Article 4 – Définitions

Article 4 - Définitions

Aux fins du présent règlement, on entend par:

1) «données à caractère personnel», toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale;

2) «traitement», toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction;

3) «limitation du traitement», le marquage de données à caractère personnel conservées, en vue de limiter leur traitement futur;

4) «profilage», toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique;

5) «pseudonymisation», le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable;

6) «fichier», tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique;

7) «responsable du traitement», la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l'Union ou le droit d'un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l'Union ou par le droit d'un État membre;

8) «sous-traitant», la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement;

9) «destinataire», la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu'il s'agisse ou non d'un tiers. Toutefois, les autorités publiques qui sont susceptibles de recevoir communication de données à caractère personnel dans le cadre d'une mission d'enquête particulière conformément au droit de l'Union ou au droit d'un État membre ne sont pas considérées comme des destinataires; le traitement de ces données par les autorités publiques en question est conforme aux règles applicables en matière de protection des données en fonction des finalités du traitement;

10) «tiers», une personne physique ou morale, une autorité publique, un service ou un organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l'autorité directe du responsable du traitement ou du sous-traitant, sont autorisées à traiter les données à caractère personnel;

11) «consentement» de la personne concernée, toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement;

12) «violation de données à caractère personnel», une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données;

13) «données génétiques», les données à caractère personnel relatives aux caractéristiques génétiques héréditaires ou acquises d'une personne physique qui donnent des informations uniques sur la physiologie ou l'état de santé de cette personne physique et qui résultent, notamment, d'une analyse d'un échantillon biologique de la personne physique en question;

14) «données biométriques», les données à caractère personnel résultant d'un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d'une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques;

15) «données concernant la santé», les données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne;

16) «établissement principal»,

a) en ce qui concerne un responsable du traitement établi dans plusieurs États membres, le lieu de son administration centrale dans l'Union, à moins que les décisions quant aux finalités et aux moyens du traitement de données à caractère personnel soient prises dans un autre établissement du responsable du traitement dans l'Union et que ce dernier établissement a le pouvoir de faire appliquer ces décisions, auquel cas l'établissement ayant pris de telles décisions est considéré comme l'établissement principal;
b) en ce qui concerne un sous-traitant établi dans plusieurs États membres, le lieu de son administration centrale dans l'Union ou, si ce sous-traitant ne dispose pas d'une administration centrale dans l'Union, l'établissement du sous-traitant dans l'Union où se déroule l'essentiel des activités de traitement effectuées dans le cadre des activités d'un établissement du sous-traitant, dans la mesure où le sous-traitant est soumis à des obligations spécifiques en vertu du présent règlement;

17) «représentant», une personne physique ou morale établie dans l'Union, désignée par le responsable du traitement ou le sous-traitant par écrit, en vertu de l'article 27, qui les représente en ce qui concerne leurs obligations respectives en vertu du présent règlement;

18) «entreprise», une personne physique ou morale exerçant une activité économique, quelle que soit sa forme juridique, y compris les sociétés de personnes ou les associations qui exercent régulièrement une activité économique;

19) «groupe d'entreprises», une entreprise qui exerce le contrôle et les entreprises qu'elle contrôle;

20) «règles d'entreprise contraignantes», les règles internes relatives à la protection des données à caractère personnel qu'applique un responsable du traitement ou un sous-traitant établi sur le territoire d'un État membre pour des transferts ou pour un ensemble de transferts de données à caractère personnel à un responsable du traitement ou à un sous-traitant établi dans un ou plusieurs pays tiers au sein d'un groupe d'entreprises, ou d'un groupe d'entreprises engagées dans une activité économique conjointe;

21) «autorité de contrôle», une autorité publique indépendante qui est instituée par un État membre en vertu de l'article 51;

22) «autorité de contrôle concernée», une autorité de contrôle qui est concernée par le traitement de données à caractère personnel parce que:

a) le responsable du traitement ou le sous-traitant est établi sur le territoire de l'État membre dont cette autorité de contrôle relève;
b) des personnes concernées résidant dans l'État membre de cette autorité de contrôle sont sensiblement affectées par le traitement ou sont susceptibles de l'être; ou
c) une réclamation a été introduite auprès de cette autorité de contrôle;

23) «traitement transfrontalier»,

a) un traitement de données à caractère personnel qui a lieu dans l'Union dans le cadre des activités d'établissements dans plusieurs États membres d'un responsable du traitement ou d'un sous-traitant lorsque le responsable du traitement ou le sous-traitant est établi dans plusieurs États membres; ou
b) un traitement de données à caractère personnel qui a lieu dans l'Union dans le cadre des activités d'un établissement unique d'un responsable du traitement ou d'un sous-traitant, mais qui affecte sensiblement ou est susceptible d'affecter sensiblement des personnes concernées dans plusieurs États membres;

24) «objection pertinente et motivée», une objection à un projet de décision quant à savoir s'il y a ou non violation du présent règlement ou si l'action envisagée en ce qui concerne le responsable du traitement ou le sous-traitant respecte le présent règlement, qui démontre clairement l'importance des risques que présente le projet de décision pour les libertés et droits fondamentaux des personnes concernées et, le cas échéant, le libre flux des données à caractère personnel au sein de l'Union;

25) «service de la société de l'information», un service au sens de l'article 1er, paragraphe 1, point b), de la directive (UE) 2015/1535 du Parlement européen et du Conseil (19);

26) «organisation internationale», une organisation internationale et les organismes de droit public international qui en relèvent, ou tout autre organisme qui est créé par un accord entre deux pays ou plus, ou en vertu d'un tel accord.

En savoir plus...

L'article 4 du RGPD fournit une liste de définitions utilisées pour préciser les termes pertinents utilisés dans l'ensemble du Règlement.
Certaines définitions sont tirées de la directive 95/46/CE précédente (ce qui permet de comprendre les termes existants) mais d'autres sont nouvellement introduites, modifiées ou complétées par des éléments supplémentaires et nécessitent donc une nouvelle interprétation.

Le RGPD prévoit-il une amende en cas d'infraction à cet article ?

Le RGPD ne mentionne pas la possibilité, pour une autorité de contrôle, de prononcer une amende aux contrevenants à cet article.
Bien que cela ne soit pas toujours pertinent, cela reste théoriquement possible en vertu de l'article 84 du RGPD, qui permet aux Etats Membres de prévoir des sanctions supplémentaires (sous certaines conditions).

Considérants pertinents

[Non applicabilité aux personnes morales]
14. La protection conférée par le présent règlement devrait s'appliquer aux personnes physiques, indépendamment de leur nationalité ou de leur lieu de résidence, en ce qui concerne le traitement de leurs données à caractère personnel. Le présent règlement ne couvre pas le traitement des données à caractère personnel qui concernent les personnes morales, et en particulier des entreprises dotées de la personnalité juridique, y compris le nom, la forme juridique et les coordonnées de la personne morale.

[Neutralité technologique]
15. Afin d'éviter de créer un risque grave de contournement, la protection des personnes physiques devrait être neutre sur le plan technologique et ne devrait pas dépendre des techniques utilisées. Elle devrait s'appliquer aux traitements de données à caractère personnel à l'aide de procédés automatisés ainsi qu'aux traitements manuels, si les données à caractère personnel sont contenues ou destinées à être contenues dans un fichier. Les dossiers ou ensembles de dossiers de même que leurs couvertures, qui ne sont pas structurés selon des critères déterminés ne devraient pas relever du champ d'application du présent règlement.

[Applicable aux données pseudonymisées mais pas anonymisées]
26. Il y a lieu d'appliquer les principes relatifs à la protection des données à toute information concernant une personne physique identifiée ou identifiable. Les données à caractère personnel qui ont fait l'objet d'une pseudonymisation et qui pourraient être attribuées à une personne physique par le recours à des informations supplémentaires devraient être considérées comme des informations concernant une personne physique identifiable. Pour déterminer si une personne physique est identifiable, il convient de prendre en considération l'ensemble des moyens raisonnablement susceptibles d'être utilisés par le responsable du traitement ou par toute autre personne pour identifier la personne physique directement ou indirectement, tels que le ciblage. Pour établir si des moyens sont raisonnablement susceptibles d'être utilisés pour identifier une personne physique, il convient de prendre en considération l'ensemble des facteurs objectifs, tels que le coût de l'identification et le temps nécessaire à celle-ci, en tenant compte des technologies disponibles au moment du traitement et de l'évolution de celles-ci. Il n'y a dès lors pas lieu d'appliquer les principes relatifs à la protection des données aux informations anonymes, à savoir les informations ne concernant pas une personne physique identifiée ou identifiable, ni aux données à caractère personnel rendues anonymes de telle manière que la personne concernée ne soit pas ou plus identifiable. Le présent règlement ne s'applique, par conséquent, pas au traitement de telles informations anonymes, y compris à des fins statistiques ou de recherche.

