Tables Informatique & Libertés de la CNIL : toutes les nouveautés 2026

Qu'est-ce que les Tables Informatique & Libertés de la CNIL ?

À la différence des recueils de jurisprudence classiques, les Tables présentent une double originalité. D'un côté, elles intègrent les décisions publiques des juridictions judiciaires et administratives françaises, ainsi que la jurisprudence de la Cour de justice de l'Union européenne (CJUE). De l'autre, elles exposent la pratique décisionnelle interne de la CNIL : mises en demeure, sanctions de la formation restreinte, courriers de la présidente, avis sur textes réglementaires — autant de positions qui, faute de publicité suffisante, restaient largement méconnues des praticiens.

Ce document répond à un manque réel dans l'écosystème de la protection des données. Si la jurisprudence judiciaire et administrative est accessible par de multiples canaux, la doctrine interne de la CNIL — forgée au fil de milliers de dossiers annuels — n'avait jusqu'alors aucun vecteur de diffusion organisé. Les Tables comblent ce vide en offrant aux délégués à la protection des données (DPD), aux avocats, aux juristes et aux responsables de traitement un outil de référence pratique et systématique.

Les Tables sont structurées en grandes parties thématiques : sources du droit, champ d'application du RGPD, notions fondamentales (donnée personnelle, responsable du traitement, sous-traitant…), principes directeurs, droits des personnes, règles sectorielles, procédures et sanctions. Elles sont régulièrement mises à jour afin d'intégrer les décisions les plus récentes.

La version 2026 (V 2.3, publiée le 20 février 2026) succède à la version 2025 (V 2.1, publiée le 26 février 2025). Elle est désormais signée par Vincent Villette, qui a succédé à Louis Dutheillet de Lamothe à la présidence de la CNIL. La présente analyse recense l'ensemble des jurisprudences nouvellement intégrées dans cette mise à jour, regroupées par thèmes.

Thème 1 - Notion de donnée à caractère personnel

La version 2026 enrichit significativement la section relative à la définition même de la « donnée à caractère personnel » (art. 4(1) RGPD) avec un arrêt fondamental sur les chaînes de consentement numérique.

La TC String (chaîne de consentement publicitaire) constitue une donnée à caractère personnel

CJUE, 7 mars 2024, IAB Europe, Affaire C-604/22

La Cour de justice juge que la TC String (Transparency and Consent String) — cette chaîne alphanumérique qui capture les préférences d'un internaute en matière de consentement au ciblage publicitaire — constitue une donnée à caractère personnel au sens de l'article 4(1) du RGPD, dès lors qu'elle peut être associée à un identifiant (comme l'adresse IP de l'appareil) permettant d'identifier la personne concernée.

La circonstance que l'organisation sectorielle détenant cette chaîne (en l'espèce IAB Europe) ne puisse pas elle-même, sans contribution extérieure, combiner la TC String avec d'autres données pour identifier l'utilisateur, ne fait pas obstacle à cette qualification. La Cour précise en outre que IAB Europe doit être qualifiée de responsable conjoint du traitement, dans la mesure où elle a établi les règles techniques et les modalités de stockage de ces données de consentement pour le compte de ses membres.

Note : Cet arrêt apparaît dans deux sections des Tables : au titre de la notion de donnée personnelle (§ 1.3.1) et au titre des acteurs du traitement/responsabilité conjointe (§ 1.3.7).

Thème 2 - Acteurs du traitement : responsable et responsabilité conjointe

Ces décisions de la CJUE viennent affiner la notion de responsable du traitement et les conditions de la responsabilité conjointe dans des contextes inédits.

Le service du Journal officiel d'un État membre peut être responsable du traitement des données figurant dans les actes publiés

CJUE, 11 janvier 2024, État belge c. Autorité de protection des données, C-231/22

La Cour juge que le service ou organisme chargé du Journal officiel d'un État membre, tenu de publier tels quels des actes et documents officiels préparés par des tiers, peut être qualifié de responsable du traitement des données à caractère personnel figurant dans ces actes, même s'il est dépourvu de personnalité juridique propre — dès lors que le droit national détermine les finalités et les moyens du traitement.

