AdmisConcours
Recrutements Bibliothèque Concours
← Décryptages thématiques
Libertés fondamentales 03/04/2026

La création de traitements automatisés de données personnelles par l'État : entre transformation numérique de l'administration et protection des libertés fondamentales, à la lumière des arrêtés de mars 2026

Le Journal officiel de la République française a publié, au cours du mois de mars 2026, plusieurs arrêtés créant des traitements automatisés de données à caractère personnel dans la sphère publique. Un arrêté du 26 mars 2026 institue un traitement pour la gestion des dossiers de nationalité au ministère de la Justice. Plus tôt, un arrêté du 27 février 2026 a créé le traitement « OASIS » (Outil d'analyse et de suivi des incidents signalés) relatif aux mineurs confiés à la protection judiciaire de la jeunesse. Par ailleurs, un décret modifiant le téléservice FranceConnect, utilisé par 45 millions de personnes pour accéder aux services publics en ligne (près de 500 millions de connexions en 2025), a été publié pour actualiser les conditions de traitement des données d'identification. Ces actes réglementaires s'inscrivent dans un contexte de numérisation accélérée de l'administration, alors que la CNIL a publié en mars 2026 la mise à jour de ses Tables Informatique et Libertés et que le Comité européen de la protection des données (CEPD) a lancé une action coordonnée portant sur les obligations de transparence et d'information prévues par le RGPD.

Le cadre juridique de la création des traitements automatisés de données par les autorités publiques

La création d'un traitement automatisé de données à caractère personnel par une autorité publique est encadrée par un double corpus normatif : le règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel (RGPD), et la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dans sa version modifiée. L'article 6, paragraphe 1, point e) du RGPD constitue la base légale principale de ces traitements, en autorisant le traitement nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique. L'article 31 de la loi Informatique et Libertés précise que les traitements de données mis en œuvre pour le compte de l'État et qui intéressent la sûreté de l'État, la défense ou la sécurité publique sont autorisés par arrêté du ou des ministres compétents, pris après avis motivé de la CNIL. Pour les autres traitements mis en œuvre par l'État, l'article 32 prévoit qu'un acte réglementaire (décret ou arrêté) autorise le traitement après avis de la CNIL lorsque celui-ci porte sur des données sensibles au sens de l'article 6 de la loi. Les traitements portant sur des données relatives aux infractions, condamnations et mesures de sûreté relèvent de l'article 87 de la même loi.

Le principe de proportionnalité et les garanties exigées par la jurisprudence

Le Conseil constitutionnel a érigé le droit au respect de la vie privée en exigence constitutionnelle fondée sur l'article 2 de la Déclaration des droits de l'homme et du citoyen de 1789. Dans sa décision n° 2012-652 DC du 22 mars 2012 relative à la loi sur la protection de l'identité, il a censuré la création d'une base centralisée de données biométriques permettant l'identification d'une personne à partir de ses empreintes digitales, au motif de l'atteinte disproportionnée au droit au respect de la vie privée compte tenu de la finalité poursuivie. Cette décision illustre l'exigence de proportionnalité entre les données collectées, les finalités du traitement et les garanties offertes aux personnes concernées. Le Conseil d'État, dans sa jurisprudence relative au contentieux des fichiers administratifs, exerce un contrôle de proportionnalité analogue. Il vérifie que les catégories de données enregistrées, les durées de conservation et les conditions d'accès sont proportionnées aux finalités déclarées du traitement. La CNIL joue un rôle de filtre essentiel par ses avis préalables, comme l'illustre sa délibération n° 2018-164 du 24 mai 2018 sur FranceConnect, dans laquelle elle a exigé un filtrage des données transmises aux fournisseurs de services selon le principe de minimisation (article 5, paragraphe 1, point c) du RGPD) et la garantie de l'absence de création d'un identifiant unique des administrés.

La protection des données dans le domaine de la nationalité et de la justice : enjeux spécifiques

Les traitements de données relatifs à la nationalité et à la justice présentent des particularités liées à la nature sensible des informations traitées. Ces traitements peuvent porter sur des données relatives aux origines, à la filiation, au statut migratoire, voire à des informations relevant de la directive (UE) 2016/680 du 27 avril 2016 relative aux traitements mis en œuvre à des fins de prévention et de détection des infractions pénales (dite directive « police-justice »), transposée en droit français au titre III de la loi Informatique et Libertés. Le traitement OASIS créé en février 2026, qui concerne des mineurs confiés à la protection judiciaire de la jeunesse, enregistre des données relatives à des incidents impliquant des personnes vulnérables, ce qui impose des garanties renforcées en matière de sécurité, de durée de conservation et de limitation des accès. L'article 35 du RGPD impose la réalisation d'une analyse d'impact relative à la protection des données (AIPD) lorsqu'un traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, ce qui est le cas pour les traitements portant sur des données de personnes vulnérables ou des données relatives à des infractions. La CJUE a rappelé dans son arrêt Digital Rights Ireland du 8 avril 2014 (affaires jointes C-293/12 et C-594/12) que la conservation généralisée et indifférenciée de données constitue une ingérence particulièrement grave dans les droits fondamentaux garantis par les articles 7 et 8 de la Charte des droits fondamentaux de l'Union européenne.

