Article 5 – Principes relatifs au traitement

Article 5 - Principes relatifs au traitement

1. Les données à caractère personnel doivent être:

a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence);
b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités; le traitement ultérieur à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n'est pas considéré, conformément à l' article 89, paragraphe 1, comme incompatible avec les finalités initiales (limitation des finalités);
c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données);
d) exactes et, si nécessaire, tenues à jour; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder (exactitude);
e) conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l'article 89, paragraphe 1, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation);
f) traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle, à l'aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité);

2. Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité).

En savoir plus...

Ces principes ont une longue histoire juridique et sont basés sur les principes de l'article 5 de la Convention 108 de 1981. Conformément à cette tradition, l'article 5 du GDPR est également largement cohérent avec l'article 6(1) de l'ancienne directive sur la protection des données 95/46/EC. Certains des principes sont également reflétés dans l'article 8 de la Charte des droits fondamentaux de l'UE (Charte de l'UE), d'autres principes peuvent être considérés comme une conséquence logique du test de proportionnalité en vertu de la Charte.

L'article 5 du RGPD énonce tous les principes relatifs au traitement des données à caractère personnel : la licéité, l'équité et la transparence ; limitation de la finalité ; minimisation des données ; l'exactitude ; limitation du stockage ; l'intégrité et la confidentialité ; la responsabilité.

Le RGPD prévoit-il une amende en cas d'infraction à cet article ?

Conformément à l'article article 83 du RGPD, les infractions aux règles définies dans le présent article sont passibles d'amendes administratives pouvant aller jusqu'à 20 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial total réalisé au cours de l'exercice précédent, le montant le plus élevé étant retenu.

Considérants pertinents

[Principes relatifs aux traitements de données]
39. Tout traitement de données à caractère personnel devrait être licite et loyal. Le fait que des données à caractère personnel concernant des personnes physiques sont collectées, utilisées, consultées ou traitées d'une autre manière et la mesure dans laquelle ces données sont ou seront traitées devraient être transparents à l'égard des personnes physiques concernées. Le principe de transparence exige que toute information et communication relatives au traitement de ces données à caractère personnel soient aisément accessibles, faciles à comprendre, et formulées en des termes clairs et simples. Ce principe vaut, notamment, pour les informations communiquées aux personnes concernées sur l'identité du responsable du traitement et sur les finalités du traitement ainsi que pour les autres informations visant à assurer un traitement loyal et transparent à l'égard des personnes physiques concernées et leur droit d'obtenir la confirmation et la communication des données à caractère personnel les concernant qui font l'objet d'un traitement. Les personnes physiques devraient être informées des risques, règles, garanties et droits liés au traitement des données à caractère personnel et des modalités d'exercice de leurs droits en ce qui concerne ce traitement. En particulier, les finalités spécifiques du traitement des données à caractère personnel devraient être explicites et légitimes, et déterminées lors de la collecte des données à caractère personnel. Les données à caractère personnel devraient être adéquates, pertinentes et limitées à ce qui est nécessaire pour les finalités pour lesquelles elles sont traitées. Cela exige, notamment, de garantir que la durée de conservation des données soit limitée au strict minimum. Les données à caractère personnel ne devraient être traitées que si la finalité du traitement ne peut être raisonnablement atteinte par d'autres moyens. Afin de garantir que les données ne sont pas conservées plus longtemps que nécessaire, des délais devraient être fixés par le responsable du traitement pour leur effacement ou pour un examen périodique. Il y a lieu de prendre toutes les mesures raisonnables afin de garantir que les données à caractère personnel qui sont inexactes sont rectifiées ou supprimées. Les données à caractère personnel devraient être traitées de manière à garantir une sécurité et une confidentialité appropriées, y compris pour prévenir l'accès non autorisé à ces données et à l'équipement utilisé pour leur traitement ainsi que l'utilisation non autorisée de ces données et de cet équipement.

[Responsabilités du responsable de traitement]
74. Il y a lieu d'instaurer la responsabilité du responsable du traitement pour tout traitement de données à caractère personnel qu'il effectue lui-même ou qui est réalisé pour son compte. Il importe, en particulier, que le responsable du traitement soit tenu de mettre en œuvre des mesures appropriées et effectives et soit à même de démontrer la conformité des activités de traitement avec le présent règlement, y compris l'efficacité des mesures. Ces mesures devraient tenir compte de la nature, de la portée, du contexte et des finalités du traitement ainsi que du risque que celui-ci présente pour les droits et libertés des personnes physiques.

Droit souple

Références

Cet article cite...

> Article 89 - Garanties et dérogations applicables au traitement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques

Cet article est cité par...

> Article 23 - Limitations

> Article 83 - Conditions générales pour imposer des amendes administratives

Autres textes liés

> Article 25 - Protection des données dès la conception et protection des données par défaut

> Article 32 - Sécurité du traitement

Jurisprudence

Cliquez sur une ligne pour obtenir tous les détails.
Note importante : cette base de données n'est pas achevée ; par ailleurs, le développement du "RGPD annoté" implique sa re-structuration complète: il est donc possible que la partie soit vide, ou que certains résultats soient peu pertinents ou soient manquants. Veuillez ne pas hésiter à me le signaler !

