Das innerstaatliche Recht muss ausreichende Schutzmassnahmen vorsehen, um eine verhältnismässige Nutzung der Telefonvorratsdatenspeicherung zu gewährleisten. Die Staaten müssen daher klare Rechtsgrundlagen vorsehen, die unter anderem die Zugänglichkeit des einschlägigen nationalen Rechts; der Umfang und die Dauer der geheimen Überwachungsmassnahmen; die Verfahren für die Speicherung, den Zugriff, die Prüfung, die Nutzung, die Kommunikation und die Vernichtung der abgefangenen Daten; die Genehmigungsverfahren; die Regelungen zur Überwachung der Durchführung geheimer Überwachungsmassnahmen; sowie etwaige Benachrichtigungsmechanismen und die Rechtsbehelfe, die das nationale Recht vorsieht, regeln.

Von der RATP (staatliche Betreiber des öffentlichen Personennahverkehrs in Paris und dem nahen Umland) wurde systematisch erhoben, ob Mitarbeitende gefehlt haben, insb. aufgrund von Streiktagen. Weiter war der Zugang zu diesen Mitarbeiterdaten ungenügend eingeschränkt. Die CNIL bewertete das Vorgehen der RATP insbesondere under den Aspekten der Datenminimierung und der Verhältnismässigkeit als ungenügend