Résumé de la juridiction
Délibération n° 2025-090 du 16 octobre 2025 portant avis sur l’article 34 du projet de loi portant diverses dispositions d’adaptation au droit du l’Union européenne en matière économique, financière, énergétique, de consommation
Commentaire • 0
Sur la décision
| Référence : | CNIL, délib. n° 2025-090, 16 oct. 2025 |
|---|---|
| Numéro : | 2025-090 |
| Nature de la délibération : | Avis |
| État : | VIGUEUR |
| Identifiant Légifrance : | CNILTEXT000052593027 |
Texte intégral
|
N° de demande d’avis : 25016459 |
Thématiques : règlement sur les données, autorité compétente, coopération, ARCEP |
|
Organisme(s) à l’origine de la saisine : ministère de l’Économie, des Finances et de la Souveraineté industrielle et numérique |
Fondement de la saisine : article 8, I, 2°, e) de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés |
L’essentiel :
1. L’article 34 du projet de loi portant diverses dispositions d’adaptation au droit du l’Union européenne en matière économique, financière, énergétique, de consommation désigne l’ARCEP comme autorité compétente au titre de l’article 37 du règlement sur les données et définit ses pouvoirs et missions.
2. Le paragraphe V de cet article 34 mentionne la coopération entre l’ARCEP et la CNIL pour l’exercice des missions et pouvoirs qui leur sont conférés au titre du règlement sur les données. La CNIL et l’ARCEP pourront donc établir conjointement les modalités pratiques de leur coopération afin d’assurer une coordination efficace de leurs actions.
3. Le paragraphe V prévoit également l’inapplicabilité des articles L. 311-5 et L. 311-6 du CRPA à la communication de documents administratifs entre la CNIL et l’ARCEP dans le cadre de leur coopération au titre du règlement sur les données. La CNIL considère que cette disposition est pertinente afin de ne pas faire obstacle à la bonne coopération des autorités. Les autorités veilleront, au cas par cas, à ce que la communication d’informations sensibles soit limitée aux hypothèses dans lesquelles elle est réellement nécessaire.
___________________
La Commission nationale de l’informatique et des libertés,
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD) ;
Vu le règlement (UE) 2023/2854 du Parlement européen et du Conseil du 13 décembre 2023 concernant des règles harmonisées portant sur l’équité de l’accès aux données et de l’utilisation des données et modifiant le règlement (UE) 2017/2394 et la directive (UE) 2020/1828 (règlement sur les données) ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (loi informatique et libertés) ;
Sur la proposition de M. Bertrand Du Marais, commissaire, et les observations de M. Damien Milic, commissaire du Gouvernement,
Adopte la délibération suivante :
I. La saisine
A. Le contexte
Le règlement (UE) 2023/2854 du Parlement européen et du Conseil du 13 décembre 2023 concernant des règles harmonisées portant sur l’équité de l’accès aux données et de l’utilisation des données, dit règlement sur les données, est entré en vigueur le 12 septembre 2025.
Ce règlement établit des règles horizontales relatives à l’accès, l’utilisation et le partage des données liées à l’utilisation d’objets connectés, entre les détenteurs des données et les utilisateurs de ces objets. Il vient ainsi compléter le règlement sur la gouvernance des données (Data Governance Act ou DGA) qui a instauré des processus et des structures destinés à faciliter le partage des données, tels que les prestataires de services d’intermédiation ou encore les organisations altruistes en matière de données.
L’article 37 du règlement prévoit que les Etats membres doivent désigner une ou plusieurs autorités compétentes chargées de son application et de son exécution.
B. L’objet de la saisine
La CNIL a été saisie par le ministère de l’Économie, des Finances et de la Souveraineté industrielle et numérique de l’article 34 d’un projet de loi portant diverses dispositions d’adaptation au droit de l’Union européenne en matière économique, financière, énergétique, de consommation (DDADUE). Il désigne l’Autorité de régulation des communications électroniques des postes et de la distribution de la presse (ARCEP) comme autorité compétente au titre de l’article 37 du règlement sur les données, à l’exception du chapitre VII.
L’article 34 du projet de loi DDADUE fixe également les missions et pouvoirs de l’ARCEP, y compris de sanction, permettant d’assurer l’exécution du règlement sur les données.
Son paragraphe V précise que les dispositions des articles L. 311-5 et L. 311-6 du code des relations entre le public et l’administration (CRPA) ne peuvent faire obstacle à la communication de documents administratifs entre la CNIL et l’ARCEP dans le cadre de leur coopération pour l’exercice des missions et pouvoirs qui leur sont conférés au titre du règlement sur les données.
II. L’avis de la CNIL
A. Sur le principe de coopération
Conformément au g) du paragraphe 5 de l’article 37 du règlement sur les données, les Etats membres doivent veiller à ce que les missions et pouvoirs des autorités compétentes soient clairement définis et incluent, notamment, la coopération avec l’autorité de contrôle chargée de surveiller l’application du RGPD afin de veiller à ce que le règlement sur les données soit appliqué de manière cohérente par rapport aux autres dispositions du droit de l’Union et du droit national.