Année:

Autorité:

Thème:

Secteur:

Décision n°	Nom	Date	Année	Pays	Autorité	Thème(s)	Secteur(s)	Apport de la décision	Contexte	Extrait(s) pertinent(s)	Article(s) du RGPD	SHA 1 VALUE	Article(s) LIL	Fait référence à	Autres informations	Lien
C-548/21	Bezirkshauptmannschaft Landeck	04/10/2024	2024	Autriche	Cour de Justice de l'UE	Limitation des finalités	Police-Justice	Accès de la police aux données contenues dans un téléphone portable - Limitation à la lutte contre la criminalité grave - Absence		110.Il ressort de ce qui précède qu’il convient de répondre aux première et deuxième questions que l’article 4, paragraphe 1, sous c), de la directive 2016/680, lu à la lumière des articles 7 et 8 ainsi que de l’article 52, paragraphe 1, de la Charte, doit être interprété en ce sens qu’il ne s’oppose pas à une réglementation nationale qui octroie aux autorités compétentes la possibilité d’accéder aux données contenues dans un téléphone portable, à des fins de prévention, de recherche, de détection et de poursuite d’infractions pénales en général, si cette réglementation : - définit de manière suffisamment précise la nature ou les catégories des infractions concernées, - garantit le respect du principe de proportionnalité, et - soumet l’exercice de cette possibilité, sauf cas d’urgence dûment justifié, à un contrôle préalable d’un juge ou d’une entité administrative indépendante.	5, 10	743da23f34ee7adc1bc280808926e060c096910e				Cliquer pour accéder à la décision
C-446/21	Schrems	04/10/2024	2024	Autriche	Cour de Justice de l'UE	Minimisation, Conservation limitée	Technologie, Marketing et Prospection	Publicité ciblée - Réseau social en ligne - Utilisation l’ensemble des données personnelles obtenues sans limitation dans le temps et sans distinction en fonction de leur nature - Illicéité		65. Compte tenu de ce qui précède, il y a lieu de répondre à la deuxième question que l’article 5, paragraphe 1, sous c), du RGPD, doit être interprété en ce sens que le principe de la « minimisation des données », prévu à cette disposition, s’oppose à ce que l’ensemble des données à caractère personnel qui ont été obtenues par un responsable du traitement, tel que l’exploitant d’une plateforme de réseau social en ligne, auprès de la personne concernée ou de tiers et qui ont été collectées tant sur cette plateforme qu’en dehors de celle-ci, soient agrégées, analysées et traitées à des fins de publicité ciblée, sans limitation dans le temps et sans distinction en fonction de la nature de ces données.	5	743da23f34ee7adc1bc280808926e060c096910e				Cliquer pour accéder à la décision
C-61/22	Landeshauptstadt Wiesbaden	21/03/2024	2024	Allemagne	Cour de Justice de l'UE	Minimisation	Administration	Droit fondamental à la vie privée - Insertion obligatoire dans les cartes d'identité de deux empreintes digitiales - Compatibilité - Admission		123. Eu égard à ce qui précède, il doit être constaté que la limitation de l’exercice des droits garantis aux articles 7 et 8 de la Charte résultant de l’intégration de deux empreintes digitales dans le support de stockage des cartes d’identité n’apparaît pas être, compte tenu de la nature des données en cause, de la nature et des modalités des opérations de traitement ainsi que des mécanismes de sauvegarde prévus, d’une gravité qui serait disproportionnée par rapport à l’importance des différents objectifs que cette mesure poursuit. Ainsi, une telle mesure doit être considérée comme étant fondée sur une pondération équilibrée entre, d’une part, ces objectifs et, d’autre part, les droits fondamentaux en présence.	5	743da23f34ee7adc1bc280808926e060c096910e				Cliquer pour accéder à la décision
TSV.26.2020	Verkkokauppa	18/03/2024	2024	Finlande	CNIL ou équivalent	Minimisation	Internet	Exigence de création d'un compte client pour effectuer un achat en ligne - Rejet		(Traduction) 44. La pratique du responsable du traitement consistant à exiger l'enregistrement du client pour effectuer un achat individuel dans une boutique en ligne n'était pas conforme à l'article 5, paragraphe 1, point e), et à l'article 25, paragraphe 2, du GDPR. La procédure a également conduit à la conservation des données des acheteurs individuels pendant une période plus longue que celle qui aurait été nécessaire pour effectuer un seul achat.	5, 25	743da23f34ee7adc1bc280808926e060c096910e			Cette décision a fait l'objet d'un appel, la procédure est en cours.	Cliquer pour accéder à la décision traduite par machine ou Cliquer pour accéder à la décision officielle
C-118/22	Direktor na Glavna direktsia "Natsionalna politsia"	30/01/2024	2024	Autriche	Cour de Justice de l'UE	Conservation limitée	Police-Justice	Directive Police-Justice - Finalité de prévention et de détection des infractions pénales - Conservation des données d'un fichier de conservation des empreintes génétiques jusqu'au décès des concernés - Rejet		72. Eu égard à l’ensemble des considérations qui précédent, il y a lieu de répondre à la question posée que l’article 4, paragraphe 1, sous c) et e), de la directive 2016/680 [...] doit être interprété en ce sens qu’il s’oppose à une législation nationale qui prévoit la conservation, par les autorités de police, à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, de données à caractère personnel, notamment de données biométriques et génétiques, concernant des personnes ayant fait l’objet d’une condamnation pénale définitive pour une infraction pénale intentionnelle relevant de l’action publique, et ce jusqu’au décès de la personne concernée, y compris en cas de réhabilitation de celle-ci, sans mettre à la charge du responsable du traitement l’obligation de vérifier régulièrement si cette conservation est toujours nécessaire, ni reconnaître à ladite personne le droit à l’effacement de ces données, dès lors que leur conservation n’est plus nécessaire au regard des finalités pour lesquelles elles ont été traitées, ou, le cas échéant, à la limitation du traitement de celles-ci.	5	743da23f34ee7adc1bc280808926e060c096910e				Cliquer pour accéder à la décision
