Article
En savoir plus...
Jurisprudence
Actualités
Article 4 - Définitions
Aux fins du présent règlement, on entend par:1) «données à caractère personnel», toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale;
2) «traitement», toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction;
3) «limitation du traitement», le marquage de données à caractère personnel conservées, en vue de limiter leur traitement futur;
4) «profilage», toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique;
5) «pseudonymisation», le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable;
6) «fichier», tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique;
7) «responsable du traitement», la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l'Union ou le droit d'un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l'Union ou par le droit d'un État membre;
8) «sous-traitant», la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement;
9) «destinataire», la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu'il s'agisse ou non d'un tiers. Toutefois, les autorités publiques qui sont susceptibles de recevoir communication de données à caractère personnel dans le cadre d'une mission d'enquête particulière conformément au droit de l'Union ou au droit d'un État membre ne sont pas considérées comme des destinataires; le traitement de ces données par les autorités publiques en question est conforme aux règles applicables en matière de protection des données en fonction des finalités du traitement;
10) «tiers», une personne physique ou morale, une autorité publique, un service ou un organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l'autorité directe du responsable du traitement ou du sous-traitant, sont autorisées à traiter les données à caractère personnel;
11) «consentement» de la personne concernée, toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement;
12) «violation de données à caractère personnel», une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données;
13) «données génétiques», les données à caractère personnel relatives aux caractéristiques génétiques héréditaires ou acquises d'une personne physique qui donnent des informations uniques sur la physiologie ou l'état de santé de cette personne physique et qui résultent, notamment, d'une analyse d'un échantillon biologique de la personne physique en question;
14) «données biométriques», les données à caractère personnel résultant d'un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d'une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques;
15) «données concernant la santé», les données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne;
16) «établissement principal»,
- a) en ce qui concerne un responsable du traitement établi dans plusieurs États membres, le lieu de son administration centrale dans l'Union, à moins que les décisions quant aux finalités et aux moyens du traitement de données à caractère personnel soient prises dans un autre établissement du responsable du traitement dans l'Union et que ce dernier établissement a le pouvoir de faire appliquer ces décisions, auquel cas l'établissement ayant pris de telles décisions est considéré comme l'établissement principal;
- b) en ce qui concerne un sous-traitant établi dans plusieurs États membres, le lieu de son administration centrale dans l'Union ou, si ce sous-traitant ne dispose pas d'une administration centrale dans l'Union, l'établissement du sous-traitant dans l'Union où se déroule l'essentiel des activités de traitement effectuées dans le cadre des activités d'un établissement du sous-traitant, dans la mesure où le sous-traitant est soumis à des obligations spécifiques en vertu du présent règlement;
18) «entreprise», une personne physique ou morale exerçant une activité économique, quelle que soit sa forme juridique, y compris les sociétés de personnes ou les associations qui exercent régulièrement une activité économique;
19) «groupe d'entreprises», une entreprise qui exerce le contrôle et les entreprises qu'elle contrôle;
20) «règles d'entreprise contraignantes», les règles internes relatives à la protection des données à caractère personnel qu'applique un responsable du traitement ou un sous-traitant établi sur le territoire d'un État membre pour des transferts ou pour un ensemble de transferts de données à caractère personnel à un responsable du traitement ou à un sous-traitant établi dans un ou plusieurs pays tiers au sein d'un groupe d'entreprises, ou d'un groupe d'entreprises engagées dans une activité économique conjointe;
21) «autorité de contrôle», une autorité publique indépendante qui est instituée par un État membre en vertu de l'article 51;
22) «autorité de contrôle concernée», une autorité de contrôle qui est concernée par le traitement de données à caractère personnel parce que:
- a) le responsable du traitement ou le sous-traitant est établi sur le territoire de l'État membre dont cette autorité de contrôle relève;
- b) des personnes concernées résidant dans l'État membre de cette autorité de contrôle sont sensiblement affectées par le traitement ou sont susceptibles de l'être; ou
- c) une réclamation a été introduite auprès de cette autorité de contrôle;
- a) un traitement de données à caractère personnel qui a lieu dans l'Union dans le cadre des activités d'établissements dans plusieurs États membres d'un responsable du traitement ou d'un sous-traitant lorsque le responsable du traitement ou le sous-traitant est établi dans plusieurs États membres; ou
- b) un traitement de données à caractère personnel qui a lieu dans l'Union dans le cadre des activités d'un établissement unique d'un responsable du traitement ou d'un sous-traitant, mais qui affecte sensiblement ou est susceptible d'affecter sensiblement des personnes concernées dans plusieurs États membres;
25) «service de la société de l'information», un service au sens de l'article 1er, paragraphe 1, point b), de la directive (UE) 2015/1535 du Parlement européen et du Conseil (19);
26) «organisation internationale», une organisation internationale et les organismes de droit public international qui en relèvent, ou tout autre organisme qui est créé par un accord entre deux pays ou plus, ou en vertu d'un tel accord.