[Absence d'application aux données de personnes décédées]
27. Le présent règlement ne s'applique pas aux données à caractère personnel des personnes décédées. Les États membres peuvent prévoir des règles relatives au traitement des données à caractère personnel des personnes décédées.

[Avantages de la pseudonymisation en termes de sécurité]
28. La pseudonymisation des données à caractère personnel peut réduire les risques pour les personnes concernées et aider les responsables du traitement et les sous-traitants à remplir leurs obligations en matière de protection des données. L'introduction explicite de la pseudonymisation dans le présent règlement ne vise pas à exclure toute autre mesure de protection des données.

[Conditions de la pseudonymisation]
29. Afin d'encourager la pseudonymisation dans le cadre du traitement des données à caractère personnel, des mesures de pseudonymisation devraient être possibles chez un même responsable du traitement, tout en permettant une analyse générale, lorsque celui-ci a pris les mesures techniques et organisationnelles nécessaires afin de garantir, pour le traitement concerné, que le présent règlement est mis en œuvre, et que les informations supplémentaires permettant d'attribuer les données à caractère personnel à une personne concernée précise soient conservées séparément. Le responsable du traitement qui traite les données à caractère personnel devrait indiquer les personnes autorisées à cet effet chez un même responsable du traitement.

[Identifiants numériques]
30. Les personnes physiques peuvent se voir associer, par les appareils, applications, outils et protocoles qu'elles utilisent, des identifiants en ligne tels que des adresses IP et des témoins de connexion («cookies») ou d'autres identifiants, par exemple des étiquettes d'identification par radiofréquence. Ces identifiants peuvent laisser des traces qui, notamment lorsqu'elles sont combinées aux identifiants uniques et à d'autres informations reçues par les serveurs, peuvent servir à créer des profils de personnes physiques et à identifier ces personnes.

Droit souple

Lignes directrices et recommandations

> CEPD - Lignes directrices 07/2020 - Concepts de responsable de traitement et de sous-traitant

07 juillet 2021, v2.0

Références

Cet article cite...

> Article 27 - Représentants des responsables du traitement ou des sous-traitants qui ne sont pas établis dans l'Union.

> Article 51 - Autorité de contrôle

Autres textes liés

> Article 7 - Conditions applicables au consentement

Jurisprudence

Cliquez sur une ligne pour obtenir tous les détails.
Note importante : cette base de données n'est pas achevée ; par ailleurs, le développement du "RGPD annoté" implique sa re-structuration complète: il est donc possible que la partie soit vide, ou que certains résultats soient peu pertinents ou soient manquants. Veuillez ne pas hésiter à me le signaler !

Année:

Autorité:

Thème:

Secteur:

Décision n°	Nom	Date	Année	Pays	Autorité	Thème(s)	Secteur(s)	Apport de la décision	Extrait(s) pertinent(s)	Article(s) du RGPD	SHA 1 VALUE	Article(s) LIL	Fait référence à	Lien
C-461/22	MK contre WB	11/07/2024	2024	Allemagne	Cour de Justice de l'UE	Responsable de traitement		Responsable de traitement - Ancien curateur vis-à-vis d'une personne protégée - Admission	31. Eu égard à l’ensemble des considérations qui précèdent, il y a lieu de répondre aux questions posées que l’article 4, point 7, du règlement 2016/679 doit être interprété en ce sens qu’un ancien curateur ayant exercé ses fonctions à titre professionnel à l’égard d’une personne placée sous sa curatelle doit être qualifié de « responsable du traitement », au sens de cette disposition, des données à caractère personnel en sa possession concernant cette personne et qu’un tel traitement doit respecter l’ensemble des dispositions de ce règlement, notamment l’article 15 de celui-ci.	4	a33beb1398d687ce56ea092654850e76f54bebb2			Cliquer pour accéder à la décision
C-740/22	Endemol Shine Finland Oy	07/03/2024	2024	Finlande	Cour de Justice de l'UE	Traitement		Traitement de données à caractère personnel - Communication orale de données à caractère personnel - Inclusion	29. Il ressort notamment de l’expression « toute opération », que le législateur de l’Union a entendu donner à la notion de « traitement » une portée large, ce qui est corroboré par le caractère non exhaustif, exprimé par la locution « telles que », des opérations énumérées à ladite disposition [voir, en ce sens, arrêts du 24 février 2022, Valsts ieņēmumu dienests (Traitement des données personnelles à des fins fiscales), C‑175/20, EU:C:2022:124, point 35, et du 22 juin 2023, Pankki S, C‑579/21, EU:C:2023:501, point 46]. 30. Cette énumération vise, entre autres, la communication par transmission, la diffusion et « toute autre forme de mise à disposition », ces opérations pouvant être automatisées ou non automatisées. À cet égard, l’article 4, point 2, du RGPD ne pose aucune condition quant à la forme du traitement « non automatisé ». La notion de « traitement » couvre dès lors la communication orale.	4	a33beb1398d687ce56ea092654850e76f54bebb2		CJUE, 24 février 2024, Valsts ieņēmumu dienests, C-175/20 (point 46), disponible ici	Cliquer pour accéder à la décision
C-604/22	IAB Europe	07/03/2024	2024	Pays-Bas	Cour de Justice de l'UE	Donnée à caractère personnel	Technologie, Marketing et prospection	Donnée à caractère personnel - Chaîne de caractères stockant les préférences en matière de publicité et de cookies - Admission	51. Compte tenu de ce qui précède, il convient de répondre à la première question que l’article 4, point 1, du RGPD doit être interprété en ce sens qu’une chaîne composée d’une combinaison de lettres et de caractères, telle que la TC String, contenant les préférences d’un utilisateur d’Internet ou d’une application relatives au consentement de cet utilisateur au traitement des données à caractère personnel le concernant par des fournisseurs de sites Internet ou d’applications ainsi que par des courtiers de telles données et par des plateformes publicitaires, constitue une donnée à caractère personnel au sens de cette disposition dans la mesure où, lorsque celle-ci peut, par des moyens raisonnables, être associée à un identifiant, tels que notamment l’adresse IP de l’appareil dudit utilisateur, elle permet d’identifier la personne concernée. Dans de telles conditions, la circonstance que, sans une contribution extérieure, une organisation sectorielle détenant cette chaîne ne peut ni accéder aux données qui sont traitées par ses membres dans le cadre des règles qu’elle a établies ni combiner ladite chaîne avec d’autres éléments ne fait pas obstacle à ce que la même chaîne constitue une donnée à caractère personnel au sens de ladite disposition.	4	a33beb1398d687ce56ea092654850e76f54bebb2			Cliquer pour accéder à la décision
C-683/21	Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos	05/12/2023	2023	Lituanie	Cour de Justice de l'UE	Responsable de traitement		Responsable de traitement - Obligation que le responsable ait accès et/ou traite lui-même des données et/ou donne son accord pour la réalisation des opérations du traitement - Absence	38. Eu égard aux motifs qui précédent, il y a lieu de répondre aux première à troisième questions que l’article 4, point 7, du RGPD doit être interprété en ce sens que peut être considérée comme étant responsable du traitement, au sens de cette disposition, une entité qui a chargé une entreprise de développer une application informatique mobile et qui a, dans ce contexte, participé à la détermination des finalités et des moyens du traitement des données à caractère personnel réalisé au moyen de cette application, même si cette entité n’a pas procédé, elle-même, à des opérations de traitement de telles données, qu’elle n’a pas donné explicitement son accord pour la réalisation des opérations concrètes d’un tel traitement ou pour la mise à disposition du public de ladite application mobile et qu’elle n’a pas acquis cette même application mobile, à moins que, avant cette mise à disposition du public, ladite entité ne se soit expressément opposée à celle-ci et au traitement des données à caractère personnel qui en a résulté.	4	a33beb1398d687ce56ea092654850e76f54bebb2			Cliquer pour accéder à la décision
C-683/21	Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos	05/12/2023	2023	Lituanie	Cour de Justice de l'UE	Donnée à caractère personnel		Donnée à caractère personnel - Données pseudonymisées - Admission	58. En revanche, il découle de l’article 4, point 5, du RGPD, lu en combinaison avec le considérant 26 de ce règlement, que les données à caractère personnel qui ont seulement fait l’objet d’une pseudonymisation et qui pourraient être attribuées à une personne physique par le recours à des informations supplémentaires doivent être considérées comme des informations concernant une personne physique identifiable, auxquelles s’appliquent les principes relatifs à la protection des données.	4	a33beb1398d687ce56ea092654850e76f54bebb2			Cliquer pour accéder à la décision
C-319/22	Gesamtverband Autoteile-Handel	09/11/2023	2023	Allemagne	Cour de Justice de l'UE	Donnée à caractère personnel	Transports	Donnée à caractère personnel - VIN (Vehicule Identification Number) - Inclusion sous conditions - Moyens raisonnables de rattacher un VIN à une personne physique ou identifiable	47. Or, il résulte de l’annexe I, point II.5, de la directive 1999/37 que le VIN doit figurer dans lecertificat d’immatriculation d’un véhicule, tout comme le nom et l’adresse du titulaire de ce certificat. En outre, en vertu des points II.5 et II.6 de cette annexe, une personne physique peut être désignée dans ledit certificat comme propriétaire du véhicule ou comme une personne pouvant disposer du véhicule à un titre juridique autre que celui de propriétaire. - 48 Dans ces conditions, le VIN constitue une donnée à caractère personnel, au sens de l’article 4, point 1, du RGPD, de la personne physique mentionnée dans le même certificat, dans la mesure où celui qui y a accès pourrait disposer de moyens lui permettant de l’utiliser pour identifier le propriétaire du véhicule auquel il se rapporte ou la personne pouvant disposer de ce véhicule à un titre juridique autre que celui de propriétaire.	4	a33beb1398d687ce56ea092654850e76f54bebb2			Cliquer pour accéder à la décision
SAN-2023-009	Criteo	15/06/2023	2023	France	CNIL ou équivalent	Responsable de traitement	Marketing et prospection	Responsabilité conjointe - Collecte du consentement pour le compte de sociétés partenaires - Obligation du responsable de traitement ne collectant pas le consentement d’être en mesure de démontrer que la personne concernée a donné son consentement	60. Précisément, elle remarque, en l’occurrence, que la société s’est organisée d’une telle façon avec ses partenaires que les conditions générales d’utilisation des services Criteo, auxquelles les partenaires de la société ont adhéré, précisent qu’il revient bien au partenaire de recueillir le consentement de la personne concernée pour le traitement subséquent opéré à partir des données collectées par ce cookie. - 61. La formation restreinte estime cependant que le fait que la collecte du consentement des internautes pour la mise en œuvre du traitement en cause revienne aux partenaires n’exonère pas la société de son obligation, en application de l’article 7 du RGPD, d’être en mesure de démontrer que la personne concernée a donné son consentement.	4, 7	a33beb1398d687ce56ea092654850e76f54bebb2			Cliquer pour accéder à la décision
SAN-2023-009	Criteo	15/06/2023	2023	France	CNIL ou équivalent	Donnée à caractère personnel	Technologie, Marketing et prospection	Donnée à caractère personnel - Combinaison de traces laissées par un témoin de connexion ou une adresse IP à des identifiants uniques ou à d’autres informations - Critères du moyen légal et raisonnable d'identifier - Application	40. Ainsi, la formation restreinte note que si la société ne dispose pas directement de l’identité des personnes physiques auxquelles sont liés les terminaux sur lesquels des cookies sont inscrits, la réidentification peut être facilitée par le fait que, dans certaines hypothèses, la société collecte, outre les données liées aux évènements de navigation, d’autres données qui facilitent la réidentification telles que les adresses électroniques des personnes ayant fait leur parcours de navigation depuis un environnement authentifié (ou " logué ") sous forme hachée, des identifiants leur correspondant générés par d’autres acteurs, l’adresse IP sous forme hachée ou encore l’agent utilisateur du terminal utilisé. - 41. Par conséquent, dès lors que la société est en mesure de réidentifier des personnes par des moyens raisonnables, les données traitées conservent un caractère personnel, au sens de l’article 4, 1) du RGPD	4	a33beb1398d687ce56ea092654850e76f54bebb2			Cliquer pour accéder à la décision
C-487/21	Österreichische Datenschutzbehörde et CRIF	04/05/2023	2023	Allemagne	Cour de Justice de l'UE	Donnée à caractère personnel		Donnée à caractère personnel - Tout type d'information pouvant concerner une personne - Admission	23. L’emploi de l’expression « toute information » dans la définition de la notion de « donnée à caractère personnel », figurant à cette disposition, reflète l’objectif du législateur de l’Union d’attribuer un sens large à cette notion, laquelle englobe potentiellement toute sorte d’informations, tant objectives que subjectives, sous forme d’avis ou d’appréciations, à condition que celles-ci « concernent » la personne en cause (voir, par analogie, arrêt du 20 décembre 2017, Nowak, C-434/16, EU:C:2017:994, point 34). 24. À cet égard, il a été jugé qu’une information concerne une personne physique identifiée ou identifiable lorsque, en raison de son contenu, sa finalité ou son effet, elle est liée à une personne identifiable (voir, en ce sens, arrêt du 20 décembre 2017, Nowak, C-434/16, EU:C:2017:994, point 35).	4	a33beb1398d687ce56ea092654850e76f54bebb2			Cliquer pour accéder à la décision
