à l’égard du traitement de données à caractère personnel. La personne concernée est informée des suites données à sa demande.

Chaque autorité de contrôle peut, en particulier, être saisie par toute personne d’une demande de vérification de la licéité d’un traitement lorsque les dispositions nationales prises en vertu de l’article 13 de la présente directive sont d’application. La personne est à tout le moins informée de ce qu’une vérification a eu lieu.

(…).

Équivalent de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi Informatique et Liberté) 

Article 8

Modifié par l’ordonnance n° 2018-1125 du 12 décembre 2018

– La Commission nationale de l’informatique et des libertés est une autorité administrative indépendante. Elle est l’autorité de contrôle nationale au sens et pour l’application du règlement (UE) 2016/679 du 27 avril 2016. Elle exerce les missions suivantes :

1° Elle informe toutes les personnes concernées et tous les responsables de traitements de leurs droits et obligations et peut, à cette fin, apporter une information adaptée aux collectivités territoriales, à leurs groupements et aux petites et moyennes entreprises ;

2° Elle veille à ce que les traitements de données à caractère personnel soient mis en œuvre conformément aux dispositions de la présente loi et aux autres dispositions relatives à la protection des données personnelles prévues par les textes législatifs et réglementaires, le droit de l’Union européenne et les engagements internationaux de la France.

A ce titre :

a) Elle donne un avis sur les traitements mentionnés aux articles 31 et 32 ;

b) Elle établit et publie des lignes directrices, recommandations ou référentiels destinés à faciliter la mise en conformité des traitements de données à caractère personnel avec les textes relatifs à la protection des données à caractère personnel et à procéder à l’évaluation préalable des risques par les responsables de traitement et leurs sous-traitants. Elle encourage l’élaboration de codes de conduite définissant les obligations qui incombent aux responsables de traitement et à leurs sous-traitants, compte tenu du risque inhérent aux traitements de données à caractère personnel pour les droits et libertés des personnes physiques, notamment des mineurs. Elle homologue et publie les méthodologies de référence destinées à favoriser la conformité des traitements de données de santé à caractère personnel. Elle prend en compte, dans tous les domaines de son action, la situation des personnes dépourvues de compétences numériques, et les besoins spécifiques des collectivités territoriales, de leurs groupements et des microentreprises, petites entreprises et moyennes entreprises ;

c) En concertation avec les organismes publics et privés représentatifs des acteurs concernés, elle établit et publie des règlements types en vue d’assurer la sécurité des systèmes de traitement de données à caractère personnel et de régir les traitements de données biométriques, génétiques et de santé. A ce titre, sauf pour les traitements mis en œuvre pour le compte de l’Etat agissant dans l’exercice de ses prérogatives de puissance publique, elle peut prescrire des mesures, notamment techniques et organisationnelles, supplémentaires pour le traitement des données biométriques, génétiques et de santé en application du 4 de l’article 9 du règlement (UE) 2016/679 du 27 avril 2016 et des garanties complémentaires en matière de traitement de données à caractère personnel relatives aux condamnations pénales et aux infractions conformément à l’article 10 du même règlement ;

d) Elle traite les réclamations, pétitions et plaintes introduites par une personne concernée ou par un organisme, une organisation ou une association, examine ou enquête sur l’objet de la réclamation, dans la mesure nécessaire, et informe l’auteur de la réclamation de l’état d’avancement et de l’issue de l’enquête dans un délai raisonnable, notamment si un complément d’enquête ou une coordination avec une autre autorité de contrôle est nécessaire ;

e) Elle répond aux demandes d’avis des pouvoirs publics et, le cas échéant, des juridictions, et conseille les personnes et organismes qui mettent en œuvre ou envisagent de mettre en œuvre des traitements automatisés de données à caractère personnel ;