En savoir plus...
L'article 4 du RGPD fournit une liste de définitions utilisées pour préciser les termes pertinents utilisés dans l'ensemble du Règlement.Certaines définitions sont tirées de la directive 95/46/CE précédente (ce qui permet de comprendre les termes existants) mais d'autres sont nouvellement introduites, modifiées ou complétées par des éléments supplémentaires et nécessitent donc une nouvelle interprétation.
Le RGPD prévoit-il une amende en cas d'infraction à cet article ?
Le RGPD ne mentionne pas la possibilité, pour une autorité de contrôle, de prononcer une amende aux contrevenants à cet article.
Bien que cela ne soit pas toujours pertinent, cela reste théoriquement possible en vertu de l'article 84 du RGPD, qui permet aux Etats Membres de prévoir des sanctions supplémentaires (sous certaines conditions).
Bien que cela ne soit pas toujours pertinent, cela reste théoriquement possible en vertu de l'article 84 du RGPD, qui permet aux Etats Membres de prévoir des sanctions supplémentaires (sous certaines conditions).
Considérants pertinents
[Non applicabilité aux personnes morales]
14. La protection conférée par le présent règlement devrait s'appliquer aux personnes physiques, indépendamment de leur nationalité ou de leur lieu de résidence, en ce qui concerne le traitement de leurs données à caractère personnel. Le présent règlement ne couvre pas le traitement des données à caractère personnel qui concernent les personnes morales, et en particulier des entreprises dotées de la personnalité juridique, y compris le nom, la forme juridique et les coordonnées de la personne morale.
[Neutralité technologique]
15. Afin d'éviter de créer un risque grave de contournement, la protection des personnes physiques devrait être neutre sur le plan technologique et ne devrait pas dépendre des techniques utilisées. Elle devrait s'appliquer aux traitements de données à caractère personnel à l'aide de procédés automatisés ainsi qu'aux traitements manuels, si les données à caractère personnel sont contenues ou destinées à être contenues dans un fichier. Les dossiers ou ensembles de dossiers de même que leurs couvertures, qui ne sont pas structurés selon des critères déterminés ne devraient pas relever du champ d'application du présent règlement.
[Applicable aux données pseudonymisées mais pas anonymisées]
26. Il y a lieu d'appliquer les principes relatifs à la protection des données à toute information concernant une personne physique identifiée ou identifiable. Les données à caractère personnel qui ont fait l'objet d'une pseudonymisation et qui pourraient être attribuées à une personne physique par le recours à des informations supplémentaires devraient être considérées comme des informations concernant une personne physique identifiable. Pour déterminer si une personne physique est identifiable, il convient de prendre en considération l'ensemble des moyens raisonnablement susceptibles d'être utilisés par le responsable du traitement ou par toute autre personne pour identifier la personne physique directement ou indirectement, tels que le ciblage. Pour établir si des moyens sont raisonnablement susceptibles d'être utilisés pour identifier une personne physique, il convient de prendre en considération l'ensemble des facteurs objectifs, tels que le coût de l'identification et le temps nécessaire à celle-ci, en tenant compte des technologies disponibles au moment du traitement et de l'évolution de celles-ci. Il n'y a dès lors pas lieu d'appliquer les principes relatifs à la protection des données aux informations anonymes, à savoir les informations ne concernant pas une personne physique identifiée ou identifiable, ni aux données à caractère personnel rendues anonymes de telle manière que la personne concernée ne soit pas ou plus identifiable. Le présent règlement ne s'applique, par conséquent, pas au traitement de telles informations anonymes, y compris à des fins statistiques ou de recherche.
[Absence d'application aux données de personnes décédées]
27. Le présent règlement ne s'applique pas aux données à caractère personnel des personnes décédées. Les États membres peuvent prévoir des règles relatives au traitement des données à caractère personnel des personnes décédées.
[Avantages de la pseudonymisation en termes de sécurité]
28. La pseudonymisation des données à caractère personnel peut réduire les risques pour les personnes concernées et aider les responsables du traitement et les sous-traitants à remplir leurs obligations en matière de protection des données. L'introduction explicite de la pseudonymisation dans le présent règlement ne vise pas à exclure toute autre mesure de protection des données.
