Afin de sécuriser et de contrôler au mieux le traitement des données personnelles, le RGPD (Le règlement général sur la protection des données), en son article 33, impose au responsable de traitement, une obligation de notification à la CNIL (Commission nationale de l’informatique et des libertés) en cas de violation des données à caractère personnel. Dans la décision d’espèce, le Conseil d’État prévoit une exception à ce principe, dans un contexte particulier qu’il a lui-même déterminé.