f) Elle donne avis sans délai au procureur de la République, dans les conditions prévues à l’article 40 du code de procédure pénale, lorsqu’elle acquiert connaissance d’un crime ou d’un délit, et peut présenter des observations dans les procédures pénales, dans les conditions prévues à l’article 41 de la présente loi ;

g) Elle peut, par décision particulière, charger un ou plusieurs de ses membres ou le secrétaire général, dans les conditions prévues à l’article 19 de la présente loi, de procéder ou de faire procéder par les agents de ses services à des vérifications portant sur tous traitements et, le cas échéant, d’obtenir des copies de tous documents ou supports d’information utiles à ses missions ;

h) Elle peut décider de certifier des personnes, des produits, des systèmes de données ou des procédures aux fins de reconnaître qu’ils se conforment au règlement (UE) 2016/679 du 27 avril 2016 et à la présente loi. Elle prend en considération, à cette fin, les besoins spécifiques des collectivités territoriales, de leurs groupements et des microentreprises, petites entreprises et moyennes entreprises. Elle agrée, aux mêmes fins, des organismes certificateurs, sur la base, le cas échéant, de leur accréditation par l’organisme national d’accréditation mentionné au b du 1 de l’article 43 du même règlement ou décide, conjointement avec cet organisme, que ce dernier procède à leur agrément, dans des conditions précisées par décret en Conseil d’Etat pris après avis de la Commission nationale de l’informatique et des libertés. La commission élabore ou approuve les critères des référentiels de certification et d’agrément ;

i) Elle peut certifier ou homologuer et publier des référentiels ou des méthodologies générales aux fins de certification, par des tiers agréés ou accrédités selon les modalités mentionnées au h du présent 2°, de la conformité à la présente loi de processus d’anonymisation des données à caractère personnel, notamment en vue de la réutilisation d’informations publiques mises en ligne dans les conditions prévues au titre II du livre III du code des relations entre le public et l’administration.

Il est tenu compte d’une telle certification, le cas échéant, pour la mise en œuvre des sanctions prévues à la section 3 du présent chapitre ;

j) Elle répond aux demandes ou saisines prévues aux articles 52,108 et 118 ;

k) Elle peut établir une liste des traitements susceptibles de créer un risque élevé devant faire l’objet d’une consultation préalable conformément à l’article 90 ;

l) Elle mène des actions de sensibilisation auprès des médiateurs de la consommation et des médiateurs publics, au sens de l’article L. 611-1 du code de la consommation, en vue de la bonne application de la présente loi ;

3° Sur demande ou de sa propre initiative, elle délivre un label à des produits ou à des procédures tendant à la protection des données à caractère personnel, attestant leur conformité aux dispositions de la présente loi. Le président peut, lorsque la complexité du produit ou de la procédure le justifie, recourir à toute personne indépendante qualifiée pour procéder à leur évaluation. Le coût de cette évaluation est pris en charge par l’entreprise qui demande le label ; elle retire le label lorsqu’elle constate, par tout moyen, que les conditions qui ont permis sa délivrance ne sont plus satisfaites ;

4° Elle se tient informée de l’évolution des technologies de l’information et rend publique le cas échéant son appréciation des conséquences qui en résultent pour l’exercice des droits et libertés mentionnés à l’article 1er ;

A ce titre :

a) Elle est consultée sur tout projet de loi ou de décret ou toute disposition de projet de loi ou de décret relatifs à la protection des données à caractère personnel ou au traitement de telles données. Elle peut également être consultée par le président de l’Assemblée nationale, par le président du Sénat ou par les commissions compétentes de l’Assemblée nationale et du Sénat ainsi qu’à la demande d’un président de groupe parlementaire sur toute proposition de loi relative à la protection des données à caractère personnel ou au traitement de telles données. Outre les cas prévus aux articles 31 et 32, lorsqu’une loi prévoit qu’un décret ou un arrêté est pris après avis de la commission, cet avis est publié avec le décret ou l’arrêté ;