FranceConnect et l'identité numérique : concilier simplification administrative et protection de la vie privée

FranceConnect, créé par arrêté du 24 juillet 2015 et modifié par arrêté du 8 novembre 2018, repose sur l'interrogation du Répertoire national d'identification des personnes physiques (RNIPP) géré par l'INSEE. Le dispositif ne conserve aucune donnée personnelle au-delà de la durée de la session de l'usager, à l'exception de l'adresse IP, conformément au principe de minimisation. La CNIL a été attentive à ce que FranceConnect ne conduise pas à la création d'un identifiant unique des administrés, ce qui constituerait un risque majeur au regard du droit au respect de la vie privée. La Cour européenne des droits de l'homme, dans son arrêt S. et Marper c. Royaume-Uni du 4 décembre 2008, a souligné que la conservation de données personnelles par des autorités publiques constitue une ingérence dans le droit garanti par l'article 8 de la Convention, qui doit être prévue par la loi, poursuivre un but légitime et être nécessaire dans une société démocratique. Le développement de l'application France Identité et la généralisation du recours à FranceConnect pour les démarches administratives (y compris les procurations électorales lors des municipales de mars 2026) illustrent l'extension continue de l'identité numérique dans les rapports entre l'administration et les citoyens.

Enjeux pour les concours

Le candidat doit maîtriser le double cadre normatif applicable aux traitements automatisés de données par les autorités publiques : le RGPD (règlement (UE) 2016/679, en particulier les articles 5, 6, 9, 35 et 37) et la loi Informatique et Libertés du 6 janvier 1978 modifiée (articles 31 et 32 pour les traitements étatiques, titre III pour les traitements relevant de la directive police-justice). La décision du Conseil constitutionnel n° 2012-652 DC du 22 mars 2012 sur la loi relative à la protection de l'identité constitue une référence fondamentale en matière de contrôle de proportionnalité des fichiers biométriques. L'arrêt Digital Rights Ireland de la CJUE (8 avril 2014) et l'arrêt S. et Marper c. Royaume-Uni de la CEDH (4 décembre 2008) doivent être connus pour leur apport sur les exigences de nécessité et de proportionnalité de la conservation des données. Le rôle de la CNIL (avis préalable, analyse d'impact, contrôle a posteriori) et l'articulation entre le RGPD, la loi nationale et le règlement (UE) 2024/1689 sur l'IA (pour les traitements recourant à des systèmes d'intelligence artificielle) sont des connaissances attendues. Enfin, FranceConnect (45 millions d'utilisateurs, près de 500 millions de connexions en 2025) illustre l'enjeu de la transformation numérique de l'État et les tensions entre simplification administrative, interopérabilité des systèmes et protection du droit à la vie privée.

Partager

Fiches pour approfondir

La dignité de la personne humaine : fondement constitutionnel et portée juridique
Libertés fondamentales
Le cadre juridique de l'interruption volontaire de grossesse en France
Libertés fondamentales
Les grandes figures et expériences historiques de la désobéissance civile
Libertés fondamentales
Le principe de dignité humaine : fondements internationaux et européens
Libertés fondamentales

Autres brèves — Libertés fondamentales

L'utilisation illégale de la reconnaissance faciale par les forces de l'ordre lors des contrôles d'identité : entre défaillance du cadre juridique français et condamnation européenne du fichage biométrique systématique
Le recrutement d'enfants-soldats par l'Iran dans le conflit de mars 2026 : violation du droit international humanitaire, protection des droits de l'enfant et responsabilité pénale internationale
Le débat sur la fin de vie et l'aide à mourir en France et en Europe : entre droit à disposer de son corps, protection de la vie et tensions géopolitiques autour de l'euthanasie espagnole
Le piratage du système d'information du ministère de l'Intérieur : protection des données personnelles, cybersécurité de l'État et garantie des libertés fondamentales à l'ère numérique
Vendredi saint en Moselle : droit local, laïcité et libertés