T-557/20	CRU / CEPD	26/04/2023	2023		Autre	Donnée à caractère personnel		Donnée à caractère personnel - Qualification - Analyse pratique et non théorique - Nécessité de se placer du point de vue de la personne en possession des données	97. Toutefois, il ressort également de l’arrêt du 19 octobre 2016, Breyer (C-582/14, EU:C:2016:779), que, pour déterminer si les informations transmises à Deloitte constituaient des données à caractère personnel, il convient de se placer du point de vue de ce dernier pour déterminer si les informations qui lui ont été transmises se rapportent à des « personnes identifiables ». - 105. Partant, à défaut pour le CEPD d’avoir recherché si Deloitte disposait de moyens légaux et réalisables en pratique lui permettant d’accéder aux informations supplémentaires nécessaires à la réidentification des auteurs des commentaires, le CEPD ne pouvait conclure que les informations transmises à Deloitte constituaient des informations se rapportant à une « personne physique identifiable » au sens de l’article 3, point 1, du règlement 2018/1725 [équivalent au 4 du RGPD]. ATTENTION: Cette décision a fait l'objet d'un pourvoi.	4	a33beb1398d687ce56ea092654850e76f54bebb2			Cliquer pour accéder à la décision
Avis 2022-051	Avis sur projet de décret	21/04/2022	2022	France	CNIL ou équivalent	Destinataire	Santé, Administration	Destinataires et accédants - Personnes accédants au traitement ou destinataires de données de santé - Nécéssité de s'assurer du secret médical et droit d’en connaître	Dans le cadre d’un traitement mis en œuvre pour le compte de l’État et contenant des données recueillies par des professionnels de santé et couvertes par le secret médical, il revient au responsable du traitement de s'assurer que les personnes accédant au traitement ou destinataires des données qui pourraient avoir connaissance des données couvertes par le secret médical ont bien le droit d'en connaître. Excepté dans les cas de dérogation expressément prévus par la loi, ce secret couvre l'ensemble des informations concernant la personne portée à la connaissance d’un professionnel de santé, de tout membre du personnel d’un établissement, service ou organisme concourant à la prévention ou aux soins et de toute autre personne en relation, de par ses activités, avec ces établissements ou organismes. La Commission rappelle que ce secret s'impose à tous les professionnels intervenant dans le système de santé qui pourraient être amenés à transmettre des informations afin qu’elles soient enregistrées dans le traitement.	4	a33beb1398d687ce56ea092654850e76f54bebb2			Non publié. Source: CNIL, Tables Informatique et Libertés
MED-2022-005	Société X	03/02/2022	2022	France	CNIL ou équivalent	Responsable de traitement	Technologie	Responsable de traitement - Mise en œuvre de traitements à des fins de mesure d’audience en ligne - Inclusion	Une société gestionnaire du site web qui, d’une part, décide de mettre en œuvre une fonctionnalité d’un prestataire de service, laquelle conduit à traiter des données à caractère personnel, à des fins de mesure d’audience, de performance des campagnes médias de la société, d’évaluation et d’optimisation du site web (détermination de la finalité), et qui, d’autre part, a déterminé les moyens de la collecte et du traitement des données collectées dans le cadre de l’intégration de cette fonctionnalité sur son site web (détermination des moyens), est responsable de traitement au sens de l’article 4.7 du RGPD.	4	a33beb1398d687ce56ea092654850e76f54bebb2			Non publié. Source: CNIL, Tables Informatique et Libertés
Avis 2022-006	Projet de décret Caméras installées sur des aéronefs circulant sans personne à bord	13/01/2022	2022	France	CNIL ou équivalent	Destinataire	Administration	Destinataires et accédants - Définition - Habilitation des accédants	La Commission estime en effet que le terme « accédant », que n’utilise ni le RGPD, ni la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés mais qui a été créé par la doctrine, désigne, s’agissant d’un traitement automatisé de données mis en œuvre par une administration et encadré par un acte réglementaire, les personnes qui, au sein du responsable de traitement, seront appelées à effectuer les diverses opérations de traitement et, à ce titre, à accéder au système informatique en cause. Les habilitations des différents accédants peuvent être définies par l’acte réglementaire, et ne se limitent généralement pas à la seule consultation des données mais incluent aussi l’enregistrement, la correction ou l’effacement des données. Par ailleurs, au sens de la réglementation, et notamment du RGPD, les « destinataires » sont les personnes à qui le responsable de traitement peut être amené à communiquer les données et sur lesquelles il doit fournir une information aux personnes concernées. En pratique, cette communication peut prendre plusieurs formes, qu’il s’agisse d’une transmission d’un extrait des données ou d’une simple faculté de consultation par un accès sécurisé au système informatique. Lorsqu’un projet de décret mentionne des personnes comme « accédants aux données » alors qu’elles ne seront pas seulement chargées de consulter les données mais également de décider de leur recueil, ce point doit être précisé pour éviter toute ambiguïté.	4	a33beb1398d687ce56ea092654850e76f54bebb2			Cliquer pour accéder à la décision
431875	M. B... A...-C...	10/06/2021	2021	France	Conseil d'Etat	Traitement	Technologie	Traitement de données à caractère personnel - Publication sur un site internet de données à caractère personnel - Inclusion	3. Il ressort des énonciations de l'arrêt attaqué que, pour écarter le moyen tiré de la méconnaissance des règles nationales et européennes applicables aux traitements de données à caractère personnel, la cour administrative d'appel a jugé que ni la publication par voie informatique d'un arrêté de nomination d'agents publics ne comportant que le nom des intéressés et l'indication du fondement juridique de leur nomination, ni la décision refusant de mettre un terme à cette publication, ne pouvaient être regardées comme relatives à un traitement de données à caractère personnel par voie informatique. En écartant l'application de ces règles, alors que la seule publication sur un site internet de données à caractère personnel suffit à les rendre applicables, la cour administrative d'appel a commis une erreur de droit.	4	a33beb1398d687ce56ea092654850e76f54bebb2			Cliquer pour accéder à la décision
SAN-2021-007	Société X	03/06/2021	2021	France	CNIL ou équivalent	Donnée à caractère personnel		Donnée à caractère personnel - Adresse postale - Identification indirecte - Inclusion	La formation restreinte considère que l’adresse postale peut constituer une donnée à caractère personnel indirectement identifiante dans la mesure où, notamment combinée à d’autres informations, elle peut, dans certaines conditions, permettre l’identification d’une personne. C’est par exemple le cas lorsqu’une seule personne habite à cette adresse ou lorsque l’adresse est combinée à un numéro de téléphone ou à des données de réseaux telles que l’identifiant Wi-Fi ou l’adresse MAC d’un routeur.	4	a33beb1398d687ce56ea092654850e76f54bebb2			Non publié. Source: CNIL, Tables Informatique et Libertés
446155	La Quadrature du Net	22/12/2020	2020	France	Conseil d'Etat	Traitement	Police-Justice	Traitement de données à caractère personnel au sens de la directive (UE) 2016/680 - Dispositif de surveillance par drone transmettant, après floutage, des images au centre de commandement de la préfecture de police pour un visionnage en temps réel - Inclusion, sans qu'ait d'incidence la circonstance que seules les images floutées parviennent au centre de commandement	6. En premier lieu, il résulte des dispositions citées aux points 3 et 4 que le dispositif de surveillance litigieux, qui consiste à collecter des données, grâce à la captation d'images par drone, afin de les transmettre, après application d'un procédé de floutage, au centre de commandement de la préfecture de police pour un visionnage en temps réel, constitue un traitement au sens de la directive du 27 avril 2016. - 7. En second lieu, si ce dispositif permet de ne renvoyer à la direction opérationnelle que des images ayant fait l'objet d'un floutage, il ne constitue que l'une des opérations d'un traitement d'ensemble des données, qui va de la collecte des images par le drone à leur envoi vers la salle de commandement, après transmission des flux vers le serveur de floutage, décomposition de ces flux image par image aux fins d'identifier celles qui correspondent à des données à caractère personnel pour procéder à l'opération de floutage, puis à la recomposition du flux vidéo comportant les éléments floutés. Dès lors que les images collectées par les appareils sont susceptibles de comporter des données identifiantes, la circonstance que seules les données traitées par le logiciel de floutage parviennent au centre de commandement n'est pas de nature à modifier la nature des données faisant l'objet du traitement, qui doivent être regardées comme des données à caractère personnel.	4	a33beb1398d687ce56ea092654850e76f54bebb2	31, 87		Cliquer pour accéder à la décision
2020-135	Projet de décret TousAntiCovid	17/12/2020	2020	France	CNIL ou équivalent	Responsable de traitement		Responsable de traitement - Personne mettant à disposition du public un logiciel - Exclusion sous conditions	D’autre part, les données personnelles étant stockées et traitées uniquement localement, à la discrétion et pour le compte du seul utilisateur, il ne semble pas que les autorités publiques soient responsables de ces traitements, la seule mise à disposition d’un logiciel au public ne constituant pas la mise en œuvre d’un traitement de données à caractère personnel. En ce sens, il convient de relever que les dispositions du décret relatives à ces traitements ne sont pas conformes aux exigences de la Commission (durée de conservation, liste des destinataires, etc.) mais qu’il n’apparaît pas opportun de réglementer ces aspects qui, dans le cadre du fonctionnement du logiciel en cause, doivent rester à la discrétion du particulier qui utilise l’application.	4	a33beb1398d687ce56ea092654850e76f54bebb2			Cliquer pour accéder à la décision
