Délibération n° 2025-090 du 16 octobre 2025 portant avis sur l’article 34 du projet de loi portant diverses dispositions d’adaptation au droit du l’Union européenne en matière économique, financière, énergétique, de consommation
| Numéro | 2025-090 |
| Date | jeudi 16 octobre 2025 |
| Nature | Délibération |
| État | En vigueur |
| Référence | CNILTEXT000052593027 |
|
N° de demande d’avis : 25016459 |
Thématiques : règlement sur les données, autorité compétente, coopération, ARCEP |
|
Organisme(s) à l’origine de la saisine : ministère de l’Économie, des Finances et de la Souveraineté industrielle et numérique |
Fondement de la saisine : article 8, I, 2°, e) de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés |
L’essentiel :
1. L’article 34 du projet de loi portant diverses dispositions d’adaptation au droit du l’Union européenne en matière économique, financière, énergétique, de consommation désigne l’ARCEP comme autorité compétente au titre de l’article 37 du règlement sur les données et définit ses pouvoirs et missions.
2. Le paragraphe V de cet article 34 mentionne la coopération entre l’ARCEP et la CNIL pour l’exercice des missions et pouvoirs qui leur sont conférés au titre du règlement sur les données. La CNIL et l’ARCEP pourront donc établir conjointement les modalités pratiques de leur coopération afin d’assurer une coordination efficace de leurs actions.
3. Le paragraphe V prévoit également l’inapplicabilité des articles L. 311-5 et L. 311-6 du CRPA à la communication de documents administratifs entre la CNIL et l’ARCEP dans le cadre de leur coopération au titre du règlement sur les données. La CNIL considère que cette disposition est pertinente afin de ne pas faire obstacle à la bonne coopération des autorités. Les autorités veilleront, au cas par cas, à ce que la communication d’informations sensibles soit limitée aux hypothèses dans lesquelles elle est réellement nécessaire.
___________________
La Commission nationale de l'informatique et des libertés,
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD) ;
Vu le règlement (UE) 2023/2854 du Parlement européen et du Conseil du 13 décembre 2023 concernant des règles harmonisées portant sur l'équité de l’accès aux données et de l’utilisation des données et modifiant le règlement (UE) 2017/2394 et la directive (UE) 2020/1828 (règlement sur les données) ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (loi informatique et libertés) ;
Sur la proposition de M. Bertrand Du Marais, commissaire, et les observations de M. Damien Milic, commissaire du Gouvernement,
Adopte la délibération suivante :
I. La saisine
A. Le contexte
Le règlement (UE) 2023/2854 du Parlement européen et du Conseil du 13 décembre 2023 concernant des règles harmonisées portant sur l'équité de l’accès aux données et de l’utilisation des données, dit règlement sur les données, est entré en vigueur le 12 septembre 2025.
Ce règlement établit des règles horizontales relatives à l’accès, l’utilisation et le partage des données liées à l’utilisation d’objets connectés, entre les détenteurs des données et les utilisateurs de ces objets. Il vient ainsi compléter le règlement sur la gouvernance des données (Data Governance Act ou DGA) qui a instauré des processus et des structures destinés à faciliter le partage des données, tels que les prestataires de services d’intermédiation ou encore les organisations altruistes en matière de données.
L’article 37 du règlement prévoit que les Etats membres doivent désigner une ou plusieurs autorités compétentes chargées de son application et de son exécution.
B. L’objet de la saisine
La CNIL a été saisie par le ministère de l’Économie, des Finances et de la Souveraineté industrielle et numérique de l’article 34 d’un projet de loi portant diverses dispositions d’adaptation au droit de l’Union européenne en matière économique, financière, énergétique, de consommation (DDADUE). Il désigne l’Autorité de régulation des communications électroniques des postes et de la distribution de la presse (ARCEP) comme autorité compétente au titre de l’article 37 du règlement sur les données, à l’exception du chapitre VII.
L’article 34 du projet de loi DDADUE fixe également les missions et pouvoirs de l’ARCEP, y compris de sanction, permettant d’assurer l’exécution du règlement sur les données.
Son paragraphe V précise que les dispositions des articles L. 311-5 et L. 311-6 du code des relations entre le public et l'administration (CRPA) ne peuvent faire obstacle à la communication de documents administratifs entre la CNIL et l’ARCEP dans le cadre de leur coopération pour l’exercice des missions et pouvoirs qui leur sont conférés au titre du règlement sur les données.