SAN-2023-021	Amazon France Logistique	27/12/2023	2023	France	CNIL ou équivalent	Minimisation, Licéité	Travail	Surveillance constante et pour toutes les tâches des salariés à des fins de suivi de l’activité et d’évaluation de la performance - Caractère excessif		167. La formation restreinte considère que les traitements de données des salariés à des fins de suivi de l’activité et d’évaluation de la performance sont tellement précis qu’ils provoquent un changement d’échelle par rapport aux méthodes de suivi d’activité classiques. Elle estime que ces traitements, qui permettent un contrôle extrêmement précis des salariés, pour chaque action réalisée sur les tâches directes, maintiennent les salariés sous une surveillance constante pour toutes les tâches effectuées avec des scanners et créent ainsi une pression permanente. 168. Les manquements aux principes de minimisation et à l’obligation de disposer d’une base juridique se traduisent donc par des traitements quasi continus et massifs d’indicateurs relatifs à toutes les tâches directes et à la performance des salariés, qui aboutissent à une surveillance informatique disproportionnée de leur activité.	5	743da23f34ee7adc1bc280808926e060c096910e				Cliquer pour accéder à la décision
C-26/22, C-64/22	SCHUFA Holding (Libération de reliquat de dette)	07/12/2023	2023	Allemagne	Cour de Justice de l'UE	Conservation limitée	Economie et fiscalité	Intérêt légitime - Conservation de données en lien avec une dette pour une supérieure au registre public d'insolvabilité - Exclusion		113. L’article 5, paragraphe 1, sous a), du règlement 2016/679, lu conjointement avec l’article 6, paragraphe 1, premier alinéa, sous f), de ce règlement, doit être interprété en ce sens qu'il s’oppose à une pratique de sociétés privées fournissant des informations commerciales consistant à conserver, dans leurs propres bases de données, des informations provenant d’un registre public relatives à l’octroi d’une libération de reliquat de dette en faveur de personnes physiques afin de pouvoir fournir des renseignements sur la solvabilité de ces personnes, pendant une période allant au-delà de celle durant laquelle les données sont conservées dans le registre public.	5, 6	743da23f34ee7adc1bc280808926e060c096910e				Cliquer pour accéder à la décision
MED-2023-040	Société X	26/06/2023	2023	France	CNIL ou équivalent	Minimisation	Marketing et prospection	Minimisation - Opposition à la prospection - 1) Données nécessaire à la prise en compte de l’opposition (liste repoussoir) - Admission - 2) Conservation de la civilité, du nom/prénom, date de naissance, numéro de téléphone, adresse électronique, ville ou code postal, niveau d’imposition et situation familiale des prospects ayant exercé leur droit d’opposition - Illicéité		Afin d’assurer l’effectivité du droit d’opposition d’une personne à recevoir de la prospection commerciale, le responsable de traitement peut créer une « liste repoussoir » lui permettant de ne pas utiliser à nouveau les données de contact si elles venaient à lui être transmises à nouveau par une autre personne que la personne concernée. [...] - 2) En l’espèce, la liste repoussoir comprenait la civilité, le nom, le prénom, la date de naissance, le numéro de téléphone, l’adresse électronique, la ville ou le code postal, le niveau d’imposition et la situation familiale alors que l’ensemble de ces données n’apparaissaient pas nécessaires au regard de la finalité liée à la prise en compte de l’opposition des prospects à recevoir de la prospection. Seules les données nécessaires à la prise en compte de l’opposition dans le temps et qui correspondent en l’espèce au numéro de téléphone et à l’adresse électronique de la personne concernée auraient dû être conservées sous une forme hachée. Il en résulte une méconnaissance de l’article 5-1-c) du RGPD.	5	743da23f34ee7adc1bc280808926e060c096910e				Non publié. Source: CNIL, Tables Informatique et Libertés
MED-2023-040	Société X	26/06/2023	2023	France	CNIL ou équivalent	Conservation limitée	Marketing et prospection	Durée de conversation - Données nécessaires à la prise en compte de l’opposition à de la prospection (liste repoussoir) - Durée minimale recommandée de trois ans		Afin d’assurer l’effectivité du droit d’opposition, le responsable de traitement peut créer une « liste repoussoir » lui permettant de ne pas utiliser à nouveau les données de contact si elles venaient à lui être transmises à nouveau par une autre personne que la personne concernée. La CNIL recommande de conserver l’inscription à la « liste repoussoir » de la personne ayant fait opposition pendant une durée minimale de trois ans et de ne conserver que les empreintes de l’adresse ou du numéro utilisé pour la prospection. Cela permet de prendre en compte l’opposition dans le temps sans conserver de données directement identifiantes.	5	743da23f34ee7adc1bc280808926e060c096910e				Non publié. Source: CNIL, Tables Informatique et Libertés
SAN-2023-008	KG COM	08/06/2023	2023	France	CNIL ou équivalent	Minimisation	Marketing et prospection, Travail	Minimisation - Finalité probatoire - Enregistrement systématique des appels téléphoniques entre téléopérateurs et prospects - Caractère excessif		31. La formation restreinte considère qu’un responsable du traitement qui souhaite enregistrer des conversations téléphoniques à des fins probatoires doit démontrer qu’il ne dispose pas d’autres moyens moins intrusifs pour prouver que le contrat conclu à distance a bien a été conclu avec la personne concernée. - 33. [...] L’article L.221-16 du code de la consommation prévoit que, lorsque le professionnel contacte un consommateur par téléphone en vue de conclure un contrat portant sur la vente d’un bien ou sur la fourniture d’un service, ce dernier n’est engagé par cette offre qu’après l’avoir signée et acceptée sur un support durable. - 34. La formation restreinte considère donc que, dès lors que la preuve de la souscription d’un contrat conclu à distance, à la suite d’un démarchage téléphonique, peut être apportée par la confirmation écrite de l'offre, l’enregistrement des conversations téléphoniques, passées entre les téléopérateurs et les prospects, à des fins de preuve de la formation du contrat, n’apparaît pas nécessaire.	5	743da23f34ee7adc1bc280808926e060c096910e				Cliquer pour accéder à la décision
