Base de jurisprudence

Ariane Web: Conseil d'État 434376, lecture du 6 novembre 2019

Analyse n° 434376
6 novembre 2019
Conseil d'État

N° 434376 434377
Mentionné aux tables du recueil Lebon

Lecture du mercredi 6 novembre 2019



01-02-02-01-03 : Actes législatifs et administratifs- Validité des actes administratifs Compétence- Répartition des compétences entre autorités disposant du pouvoir réglementaire- Autorités disposant du pouvoir réglementaire- Ministres-

Compétence des ministres, en leur qualité de chefs de services , pour définir un traitement de données destiné à être utilisé par les services placés sous leur autorité - Application - Instruction interministérielle organisant le traitement de données nécessaire à la mise en oeuvre d'une obligation légale.




Instruction du ministre de la cohésion des territoires et des relations avec les collectivités territoriales et du ministre de l'intérieur, prise dans le cadre de leur pouvoir d'organisation des services placés sous leur autorité, définissant les caractéristiques du traitement de données, prenant la forme de la transmission d'informations des services intégrés d'accueil et d'orientation (SIAO) à l'Office français de l'immigration et de l'intégration (OFII) prévu à l'article L. 744-6 du code de l'entrée et du séjour des étrangers et du droit d'asile (CESEDA) ainsi que les garanties qui l'entourent. Si les dispositions du huitième alinéa de cet article prévoient qu'un décret en Conseil d'Etat fixe ses modalités d'application, ce renvoi à un décret en Conseil d'Etat, antérieur à la loi n° 2018-778 du 10 septembre 2018, qui a pour principal objet la mise en oeuvre de l'évaluation de la vulnérabilité des demandeurs d'asile et des modalités d'échanges d'informations entre l'OFII et l'Office français de protection des réfugiés et apatrides (OFPRA) n'a pas entendu remettre en cause le pouvoir dont disposent les ministres compétents en leur qualité de chefs de service pour définir ou compléter un traitement de données à caractère personnel dans le respect des dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD) et des dispositions de la loi n° 78-17 du 6 janvier 1978, sous réserve des dispositions prévues par celle-ci s'agissant du traitement de certaines données. Le moyen tiré de l'incompétence des auteurs de l'instruction doit, par suite, être écarté.




26-07-01 : Droits civils et individuels- Protection des données à caractère personnel- Questions générales-

Compétence des ministres, en leur qualité de chefs de services , pour définir un traitement de données destiné à être utilisé par les services placés sous leur autorité - Application - Instruction interministérielle organisant le traitement de données nécessaire à la mise en oeuvre d'une obligation légale.




Instruction du ministre de la cohésion des territoires et des relations avec les collectivités territoriales et du ministre de l'intérieur, prise dans le cadre de leur pouvoir d'organisation des services placés sous leur autorité, définissant les caractéristiques du traitement de données, prenant la forme de la transmission d'informations des services intégrés d'accueil et d'orientation (SIAO) à l'Office français de l'immigration et de l'intégration (OFII) prévu à l'article L. 744-6 du code de l'entrée et du séjour des étrangers et du droit d'asile (CESEDA) ainsi que les garanties qui l'entourent. Si les dispositions du huitième alinéa de cet article prévoient qu'un décret en Conseil d'Etat fixe ses modalités d'application, ce renvoi à un décret en Conseil d'Etat, antérieur à la loi n° 2018-778 du 10 septembre 2018, qui a pour principal objet la mise en oeuvre de l'évaluation de la vulnérabilité des demandeurs d'asile et des modalités d'échanges d'informations entre l'OFII et l'Office français de protection des réfugiés et apatrides (OFPRA) n'a pas entendu remettre en cause le pouvoir dont disposent les ministres compétents en leur qualité de chefs de service pour définir ou compléter un traitement de données à caractère personnel dans le respect des dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD) et des dispositions de la loi n° 78-17 du 6 janvier 1978, sous réserve des dispositions prévues par celle-ci s'agissant du traitement de certaines données. Le moyen tiré de l'incompétence des auteurs de l'instruction doit, par suite, être écarté.