MED-2020-043	Société X	10/12/2020	2020	France	CNIL ou équivalent	Donnée à caractère personnel	Marketing et prospection	Donnée à caractère personnel - Propos tenus dans le cadre d’une conversation téléphonique - Inclusion	L’ensemble des propos tenus dans la cadre d’une conversation téléphonique enregistrée sont susceptibles de constituer des données à caractère personnel concernant les deux parties à cette conversation.	4	a33beb1398d687ce56ea092654850e76f54bebb2			Non publié. Source: CNIL, Tables Informatique et Libertés
17-19.253	Agence France Presse	25/11/2020	2020	France	Cour de cassation	Donnée à caractère personnel	Technologie	Donnée à caractère personnel - Adresse IP - Inclusion	11. Les adresses IP, qui permettent d'identifier indirectement une personne physique, sont des données à caractère personnel, au sens de l'article 2 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, de sorte que leur collecte par l'exploitation du fichier de journalisation constitue un traitement de données à caractère personnel et doit faire l'objet d'une déclaration préalable auprès de la Commission nationale de l'informatique et des libertés en application de l'article 23 de la loi précitée.	4	a33beb1398d687ce56ea092654850e76f54bebb2			Cliquer pour accéder à la décision
MED-2020-040	LAPI Commune X	24/11/2020	2020	France	CNIL ou équivalent	Responsable de traitement	Administration	Responsabilités du traitement - Concession de service public - Qualification du concessionnaire - Qualification de l’autorité publique concédante	La qualification de responsable de traitement est reconnue au concessionnaire dès lors qu’il agit pour son propre compte avec une autonomie certaine sur les traitements des données d’usagers qu’il met en œuvre dans l’exécution de ses missions, en déterminant les finalités et les moyens essentiels du traitement. - Cependant, l’autorité publique concédante est également qualifiée de responsable des traitements des données à caractère personnel des usagers mis en œuvre par le concessionnaire dans le cadre de l’exécution du service, dès lors que le traitement de ces données est nécessaire à la satisfaction des finalités poursuivies par la collectivité et que cette dernière a substantiellement défini les traitements de données en cause et leurs conditions de réalisation par le concessionnaire, notamment à travers des clauses contractuelles ou des instructions précises quant à leur mise en œuvre durant l’exécution du contrat.	4, 24, 26	a33beb1398d687ce56ea092654850e76f54bebb2			Non publié. Source: CNIL, Tables Informatique et Libertés
C-272/19	Land Hessen	09/07/2020	2020	Allemagne	Cour de Justice de l'UE	Responsable de traitement	Administration	Responsable du traitement - Commission des pétitions du parlement d’un État fédéré d’un État membre - Inclusion - Article 15 - Droit d’accès de la personne concernée - Application	72. En quatrième et dernier lieu, aucune exception n’est prévue dans le règlement 2016/679, notamment au considérant 20 et à l’article 23 de celui-ci, en ce qui concerne les activités parlementaires. - 74. Il résulte de l’ensemble des considérations qui précèdent que l’article 4, point 7, du règlement 2016/679 doit être interprété en ce sens que, dans la mesure où une commission des pétitions du parlement d’un État fédéré d’un État membre détermine, seule ou avec d’autres, les finalités et les moyens du traitement, cette commission doit être qualifiée de « responsable du traitement », au sens de cette disposition, de telle sorte que le traitement de données à caractère personnel effectué par une telle commission relève du champ d’application de ce règlement, notamment de l’article 15 de celui-ci.	4, 15, 24	a33beb1398d687ce56ea092654850e76f54bebb2			Cliquer pour accéder à la décision
Avis 2020-062	Avis sur projet de décret	11/06/2020	2020	France	CNIL ou équivalent	Anonymisation		Anonymisation et pseudonymisation - Distinction - Sens restrictif du terme "anonymisation" au sens du RGPD	Il y a lieu, lorsque des dispositions législatives ou réglementaires font référence à la notion d’anonymisation, de rechercher quelle est l’intention de l’auteur du texte pour comprendre la portée de ses exigences, et notamment si les dispositions en cause exigent une anonymisation au sens du RGPD ou une pseudonymisation, par occultation des données directement identifiantes. La Commission invite le législateur et le pouvoir réglementaire à tenir systématiquement compte de la distinction posée par le RGPD et à employer le mot d’anonymisation dans le seul sens restrictif que lui donne le RGPD.	4	a33beb1398d687ce56ea092654850e76f54bebb2			Non publié. Source: CNIL, Tables Informatique et Libertés
431350	Cercle de réflexion et de proposition d’actions sur la psychiatrie et autres	27/03/2020	2020	France	Conseil d'Etat	Traitement		Traitement de données à caractère personnel - Mise en relation de traitements existants en vue de leur utilisation au regard de la finalité poursuivie par l'un d'entre eux ou d'une finalité propre - 1) Inclusion - 2) Cadre juridique applicable dépendant de la finalité poursuivie	9. [...] Une mise en relation de deux traitements existants qui consiste à rapprocher des données conservées dans l'un et l'autre en vue de leur utilisation au regard de la finalité poursuivie par l'un d'entre eux ou d'une finalité propre constitue en elle-même un traitement au sens de ces dispositions. Le cadre juridique applicable à un tel traitement dépend de la finalité ainsi poursuivie.	4	a33beb1398d687ce56ea092654850e76f54bebb2			Cliquer pour accéder à la décision
420917	M. B… A…	02/12/2019	2019	France	Conseil d'Etat	Personne concernée		Personne concernée - Ayant droit d’une personne décédée à laquelle se rapportent des données à caractère personnel - Exclusion par principe	4. La loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés n'ouvre la possibilité de demander la communication de données à caractère personnel figurant dans un traitement automatisé ou de solliciter un accès indirect à de telles données qu'à la personne concernée par celles-ci. La seule qualité d'ayant droit de son père décédé dont se prévaut M. A... ne lui confère pas la qualité de personne concernée par les données susceptibles de concerner son père dans un fichier intéressant la sûreté de l'Etat ou la défense.	4	a33beb1398d687ce56ea092654850e76f54bebb2			Cliquer pour accéder à la décision
C-345/17	Buivids	14/02/2019	2019	Lettonie	Cour de Justice de l'UE	Donnée à caractère personnel		Donnée à caractère personnel - Image d’une personne enregistrée par une caméra - Inclusion	31. Selon la jurisprudence de la Cour, l’image d’une personne enregistrée par une caméra constitue une « donnée à caractère personnel », au sens de l’article 2, sous a), de la directive 95/46, dans la mesure où elle permet d’identifier la personne concernée (voir, en ce sens, arrêt du 11 décembre 2014, Ryneš, C‑212/13, EU:C:2014:2428, point 22).	4	a33beb1398d687ce56ea092654850e76f54bebb2			Cliquer pour accéder à la décision
C-345/17	Buivids	14/02/2019	2019	Lettonie	Cour de Justice de l'UE	Traitement	Technologie	Traitement de données à caractère personnel - Enregistrement vidéo publié sur internet et que les utilisateurs peuvent envoyer, regarder et partager - Inclusion	47. Eu égard à ce qui précède, il y a lieu de répondre à la première question que l’article 3 de la directive 95/46 doit être interprété en ce sens que relèvent du champ d’application de cette directive l’enregistrement vidéo de membres de la police dans un commissariat, lors d’une prise de déposition, et la publication de la vidéo ainsi enregistrée sur un site Internet de vidéos sur lequel les utilisateurs peuvent envoyer, regarder et partager celles-ci.	4	a33beb1398d687ce56ea092654850e76f54bebb2			Cliquer pour accéder à la décision
396340	Avis sur le projet de décret relatif à la mise en œuvre de traitements provenant des caméras individuelles des agents de la police municipale	08/01/2019	2019	France	Conseil d'Etat	Responsable de traitement	Administration, Police-Justice	Responsable de traitement mis en oeuvre pour le compte de l'Etat (art. 31 LIL) - Caméras individuelles des agents de la police municipale - Responsabilité de traitement du ministre de l’intérieur - Exclusion	À l’occasion de l’examen d’un projet de décret relatif à la mise en œuvre de traitements de données à caractère personnel provenant des caméras individuelles des agents de la police municipale, le Conseil d’État (section de l’intérieur) estime qu’il résulte tant des finalités poursuivies par les dispositifs en cause que des missions confiées aux agents de police municipale, que les traitements projetés relèvent des dispositions de la directive (UE) n° 2016/680 du 27 avril 2016 telle que transposée aux articles 70-1 et suivants de la loi du 6 janvier 1978 modifiée. Compte tenu de leurs finalités ils doivent être regardés comme mis en œuvre pour le compte de l'État. Le traitement étant mis en œuvre au niveau des collectivités locales ou des établissements de coopérations intercommunales, le ministre de l'intérieur ne peut être regardé comme le responsable du traitement au sens du premier alinéa de l'article 70-4, alors même que cette mise en œuvre est faite pour le compte de l'État.	4	a33beb1398d687ce56ea092654850e76f54bebb2	31, 87		Non publié en intégralité.
C-25/17	Jehovan todistajat	10/07/2018	2018	Finlande	Cour de Justice de l'UE	Fichier		Fichier - Activité de prédication de porte-à-porte comportant des noms et des adresses - Données structurées selon des critères déterminés - Inclusion	62. Il convient donc de répondre à la deuxième question que l’article 2, sous c), de la directive 95/46 doit être interprété en ce sens que la notion de « fichier », visée par cette disposition, couvre un ensemble de données à caractère personnel collectées dans le cadre d’une activité de prédication de porte-à-porte, comportant des noms et des adresses ainsi que d’autres informations concernant les personnes démarchées, dès lors que ces données sont structurées selon des critères déterminés permettant, en pratique, de les retrouver aisément aux fins d’une utilisation ultérieure. Pour qu’un tel ensemble relève de cette notion, il n’est pas nécessaire qu’il comprenne des fiches, des listes spécifiques ou d’autres systèmes de recherche.	4	a33beb1398d687ce56ea092654850e76f54bebb2			Cliquer pour accéder à la décision