SAN-2023-008	KG COM	08/06/2023	2023	France	CNIL ou équivalent	Minimisation	Marketing et prospection, Travail	Minimisation - Finalité de contrôle qualité - Enregistrement systématique des appels téléphoniques entre téléopérateurs et prospects - Caractère excessif		26. S’agissant de l’enregistrement intégral et systématique des appels téléphoniques à des fins de contrôle de la qualité du service, la formation restreinte considère que la finalité visant à contrôler la qualité du service fourni par les téléopérateurs et les voyants peut être atteinte par un moyen moins intrusif. - 27. À cet égard, elle relève que la mise en place d’un enregistrement ponctuel et aléatoire de seulement quelques conversations téléphoniques permet à la personne chargée du suivi du contrôle qualité de disposer des éléments nécessaires à l’évaluation de la qualité des services proposés par la société. - 28. Dès lors que le contrôle de la qualité du service peut être réalisé par échantillonnage, la formation restreinte considère que l’instauration d’un dispositif d’enregistrement systématique des appels téléphoniques passés, d’une part, entre les téléopérateurs et les prospects, et d’autre part, entre les voyants et les clients, est excessive au regard de la finalité poursuivie.	5	743da23f34ee7adc1bc280808926e060c096910e				Cliquer pour accéder à la décision
SAN-2022-012	Société X	23/06/2022	2022	France	CNIL ou équivalent	Conservation limitée		Respect de la durée de conservation par anonymisation des données - Admission		L’anonymisation peut être considérée comme un moyen permettant de se conformer aux obligations en matière de limitation de la conservation lorsqu’à l’issue d’une période de conservation en base active pendant la durée d’une relation contractuelle, une société procède à un premier tri des données en anonymisant les données non pertinentes et en conservant, en base d’archivage intermédiaire, les données permettant de répondre aux obligations légales ou lorsqu’elles présentent un intérêt administratif pour la société, et lorsqu’à l’issue de cette période d’archivage intermédiaire les données sont automatiquement anonymisées.	5	743da23f34ee7adc1bc280808926e060c096910e				Non publié. Source: CNIL, Tables Informatique et Libertés
Avis 2022-051	Avis sur projet de décret	21/04/2022	2022	France	CNIL ou équivalent	Conservation limitée	Administration	Archivage - Traitements publics encadrés par un acte réglementaire - 1) Obligation d’inscrire l’archivage intermédiaire dans l’acte réglementaire - Appréciation d’espèce - 2) Obligation d’inscrire l’archivage définitif dans l’acte réglementaire - Absence		Cas d’un traitement de l’État permettant d’enregistrer des informations sur les ressortissants français et leurs ayants droit ainsi que documents relatifs à une situation de crise à l’étranger en vue d’en faciliter la gestion et d’informer et associer les personnes concernées. - 1) Une fois que les données ne sont plus utilisées dans le cadre de la gestion opérationnelle liée à l’évènement survenu à l’étranger ou pour réaliser les statistiques prévues, il est recommandé de mettre en place un archivage intermédiaire afin de limiter la consultation de ces données à des personnes spécifiquement habilitées. Eu égard à l’écart entre la durée d’utilisation opérationnelle des données et leur durée de conservation en base intermédiaire (10 ans), le principe d’un tel archivage intermédiaire devrait en l’espèce être inscrit dans le décret portant création du traitement, à titre de garantie apportée aux personnes concernées. - 2) S’agissant de l’archivage définitif au titre de l’application des règles régissant les archives publiques issues du code du patrimoine, un acte réglementaire régissant un traitement public réserve toujours implicitement l’application des obligations du code du patrimoine et l’archivage définitif n’a pas besoin d’être expressément prévu par l’acte réglementaire.	5	743da23f34ee7adc1bc280808926e060c096910e				Non publié. Source: CNIL, Tables Informatique et Libertés
40/2022	Mme X	17/03/2022	2022	Belgique	CNIL ou équivalent	Minimisation		Exercice des droits - Interdiction de l'exigence systématique de la carte d'identité - Possibilité de masquer les parties non obligatoires - Admission		12. La Chambre Contentieuse souligne à cet égard que ce n'est que dans les cas spécifiques où conformément à l'article 5.2 du RGPD, le responsable du traitement est à même de démontrer qu'il ne peut pas identifier cette personne concernée (art. 11.2 du RGPD) et/ou qu'il a des doutes raisonnables quant à l'identité de la personne physique présentant la demande (art. 12.6 du RGPD) qu'il peut réclamer les données supplémentaires nécessaires pour confirmer l'identité de la personne concernée. Ces données supplémentaires peuvent par exemple consister en une copie du recto de la carte d'identité ou d’un autre document prouvant l’identité. Les autres données qui ne sont pas nécessaires à l’identification peuvent avoir été préalablement rendues illisibles par le plaignant. - Ces différents éléments concernant l’usage de la carte d’identité sont confirmés par le CEPD dans ses lignes directrices sur le droit d’accès , qui indiquent notamment que « demander des copies de la carte d'identité de leurs clients, ne devrait généralement pas être considérée comme un moyen d'authentification approprié ».	5, 15, 16, 17, 18, 19, 20, 21	743da23f34ee7adc1bc280808926e060c096910e				Cliquer pour accéder à la décision
2021-976/977 QPC	M. Habib A. et autre	25/02/2022	2022	France	Conseil constitutionnel	Conservation limitée	Technologie	Conservation généralisée et indifférenciée des données de connexion - Contraire à la Constitution		13. Il résulte de ce qui précède qu’en autorisant la conservation générale et indifférenciée des données de connexion, les dispositions contestées portent une atteinte disproportionnée au droit au respect de la vie privée.	5	743da23f34ee7adc1bc280808926e060c096910e				Cliquer pour accéder à la décision