b) Elle propose au Gouvernement les mesures législatives ou réglementaires d’adaptation de la protection des libertés à l’évolution des procédés et techniques informatiques et numériques ;

c) A la demande d’autres autorités administratives indépendantes, elle peut apporter son concours en matière de protection des données ;

d) Elle peut être associée, à la demande du Premier ministre, à la préparation et à la définition de la position française dans les négociations internationales dans le domaine de la protection des données à caractère personnel. Elle peut participer, à la demande du Premier ministre, à la représentation française dans les organisations internationales et de l’Union européenne compétentes en ce domaine ;

e) Elle conduit une réflexion sur les problèmes éthiques et les questions de société soulevés par l’évolution des technologies informatiques et numériques ;

f) Elle promeut, dans le cadre de ses missions, l’utilisation des technologies protectrices de la vie privée, notamment les technologies de chiffrement des données ;

5° Elle peut présenter des observations devant toute juridiction à l’occasion d’un litige relatif à l’application de la présente loi et des dispositions relatives à la protection des données à caractère personnel prévues par les textes législatifs et réglementaires, le droit de l’Union européenne, en particulier le règlement (UE) 2016/679 du 27 avril 2016, et les engagements internationaux de la France.

– Pour l’accomplissement de ses missions, la commission peut procéder par voie de recommandation et prendre des décisions individuelles ou réglementaires dans les cas prévus par la présente loi.

La commission présente chaque année au Président de la République et au Premier ministre un rapport public rendant compte de l’exécution de sa mission.

Analyse des 3 textes qui précèdent 

L’article 57 du RGPD expose de manière détaillée l’ensemble des missions des autorités de contrôle, regroupant dans un cadre unifié leurs fonctions de surveillance, de conseil, d’accompagnement et de coopération.​
Par rapport à la directive de 1995, ce texte marque une expansion significative des compétences, avec une volonté de moderniser les attributions de ces autorités face à la transformation numérique.

Les missions prévues couvrent plusieurs axes essentiels :

  • Contrôle et application effective du règlement (alinéa a), incluant la possibilité de mener des enquêtes (h) et d’enregistrer les violations (u).
  • Sensibilisation et formation à destination du grand public, des responsables de traitement et des institutions publiques (b, c, d).
  • Traitement et suivi des plaintes, facilité par des formulaires accessibles (f, §2).
  • Coopération européenne, assurant la cohérence de la régulation au sein de l’UE (g, t).
  • Encadrement des mécanismes de conformité comme les certifications, les codes de conduite et les règles d’entreprise contraignantes (j à s).
  • Suivi technologique et éthique, notamment dans le domaine du numérique et de la cybersécurité (i).

Cette approche globale démontre la volonté du RGPD de renforcer la fonction proactive et préventive des autorités, bien au-delà d’un simple rôle de contrôle a posteriori.

L’article 57 du RGPD établit une harmonisation complète du rôle des autorités de contrôle au sein de l’Union. 

Sous la directive 95/46/CE, les missions des autorités, définies à l’article 28, restaient plus générales et moins harmonisées entre États membres.​
Les autorités de contrôle avaient pour fonction principale de surveiller l’application de la directive, sans orientations uniformes sur les modalités pratiques de traitement des plaintes, la coopération entre autorités ou l’émission de certifications.
Elles pouvaient être consultées sur les mesures législatives nationales et recevoir des plaintes individuelles, mais sans cadre formel comparable à la procédure détaillée du RGPD (notamment les §§2 à 4 de l’article 57).

Le RGPD vient donc combler les lacunes de la directive en instituant une architecture plus robuste et en établissant un socle commun de procédures, garantissant une application cohérente et équitable dans toute l’Union européenne.