Sur la question des responsabilités successives, la Cour précise que le service du Journal officiel est seul responsable du respect des principes du RGPD pour les opérations de traitement qu'il effectue en vertu du droit national, à moins qu'une responsabilité conjointe avec d'autres entités ne découle explicitement de ce droit.

L'organisation sectorielle IAB Europe est responsable conjoint du traitement des données de consentement

CJUE, 7 mars 2024, IAB Europe, Affaire C-604/22

En complément de son apport sur la notion de donnée personnelle (voir supra), cet arrêt pose une règle importante sur la responsabilité conjointe des organisations sectorielles. Une telle organisation doit être qualifiée de responsable conjoint si elle propose à ses membres un cadre de règles contenant non seulement des règles techniques contraignantes, mais aussi des règles précisant de façon détaillée les modalités de stockage et de diffusion des données de consentement — et ce, quand bien même elle n'aurait pas elle-même accès aux données traitées par ses membres.

La Cour apporte toutefois un tempérament important : cette responsabilité conjointe ne s'étend pas automatiquement aux traitements ultérieurs effectués par des tiers (fournisseurs de sites Internet ou d'applications) pour ce qui concerne les préférences des utilisateurs aux fins de la publicité ciblée en ligne.

Responsabilité de l'exploitant d'une place de marché en ligne pour les annonces publiées par ses utilisateurs

CJUE, 2 décembre 2025, Russmedia Digital et Inform Media Press, aff. C-492/23

Cet arrêt, parmi les plus riches de la mise à jour 2026, fixe le régime de responsabilité de l'exploitant d'une place de marché en ligne (marketplace) pour les annonces publiées par ses utilisateurs annonceurs. La Cour juge que l'exploitant est coresponsable du traitement des données à caractère personnel contenues dans ces annonces.

À ce titre, avant toute publication, il est tenu de :

1. identifier les annonces contenant des données sensibles au sens de l'art. 9(1) RGPD ;
2. vérifier que l'utilisateur annonceur est bien la personne dont les données sensibles figurent dans l'annonce ;
3. refuser la publication si ce n'est pas le cas, sauf consentement explicite de la personne concernée.

Il doit en outre mettre en œuvre des mesures de sécurité empêchant la copie illicite des annonces sur d'autres sites. Enfin, la Cour exclut que l'exploitant puisse se prévaloir du régime d'exonération de responsabilité des prestataires intermédiaires (directive e-commerce) pour se soustraire à ses obligations RGPD.

Note : Cet arrêt est cité dans trois sections des Tables (§ 1.3.3 données sensibles, § 2.8 sécurité, § 3.1 responsabilité conjointe).

Thème 3 - Bases légales du traitement

Cette décision précise les contours de l'obligation légale (art. 6(1)(c) RGPD) et de l'intérêt légitime dans le contexte des réseaux sociaux.

L'obligation de l'employeur de diligenter une enquête interne issue du Code du travail ne constitue pas une « obligation légale » au sens du RGPD

CE, 10ème–9ème chambres réunies, 1er décembre 2025, n° 498023

Le Conseil d'État tranche une question pratique essentielle pour les employeurs : l'obligation qui leur incombe, en vertu du Code du travail, de diligenter une enquête interne pour protéger la santé et la sécurité des travailleurs (notamment en cas de signalement de harcèlement ou de risque grave) ne peut pas être regardée comme une « obligation légale » au sens de l'article 6(1)(c) du RGPD.

En conséquence, cette obligation ne peut pas servir de base juridique au traitement de données personnelles éventuellement mis en œuvre lors d'une telle enquête. Les employeurs devront donc fonder leurs traitements sur une autre base légale (consentement, intérêt légitime, contrat, etc.) pour les données collectées dans ce cadre.

Note : Cette décision est citée deux fois dans les Tables (§ 2.4.3 obligation légale et dans la partie relative au travail, § 6.7).