[Conditions de la pseudonymisation]
29. Afin d'encourager la pseudonymisation dans le cadre du traitement des données à caractère personnel, des mesures de pseudonymisation devraient être possibles chez un même responsable du traitement, tout en permettant une analyse générale, lorsque celui-ci a pris les mesures techniques et organisationnelles nécessaires afin de garantir, pour le traitement concerné, que le présent règlement est mis en œuvre, et que les informations supplémentaires permettant d'attribuer les données à caractère personnel à une personne concernée précise soient conservées séparément. Le responsable du traitement qui traite les données à caractère personnel devrait indiquer les personnes autorisées à cet effet chez un même responsable du traitement.
[Identifiants numériques]
30. Les personnes physiques peuvent se voir associer, par les appareils, applications, outils et protocoles qu'elles utilisent, des identifiants en ligne tels que des adresses IP et des témoins de connexion («cookies») ou d'autres identifiants, par exemple des étiquettes d'identification par radiofréquence. Ces identifiants peuvent laisser des traces qui, notamment lorsqu'elles sont combinées aux identifiants uniques et à d'autres informations reçues par les serveurs, peuvent servir à créer des profils de personnes physiques et à identifier ces personnes.
14. La protection conférée par le présent règlement devrait s'appliquer aux personnes physiques, indépendamment de leur nationalité ou de leur lieu de résidence, en ce qui concerne le traitement de leurs données à caractère personnel. Le présent règlement ne couvre pas le traitement des données à caractère personnel qui concernent les personnes morales, et en particulier des entreprises dotées de la personnalité juridique, y compris le nom, la forme juridique et les coordonnées de la personne morale.
[Neutralité technologique]
15. Afin d'éviter de créer un risque grave de contournement, la protection des personnes physiques devrait être neutre sur le plan technologique et ne devrait pas dépendre des techniques utilisées. Elle devrait s'appliquer aux traitements de données à caractère personnel à l'aide de procédés automatisés ainsi qu'aux traitements manuels, si les données à caractère personnel sont contenues ou destinées à être contenues dans un fichier. Les dossiers ou ensembles de dossiers de même que leurs couvertures, qui ne sont pas structurés selon des critères déterminés ne devraient pas relever du champ d'application du présent règlement.
[Applicable aux données pseudonymisées mais pas anonymisées]
26. Il y a lieu d'appliquer les principes relatifs à la protection des données à toute information concernant une personne physique identifiée ou identifiable. Les données à caractère personnel qui ont fait l'objet d'une pseudonymisation et qui pourraient être attribuées à une personne physique par le recours à des informations supplémentaires devraient être considérées comme des informations concernant une personne physique identifiable. Pour déterminer si une personne physique est identifiable, il convient de prendre en considération l'ensemble des moyens raisonnablement susceptibles d'être utilisés par le responsable du traitement ou par toute autre personne pour identifier la personne physique directement ou indirectement, tels que le ciblage. Pour établir si des moyens sont raisonnablement susceptibles d'être utilisés pour identifier une personne physique, il convient de prendre en considération l'ensemble des facteurs objectifs, tels que le coût de l'identification et le temps nécessaire à celle-ci, en tenant compte des technologies disponibles au moment du traitement et de l'évolution de celles-ci. Il n'y a dès lors pas lieu d'appliquer les principes relatifs à la protection des données aux informations anonymes, à savoir les informations ne concernant pas une personne physique identifiée ou identifiable, ni aux données à caractère personnel rendues anonymes de telle manière que la personne concernée ne soit pas ou plus identifiable. Le présent règlement ne s'applique, par conséquent, pas au traitement de telles informations anonymes, y compris à des fins statistiques ou de recherche.
[Absence d'application aux données de personnes décédées]
27. Le présent règlement ne s'applique pas aux données à caractère personnel des personnes décédées. Les États membres peuvent prévoir des règles relatives au traitement des données à caractère personnel des personnes décédées.
[Avantages de la pseudonymisation en termes de sécurité]
28. La pseudonymisation des données à caractère personnel peut réduire les risques pour les personnes concernées et aider les responsables du traitement et les sous-traitants à remplir leurs obligations en matière de protection des données. L'introduction explicite de la pseudonymisation dans le présent règlement ne vise pas à exclure toute autre mesure de protection des données.
[Conditions de la pseudonymisation]
29. Afin d'encourager la pseudonymisation dans le cadre du traitement des données à caractère personnel, des mesures de pseudonymisation devraient être possibles chez un même responsable du traitement, tout en permettant une analyse générale, lorsque celui-ci a pris les mesures techniques et organisationnelles nécessaires afin de garantir, pour le traitement concerné, que le présent règlement est mis en œuvre, et que les informations supplémentaires permettant d'attribuer les données à caractère personnel à une personne concernée précise soient conservées séparément. Le responsable du traitement qui traite les données à caractère personnel devrait indiquer les personnes autorisées à cet effet chez un même responsable du traitement.