412589	Société Editions Croque Futur	06/06/2018	2018	France	Conseil d'Etat	Traitement	Technologie	Traitement de données à caractère personnel - Utilisation de témoins de connexion (« cookies ») répondant aux caractéristiques définies au II de l’article 32 de la loi du 6 janvier 1978 - Inclusion	11. L'utilisation de " cookies " répondant aux caractéristiques définies au II de l'article 32 de la loi du 6 janvier 1978 [désormais 82] constitue un traitement de données qui doit respecter les prescriptions de l'article 6 précité. Lorsque des " cookies " sont déposés par l'éditeur du site, il doit être considéré comme responsable de traitement au sens de la loi. Il en va de même lorsque l'éditeur sous-traite à des tiers la gestion de " cookies " mis en place pour son compte.	4	a33beb1398d687ce56ea092654850e76f54bebb2	82		Cliquer pour accéder à la décision
C-434/16	Nowak	20/12/2017	2017	Angleterre	Cour de Justice de l'UE	Donnée à caractère personnel		Donnée à caractère personnel - Absence d'obligation que toutes les informations soient dans les mains de la même personne	31. En effet, pour qu’une donnée puisse être qualifiée de « donnée à caractère personnel », au sens de l’article 2, sous a), de la directive 95/46, il n’est pas requis que toutes les informations permettant d’identifier la personne concernée se trouvent entre les mains d’une seule personne (arrêt du 19 octobre 2016, Breyer, C-582/14, EU:C:2016:779, point 43). Il est par ailleurs constant que, dans l’hypothèse où l’examinateur ne connaît pas l’identité du candidat lors de la notation des réponses fournies par celui-ci dans le cadre d’un examen, l’entité organisant l’examen, en l’occurrence l’ordre des experts-comptables, dispose, en revanche, des informations nécessaires lui permettant d’identifier sans difficultés ou doutes ce candidat à partir de son numéro d’identification, apposé sur la copie d’examen ou le feuillet de couverture de cette copie, et ainsi de lui attribuer ses réponses.	4	a33beb1398d687ce56ea092654850e76f54bebb2			Cliquer pour accéder à la décision
399446	M.X	07/06/2017	2017	France	Conseil d'Etat	Personne concernée		Personne concernée - Ayant droit d’une personne décédée à laquelle se rapportent des données à caractère personnel - Exclusion par principe - Héritiers de la victime d'un dommage ayant engagé une action en réparation avant son décès ou ayant eux-mêmes engagé ultérieurement une telle action - Admission par exception	2. [...] Il résulte de ces dispositions que la communication de données à caractère personnel n'est possible qu'à la personne concernée par ces données. Par suite, la seule qualité d'ayant droit d'une personne à laquelle se rapportent des données ne confère pas la qualité de " personne concernée " par leur traitement au sens des articles 2 et 39 de la loi du 6 janvier 1978. - 3. Toutefois, lorsque la victime d'un dommage décède, son droit à la réparation de ce dommage, entré dans son patrimoine, est transmis à ses héritiers, saisis de plein droit des biens, droits et actions du défunt en application du premier alinéa de l'article 724 du code civil. Par suite, lorsque la victime a engagé une action en réparation avant son décès ou lorsque ses héritiers ont ultérieurement eux-mêmes engagé une telle action, ces derniers doivent être regardés comme des " personnes concernées " au sens des articles 2 et 39 de la loi du 6 janvier 1978 pour l'exercice de leur droit d'accès aux données à caractère personnel concernant le défunt, dans la mesure nécessaire à l'établissement du préjudice que ce dernier a subi en vue de sa réparation et pour les seuls besoins de l'instance engagée.	4	a33beb1398d687ce56ea092654850e76f54bebb2			Cliquer pour accéder à la décision
C-398/15	Manni	09/03/2017	2017	Italie	Cour de Justice de l'UE	Traitement	Economie et fiscalité	Traitement de données à caractère personnel - Registre des sociétés - Inclusion	35. Par ailleurs, en transcrivant et en conservant lesdites informations dans le registre et en communiquant celles-ci, le cas échéant, sur demande à des tiers, l’autorité chargée de la tenue de ce registre effectue un « traitement de données à caractère personnel », pour lequel elle est le « responsable », au sens des définitions fournies à l’article 2, sous b) et d), de la directive 95/46.	4	a33beb1398d687ce56ea092654850e76f54bebb2			Cliquer pour accéder à la décision
393714	Société JC Decaux France	08/02/2017	2017	France	Conseil d'Etat	Anonymisation		Anonymisation - Conditions d’anonymisation d’une donnée à caractère personnel	7. En second lieu, il résulte de la définition de la donnée personnelle donnée par les dispositions, citées au point 2 ci-dessus, de l'article 2 de la loi du 6 janvier 1978, qu'une telle donnée ne peut être regardée comme rendue anonyme que lorsque l'identification de la personne concernée, directement ou indirectement, devient impossible que ce soit par le responsable du traitement ou par un tiers. Tel n'est pas le cas lorsqu'il demeure possible d'individualiser une personne ou de relier entre elles des données résultant de deux enregistrements qui la concernent.	4	a33beb1398d687ce56ea092654850e76f54bebb2			Cliquer pour accéder à la décision
15-22.595	B.	03/11/2016	2016	France	Cour de cassation	Donnée à caractère personnel	Technologie	Donnée à caractère personnel - Adresse IP - Inclusion	(5.) Qu'en statuant ainsi, alors que les adresses IP, qui permettent d'identifier indirectement une personne physique, sont des données à caractère personnel, de sorte que leur collecte constitue un traitement de données à caractère personnel et doit faire l'objet d'une déclaration préalable auprès de la CNIL, la cour d'appel a violé les textes susvisés ;	4	a33beb1398d687ce56ea092654850e76f54bebb2			Cliquer pour accéder à la décision
C-582/14	Breyer	19/10/2016	2016	Allemagne	Cour de Justice de l'UE	Donnée à caractère personnel	Technologie	Donnée à caractère personnel - Limites : Moyen légal et raisonnable d'identifier - Exemple des adresses IP - Admission	44. Le fait que les informations supplémentaires nécessaires pour identifier l’utilisateur d’un site Internet sont détenues non pas par le fournisseur de services de médias en ligne, mais par le fournisseur d’accès à Internet de cet utilisateur, n’apparaît ainsi pas de nature à exclure que les adresses IP dynamiques enregistrées par le fournisseur de services de médias en ligne constituent, pour celui-ci, des données à caractère personnel au sens de l’article 2, sous a), de la directive 95/46. - 45. Il convient cependant de déterminer si la possibilité de combiner une adresse IP dynamique avec lesdites informations supplémentaires détenues par ce fournisseur d’accès à Internet constitue un moyen susceptible d’être raisonnablement mis en œuvre pour identifier la personne concernée. - 46. Ainsi que l’a relevé en substance M. l’avocat général au point 68 de ses conclusions, tel ne serait pas le cas si l’identification de la personne concernée était interdite par la loi ou irréalisable en pratique, par exemple en raison du fait qu’elle impliquerait un effort démesuré en termes de temps, de coût et de main-d’œuvre, de sorte que le risque d’une identification paraît en réalité insignifiant.	4	a33beb1398d687ce56ea092654850e76f54bebb2			Cliquer pour accéder à la décision
C-615/13	ClientEarth et PAN Europe /EFSA	16/07/2015	2015	Angleterre	Cour de Justice de l'UE	Donnée à caractère personnel		Donnée à caractère personnel - Donnée relative à la vie privée - Absence de confusion	32. Par ailleurs, ainsi que l’ont fait valoir l’EFSA, la Commission et le CEPD, les notions de «données à caractère personnel», au sens de l’article 2, sous a), du règlement no 45/2001, et de «données relatives à la vie privée» ne se confondent pas. Est, partant, inopérante en l’espèce l’allégation de ClientEarth et de PAN Europe selon laquelle l’information litigieuse ne relève pas de la vie privée des experts concernés.	4	a33beb1398d687ce56ea092654850e76f54bebb2			Cliquer pour accéder à la décision
C-615/13	ClientEarth et PAN Europe /EFSA	16/07/2015	2015	Angleterre	Cour de Justice de l'UE	Donnée à caractère personnel		Donnée à caractère personnel - Opinions exprimées par des experts à titre professionnel dans le cadre des travaux d’une agence de l’Union - Inclusion	28. En l’occurrence, ainsi qu’il est rappelé au point 43 de l’arrêt attaqué, ClientEarth et PAN Europe visent, en sollicitant la divulgation de l’information litigieuse, à connaître, pour chacune des observations formulées par les experts externes, lequel d’entre eux en est l’auteur. - 29. En ce que cette information permettrait de rattacher à tel ou tel expert déterminé une observation donnée, elle concerne des personnes physiques identifiées et, partant, constitue un ensemble de données à caractère personnel, au sens de l’article 2, sous a), du règlement no 45/2001.	4	a33beb1398d687ce56ea092654850e76f54bebb2			Cliquer pour accéder à la décision
C-212/13	Ryneš	11/12/2014	2014	République Tchèque	Cour de Justice de l'UE	Traitement		Traitement de données à caractère personnel - Surveillance par enregistrement vidéo stocké dans un disque dur - Inclusion	25. Or, une surveillance effectuée par un enregistrement vidéo des personnes, comme dans l’affaire au principal, stocké dans un dispositif d’enregistrement continu, à savoir le disque dur, constitue, conformément à l’article 3, paragraphe 1, de la directive 95/46, un traitement de données à caractère personnel automatisé.	4	a33beb1398d687ce56ea092654850e76f54bebb2			Cliquer pour accéder à la décision
C-141/12, C-372/12	YS e.a.	17/07/2014	2014	Pays-Bas	Cour de Justice de l'UE	Donnée à caractère personnel	Administration	Donnée à caractère personnel - Données figurant dans l'analyse juridique de la décision - Inclusion - Analyse en tant que telle - Exclusion	48. Il résulte de l’ensemble des considérations qui précèdent qu’il convient de répondre aux première et deuxième questions dans l’affaire C-141/12 ainsi qu’à la cinquième question dans l’affaire C-372/12 que l’article 2, sous a), de la directive 95/46 doit être interprété en ce sens que les données relatives au demandeur du titre de séjour figurant dans la minute et, le cas échéant, celles figurant dans l’analyse juridique contenue dans celle-ci constituent des «données à caractère personnel», au sens de cette disposition, ladite analyse ne pouvant en revanche pas recevoir, en tant que telle, la même qualification.	4	a33beb1398d687ce56ea092654850e76f54bebb2			Cliquer pour accéder à la décision