Thème 4 - Données sensibles : santé, biométrie et orientation sexuelle

La version 2026 ajoute trois décisions importantes sur les catégories particulières de données.

Les données de commande de médicaments sans ordonnance sur une pharmacie en ligne constituent des données de santé

CJUE, 4 octobre 2024, Lindenapotheke, Affaire C-21/23

La Cour de justice précise que, lorsqu'un pharmacien commercialise des médicaments par le biais d'une plateforme en ligne, les informations saisies lors de la commande — nom, adresse de livraison, et éléments d'individualisation des médicaments — constituent des données concernant la santé au sens de l'article 9(1) du RGPD et de la directive 95/46/CE, même lorsque la vente de ces médicaments n'est pas soumise à prescription médicale.

Cette solution étend le périmètre des données de santé sensiblement au-delà des seules données médicales stricto sensu et impose aux opérateurs de pharmacies en ligne le respect des conditions strictes de licéité applicables aux données sensibles.

Le règlement sur les cartes d'identité biométriques est invalide en raison d'une base juridique erronée, mais ses effets sont maintenus

CJUE, 21 mars 2024, Landeshauptstadt Wiesbaden, C-61/22

La Cour juge que le règlement (UE) 2019/1157 sur le renforcement de la sécurité des cartes d'identité des citoyens de l'Union est invalide, car adopté sur une base juridique erronée. Toutefois, elle considère que l'insertion obligatoire de deux empreintes digitales dans les cartes d'identité est compatible avec les droits fondamentaux au respect de la vie privée et à la protection des données.

Par un souci de sécurité juridique et pour éviter un vide réglementaire, la Cour décide de maintenir les effets du règlement invalide dans le temps, jusqu'à l'entrée en vigueur d'un nouveau règlement fondé sur la base juridique appropriée.

La publicité personnalisée sur les réseaux sociaux viole le principe de minimisation ; la déclaration publique sur l'orientation sexuelle n'autorise pas un traitement étendu

CJUE, 11 janvier 2024, Schrems (Communication de données au grand public), C-446/21

Dans cet arrêt rendu à l'initiative de Max Schrems contre Meta, la CJUE pose deux principes essentiels :

1. Sur la minimisation des données : l'article 5(1)(c) du RGPD s'oppose à ce que l'ensemble des données collectées par une plateforme de réseau social — auprès de la personne concernée ou de tiers, sur la plateforme comme en dehors — soient agrégées et traitées à des fins de publicité ciblée, sans limitation dans le temps et sans distinction en fonction de la nature des données.
2. Sur les données d'orientation sexuelle rendues publiques : la circonstance qu'une personne se soit exprimée sur son orientation sexuelle lors d'une table ronde publique n'autorise pas l'exploitant d'un réseau social à traiter d'autres données relatives à cette orientation sexuelle, obtenues en dehors de la plateforme (applications et sites tiers partenaires), pour lui proposer de la publicité personnalisée. L'exception de « données manifestement rendues publiques » (art. 9(2)(e) RGPD) est d'interprétation stricte.

Note : Cet arrêt est cité dans deux sections des Tables (§ 1.3.3 données sensibles et § 2.5 minimisation des données).

Thème 5 - Sécurité des données et obligations du responsable de traitement

La version 2026 intègre deux décisions importantes sur les exigences de sécurité : l'une issue de la CJUE sur les places de marché en ligne (déjà citée supra), l'autre d'une sanction CNIL de janvier 2026 sur le télétravail.

Télétravail et nomadisme numérique : l'accès au VPN depuis des postes non maîtrisés et la collecte de logs sans exploitation constituent des manquements à l'article 32 RGPD

CNIL, Formation restreinte, 8 janvier 2026, Société X, no SAN-2026-001, publiée

Dans l'une des premières sanctions de l'année 2026, la formation restreinte de la CNIL précise les obligations de sécurité spécifiques au contexte du nomadisme numérique et du télétravail. Elle considère que constituent des manquements à l'article 32 du RGPD :

1. L'accès au VPN depuis des postes n'appartenant pas au parc informatique de l'entreprise, dans la mesure où le responsable de traitement ne maîtrise pas les mesures de sécurité mises en œuvre sur ces équipements, qui peuvent ne pas correspondre au niveau de sécurité requis.
2. La simple collecte des données de journalisation sans exploitation. Un dispositif de journalisation n'est en effet efficace que si l'entité est effectivement en capacité de traiter les informations enregistrées afin de détecter rapidement tout comportement suspect. Collecter des logs sans les analyser ne satisfait pas aux exigences de sécurité.