[Identifiants numériques]
30. Les personnes physiques peuvent se voir associer, par les appareils, applications, outils et protocoles qu'elles utilisent, des identifiants en ligne tels que des adresses IP et des témoins de connexion («cookies») ou d'autres identifiants, par exemple des étiquettes d'identification par radiofréquence. Ces identifiants peuvent laisser des traces qui, notamment lorsqu'elles sont combinées aux identifiants uniques et à d'autres informations reçues par les serveurs, peuvent servir à créer des profils de personnes physiques et à identifier ces personnes.
Droit souple
Lignes directrices et recommandations
> CEPD - Lignes directrices 01/2025 - Pseudonymisation
16 juillet 2025, en anglais, ouvert à consultation publique
> CEPD - Lignes directrices 07/2020 - Concepts de responsable de traitement et de sous-traitant (v2.0)
07 juillet 2021
Guides pratiques
> CNIL - Guide pratique - Tiers autorisés
10 juillet 2020
> CNIL - Guide pratique - Recueil de procédures tiers autorisés
10 juillet 2020
Rien trouvé ? N'hésitez pas à consulter la documentation sectorielle et transversale !
Références
En savoir plus...
Droit souple (sectoriel ou transversal)
Lignes directrices et recommandations
> CNIL - Recommandations - Applications mobiles
08 avril 2025
> CEPD - Lignes directrices 02/2023 - Champ d’application de l’article 5,3 de la directive ePrivacy (v2.0)
07 octobre 2024
> CNIL - Projet de recommandations - Données de localisation des véhicules connectées
25 mars 2025, ouvert à consultation public
> CNIL - Recommandations - Vidéosurveillance dans les Ehpad
29 février 2024
> CNIL - Recommandations - API
07 juillet 2023
> CNIL - Recommandations - Télésurveillance examens en ligne
8 juin 2023
> CEPD - Lignes directrices 02/2021 - Assistants vocaux virtuels (v2.0)
7 juillet 2021
> CEPD - Lignes directrices 8/2020 - Ciblage des utilisateurs de médias sociaux (v2.0)
13 avril 2021
> CEPD - Lignes directrices 01/2020 - Véhicules connectés et applications de mobilité (v2.0)
9 mars 2021
> CEPD - Lignes directrices 6/2020 - Intéraction directive services de paiement et RGPD (v2.0)
15 décembre 2020
> CNIL - Lignes directrices - Cookies et autres traceurs
17 septembre 2020
> CNIL - Recommandations - Cookies et autres traceurs
17 septembre 2020
> CEPD - Lignes directrices 3/2019 - Dispositifs vidéo (v2.0)
29 janvier 2020
Référentiels
> CNIL - Référentiel - Systèmes d'alertes professionnelles
06 juillet 2023
> CNIL - Référentiel - Officines de pharmacie
18 juillet 2022
> CNIL - Référentiel - Gestion commerciale
03 février 2022
> CNIL - Référentiel - Gestion des impayés
03 février 2022
> CNIL - Référentiel - Protection de l'enfance
20 janvier 2022
> CNIL - Référentiel - Gestion locative
6 mai 2021)
> CNIL - Référentiel - Accueil, hébergement et accompagnement social et médico-social des personnes en difficulté
11 mars 2021
> CNIL - Référentiel - Gestion RH
21 novembre 2019
Guides pratiques
> CNIL - Guide pratique - Obligations et responsabilités des collectivités locales
04 juillet 2022
> CNIL - Guide pratique - Guide pratique du développeur
13 décembre 2021 (sur le github de la CNIL)
> CNIL - Guide pratique - Guide pratique de l'UNAF
Mars 2021 (sur le site de l'UNAF)
> CNIL - Guide pratique - Sensibilisation pour les collectivités territoriales
18 septembre 2019
> CNIL - Guide pratique - Guide pratique de l'ordre des médecins
01 juin 2018
Jurisprudence
Note importante : cette base de données n'est pas achevée, il est donc possible que la partie soit vide, ou que certains résultats soient peu pertinents ou soient manquants. Veuillez ne pas hésiter à me le signaler !
