Précisions sur le cadre légal applicable en cas de traitement de données sensibles mis en oeuvre par ou pour le compte de l’État

La décision du Conseil d’État, rendue le 27 mai 2021, présente trois intérêts principaux.

Tout d’abord, contrairement à ce qu’indique l’article 31 de la loi n° 78-17 du 6 janvier 1978, le Conseil d’État juge le décret régulier bien qu’un délai se soit écoulé entre la publication du décret et celle de l’avis de la CNIL.

Ensuite, pour déterminer quelles règles sont applicables en cas de traitement de données sensibles, le Conseil d’État doit au préalable se pencher sur la question de l’articulation entre le RGPD et la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016, dite « Police-Justice ». Le premier de ces textes s’applique largement quand le second s’intéresse uniquement aux traitements...