Principe de proportionnalité RGPD : article 5(1)(c), jurisprudence 2026

L’essentiel. Le principe de proportionnalité impose que les données collectées soient “adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités” du traitement (article 5(1)© RGPD). Tout excès expose à des sanctions CNIL et, pour les traitements à risque, à une obligation d’analyse d’impact (AIPD).

La proportionnalité de la collecte des données

Le principe de proportionnalité, posé aujourd’hui par l’article 5(1)© du RGPD, impose que les données soient :

“adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données).”

Cette formulation est la traduction directe en droit européen du principe historique posé dès 1978 par la loi Informatique et Libertés française. Le principe se traduit aujourd’hui sous deux dénominations souvent utilisées de manière interchangeable : proportionnalité et minimisation des données. Nous lui avons consacré un guide pratique distinct : principe de minimisation des données.

Le test de proportionnalité : adéquation, pertinence, nécessité

Pour qu’une collecte de données soit conforme, trois critères cumulatifs doivent être satisfaits :

• Adéquation : les données collectées doivent être utiles à la finalité poursuivie. Collecter la date de naissance d’un prospect pour une newsletter B2B est inadéquat.
• Pertinence : les données doivent avoir un lien direct avec la finalité. La couleur de cheveux d’un candidat à un emploi de comptable n’est pas pertinente.
• Nécessité : seules les données indispensables peuvent être collectées. Si la finalité peut être atteinte avec moins de données, ou avec des données moins identifiantes (pseudonymisation), la nécessité n’est pas démontrée.

C’est ce dernier critère — la nécessité — qui est aujourd’hui le plus contrôlé par la CNIL. La logique inverse souvent invoquée par les responsables de traitement (“on pourrait en avoir besoin”) est rejetée frontalement.

Jurisprudence emblématique : la biométrie

Sans doute l’une des illustrations les plus significatives de l’application de ce principe tient aux demandes de mise en œuvre de dispositifs biométriques que la CNIL a assez largement récusées, en particulier lorsque ceux-ci permettaient la constitution de bases de données d’empreintes digitales, sans justification particulière.

Affaire Académie de Lille (2000) : la CNIL a refusé la mise en œuvre d’un projet de contrôle d’accès biométrique du personnel de l’Académie de Lille par reconnaissance des empreintes digitales. L’objectif premier du projet était de permettre un accès rapide et sécurisé aux bâtiments. La Commission justifiait son refus par le fait que la finalité, qui était d’assurer la fluidité de l’entrée du personnel, “ne paraissait pas justifier dans sa généralité, la constitution d’une base de données d’empreintes digitales de l’ensemble du personnel de la cité académique”.

TGI de Paris, 19 avril 2005 (Effia Services) : le tribunal interdisait à une société la mise en œuvre d’un système de “badgeage” des salariés par empreintes digitales : “l’objectif poursuivi n’est pas de nature à justifier la constitution d’une base de données d’empreintes digitales des personnels travaillant dans les espaces publics des gares de la SNCF, le traitement pris dans son ensemble n’apparaissant ni adapté ni proportionné au but recherché”.

Conseil d’État, 23 mai 2007 : annulation de plusieurs décisions par lesquelles la CNIL avait initialement refusé d’autoriser des dispositifs permettant de détecter automatiquement des reproductions illicites d’œuvres sur Internet. La haute juridiction exerce ainsi un contrôle de l’erreur manifeste d’appréciation sur les décisions de la CNIL en matière de proportionnalité.

La sensibilité des données biométriques continue d’attirer une vigilance maximale. Sous le RGPD, les données biométriques utilisées à des fins d’identification unique sont qualifiées de catégories particulières de données (art. 9), et leur traitement nécessite presque systématiquement une analyse d’impact (AIPD).

L’appréciation de la proportionnalité : une part d’arbitrage

La détermination de la proportionnalité des données dont la collecte est réalisée nécessite une part d’appréciation qui n’est guère aisée, ni pour le responsable du traitement, ni d’ailleurs pour la CNIL elle-même.

Pour structurer cette appréciation, plusieurs questions doivent être posées à chaque collecte :

1. Quelle est la finalité précise ? Une finalité vague (“améliorer le service”) empêche tout contrôle de proportionnalité.
2. Peut-on atteindre la finalité avec moins de données ? Le test est objectif, pas subjectif.
3. Peut-on atteindre la finalité avec des données moins identifiantes ? Pseudonymisation, anonymisation, agrégation.
4. La durée de conservation est-elle elle-même proportionnée ? Voir le principe de temporalité.
5. Les destinataires des données sont-ils strictement nécessaires ? Le cercle des accès doit être réduit au minimum.

Articulation avec l’AIPD et le privacy by design

Le principe de proportionnalité est aujourd’hui structuré par deux mécanismes opérationnels :

• Privacy by design (article 25 RGPD) : la proportionnalité doit être intégrée dès la conception du traitement, et non vérifiée a posteriori. Une fois les choix d’architecture faits, il est souvent trop tard pour minimiser.
• AIPD (article 35 RGPD) : pour les traitements susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes, l’AIPD impose un examen formalisé de la proportionnalité. Elle est obligatoire pour les traitements biométriques, le profilage à grande échelle, le suivi systématique de zones accessibles au public, et les traitements de données sensibles à grande échelle.

Le principe de proportionnalité s’articule avec les autres principes essentiels du RGPD : principe de finalité, principe d’exactitude, principe de temporalité. Tous se combinent pour définir un traitement licite. Pour structurer la conformité d’un nouveau traitement, l’usage d’un logiciel RGPD permet d’industrialiser la documentation et le suivi.