Thème 6 - Délégué à la protection des données (DPD ou DPO) et vidéoprotection

Une sanction CNIL de septembre 2025 vient préciser les obligations préalables à l'installation d'un dispositif de vidéosurveillance dissimulée.

L'installation de caméras dissimulées sans consultation préalable du DPD constitue un manquement à l'article 38-1 du RGPD

CNIL, Formation restreinte, 18 septembre 2025, Société X, no SAN-2025-008, publiée

La CNIL sanctionne une société qui avait déployé un dispositif de vidéosurveillance au moyen de caméras dissimulées dans des détecteurs de fumée, sans avoir au préalable associé le délégué à la protection des données (DPD) à la conception de ce traitement.

La formation restreinte considère que le fait de ne pas consulter le DPD avant de mettre en place un traitement de données à caractère personnel particulièrement intrusif est susceptible de constituer un manquement à l'article 38(1) du RGPD, qui impose au responsable de traitement d'associer le DPD à toutes les questions relatives à la protection des données personnelles.

Cette décision renforce la portée de l'obligation d'association du DPD, en l'étendant clairement aux dispositifs de surveillance au caractère particulièrement attentatoire à la vie privée.

Note : Cette décision est citée deux fois dans les Tables (section 6.8 travail/vidéosurveillance et dans la section sur le DPD, § 3.6).

Conclusion : ce qu'il faut retenir de la mise à jour 2026

La version V 2.3 des Tables Informatique & Libertés de la CNIL illustre plusieurs tendances de fond dans l'application du RGPD :

• L'économie de la donnée publicitaire en ligne sous pression renforcée. Les arrêts IAB Europe (C-604/22) et Schrems (C-446/21) convergent pour resserrer l'encadrement de la publicité personnalisée : la TC String est une donnée personnelle, les acteurs sectoriels peuvent être coresponsables même sans accès direct aux données, et l'agrégation sans limite temporelle viole le principe de minimisation.
• La responsabilité des plateformes en ligne s'étend aux contenus publiés par les utilisateurs. L'arrêt Russmedia Digital (C-492/23) est particulièrement structurant pour les opérateurs de marketplaces : ils ne peuvent se retrancher derrière le régime d'exonération des hébergeurs pour esquiver leurs obligations RGPD de coresponsables du traitement.
• Les obligations de sécurité dans le contexte du télétravail sont précisées. La sanction SAN-2026-001 constitue le premier signal clair de la CNIL sur les risques spécifiques liés au nomadisme numérique, en ciblant deux pratiques très répandues : l'accès VPN depuis des équipements personnels non maîtrisés et l'absence d'exploitation des journaux de connexion.
• La portée du rôle du DPD est renforcée. La sanction SAN-2025-008 rappelle avec force que l'obligation d'associer le DPD est particulièrement impérative pour les traitements à fort impact sur la vie privée, comme la vidéosurveillance dissimulée.

Pour les professionnels de la protection des données, la lecture des Tables — et de leur évolution d'une version à l'autre — reste l'un des meilleurs moyens de suivre la doctrine opérationnelle de la CNIL et d'anticiper les positions qu'elle adoptera dans le traitement des plaintes et des contrôles.

Le logiciel RGPD du DPO

Les DPO internes, vous disposez de documentations et d’outils intuitifs, permettant la collaboration avec vos équipes.

Les DPO mutualisés et externes (consultants freelance, cabinets d'avocats ou de conseil, institutions publiques), en plus de disposer des mémes fonctionnalités que les DPO internes pour tous vos clients, vous gérez ensemble sur une seule plateforme.

En savoir plus