Pour accomplir sa mission de contrôle des applications informatiques, la Commission dispose d`un pouvoir réglementaire soumis au contrôle du Conseil d`Etat. La CNIL établi son réglement intérieur, ce qu`elle n`a fait qu`assez tardivement en 1987. Elle établit des normes simplifiées pour les traitements les plus courants d`informations nominatives ne comportant pas, à ses yeux, d`atteinte à la vie privée et aux libertés.

La CNIL n`a pas usé pour le moment du pouvoir que lui attribue la loi d`édicter des règlements types en vue d`assurer la sécurité des systèmes ou de prescrire, en cas de circonstances exceptionnelles, des mesures de sécurité pouvant aller jusqu`à la destruction des supports d`information.

Si la CNIL peut toujours refuser d`enregistrer une déclaration de traitements quand celui-ci ne lui parait pas respecter les exigences légales, elle n`a pas en principe un pouvoir de décision stricto sensu. Cependant, l`article 40-2 de la loi, à propos des traitements ayant pour fin la recherche dans le domaine de la santé, attribue expressément à la CNIL un pourvoir d`autorisation même s`il est vrai qu`un avis préalable doit être fourni par un Comité consultatif sur le traitement de l`information en matière de recherche dans le domaine de la santé.

Par ailleurs, la procédure de l`avis conforme pour autoriser, dans certains cas d`intérêt public, l`enregistrement de données sensibles, donne à la Commission un véritable pouvoir de co-décision partagé avec le Gouvernement.

Sur la CNIL en général, article 6.

Sur le règlement intérieur de la CNIL, article 8.

Sur les normes simplifiées, articles 17 et 19.

Sur les règlements types en vue d`assurer la sécurité des systèmes, article21.