C-175/20	Valsts ieņēmumu dienests	24/02/2022	2022	Lettonie	Cour de Justice de l'UE	Minimisation	Economie et fiscalité, Administration	Minimisation - Application à l'administration fiscale - Admission		44. Ainsi, lorsqu’elle demande à un opérateur économique de lui communiquer des données à caractère personnel relatives à certains contribuables aux fins de la perception de l’impôt et de la lutte contre la fraude fiscale, il n’apparaît pas que l’administration fiscale d’un État membre puisse être considérée comme une « autorité compétente », au sens de l’article 3, point 7, de la directive 2016/680, ni, partant, que de telles demandes d’informations puissent relever de l’exception prévue à l’article 2, paragraphe 2, sous d), du règlement 2016/679. - 46. Partant, la collecte, par l’administration fiscale d’un État membre, de données à caractère personnel relatives aux annonces de vente de véhicules publiées sur le site Internet d’un opérateur économique relève du champ d’application matériel du règlement 2016/679 et, par suite, celle-ci doit respecter, notamment, les principes relatifs au traitement des données à caractère personnel énoncés à l’article 5 de ce règlement.	5	743da23f34ee7adc1bc280808926e060c096910e				Cliquer pour accéder à la décision
MED-2021-131	Société X	01/12/2021	2021	France	CNIL ou équivalent	Limitation des finalités		Collecte de données non utilisées - Manquement au principe de limitation des finalités		La collecte de données à caractère personnel issues de sites internet sans que cette collecte puisse être justifiée par un usage de ces données constitue un traitement dépourvu de finalités, en violation de l’article 5 § 1, b) du RGPD.	5	743da23f34ee7adc1bc280808926e060c096910e				Non publié. Source: CNIL, Tables Informatique et Libertés
441317	Médecins du Monde et autres	24/09/2021	2021	France	Conseil d'Etat	Conservation limitée	Police-Justice	Durée de conservation supérieure au délai de prescription pour une infraction - Admissibilité en l’espèce		5. Les associations requérantes soutiennent que les durées maximales respectives de conservation des données de dix ans pour les délits, de dix ans pour les contraventions prévues par le code de la route et de cinq ans pour les autres contraventions sont excessives eu égard aux délais de prescription de l'action publique. Toutefois, d'une part, s'agissant du délai de dix ans prévu pour la conservation des données relatives aux délits et aux contraventions routières, l'arrêté attaqué se borne à reprendre des dispositions antérieures et présente à cet égard le caractère d'une décision confirmative dont la légalité ne peut être discutée dans le cadre de la présente instance. D'autre part, eu égard aux délais de prescription de six ans des peines délictuelles et de trois ans des peines contraventionnelles, respectivement prévus par les articles 133-3 et 133-4 du code pénal, ainsi qu'aux règles de procédure qui régissent le recouvrement des amendes forfaitaires, en particulier les délais de recours et de mise en paiement, la durée de conservation de cinq ans des données relatives aux contraventions non routières et la durée de conservation de dix ans des données relatives aux délits non routiers n'est pas disproportionnée. Dès lors, le moyen tiré de ce que les durées de conservation des données prévues par l'arrêté litigieux seraient excessives doit être écarté.	5	743da23f34ee7adc1bc280808926e060c096910e				Cliquer pour accéder à la décision
Avis 2021-082	Avis sur projet de décret, livret de parcours inclusif (LPI)	15/07/2021	2021	France	CNIL ou équivalent	Confidentialité, Minimisation	Jeunesse et éducation	Cloisonnement - Identifiant spécifique et distinct de l’identifiant national pour la mise en œuvre d’un traitement spécifique - Admission	Le projet de décret en Conseil d’Etat soumis pour avis le 1er juin 2021 vise à autoriser la mise en œuvre d’un traitement de données à caractère personnel dénommé " Livret de parcours inclusif " (ci-après " LPI "). Cette application, mise en œuvre par le ministère de l’éducation nationale, de la jeunesse et des sports sur le fondement de sa mission d’intérêt public, au sens du règlement général sur la protection des données (RGPD), doit participer au " service public de l’école inclusive ". Elle a pour finalité d’améliorer la prise en charge et le parcours scolaire des élèves à besoins éducatifs particuliers, de mieux individualiser les réponses pédagogiques et de garantir aux familles la mise en place d’adaptations pédagogiques dès le repérage de difficultés d’apprentissage. Le LPI devrait ainsi permettre aux personnels concernés, et aux familles qui accepteront de l’utiliser de consulter en temps réel le suivi pédagogique mis en place pour un élève à besoins éducatifs particuliers. D’après le ministère, environ 840.000 élèves, pour la plupart mineurs, sont susceptibles d’être concernés.	En troisième lieu, l’article 2, 1-a) du projet de décret fait par ailleurs état de ce que les données d’identification dans le LPI contiendront à la fois l’identifiant national élève (INE) et le numéro LPI. Le ministère a précisé à cet égard qu’il s’agissait bien de la création d’un nouvel identifiant unique, que le numéro INE n’était traité dans le LPI qu’à des fins d’interconnexion entre les différents systèmes d’information du ministère et que le numéro LPI permettra l’identification des élèves entre le ministère et le système d’information des MDPH. La Commission [...] accueille favorablement la création de cet identifiant spécifique, et considère que la création et l’utilisation de ce numéro LPI permettra, conformément à sa doctrine, de segmenter les traitements afin d’éviter des interconnexions ou rapprochements de données qui ne sont pas nécessaire, et de limiter les risques de réidentification des personnes en cas de fuite de données. Elle appelle donc le ministère à limiter au maximum les échanges de données nominatives.	5	743da23f34ee7adc1bc280808926e060c096910e				Cliquer pour accéder à la décision
19-13.856	B.	23/06/2021	2021	France	Cour de cassation	Minimisation, Licéité	Travail	Utilisation par un employeur d’un tel dispositif pour le contrôle des règles d’hygiène et de sécurité - Disproportion - Inopposabilité au salarié des enregistrements issus de cette vidéosurveillance dans le cadre d’une procédure de licenciement		5. Aux termes de l'article L. 1121-1 du code du travail, nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché. - 6. La cour d'appel a constaté que le salarié, qui exerçait seul son activité en cuisine, était soumis à la surveillance constante de la caméra qui y était installée. Elle en a déduit à bon droit que les enregistrements issus de ce dispositif de surveillance, attentatoire à la vie personnelle du salarié et disproportionné au but allégué par l'employeur de sécurité des personnes et des biens, n'étaient pas opposables au salarié et a, par ces seuls motifs, légalement justifié sa décision.	5	743da23f34ee7adc1bc280808926e060c096910e				Cliquer pour accéder à la décision