C-131/12	Google Spain	13/05/2014	2014	Espagne	Cour de Justice de l'UE	Traitement		Traitement de données à caractère personnel - Activité d’un moteur de recherche consistant à trouver des informations publiées ou placées sur Internet par des tiers, à les indexer de manière automatique, à les stocker temporairement et à les mettre à disposition des internautes selon un ordre de préférence donné - Inclusion	41. Il découle de l’ensemble des considérations qui précèdent qu’il convient de répondre à la deuxième question, sous a) et b), que l’article 2, sous b) et d), de la directive 95/46 doit être interprété en ce sens que, d’une part, l’activité d’un moteur de recherche consistant à trouver des informations publiées ou placées sur Internet par des tiers, à les indexer de manière automatique, à les stocker temporairement et, enfin, à les mettre à la disposition des internautes selon un ordre de préférence donné doit être qualifiée de «traitement de données à caractère personnel», au sens de cet article 2, sous b), lorsque ces informations contiennent des données à caractère personnel et, d’autre part, l’exploitant de ce moteur de recherche doit être considéré comme le «responsable» dudit traitement, au sens dudit article 2, sous d).	4	a33beb1398d687ce56ea092654850e76f54bebb2			Cliquer pour accéder à la décision
354629	Société Foncia Groupe	12/03/2014	2014	France	Conseil d'Etat	Responsable de traitement		Responsable de traitement - 1) Société déterminant la nature des données collectées, les droits d’accès des entités qui lui sont liées ainsi que la durée de conservation des données - Inclusion - 2) Entités liées ayant désigné un correspondant à la protection des données - Exclusion	5. [...] Il résulte de l'instruction que la société Foncia Groupe, qui a mis à disposition des entités qui lui sont liées le traitement " Totalimmo ", a décidé de la nature des données collectées et déterminé les droits d'accès à celles-ci, puis, après le contrôle de la CNIL, a fixé la durée de conservation des données et apporté des correctifs à leur traitement ; qu'ainsi, la société Foncia Groupe détermine les finalités et les moyens du traitement " Totalimmo " ; que la société ne peut être regardée comme sous-traitant au sens des dispositions de l'article 35 de la loi du 6 janvier 1978 ; que la désignation d'un correspondant à la protection des données par les entités n'a pas, par elle-même, pour effet de rendre celles-ci responsables des traitements ; que, par suite, en estimant que la société Foncia Groupe pouvait faire l'objet d'une sanction en tant que responsable de ce traitement, la CNIL a fait une exacte application des dispositions précitées ;	4	a33beb1398d687ce56ea092654850e76f54bebb2			Cliquer pour accéder à la décision
C-342/12	Worten	30/05/2013	2013	Portugal	Cour de Justice de l'UE	Donnée à caractère personnel	Travail	Donnée à caractère personnel - Registre de temps de travail - Conditions - Inclusion	22. Il convient dès lors de répondre à la première question que l’article 2, sous a), de la directive 95/46 doit être interprété en ce sens qu’un registre du temps de travail, tel que celui en cause au principal, qui comporte l’indication, pour chaque travailleur, des heures de début et de fin du travail, ainsi que des interruptions ou des pauses correspondantes, relève de la notion de «données à caractère personnel», au sens de cette disposition.	4	a33beb1398d687ce56ea092654850e76f54bebb2			Cliquer pour accéder à la décision
340026	Société AIS 2	27/07/2012	2012	France	Conseil d'Etat	Responsable de traitement		Responsable de traitement - Identification par la méthode du faisceau d'indices - Application	7. [...] Il résulte de l'instruction que, si la société requérante est une filiale de la société Acadomia groupe SA, qu'elle exerce son activité sous la marque Acadomia et indique, sous le timbre de cette société, qu'après la sanction, des instructions correctives ont été données, elle exploite cependant elle-même les fichiers en cause, dont elle ne conteste pas être la propriétaire, pour l'exercice de sa propre activité commerciale, détermine effectivement le champ des données renseignées, la circonstance que d'autres filiales ou franchises les utilisent étant à cet égard sans incidence, et a en outre, d'une part, au cours de la procédure devant la CNIL, indiqué à la commission qu'elle entendait renoncer à la collecte de différentes données, d'autre part, devant le juge, soutenu qu'elle avait accompli les formalités nécessaires à la régularisation de l'exploitation des fichiers au regard des dispositions de la loi ;	4	a33beb1398d687ce56ea092654850e76f54bebb2			Cliquer pour accéder à la décision
C-73/07	Satakunnan Markkinapörssi et Satamedia	16/12/2008	2008	Finlande	Cour de Justice de l'UE	Traitement	Administration, Marketing et prospection	Traitement de données à caractère personnel - Collecte, publication, cession ou traitement dans un service de SMS des documents publics d’une administration fiscale contenant des données relatives aux revenus du travail et du capital et au patrimoine de personne physiques - Inclusion	37. Par conséquent, il y a lieu de répondre à la première question que l’article 3, paragraphe 1, de la directive doit être interprété en ce sens qu’une activité qui consiste à: — collecter dans les documents publics de l’administration fiscale des données relatives aux revenus du travail et du capital ainsi qu’au patrimoine de personnes physiques et à les traiter en vue de leur publication, — les publier dans l’ordre alphabétique et par classe de revenus, sous la forme de listes détaillées établies commune par commune, — les céder sous la forme de disques CD-ROM, pour qu’elles soient utilisées à des fins commerciales, — les traiter dans un service de SMS qui permet aux utilisateurs de téléphones mobiles, en envoyant le nom et la commune de résidence d’une personne, de recevoir des informations concernant les revenus du travail et du capital ainsi que le patrimoine de cette personne doit être considérée comme un «traitement de données à caractère personnel» ausens de cette disposition.	4	a33beb1398d687ce56ea092654850e76f54bebb2			Cliquer pour accéder à la décision
05-83.423	B.	14/03/2006	2006	France	Cour de cassation	Traitement	Marketing et prospection, Technologie	Caractère déloyal de la collecte d’adresses électroniques personnelles de personnes physiques, à leur insu, sur l’espace public d’internet - Existence	Constitue une collecte de données nominatives le fait d'identifier des adresses électroniques et de les utiliser, même sans les enregistrer dans un fichier, pour adresser à leurs titulaires des messages électroniques ; Est déloyal le fait de recueillir, à leur insu, des adresses électroniques personnelles de personnes physiques sur l'espace public d'internet, ce procédé faisant obstacle à leur droit d'opposition ;	4, 5	a33beb1398d687ce56ea092654850e76f54bebb2			Cliquer pour accéder à la décision
C-101/01	Bodil Lindqvist	06/11/2003	2003	Suède	Cour de Justice de l'UE	Traitement	Technologie	Traitement de données à caractère personnel - Référence, sur une page Internet, à diverses personnes identifiées par leur nom ou d’autres moyens - Inclusion	27. Il convient donc de répondre à la première question que l'opération consistant à faire référence, sur une page Internet, à diverses personnes et à les identifier soit par leur nom, soit par d'autres moyens, par exemple leur numéro de téléphone ou des informations relatives à leurs conditions de travail et à leurs passe-temps, constitue un «traitement de données à caractère personnel, automatisé en tout ou en partie,» au sens de l'article 3, paragraphe 1, de la directive 95/46.	4	a33beb1398d687ce56ea092654850e76f54bebb2			Cliquer pour accéder à la décision
157402	Ministre de l’équipement, des transports et du tourisme	03/07/2002	2002	France	Conseil d'Etat	Donnée à caractère personnel, Personne physique, Personne concernée	Economie et fiscalité	Donnée à caractère personnel - Personne physique - Entrepreneur individuel pris en cette qualité - Exclusion	(2.) [...] Qu'il résulte des termes de ces dispositions législatives, éclairées au surplus par leurs travaux préparatoires, que les informations nominatives qu'elles mentionnent sont celles qui permettent d'identifier des personnes physiques ; que les entrepreneurs individuels, pris en cette qualité, ne sont pas des personnes physiques pour l'application de ces dispositions ;	4	a33beb1398d687ce56ea092654850e76f54bebb2			Cliquer pour accéder à la décision
96-85.900	B.	12/05/1998	1998	France	Cour de cassation	Donnée à caractère personnel		Donnée à caractère personnel - Résultats d’un sondage portant sur une personne représentant l’état statistique de l’opinion de la population à un moment donné - Exclusion	(5.) Qu'en effet les résultats d'un sondage portant sur une personne, qui représentent l'état statistique, à un moment donné, de l'opinion de la population sur celle-ci, ne constituent pas une information nominative au sens de l'article 4 de la loi du 6 janvier 1978 ; qu'il s'en déduit que, dès lors que les résultats ne lui sont pas opposés, cette personne ne saurait bénéficier du droit d'accès et des prérogatives qui en découlent, prévus par les articles 34 et suivants de ladite loi, ni exiger la communication du nom du commanditaire de l'opération ;	4	a33beb1398d687ce56ea092654850e76f54bebb2			Cliquer pour accéder à la décision
148975	Chambre syndicale Syntec Conseil	09/07/1997	1997	France	Conseil d'Etat	Donnée à caractère personnel		Donnée à caractère personnel - Résultats d’un sondage portant sur l’image d’une personnalité - Exclusion	(5.) Considérant qu'un sondage, comportant des questions qui demandent aux personnes interrogées ce qu'elles pensent d'une personnalité, ne contient pas des informations qui s'appliquent à celle-ci au sens de l'article 4 précité de la loi du 6 janvier 1978 ; qu'un tel sondage n'a d'autre objet que de chercher à obtenir, par une méthode d'échantillonnage, l'état, à un moment donné, de l'opinion de la population, au sens statistique de ce terme, sur la personnalité qui fait l'objet du sondage ; que, dans ces conditions, il ne résulte ni des dispositions des articles 4 et 34 de la loi, ni d'aucune autre disposition, que les résultats, obtenus à partir du dépouillement des réponses aux questions, constitueraient des informations nominatives concernant cette personnalité ; que celle-ci ne saurait, par suite, être titulaire du droit d'accès organisé par l'article 34, ni des droits de communication, de rectification et d'effacement qui en découlent ; qu'elle ne peut, dès lors, ni avoir accès à ce sondage sur le fondement de la loi du 6 janvier 1978, ni exiger de savoir qui a commandé ledit sondage à l'institut qui l'a réalisé ;	4	a33beb1398d687ce56ea092654850e76f54bebb2			Cliquer pour accéder à la décision
			Année		Autorité	Thème(s)	Secteur(s)