Le paragraphe V de l’article 34 du projet de loi DDADUE mentionne cette coopération entre l’ARCEP et la CNIL pour l’exercice des missions et pouvoirs qui leur sont conférés au titre du règlement sur les données.
La CNIL et l’ARCEP pourront donc établir conjointement, sur le fondement de cette disposition, les modalités pratiques de leur coopération afin d’assurer une coordination efficace de leurs actions, complémentaires, dans la mise en œuvre des exigences du règlement sur les données.
B. Sur la communication de documents administratifs
Le paragraphe V de l’article 34 du projet de loi DDADUE prévoit, par dérogation au premier alinéa de l’article 1er de la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique, l’inapplicabilité des articles L. 311-5 et L. 311-6 du CRPA à la communication de documents administratifs entre la CNIL et l’ARCEP dans le cadre de leur coopération pour l’exercice des missions et pouvoirs qui leurs sont conférés au titre du règlement sur les données.
La CNIL considère que cette disposition est pertinente afin de ne pas faire obstacle à la bonne coopération des autorités.
Il leur appartiendra de veiller, au cas par cas, à ce que la communication d’informations sensibles, protégées par les articles L. 311-5 et L. 311-6 du CRPA, soit limitée aux hypothèses dans lesquelles elle est effectivement nécessaire pour leur coopération au titre du règlement sur les données.
La présidente,
M.-L. Denis
Décisions similaires
Citées dans les mêmes commentaires • 3
- Cnil ·
- Informatique et libertés ·
- Finalité ·
- Traitement de données ·
- Eaux intérieures ·
- Bateau de plaisance ·
- Liberté ·
- Gendarmerie ·
- Conseil d'etat ·
- Directive
- Cnil ·
- Empreinte digitale ·
- Traitement ·
- Mise en relation ·
- Casier judiciaire ·
- Données biométriques ·
- Effacement ·
- Système ·
- Condamnation ·
- Fiche
- Cnil ·
- Tachygraphe ·
- Transport routier ·
- Traitement ·
- Données ·
- Contrôle ·
- Informatique et libertés ·
- Règlement (ue) ·
- Véhicule ·
- Ministère
Citant les mêmes articles de loi • 3
- Cnil ·
- Transport ·
- Collecte de données ·
- Information ·
- Service ·
- Caractère ·
- Utilisateur ·
- Personnel ·
- Règlement délégué ·
- Site web
- Cnil ·
- Transport ·
- Information ·
- Service ·
- Règlement délégué ·
- Utilisateur ·
- Site web ·
- Collecte de données ·
- Web ·
- Commerce électronique
- Cnil ·
- Expérimentation ·
- Identité ·
- Renouvellement ·
- Passeport ·
- Empreinte digitale ·
- Fraudes ·
- Ministère ·
- Décret ·
- Visioconférence
De référence sur les mêmes thèmes • 3
- Cnil ·
- Navire ·
- Traitement de données ·
- Informatique et libertés ·
- Finalité ·
- Pêche ·
- Gendarmerie ·
- Conseil d'etat ·
- Directive ·
- Avis
- Cnil ·
- Informatique et libertés ·
- Traitement de données ·
- Navire ·
- Finalité ·
- Gendarmerie ·
- Conseil d'etat ·
- Directive ·
- Contrôle ·
- Douanes
- Cnil ·
- Traitement de données ·
- Informatique et libertés ·
- Finalité ·
- Navire ·
- Gendarmerie ·
- Conseil d'etat ·
- Directive ·
- Bateau de plaisance ·
- Avis
Sur les mêmes thèmes • 3
- Bénéficiaire ·
- Fiducie ·
- Blanchiment de capitaux ·
- Terrorisme ·
- Cnil ·
- Trust ·
- Directive ·
- Information ·
- Accès ·
- Personnes
- Données biométriques ·
- Projet de loi ·
- Empreinte digitale ·
- Cnil ·
- Collecte ·
- Identité ·
- Système d'information ·
- Contrôle ·
- Consultation ·
- Photographie
- Cookies ·
- Formation restreinte ·
- Utilisateur ·
- Consentement ·
- Informatique et libertés ·
- Cnil ·
- Sociétés ·
- Finalité ·
- Liberté ·
- Traitement
Textes cités dans la décision
- Data Act - Règlement (UE) 2023/2854 du 13 décembre 2023 concernant des règles harmonisées portant sur l'équité de l’accès aux données et de l’utilisation des données
- Directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données
- Loi n° 78-17 du 6 janvier 1978
- LOI n°2016-1321 du 7 octobre 2016
- Code des relations entre le public et l'administration
Aucune décision de référence ou d'espèce avec un extrait similaire.