26-07-03 : Droits civils et individuels- Protection des données à caractère personnel- Formalités préalables à la mise en oeuvre des traitements-

Analyse d'impact devant être effectué par le responsable d'un traitement de données (art. 35 du RGPD) - 1) Obligation relevant de la mise en oeuvre du traitement - 2) Conséquence - Circonstance que cette analyse n'a pas été réalisée avant l'édiction de l'acte définissant le traitement - Circonstance sans incidence sur la légalité de cet acte.




Instruction du ministre de la cohésion des territoires et des relations avec les collectivités territoriales et du ministre de l'intérieur, prise dans le cadre de leur pouvoir d'organisation des services placés sous leur autorité, définissant les caractéristiques du traitement de données, prenant la forme de la transmission d'informations des services intégrés d'accueil et d'orientation (SIAO) à l'Office français de l'immigration et de l'intégration (OFII) prévu à l'article L. 744-6 du code de l'entrée et du séjour des étrangers et du droit d'asile (CESEDA) ainsi que les garanties qui l'entourent. 1) L'article 35 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD) prévoit que le responsable du traitement effectue une analyse d'impact relative à la protection des données lorsque le traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques. Si cette analyse incombe au responsable du traitement, sa réalisation est en principe préalable à la mise en oeuvre du traitement et l'analyse doit être actualisée après le lancement effectif du traitement afin de garantir en permanence une prise en compte adaptée des risques pour les droits et libertés des personnes physiques liés au traitement de leurs données à caractère personnel. 2) Ainsi, alors que la réalisation d'une analyse d'impact d'un traitement de données personnelles, dont l'absence peut donner lieu à des sanctions par la CNIL en application de l'article 20 de la loi n° 78-17 du 6 janvier 1978, est liée à la mise en oeuvre de ce traitement, la seule circonstance, invoquée par les associations requérantes, qu'elle n'aurait pas été réalisée avant la signature de l'instruction n'est pas de nature à entacher celle-ci d'illégalité. Le moyen tiré de la méconnaissance par l'instruction attaquée de l'article 35 du RGPD doit par suite et en tout état de cause être écarté.




26-07-06 : Droits civils et individuels- Protection des données à caractère personnel- Questions propres à certaines catégories de traitements-

Traitement susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques - Analyse d'impact devant être effectué par le responsable du traitement (art. 35 du RGPD) - 1) Obligation relevant de la mise en oeuvre du traitement - 2) Conséquence - Circonstance que cette analyse n'a pas été réalisée avant l'édiction de l'acte définissant le traitement - Circonstance sans incidence sur la légalité de cet acte.




Instruction du ministre de la cohésion des territoires et des relations avec les collectivités territoriales et du ministre de l'intérieur, prise dans le cadre de leur pouvoir d'organisation des services placés sous leur autorité, définissant les caractéristiques du traitement de données, prenant la forme de la transmission d'informations des services intégrés d'accueil et d'orientation (SIAO) à l'Office français de l'immigration et de l'intégration (OFII) prévu à l'article L. 744-6 du code de l'entrée et du séjour des étrangers et du droit d'asile (CESEDA) ainsi que les garanties qui l'entourent. 1) L'article 35 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD) prévoit que le responsable du traitement effectue une analyse d'impact relative à la protection des données lorsque le traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques. Si cette analyse incombe au responsable du traitement, sa réalisation est en principe préalable à la mise en oeuvre du traitement et l'analyse doit être actualisée après le lancement effectif du traitement afin de garantir en permanence une prise en compte adaptée des risques pour les droits et libertés des personnes physiques liés au traitement de leurs données à caractère personnel. 2) Ainsi, alors que la réalisation d'une analyse d'impact d'un traitement de données personnelles, dont l'absence peut donner lieu à des sanctions par la CNIL en application de l'article 20 de la loi n° 78-17 du 6 janvier 1978, est liée à la mise en oeuvre de ce traitement, la seule circonstance, invoquée par les associations requérantes, qu'elle n'aurait pas été réalisée avant la signature de l'instruction n'est pas de nature à entacher celle-ci d'illégalité. Le moyen tiré de la méconnaissance par l'instruction attaquée de l'article 35 du RGPD doit par suite et en tout état de cause être écarté.

Voir aussi