Effacer les filtres
| Décision n° | Apport de la décision | + d'infos | Thème | Secteur | Autorite | Annee | ||
|---|---|---|---|---|---|---|---|---|
| C-710/23 | Ministerstvo zdravotnictvà (Données relatives au représentant d’une personne morale) | 03/04/2025 | Traitement de données à caractère personnel - Données d'identification du représentant une personne morale - Admission | Lien | Traitement de données | Cour de Justice de l'UE | 2025 | |
| C-638/23 | Amt der Tiroler Landesregierung | 27/02/2025 | Responsable de traitement désigné par le droit national - Entité administrative sans personnalité ni capacité juridiques - Admission sous conditions - 1) Aptitude de l'entité à répondre aux obligations d'un responsable de traitement - 2) Précision de l'étendue du traitement dans l'acte | Lien | Responsable de traitement | Administration | Cour de Justice de l'UE | 2025 |
| C-200/23 | Agentsia po vpisvaniyata | 04/10/2024 | Autorité chargée de la tenue du registre du commerce - 1) Destinataire - Admission - 2) Responsable de traitement - Admission | Lien | Destinataire, Responsable de traitement | Cour de Justice de l'UE | 2024 | |
| C-200/23 | Agentsia po vpisvaniyata | 04/10/2024 | Donnée à caractère personnel - Signature manuscrite - Admission | Lien | Donnée à caractère personnel | Cour de Justice de l'UE | 2024 | |
| C-461/22 | MK (Curateur professionnel) | 11/07/2024 | Responsable de traitement - Ancien curateur vis-à -vis d'une personne protégée - Admission | Lien | Responsable de traitement | Cour de Justice de l'UE | 2024 | |
| C-740/22 | Endemol Shine Finland Oy | 07/03/2024 | Traitement de données à caractère personnel - Communication orale de données à caractère personnel - Inclusion | Lien | Traitement de données | Cour de Justice de l'UE | 2024 | |
| C-604/22 | IAB Europe | 07/03/2024 | Donnée à caractère personnel - Chaîne de caractères stockant les préférences en matière de publicité et de cookies - Admission | Lien | Donnée à caractère personnel | Marketing et prospection, Technologie | Cour de Justice de l'UE | 2024 |
| C-604/22 | IAB Europe | 07/03/2024 | Responsabilité conjointe - Organisation sectorielle établissant un cadre de traitement contraignant avec ses membres - Admission - Extension automatique de cette qualité aux traitements ultérieurs - Absence | Lien | Responsable de traitement | Marketing et prospection | Cour de Justice de l'UE | 2024 |
| C-231/22 | État belge | 11/01/2024 | Responsable de traitement désigné par le droit national - Service ou l’organisme chargé du Journal officiel même en l'absence de personnalité juridique propre - Admission - Incidence de son absence de contrôle sur les données traitées - Aucune | Lien | Responsable de traitement | Administration | Cour de Justice de l'UE | 2022 |
| C-231/22 | État belge | 11/01/2024 | Responsable de traitement - Service ou l’organisme chargé du Journal officiel même en l'absence de personnalité juridique propre - Seul obligé au respect l'article 5 - Admission sauf co-responsabilité | Lien | Responsable de traitement | Administration | Cour de Justice de l'UE | 2022 |
| C-683/21 | Nacionalinis visuomenės sveikatos centras | 05/12/2023 | Responsable de traitement - Obligation que le responsable ait accès et/ou traite lui-même des données et/ou donne son accord pour la réalisation des opérations du traitement - Absence | Lien | Responsable de traitement | Cour de Justice de l'UE | 2023 | |
| C-683/21 | Nacionalinis visuomenės sveikatos centras | 05/12/2023 | Responsabilité conjointe - Conditionnée à l'existence d'un accord - Absence | Lien | Responsable de traitement | Cour de Justice de l'UE | 2023 | |
| C-683/21 | Nacionalinis visuomenės sveikatos centras | 05/12/2023 | Traitement de données à caractère personnel - Utilisation de données pseudonymisées dans le cadre d'essais - Inclusion | Lien | Traitement de données, Données à caractère personnel | Cour de Justice de l'UE | 2023 | |
| C-319/22 | Gesamtverband Autoteile-Handel | 09/11/2023 | Donnée à caractère personnel - VIN (Vehicule Identification Number) - Inclusion sous conditions - Moyens raisonnables de rattacher un VIN à une personne physique ou identifiable | Lien | Donnée à caractère personnel | Transports | Cour de Justice de l'UE | 2023 |
| SAN-2023-009 | Criteo | 15/06/2023 | Donnée à caractère personnel - Combinaison de traces laissées par un témoin de connexion ou une adresse IP à des identifiants uniques ou à d’autres informations - Critères du moyen légal et raisonnable d'identifier - Application | Lien | Donnée à caractère personnel | Marketing et prospection, Technologie | CNIL ou équivalent | 2023 |