SAN-2021-007	Société X	03/06/2021	2021	France	CNIL ou équivalent	Limitation des finalités		Disposition limitant expressément les finalités d’un traitement - Traitement mis en œuvre illicite au regard de cette disposition - Compétence de la CNIL		Lorsqu’une disposition limite expressément les finalités d’un traitement de données à caractère personnel, que celle-ci soit contenue dans un acte réglementaire autorisant et régissant un traitement particulier de données sur le fondement des articles 31 et suivants de la loi Informatique et Libertés ou des dispositions qui y renvoient, ou qu’elle résulte d’une disposition législative ou réglementaire spéciale limitant la ou les finalités d’un traitement ou d’une catégorie de traitement, la formation restreinte de la CNIL est compétente pour sanctionner le traitement illicite que constitue la méconnaissance de cette disposition.	5	743da23f34ee7adc1bc280808926e060c096910e	5, 16			Non publié. Source: CNIL, Tables Informatique et Libertés
424440	Office public de l’habitat de Rennes Métropole-Archipel Habitat	05/10/2020	2020	France	Conseil d'Etat	Limitation des finalités	Marketing et prospection	Courrier méconnaissant la finalité informative du traitement pour laquelle il a été autorisé - Incompatibilité		5. En premier lieu, l'office public de l'habitat est autorisé à utiliser les données à caractère personnel qu'il a collectées et qui font l'objet d'un traitement pour plusieurs finalités, en particulier la gestion du parc social immobilier de son ressort, mais également l'information de ses locataires, conformément à la délibération à caractère général de la CNIL n° 2006-138 du 9 mai 2006 [...]. - 6. [...] La formation restreinte de la CNIL, qui n'a pas, contrairement à ce qui est soutenu, qualifié le courrier de " communication politique ", a pu estimer que le contenu du courrier n'était " pas de nature purement informative " et qu'un manquement à l'obligation de respecter les finalités pour lesquelles le traitement avait été autorisé, de nature à justifier une sanction, était caractérisé.	5	743da23f34ee7adc1bc280808926e060c096910e				Cliquer pour accéder à la décision
2020-800 QC	Loi autorisant la prorogation de l'état d'urgence sanitaire et portant diverses mesures de gestion de la crise sanitaire	11/05/2020	2020	France	Conseil constitutionnel	Confidentialité	Santé	Extension de l’accès aux données des personnes atteintes de la COVID-19 - Respect du droit à la vie privée - Conditions : strict respect du besoin d'en connaitre		69. Si le champ des personnes susceptibles d'avoir accès à ces données à caractère personnel, sans le consentement de l'intéressé, est particulièrement étendu, cette extension est rendue nécessaire par la masse des démarches à entreprendre pour organiser la collecte des informations nécessaires à la lutte contre le développement de l'épidémie. - 70. En revanche, sont également inclus dans ce champ, pour le partage des données, les organismes qui assurent l'accompagnement social des intéressés. Or, s'agissant d'un accompagnement social, qui ne relève donc pas directement de la lutte contre l'épidémie, rien ne justifie que la communication des données à caractère personnel traitées dans le système d'information ne soit pas subordonnée au recueil du consentement des intéressés. Dès lors, la deuxième phrase du paragraphe III de l'article 11, qui méconnaît le droit au respect de la vie privée, est contraire à la Constitution. - 71. En outre, conformément au paragraphe III de l'article 11, chaque organisme n'est appelé à participer au système d'information mis en place que pour la part de ses missions susceptibles de répondre à l'une ou l'autre des finalités propres à ce système d'information et n'a accès qu'aux seules données nécessaires à son intervention. Il résulte également du paragraphe V du même article qu'un décret en Conseil d'État précisera, au sein de ces organismes, les services et personnels dont les interventions seraient, dans ce cadre, nécessaires, les catégories de données auxquelles ils auront accès, la durée de leurs accès ainsi que les règles de conservation de ces données.	5	743da23f34ee7adc1bc280808926e060c096910e				Cliquer pour accéder à la décision
DI 191260	Lycées de la région X	25/10/2019	2019	France	CNIL ou équivalent	Minimisation	Jeunesse et éducation	Systèmes d’identification par reconnaissance faciale de mineurs - Objectifs pouvant être atteints par des moyens aussi efficaces et moins intrusifs		Les principes de nécessité d’un traitement fondé sur l’intérêt public et de minimisation des données s’opposent à la mise en œuvre de systèmes d’identification par reconnaissance faciale d’enfants à des fins de contrôle d’accès à des établissements scolaires, dès lors que les objectifs de sécurisation et la fluidification des entrées dans de tels établissements peuvent être atteints par des moyens aussi efficaces et moins intrusifs et compte tenu de la protection particulière dont doivent bénéficier les enfants, quand bien même ces systèmes seraient mis en œuvre à titre expérimental et reposeraient sur le consentement des élèves concernés.	5	743da23f34ee7adc1bc280808926e060c096910e				Non publié. Source: CNIL, Tables Informatique et Libertés
2019-797 QPC	Unicef France et autres	26/07/2019	2019	France	Conseil constitutionnel	Limitation des finalités		Traitement de données à caractère personnel poursuivant plusieurs finalités - Admission		8. [...] Ce faisant, et alors qu'aucune norme constitutionnelle ne s'oppose par principe à ce qu'un traitement automatisé poursuive plusieurs finalités, le législateur a, en adoptant les dispositions contestées, entendu mettre en œuvre l'exigence constitutionnelle de protection de l'intérêt supérieur de l'enfant et poursuivi l'objectif de valeur constitutionnelle de lutte contre l'immigration irrégulière.	5	743da23f34ee7adc1bc280808926e060c096910e				Cliquer pour accéder à la décision