Actualités

Profitez de nos actualités en lien avec cet article !

Note importante : Le flux RSS correpondant à cet article semble vide. Nous avons très récemment re-structuré la partie 'veille' afin de vous proposer des actualités plus précises sur le RGPD annoté, mais il va falloir un peu de temps pour 'remplir' la partie actualité de chaque article. En attendant, nous vous proposons le flux ci-dessous, qui utilise une catégorie plus large.

Tietosuoja (autorité finlandaise)

02 octobre 2024

Selon l’autorité finlandaise, la sécurité n’est pas un motif justifiant de transmettre les données au format papier plutôt qu’électronique Dans un communiqué publié ce jour, l’autorité finlandaise déclaré que les données d’abonnement de téléphonie mobile peuvent constituer des données personnelles et sont donc soumises au règlement sur la protection des données. Cette déclaration fait suite […]

Disponible sur: veille.portail-rgpd.com

CJUE – Arrêts C‑182/22 et C‑189/22

20 juin 2024

Réparation du préjudice en cas de vol de données : la CJUE précise la distinction entre les notions de « vol » et « d’usurpation » d’identité mentionnées dans le RGPD Dans un arrêt publié ce jour, dans le cadre d’une question relative à la réparation du dommage susceptible d’être causé par une violation de données, la Cour a […]

Disponible sur: veille.portail-rgpd.com

CJUE – Conclusions de l’avocat général dans l’affaire C-21/23

28 avril 2024

Selon l’avocat général Szpunar, Les données des clients d’un pharmacien transmises lors de la commande sur une plateforme de vente en ligne de médicaments dont la vente est réservée aux pharmacies mais qui ne sont pas soumis à prescription ne constituent pas des « données concernant la santé » L’avocat général de la Cour de […]

Disponible sur: veille.portail-rgpd.com

CJUE – Arrêt C-604/22

07 mars 2024

Vente aux enchères des données à caractère personnel à des fins publicitaires: la Cour clarifie les règles sur la base du RGPD IAB Europe est une association sans but lucratif établie en Belgique qui représente les entreprises du secteur de l’industrie de la publicité et du marketing numériques au niveau européen. IAB Europe a élaboré […]

Disponible sur: veille.portail-rgpd.com

CJUE – Arrêt C-740/22

07 mars 2024

La communication orale de données personnelles constitue un traitement susceptible d’être soumis au RGPD. Une requérante, conformément au droit finlandais, a demandé oralement à l’Etelä-Savon käräjäoikeus (tribunal de première instance du Savo méridional, Finlande) des informations portant sur d’éventuelles condamnations pénales en cours ou déjà purgées concernant une personne physique participant à un concours organisé […]

Disponible sur: veille.portail-rgpd.com