| C-487/21 | Österreichische Datenschutzbehörde et CRIF | 04/05/2023 | Donnée à caractère personnel - Tout type d'information pouvant concerner une personne - Admission | Lien | Donnée à caractère personnel | Cour de Justice de l'UE | 2023 | |
| T-557/20 | CRU / CEPD | 26/04/2023 | Donnée à caractère personnel - Qualification - Analyse pratique et non théorique - Nécessité de se placer du point de vue de la personne en possession des données | Lien | Donnée à caractère personnel | Tribunal de l'UE | 2023 | |
| C-180/21 | Inspektor v Inspektorata kam Visshia sadeben savet (Finalités du traitement de données – Enquête pénale) | 08/12/2022 | Responsable de traitement - Parquet d’un État membre transmettant à la juridiction pénale des données initialement collectées aux fins d’exercer ses droits de la défense dans le cadre d’un recours en responsabilité de l’État - Inclusion | Lien | Responsable de traitement | Police-Justice | Cour de Justice de l'UE | 2022 |
| Avis 2022-051 | Avis sur projet de décret | 21/04/2022 | Destinataires et accédants - Personnes accédants au traitement ou destinataires de données de santé - Nécéssité de s'assurer du secret médical et droit d’en connaître | Lien | Destinataire | Administration, Santé | CNIL ou équivalent | 2022 |
| MED-2022-005 | Société X | 03/02/2022 | Responsable de traitement - Gestionnaire d'un site mettant en œuvre de traitements à des fins de mesure d’audience en ligne - Admission | Lien | Responsable de traitement | Technologie | CNIL ou équivalent | 2022 |
| Avis 2022-006 | Projet de décret Caméras installées sur des aéronefs circulant sans personne à bord | 13/01/2022 | Destinataires et accédants - Définition - Habilitation des accédants | Lien | Destinataire | Administration | CNIL ou équivalent | 2022 |
| 431875 | M. B... A...-C... | 10/06/2021 | Traitement de données à caractère personnel - Publication sur un site internet de données à caractère personnel - Inclusion | Lien | Traitement de données | Technologie | Conseil d'Etat | 2021 |
| SAN-2021-007 | Société X | 03/06/2021 | Donnée à caractère personnel - Adresse postale - Identification indirecte - Inclusion | Lien | Donnée à caractère personnel | CNIL ou équivalent | 2021 | |
| 446155 | La Quadrature du Net | 22/12/2020 | Traitement de données à caractère personnel au sens de la directive (UE) 2016/680 - Dispositif de surveillance par drone transmettant, après floutage, des images au centre de commandement de la préfecture de police pour un visionnage en temps réel - Inclusion, sans qu'ait d'incidence la circonstance que seules les images floutées parviennent au centre de commandement | Lien | Traitement de données | Police-Justice | Conseil d'Etat | 2020 |
| MED-2020-043 | Société X | 10/12/2020 | Donnée à caractère personnel - Propos tenus dans le cadre d’une conversation téléphonique - Inclusion | Lien | Donnée à caractère personnel | Marketing et prospection | CNIL ou équivalent | 2020 |
| 17-19.253 | Agence France Presse | 25/11/2020 | Donnée à caractère personnel - Adresse IP - Inclusion | Lien | Donnée à caractère personnel | Technologie | Cour de cassation | 2020 |
| MED-2020-040 | LAPI Commune X | 24/11/2020 | Responsabilités du traitement - Concession de service public - Qualification du concessionnaire - Qualification de l’autorité publique concédante | Lien | Responsable de traitement | Administration | CNIL ou équivalent | 2020 |
| C-272/19 | Land Hessen | 09/07/2020 | Responsable du traitement - Commission des pétitions du parlement d’un État fédéré d’un État membre - Inclusion - Conséquence - Applicabilité du droit d’accès | Lien | Responsable de traitement | Administration | Cour de Justice de l'UE | 2020 |
| Avis 2020-062 | Avis sur projet de décret | 11/06/2020 | Anonymisation et pseudonymisation - Distinction - Sens restrictif du terme "anonymisation" au sens du RGPD | Lien | Anonymisation | CNIL ou équivalent | 2020 | |
| 431350 | Cercle de réflexion et de proposition d’actions sur la psychiatrie et autres | 27/03/2020 | Traitement de données à caractère personnel - Mise en relation de traitements existants en vue de leur utilisation au regard de la finalité poursuivie par l'un d'entre eux ou d'une finalité propre - 1) Inclusion - 2) Cadre juridique applicable dépendant de la finalité poursuivie | Lien | Traitement de données | Conseil d'Etat | 2020 | |
| 420917 | M. B… A… | 02/12/2019 | Personne concernée - Ayant droit d’une personne décédée à laquelle se rapportent des données à caractère personnel - Exclusion par principe | Lien | Personne concernée | Conseil d'Etat | 2019 | |