C-496/17	Deutsche Post	16/01/2019	2019	Allemagne	Cour de Justice de l'UE	Minimisation	Economie et fiscalité, Administration	Demandeur du statut d’opérateur économique agréé - Licéité d’une demande de communication des numéros d’identification fiscale des personnes physiques par les autorités douanières - Admission sous condition que les données ne servent qu'à la recherche infractions graves ou répétées à la législation pertinente		70. Eu égard aux considérations qui précèdent, il y a lieu de répondre à la question posée que l’article 24, paragraphe 1, second alinéa, du règlement d’exécution 2015/2447, lu à la lumière de la directive 95/46 et du règlement 2016/679, doit être interprété en ce sens que les autorités douanières peuvent exiger du demandeur du statut d’OEA qu’il communique les numéros d’identification fiscale, attribués aux fins du prélèvement de l’impôt sur le revenu, concernant uniquement les personnes physiques qui sont responsables du demandeur ou exercent le contrôle sur la gestion de celui-ci et celles qui sont responsables des questions douanières en son sein, ainsi que les coordonnées des centres des impôts compétents à l’égard de l’ensemble de ces personnes, pour autant que ces données permettent à ces autorités d’obtenir des informations relatives aux infractions graves ou répétées à la législation douanière ou aux dispositions fiscales ou aux infractions pénales graves commises par ces personnes physiques en lien avec leur activité économique.	5	743da23f34ee7adc1bc280808926e060c096910e				Cliquer pour accéder à la décision
403776	Société Odeolis	15/12/2017	2017	France	Conseil d'Etat	Minimisation	Travail	Géolocalisation pour le contrôle de la durée du travail de ses salariés - Caractère excessif sauf lorsque ce contrôle ne peut pas être fait par un autre moyen, même moins efficace		7. [...] Aux termes de l'article L. 1121-1 du code du travail : " Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché ". Il résulte de ces dispositions que l'utilisation par un employeur d'un système de géolocalisation pour assurer le contrôle de la durée du travail de ses salariés n'est licite que lorsque ce contrôle ne peut pas être fait par un autre moyen, fût-il moins efficace que la géolocalisation. En dehors de cette hypothèse, la collecte et le traitement de telles données à des fins de contrôle du temps de travail doivent être regardés comme excessifs au sens du 3° de l'article 6 de la loi du 6 janvier 1978 précité [prévoyant le principe de minimisation].	5	743da23f34ee7adc1bc280808926e060c096910e				Cliquer pour accéder à la décision
393336	Avis sur un projet de décret portant création d’un traitement automatisé dénommé « Automatisation de la consultation centralisée de renseignements et de données »	04/07/2017	2017	France	Conseil d'Etat	Conservation limitée	Administration, Police-Justice	Durée de conservation - Traitements automatisés de données à caractère personnel intéressant la sûreté de l'État ou la sécurité publique - Obligation de préciser cette durée dans l’acte autorisant le traitement - Absence - Cas des mineurs âgés de moins de 13 ans - Exception		En application des dispositions du 5° de l’article 6 de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, les responsables de tout traitement doivent veiller à ne conserver les données du traitement que pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées. La fixation, par ces responsables, d’une durée de conservation des données est donc obligatoire, même si, comme c’est possible pour ceux des traitements intéressant la sûreté de l’État ou la sécurité publique mentionnés à l’article 1er du décret du 15 mai 2007, cette durée peut ne pas être mentionnée dans l’acte réglementaire autorisant le traitement. Mais le Conseil d’État considère que la collecte, dans le cadre de ces mêmes traitements, de données relatives à des personnes âgées de moins de 13 ans, doit s’accompagner de la fixation, par l’acte réglementaire autorisant ce traitement, d’une durée de conservation de ces données.	5	743da23f34ee7adc1bc280808926e060c096910e				Non publié. Source: CNIL, Tables Informatique et Libertés
377194	SASP Paris-Saint-Germain Football	13/06/2016	2016	France	Conseil d'Etat	Conservation limitée	Economie et fiscalité	Données relatives aux impayés - Conservation au-delà du règlement de la somme due - Admission		8. Considérant que [...], tout en estimant dans sa délibération attaquée, qu'en règle générale, une durée de conservation de trois ans des données collectées " n'excède pas celle qui est nécessaire à l'accomplissement de la finalité poursuivie ", la Commission nationale de l'informatique et des libertés a entendu excepter le cas où, " lorsque l'exclusion est justifiée par l'existence d'un impayé, une mesure de suspension ou d'exclusion doit cesser à compter du complet paiement de la somme due par le débiteur " ; que, cependant, les conséquences ou les risques résultant de la commission d'un impayé ne peuvent être réputés avoir disparu dès le règlement de la dette et qu'il n'est dès lors pas disproportionné de prévoir une conservation des données relatives aux incidents de cette nature pendant une durée suffisante, au-delà du règlement de la somme due, pour prévenir le renouvellement de tels incidents ; que, par suite, la dernière phrase citée ci-dessus de la partie de la délibération attaquée, portant sur les durées de conservation, doit être annulée ;	5	743da23f34ee7adc1bc280808926e060c096910e				Cliquer pour accéder à la décision
372111	Mme X et Mme Y	18/11/2015	2015	France	Conseil d'Etat	Conservation limitée	Administration	Carte nationale d'identité - Empreintes digitales - Durée de conservation illimitée faute de dispositions expresses la régissant - Illicéité		6. Considérant que, faute de dispositions expresses la régissant, la durée de conservation des empreintes digitales relevées sur le fondement de l'article 5 du décret du 22 octobre 1955 est illimitée ; qu'une telle durée de conservation ne peut être regardée comme nécessaire aux finalités du fichier, eu égard à la durée de validité de la carte nationale d'identité et au délai dans lequel tout détenteur d'une carte nationale d'identité périmée peut en solliciter le renouvellement ; que, dès lors, Mmes D...et C...sont fondées à demander l'annulation des décisions rejetant leurs demandes tendant à l'abrogation de l'article 5 du décret du 22 octobre 1955, sans qu'il soit besoin d'examiner les autres moyens de leurs requêtes ;	5	743da23f34ee7adc1bc280808926e060c096910e				Cliquer pour accéder à la décision
