Feb. 5, 2025


 Référence complète : M.-A. Frison-Roche, Qui est en charge de rendre effectif le disposition de Compliance ? Plutôt l'entreprise ou plutôt l'Autorité publique ? : CE, 27 janvier 2025, B. c/ CNIL, document de travail, février 2025.


🎤 Ce document de travail a été élaboré pour servir de base tout d'abord :

 Résumé du document de travail Dans sa décision du 27 janvier 2025, le Conseil d'Etat a dans sa décision du 27 janvier 2025, B. c/ CNIL, eut à apporter une solution à un cas que les règles de Compliance applicable en matière de données n'avaient pas expressément prévu. Une personne qui estime qu'une autre a méconnu ses obligations imposées par le RGPD peut-elle saisir la CNIL et non pas le responsable de traitement ? 

Le Conseil d'Etat estime que la réponse est claire, qu'il n'est pas utile de poser une question préjudicielle à la CJUE. En effet, les textes imposent à celui qui allègue la méconnaissance de son droit de se tourner d'abord vers le responsable du traitement pour que l'information soit effacée avant de saisir dans un second temps la CNIL. En outre, il s'agissait en l'espèce d'informations personnelles insérées par des médecins dans un rapport d'expertise versé dans une instance judiciaire. Le Conseil d'Etat approuve la CNIL d'avoir estimé qu'elle n'a pas à contrôler et à apprécier les éléments de preuve, ce qui relève de l'office du juge judiciaire.

L'on mesure ici, notamment par rapport à la décision de la CJUE du 4 octobre 2024, que le spécifique l'emporte sur le général, que la procédure de préservation directe des droits par le responsable du traitement l'emporte sur la procédure de sanction, qui n'est qu'un stade second, et que la sphère juridictionnelle est préservée dans son fonctionnement autonome sous le contrôle du Juge.


Jan. 9, 2025

Thesaurus : 05. CJCE - CJUE

► Référence complète : CJUE, Première chambre, 9 janvier 2025, aff. C‑394/23, Mousse c/ CNIL et SNCF Connect


🏛️lire la décision


July 15, 2023

Newsletter MAFR - Law, Compliance, Regulation

 Référence complète: M.-A. Frison-Roche, "Compliance & Contrat / lien entre Consentement et Volonté ; enjeu de responsabilité personnelle : CNIL, 15 juin 2023, Criteo", Newsletter MAFR Law, Compliance, Regulation, 15 juillet 2023.


L'obligation légale de Compliance doit être exécutée grâce à des contrats, mais l'on ne peut s'en décharger par des contrats : CNIL, 15 juin 2023, Criteo 


March 15, 2023

Thesaurus : Doctrine

► Full Reference: I. Gavanon, "Data Protection Law in the Digital Economy Confronted to Monumental Goals", in M.-A. Frison-Roche (ed.), Compliance Monumental Goals, coll. "Compliance & Regulation", Journal of Regulation & Compliance (JoRC) and Bruylant, 2023, p. 137-146.


► Summary of the article


Feb. 2, 2023

Thesaurus : Doctrine

 Full Reference: A. Linden, "Motivation et publicité des décisions de la formation restreinte de la Commission nationale de l’informatique et des libertés (CNIL) dans une perspective de compliance" ("Motivation and publicity of the decisions of the restricted committee of the French Personal Data Protection Commission (Commission nationale de l'informatique et des libertés-CNIL) in a compliance perspective"), in M.-A. Frison-Roche (ed.), La juridictionnalisation de la Compliancecoll. "Régulations & Compliance", Journal of Regulation & Compliance (JoRC) and Dalloz, 2023, p. 235-239. 


 Summary of the article (done by the Journal of Regulation and Compliance): In the event of a breach of the personal data protection rules, the restricted formation of the French personal data protection Commission (CNIL) pronounces fines, injunctions of "compliance" or calls to order. It can order the publication of these measures, which can be contested before the French High Administrative supreme court (Conseil d'État).

It is essential that these decisions be justified, not only in order to respect this principle of law but also concretely to obtain the public concerned, being very heterogeneous, understand them, the educational role of the CNIL also being applicable.

The principle of publicity is handled with nuance, the data controllers often requesting a closed door and, in fact, very few public attending the hearing. The publicity of decisions is in itself a sanction. The publication may moreover not be total or may only have a time, anonymization often allowing the balance between necessary pedagogy and preservation of interests, the CNIL taking great attention to the very modalities of publication, even if it cannot control the circulation and the media use which is then made of it.