| C-345/17 | Buivids | 14/02/2019 | Donnée à caractère personnel - Image d’une personne enregistrée par une caméra - Inclusion | Lien | Donnée à caractère personnel | Cour de Justice de l'UE | 2019 | |
| C-345/17 | Buivids | 14/02/2019 | Traitement de données à caractère personnel - Enregistrement vidéo publié sur internet et que les utilisateurs peuvent envoyer, regarder et partager - Inclusion | Lien | Traitement de données | Technologie | Cour de Justice de l'UE | 2019 |
| Avis 396340 | Projet de décret (caméras individuelles des agents de la police municipale) | 08/01/2019 | Responsable de traitement mis en oeuvre pour le compte de l'Etat (art. 31 LIL) - Caméras individuelles des agents de la police municipale - Responsabilité de traitement du ministre de l’intérieur - Exclusion | Lien | Responsable de traitement | Administration, Police-Justice | Conseil d'Etat | 2019 |
| C-25/17 | Jehovan todistajat | 10/07/2018 | Fichier - Activité de prédication de porte-à -porte comportant des noms et des adresses - Données structurées selon des critères déterminés - Inclusion | Lien | Fichier | Cour de Justice de l'UE | 2018 | |
| 412589 | Société Editions Croque Futur | 06/06/2018 | Traitement de données à caractère personnel - Utilisation de témoins de connexion (« cookies ») répondant aux caractéristiques définies au II de l’article 32 de la loi du 6 janvier 1978 - Inclusion | Lien | Traitement de données | Technologie | Conseil d'Etat | 2018 |
| C-434/16 | Nowak | 21/12/2017 | Donnée à caractère personnel - Absence d'obligation que toutes les informations soient dans les mains de la même personne | Lien | Donnée à caractère personnel | Cour de Justice de l'UE | 2017 | |
| 399446 | M.X | 07/06/2017 | Personne concernée - Ayant droit d’une personne décédée à laquelle se rapportent des données à caractère personnel - Exclusion par principe - Héritiers de la victime d'un dommage ayant engagé une action en réparation avant son décès ou ayant eux-mêmes engagé ultérieurement une telle action - Admission par exception | Lien | Personne concernée | Conseil d'Etat | 2017 | |
| C-398/15 | Manni | 09/03/2017 | Traitement de données à caractère personnel - Registre des sociétés - Inclusion | Lien | Traitement de données | Economie et fiscalité | Cour de Justice de l'UE | 2017 |
| 393714 | Société JC Decaux France | 08/02/2017 | Anonymisation - Conditions d’anonymisation d’une donnée à caractère personnel | Lien | Anonymisation | Conseil d'Etat | 2017 | |
| 15-22.595 | B. | 03/11/2016 | Donnée à caractère personnel - Adresse IP - Inclusion | Lien | Donnée à caractère personnel | Technologie | Cour de cassation | 2016 |
| C-582/14 | Breyer | 19/10/2016 | Donnée à caractère personnel - Limites : Moyen légal (et raisonnable) d'identifier une personne physique - Adresses IP - Admission | Lien | Donnée à caractère personnel | Technologie | Cour de Justice de l'UE | 2016 |
| C-615/13 | ClientEarth et PAN Europe / EFSA | 16/07/2015 | Donnée à caractère personnel - Opinions exprimées par des experts à titre professionnel dans le cadre des travaux d’une agence de l’Union - Inclusion | Lien | Donnée à caractère personnel | Cour de Justice de l'UE | 2015 | |
| C-615/13 | ClientEarth et PAN Europe / EFSA | 16/07/2015 | Donnée à caractère personnel - Donnée relative à la vie privée - Absence de confusion | Lien | Donnée à caractère personnel | Cour de Justice de l'UE | 2015 | |
| 353717 | Association Lexeek pour l’accès au droit | 23/03/2015 | Traitement de données à caractère personnel - Mise en ligne sur internet d'une base de données de jurisprudence non totalement anonymisées - Inclusion | Lien | Traitement de données | Technologie | Conseil d'Etat | 2015 |
| C-212/13 | Ryneš | 11/12/2014 | Traitement de données à caractère personnel - Surveillance par enregistrement vidéo stocké dans un disque dur - Inclusion | Lien | Traitement de données | Cour de Justice de l'UE | 2014 | |
| C-141/12 et C-372/12 | YS e.a. | 17/07/2014 | Donnée à caractère personnel - Données figurant dans l'analyse juridique de la décision - Inclusion - Analyse en tant que telle - Exclusion | Lien | Donnée à caractère personnel | Administration | Cour de Justice de l'UE | 2014 |
| C-131/12 | Google Spain | 13/05/2014 | Traitement de données à caractère personnel - Activité d’un moteur de recherche consistant à trouver des informations publiées ou placées sur Internet par des tiers, à les indexer de manière automatique, à les stocker temporairement et à les mettre à disposition des internautes selon un ordre de préférence donné - Inclusion | Lien | Traitement de données | Cour de Justice de l'UE | 2014 | |