La loi française Informatique et Libertés, à travers ses articles 8, 9 et suivants, transpose fidèlement l’esprit et les missions de l’article 57 du RGPD.​
L’article 8 de la loi de 1978, modifié en 2018, établit que la CNIL exerce les missions d’autorité de contrôle nationale, incluant :

  • la surveillance de la conformité des traitements au RGPD et au droit national (I.2°) ;
  • la communication et la pédagogie, notamment auprès des entreprises, collectivités et publics vulnérables (I.1° et I.2°b) ;
  • la gestion des plaintes (I.2°d) ;
  • la coopération avec les institutions publiques et européennes (I.4° et I.5°) ;
  • la certification et labellisation de produits ou procédures conformes (I.2°h et I.3°).

En somme, la CNIL reprend la structure du RGPD en l’adaptant au contexte français, en y ajoutant certaines dimensions nationales (dispositif de labellisation, réflexion éthique et inclusion numérique).

Jurisprudences 

Européennes 

C-230/14 (1 octobre 2015) – Weltimmo

Cette décision précède le RGPD mais éclaire directement la mission de contrôle et de coopération transfrontalière aujourd’hui consacrée à l’article 57, paragraphe 1, a) et g) du RGPD. La CJUE y précise qu’une autorité de contrôle (ici, la Hongrie) peut appliquer sa législation nationale dès lors qu’un responsable de traitement exerce une activité réelle et effective sur son territoire, même minime. Cette interprétation fonde la compétence territoriale des autorités dans les missions de supervision et d’enquête désormais prévues par l’article 57 (a et h).​

Ainsi, Weltimmo clarifie les bases de la mission de surveillance des autorités : elles doivent agir dès qu’un traitement présente un rattachement territorial effectif, préfigurant le rôle actif imposé par l’article 57 RGPD.

C-645/19 (15 Juin 2021) – Facebook Ireland e.a.

Cette décision illustre la mission de coopération et d’assistance mutuelle entre autorités (article 57, paragraphe 1, g) RGPD). La CJUE confirme que, même lorsqu’une autorité nationale n’est pas chef de file (au sens de l’article 56 RGPD), elle conserve le pouvoir d’intervenir ou d’ester en justice dans certaines situations de traitement transfrontalier, à condition de respecter les mécanismes de coopération et de cohérence du RGPD.

Cela traduit la fonction de l’article 57 : garantir, par la coordination et la loyauté entre autorités, une application uniforme du RGPD, tout en préservant la capacité d’action autonome des autorités locales lorsque les droits fondamentaux des personnes sont en jeu. 

C-768/21 (26 septembre 2024) – Land Hessen (Obligation d’agir de l’autorité de protection des données)

Cette décision traite directement du devoir d’action et de proportionnalité de la réponse des autorités prévu par l’article 57, paragraphe 1, points a) et f). La CJUE y juge qu’une autorité de contrôle n’est pas obligée d’imposer une mesure correctrice (comme une amende) à chaque violation constatée : elle dispose d’une marge d’appréciation. Sa mission consiste à garantir le respect du RGPD de manière appropriée, nécessaire et proportionnée.

L’affaire illustre donc la portée fonctionnelle de l’article 57 : l’autorité doit traiter les réclamations et veiller à l’application du règlement, mais son obligation d’agir n’emporte pas un devoir automatique de sanction.

C-416/23 (9 janvier 2025) – Österreichische Datenschutzbehörde (Demandes excessives)

Cette décision clarifie l’application du paragraphe 4 de l’article 57, relatif aux demandes « manifestement infondées ou excessives ». La CJUE a jugé qu’une autorité ne peut refuser de traiter une réclamation qu’à la condition de prouver une intention abusive ou vexatoire du plaignant, et non pas simplement en raison du volume élevé des demandes.

Elle souligne également que l’autorité doit motiver son choix entre exiger des frais administratifs raisonnables ou refuser d’agir ; ce choix doit être proportionné et circonstancié. L’arrêt précise ainsi les limites procédurales de la mission de traitement des plaintes prévue à l’article 57, paragraphe 1, f), et les garanties offertes par le paragraphe 4.