June 21, 2022

Thesaurus : Soft Law

Référence complète : Equinet : Pour une IA européenne protectrice et garante du principe de non-discrimination, Avis établissant des recommandations et des principes essentiels pour la future législation européenne portant sur l'intelligence artificielle, 21 juin 2022.

Lire l'avis.



Lire l'avis. 


Sept. 23, 2021


 Full Reference : A. Linden, "Motivation and publicity of the decisions of the Restricted formation of the French Data Protection Authority (Commission nationale de l'informatique et des libertés – CNIL) in a compliance perspective", in M.-A. Frison-Roche (ed.), Compliance Jurisdictionalisation, Journal of Regulation & Compliance (JoRC) and Bruylant, coll. "Compliance & Regulation", to be published. 


Oct. 1, 2020

Thesaurus : Soft Law

Full reference of the guidelines: Commission Nationale de l'Informatique et des Libertés (CNIL), Délibération n°2020-091 du 17 septembre 2020 portant adoption de lignes directrices relatives à l'application de l'article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et écriture dans le terminal d'un utilisateur (notamment aux "cookies et autres traceurs") et abrogeant la délibération n°2019-093 du 4 juillet 2019 

Full reference of the recommendation: Commission Nationale de l'Informatique et des Libertés (CNIL), Délibération n°2020-092 du 17 septembre 2020 portant adoption d'une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux "cookies et autres traceurs". 

Dec. 4, 2019

Regarder le film de 5 minutes sur le contenu, le sens et la portée de l'arrêt rendu par la première chambre civile de la Cour de cassation du 27 novembre 2019, M.X.A. c/ Google.



Cet arrêt casse l'arrêt de la Cour d'appel de Paris qui valide le non-déférencement, après que la CNIL a demandé l'interprétation des textes, notamment du RGPD, parce que le droit à l'oubli doit limiter l'exception ici invoquée, à savoir le droit à l'information, même s'il s'agit d'une décision pénale concernant un commissaire-aux-comptes, car il s'agit d'une affaire privée et non pas ce qui concerne l'exercice de sa profession réglementée coeur du système financier. 



Lire la décision de la Première Chambre civile de la Cour de cassation du 27 novembre 2019, M.X.A. c/ Google

Oct. 16, 2019

Thesaurus : 03. Conseil d'Etat

Updated: Sept. 5, 2019 (Initial publication: April 30, 2019)


Full Reference: M.-A. Frison-Roche, L'apport du Droit de la Compliance dans la Gouvernance d'Internet (The contribution of Compliance Law to the Internet Governance), Report asked by the French Government, published the 15th of July 2019, 139 p.


► Report Summary. Governing the Internet? Compliance Law can help.

Compliance Law is for the Policy Maker to aim for global goals that they require to be achieved by companies in a position to do so. In the digital space built on the sole principle of Liberty, the Politics must insert a second principle: the Person. The respect of this One, in balance with the Freedom, can be required by the Policy Maker via Compliance Law, which internalises this specific pretention in the digital companies. Liberalism and Humanism become the two pillars of Internet Governance.

The humanism of European Compliance Law then enriches US Compliance law. The crucial digital operators thus forced, like Facebook, YouTube, Google, etc., must then exercise powers only to better achieve these goals to protect persons (against hatred, inadequate exploitation of data, terrorism, violation of intellectual property, etc.). They must guarantee the rights of individuals, including intellectual property rights. To do this, they must be recognized as "second level regulators", supervised by Public Authorities.

This governance of the Internet by Compliance Law is ongoing. By the European Banking Union. By green finance. By the GDPR. We must force the line and give unity and simplicity that are still lacking, by infusing a political dimension to Compliance: the Person. The European Court of Justice has always done it. The European Commission through its DG Connect is ready.


►  Plan of the Report (4 chapters): an ascertainment of the digitization of the world (1), the challenge of civilization that this constitutes (2), the relations of Compliance mechanisms as it should be conceived between Europe and the United States, not to mention that the world is not limited to them, with the concrete solutions that result from this (3) and concrete practical solutions to better organize an effective digital governance, inspired by what is particularly in the banking sector, and continuing what has already been done in Europe in the digital field, which has already made it exemplary and what it must continue, France can be force of proposal by the example (4).



read below the 54 propositions of the Report ⤵️