| 354629 | Société Foncia Groupe | 12/03/2014 | Responsable de traitement - 1) Société déterminant la nature des données collectées, les droits d’accès des entités qui lui sont liées ainsi que la durée de conservation des données - Inclusion - 2) Entités liées ayant désigné un correspondant à la protection des données - Exclusion | Lien | Responsable de traitement | Conseil d'Etat | 2014 | |
| C-342/12 | Worten | 30/05/2013 | Donnée à caractère personnel - Registre de temps de travail - Conditions - Inclusion | Lien | Donnée à caractère personnel | Travail | Cour de Justice de l'UE | 2013 |
| 340026 | Société AIS 2 | 27/07/2012 | Responsable de traitement - Identification par la méthode du faisceau d'indices - Application | Lien | Responsable de traitement | Conseil d'Etat | 2012 | |
| C-73/07 | Satakunnan Markkinapörssi et Satamedia | 16/12/2008 | Traitement de données à caractère personnel - Collecte, publication, cession ou traitement dans un service de SMS des documents publics d’une administration fiscale contenant des données relatives aux revenus du travail et du capital et au patrimoine de personne physiques - Inclusion | Lien | Traitement de données | Administration, Marketing et prospection | Cour de Justice de l'UE | 2008 |
| 05-83.423 | B. | 14/03/2006 | Caractère déloyal de la collecte d’adresses électroniques personnelles de personnes physiques, à leur insu, sur l’espace public d’internet - Existence | Lien | Traitement de données, Loyauté | Marketing et prospection, Technologie | Cour de cassation | 2006 |
| C-101/01 | Lindqvist | 06/11/2003 | Traitement de données à caractère personnel - Référence, sur une page Internet, à diverses personnes identifiées par leur nom ou d’autres moyens - Inclusion | Lien | Traitement de données | Technologie | Cour de Justice de l'UE | 2003 |
| 157402 | Ministre de l’équipement, des transports et du tourisme | 03/07/2002 | Donnée à caractère personnel - Personne physique - Entrepreneur individuel pris en cette qualité - Exclusion | Lien | Donnée à caractère personnel, Personne physique | Economie et fiscalité | Conseil d'Etat | 2002 |
| 96-85.900 | B. | 12/05/1998 | Donnée à caractère personnel - Résultats d’un sondage portant sur une personne représentant l’état statistique de l’opinion de la population à un moment donné - Exclusion | Lien | Donnée à caractère personnel | Cour de cassation | 1998 |
Actualités
Profitez de nos actualités en lien avec cet article !UODO (autorité polonaise)
17 avril 2025
Le Ministère du Développement reconnaît comme justifié la demande du PUODO concernant les livres fonciers.
Depuis janvier 2025, l’UODO oeuvre afin d’empêcher la publication des numéros de cadastre. Aujourd’hui, l’UODO semble toucher au but : en effet, l’autorité a annoncé que le Ministère du Développement et de la Technologie remercie pour la position et la demande soumises. « Elles sont po [...]
CJUE – Arrêt C-710/23
03 avril 2025
La CJUE estime que la communication des données du représentant d’une personne morale est un traitement soumis au RGPD.
Dans un arrêt publié ce jour, la Cour de Justice de l’UE a estimé que:
1) La communication du prénom, du nom, de la signature et des coordonnées d’une personne physique représentant une personne morale constitue un traitement de données à caractère personnel. La circonstance que cett [...]
UODO (autorité polonaise)
29 janvier 2025
Le Cour suprême administrative confirme que les numéros de cadastre constituent des données personnelles
Souvenez vous: en début du mois, l’UODO a publié une décision dans laquelle elle estimait que les numéros de cadastre constituent des données personnelles. L’affaire ne s’est pas arrêtée là puisqu’elle a été contestée, et la Cour administrative suprême polonaise a statué sur la question. Celle [...]
Comité européen sur la protection des données (EDPB)
18 janvier 2025
L’EDPB adopte des lignes directrices sur la pseudonymisation et ouvre la voie à l’amélioration de la coopération avec les autorités de concurrence
Lors de sa réunion plénière de janvier 2025, le comité européen de la protection des données (CEPD) a adopté des lignes directrices sur la pseudonymisation, ainsi qu’une déclaration sur l’interaction entre le droit de la concurrence et la protection des données.
1- Le [...]
UODO (autorité polonaise)
07 janvier 2025
En Pologne, l’UODO estime que les numéros de cadastre constituent des données à caractère personnel et ne peuvent donc pas être publiées
L’ancien Géomètre en chef du pays a récemment demandé à l’autorité de contrôle qu’elle modifie sa position sur la question de la qualification des numéros de parcelle cadastrales : en effet, un précédent président de l’UODO de l’époque a interdit la [...]
<< Retourner au menu