Tout système de traitement de données personnelles doit impérativement être déclaré à la  Commission Nationale de l'Informatique et des Libertés (CNIL) afin d'être licite. Dans le cas contraire, l'ensemble des données est inutilisable. Ainsi, la chambre sociale de la Cour de cassation a cassé une décision de la Cour d'Appel d'Amiens (décision n° 13-14.991 du 8 octobre 2014), qui avait approuvé un licenciement pour cause réelle et sérieuse, en se basant sur un traitement de données non déclaré à la CNIL.

La décision de licenciement était fondée uniquement sur des éléments contenus dans le système de contrôle du nombre et du contenu des courriels des salariés mis en place par la société. Ce système de traitement de données, contenant des données personnelles, n'avait pas été déclaré à la CNIL. Il était par conséquent illicite et la société a été dans l'incapacité d'utiliser les preuves qu'elle s'était constituées.

La déclaration à la CNIL est obligatoire, exception faite lorsque le moyen de traitement est couvert par l'une des 19 dispenses prononcées par la Commission.

Il est important de rappeler que la déclaration auprès de la CNIL n'est pas la seule condition de la légalité d'un traitement de données personnelles, cette légalité étant également conditionnée, en particulier, par l'information préalable des personnes concernées. Cette information concerne le droit à l'information. En effet, le droit de regard sur ses propres données personnelles vise aussi bien la collecte des informations que leur utilisation.