II. L’avis de la CNIL
A. Sur le principe de coopération
Conformément au g) du paragraphe 5 de l’article 37 du règlement sur les données, les Etats membres doivent veiller à ce que les missions et pouvoirs des autorités compétentes soient clairement définis et incluent, notamment, la coopération avec l'autorité de contrôle chargée de surveiller l'application du RGPD afin de veiller à ce que le règlement sur les données soit appliqué de manière cohérente par rapport aux autres dispositions du droit de l'Union et du droit national.
Le paragraphe V de l’article 34 du projet de loi DDADUE mentionne cette coopération entre l’ARCEP et la CNIL pour l’exercice des missions et pouvoirs qui leur sont conférés au titre du règlement sur les données.
La CNIL et l’ARCEP pourront donc établir conjointement, sur le fondement de cette disposition, les modalités pratiques de leur coopération afin d’assurer une coordination efficace de leurs actions, complémentaires, dans la mise en œuvre des exigences du règlement sur les données.
B. Sur la communication de documents administratifs
Le paragraphe V de l’article 34 du projet de loi DDADUE prévoit, par dérogation au premier alinéa de l’article 1er de la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique, l’inapplicabilité des articles L. 311-5 et L. 311-6 du CRPA à la communication de documents administratifs entre la CNIL et l’ARCEP dans le cadre de leur coopération pour l’exercice des missions et pouvoirs qui leurs sont conférés au titre du règlement sur les données.
La CNIL considère que cette disposition est pertinente afin de ne pas faire obstacle à la bonne coopération des autorités.
Il leur appartiendra de veiller, au cas par cas, à ce que la communication d’informations sensibles, protégées par les articles L. 311-5 et L. 311-6 du CRPA, soit limitée aux hypothèses dans lesquelles elle est effectivement nécessaire pour leur coopération au titre du règlement sur les données.
La présidente,
M.-L. Denis
Délibération n° 2026-026 du 19 mars 2026 portant avis sur un projet de traitement à des fins de recherche scientifique relatif à la mise en oeuvre d’une analyse discursive et interactionnelle en intervention précoce en psychiatrie
L'Université de Montpellier Paul-Valéry a sollicité un avis de la CNIL sur un projet de recherche en psychiatrie impliquant le traitement de données sensibles. La Commission a émis un avis favorable, assorti de recommandations pour atténuer les risques de réidentification, notamment par la pseudonymisation et la suppression des données non pertinentes après analyse. Elle rappelle également l'obligation d'informer les personnes concernées et de vérifier l'application de la dérogation prévue pour la recherche scientifique.
19/03/2026
Délibération n° HABS-2026-001 du 19 mars 2026 habilitant des agents de la Commission nationale de l’informatique et des libertés à établir un rapport en application du cinquième alinéa de l'article 22-1 de la loi n° 78-17 du 6 janvier 1978 modifiée
La CNIL, en tant qu'organisme concerné, a adopté une délibération interne portant habilitation. Cette décision vise à habiliter vingt-cinq agents spécifiques de sa direction des contrôles et des sanctions à établir des rapports dans le cadre de ses pouvoirs de contrôle. Les habilitations sont accordées pour une durée de cinq ans et remplacent une précédente délibération. Aucune sanction n'est mentionnée, cette délibération étant un acte d'organisation interne de l'autorité.
19/03/2026
Délibération n° 2026-023 du 12 mars 2026 portant avis sur un projet de loi renforçant la sécurité du quotidien
La CNIL émet un avis sur un projet de loi du ministère de l'Intérieur visant à renforcer la sécurité du quotidien. Elle relève plusieurs manquements ou risques concernant l'élargissement de l'usage des caméras individuelles à des acteurs privés, l'expérimentation prolongée de traitements algorithmiques sur vidéosurveillance et drones, et la généralisation des dispositifs LAPI avec des durées de conservation allongées. La Commission souligne la nécessité de strictes limites, d'un meilleur encadrement et du respect du principe de proportionnalité pour ces dispositifs intrusifs, afin de protéger les libertés individuelles.
12/03/2026
Délibération n° 2026-019 du 05 mars 2026 portant avis sur un projet de traitement à des fins de recherche scientifique dont l’objectif est d’étudier l’état du droit de la filiation procréative des personnes transgenres (PROTRANS)
L'Université Lumière Lyon 2 a sollicité un avis de la CNIL pour un projet de recherche scientifique sur la filiation procréative des personnes transgenres, impliquant le traitement de données sensibles. La CNIL émet un avis favorable mais formule des recommandations, notamment sur la nécessité de clarifier la répartition des responsabilités entre les universités co-responsables du traitement. Elle souligne également les risques de collecte incidente de données lors des entretiens et de réidentification des personnes, en raison du faible nombre de participants et de la collecte d'informations telles que la commune de naissance dans les décisions de justice.
05/03/2026