Françaises 

CE Fr., n°319545 (5 décembre 2011)

Cette décision, rendue sous l’empire de la loi Informatique et Libertés avant le RGPD, éclaire le pouvoir de traitement des réclamations prévu aujourd’hui à l’article 57, paragraphe 1, f).

Le Conseil d’État y reconnaît que la CNIL, lorsqu’elle reçoit une réclamation, dispose du pouvoir d’apprécier l’opportunité d’agir et qu’un refus de sa part peut faire l’objet d’un recours pour excès de pouvoir.

Cela correspond à la mission de l’autorité de contrôle d’« examiner l’objet de la réclamation dans la mesure nécessaire », formulation reprise à l’article 57 (1)(f) du RGPD. 

CE Fr., n°391000 (24 février 2017)

Le Conseil d’État y affirme la compétence de la CNIL pour connaître et traiter les plaintes concernant le droit au déréférencement (préfigurant l’article 17 RGPD). En se substituant à l’exploitant d’un moteur de recherche qui refusait une demande de suppression, la CNIL exerce le rôle que l’article 57 RGPD codifie aujourd’hui : garantir les droits des personnes concernées à travers le traitement des réclamations et l’adoption de mesures correctrices nécessaires.​

La décision illustre la mission de la CNIL d’assurer le respect effectif des droits individuels, visée à l’article 57 (1)(a) et (f).

CE Fr., n°398442 (19 juin 2017)

Cet arrêt consacre le droit à l’information du plaignant sur les suites données à sa plainte. Le Conseil d’État estime que la CNIL doit notifier à l’auteur d’une plainte la nature des manquements retenus et des sanctions adoptées.

Ce principe d’information et de transparence correspond directement aux exigences de l’article 57 RGPD : l’autorité doit informer les plaignants de l’état d’avancement et de l’issue de leurs réclamations dans un délai raisonnable. 

CE Fr., n°408185 (20 juin 2018)

La décision porte sur la mission consultative de la CNIL (au titre de l’article 11 de la loi Informatique et Libertés), désormais reprise à l’article 57, paragraphe 1, c) du RGPD : l’obligation de conseiller les institutions publiques sur tout projet législatif ou réglementaire relatif à la protection des données.

Le Conseil d’État reconnaît que la CNIL doit être consultée avant tout texte instituant un traitement de données lorsque celui‑ci a une incidence sur les libertés fondamentales. Cette compétence d’avis s’inscrit pleinement dans les missions de conseil et de contribution à la cohérence réglementaire mentionnées à l’article 57 (1)(c).

CE Fr., n°452668 (8 avril 2022)

Cette affaire, relative aux « questions‑réponses cookies » publiées par la CNIL, illustre la mission d’information et de sensibilisation de l’autorité prévue par l’article 57 (1)(b) et (d).

Le Conseil d’État juge que ce type de document constitue une prise de position interprétative susceptible de recours car elle produit des effets notables. Il confirme aussi que la CNIL, dans ce cadre, reste dans sa compétence d’information du public et des responsables de traitement sans excéder son mandat réglementaire.​

Cette décision traduit la fonction éducative et normative de la CNIL dans son rôle d’information et d’accompagnement.

Recommandations 

G29 

Lignes directrices sur l’application et la fixation des amendes administratives – wp253 (3 octobre 2017)

Libérez-vous du RGPD
Un DPO externe certifié prend en charge votre conformité et sécurise vos données, sans contrainte pour vous.
Je prends rendez-vous avec un expert
Newsletter S'inscrire

Recevez nos derniers articles et actualités directement dans votre boîte de réception !

Votre e-mail est en sécurité 🔒. En entrant votre e-mail, vous acceptez de recevoir nos newsletter et des informations sur nos services. Vos données sont traitées conformément à notre Politique de Confidentialité et vous pouvez vous désinscrire à tout moment.