383313	Cons. national de l’ordre des médecins	09/11/2015	2015	France	Conseil d'Etat	Licéité	Administration, Police-Justice	Traitement public encadré par décret - Conservation des données pour une finalité non prévue par l’acte réglementaire - Conséquence : Illicéité et annulation de l'acte réglementaire créant le traitement		8. Considérant [...] que la durée de conservation de deux années à compter de la date de la levée d'écrou n'excède pas ce qui est nécessaire, compte tenu de la finalité de gestion des contentieux entre l'administration pénitentiaire et les personnes placées sous main de justice ou leurs ayants droits, pour lesquelles les données sont collectées et traitées dans le traitement GENESIS, dès lors que l'accès aux données ainsi conservées doit nécessairement être entendu comme étant réservé, dans la limite du besoin d'en connaître, aux catégories de personnes limitativement énumérées à l'article susvisé ; qu'en revanche, si la garde des sceaux a, devant la Commission nationale de l'informatique et des libertés, soutenu que la conservation ultérieure des données durant huit ans était justifiée par la conduite éventuelle de contentieux, cette finalité n'est pas explicitée par les dispositions attaquées, qui ne comportent, par suite, pas de fondement légal à la limitation de l'accès à ces données, par les personnes qu'il désigne, au seul besoin d'en connaître au regard de cette finalité ; qu'ainsi, faute de comporter aucune garantie quant aux finalités et aux limitations d'accès à ces données, la durée de conservation de huit ans que fixent ces dispositions doit être regardée comme disproportionnée ; que le Conseil national de l'ordre des médecins est fondé, pour ce motif, à en demander l'annulation, sans qu'il soit besoin d'examiner l'autre moyen soutenu à l'encontre de ces dispositions ;	5	743da23f34ee7adc1bc280808926e060c096910e				Cliquer pour accéder à la décision
C-201/14	Bara e.a	01/10/2015	2015	Roumanie	Cour de Justice de l'UE	Licéité, Transparence	Economie et fiscalité, Administration	Transfert par une administration publique d’un État membre de données fiscales à caractère personnel en vue de leur traitement par une autre administration publique sans information - Illicéité		Les articles 10, 11 et 13 de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doivent être interprétés en ce sens qu’ils s’opposent à des mesures nationales, telles que celles en cause au principal, qui permettent à une administration publique d’un État membre de transmettre des données personnelles à une autre administration publique et leur traitement subséquent, sans que les personnes concernées n’aient été informées de cette transmission ou de ce traitement.	5	743da23f34ee7adc1bc280808926e060c096910e				Cliquer pour accéder à la décision
389815	Association de défense et d’assistance juridique des intérêts des supporters	21/09/2015	2015	France	Conseil d'Etat	Minimisation		Minimisation - Transmission de données - Condition de limitation des données transmises à celles strictement nécessaires aux destinataires pour poursuivre les finalités du traitement (principe du besoin d'en connaître)		16. Considérant [...] qu'il résulte de [la loi du 6 janvier 1978] que, pour être compatible avec les finalités d'un traitement, la transmission des données à caractère personnel doit être strictement limitée à celles qui permettent aux destinataires de poursuivre les finalités du traitement ; - 17. Considérant qu'aux termes de l'article 5 de l'arrêté attaqué : " peuvent être destinataires de tout ou partie des données et des informations mentionnées à l'article 2 : (...) / 5° Les associations et sociétés sportives, ainsi que les fédérations sportives agréées " ; qu'il est constant que tous ces destinataires n'exercent pas une mission relative aux finalités poursuivies par le " fichier STADE " et qu'au demeurant, en leur sein, tous les personnels ne sont pas chargés de les mettre en oeuvre ; que, par suite, la transmission de données ainsi prévue méconnaît les dispositions de la loi du 6 janvier 1978 citées au point précédent ;	5	743da23f34ee7adc1bc280808926e060c096910e	6			Cliquer pour accéder à la décision
C-291/12	Schwarz	17/10/2013	2013	Allemagne	Cour de Justice de l'UE	Minimisation	Administration	Passeport biométrique - Empreintes digitales - Incapacité du requérant à apporter la preuve de l'existence d'une méthode aussi efficace et moins intrusive pour prévenir les fraudes - Conséquence : proportionnalité de la méthode	La demande de décision préjudicielle porte sur la validité de l’article 1er, paragraphe 2, du règlement (CE) no 2252/2004 du Conseil, du 13 décembre 2004, établissant des normes pour les éléments de sécurité et les éléments biométriques intégrés dans les passeports et les documents de voyage délivrés par les États membres (JO L 385, p. 1), tel que modifié par le règlement (CE) no 444/2009 du Parlement européen et du Conseil, du 6 mai 2009 (JO L 142, p. 1, et rectificatif JO L 188, p. 127, ci-après le «règlement no 2252/2004»). Cette demande a été présentée dans le cadre d’un litige opposant M. Schwarz à la Stadt Bochum (ville de Bochum) au sujet du refus de cette dernière de lui délivrer un passeport sans que soient concomitamment relevées ses empreintes digitales aux fins d’être stockées sur ce passeport.	53. Dans ces conditions, il y a lieu de constater qu’il n’a pas été porté à la connaissance de la Cour l’existence de mesures susceptibles de contribuer, de manière suffisamment efficace, au but tenant à la protection des passeports contre leur utilisation frauduleuse, tout en portant des atteintes moins importantes aux droits reconnus par les articles 7 et 8 de la Charte que celles entraînées par la méthode fondée sur les empreintes digitales.	5	743da23f34ee7adc1bc280808926e060c096910e		[Mise en balance des droits reconnus aux personnes et des buts de la réglementation en cause] CJUE, 9 novembre 2010, Volker und Markus Schecke et Eifert, C-92/09 et C-93/09 (point 86) [Nécessité, pour le législateur, de s'assurer de l'existence de garanties spécifiques contre les traitements abusifs] CEDH, 4 décembre 2008, S. et Marper c. Royaume-Uni (§103)		Cliquer pour accéder à la décision
C-342/12	Worten	30/05/2013	2013	Portugal	Cour de Justice de l'UE	Licéité		Réglementation nationale imposant à l’employeur de mettre à la disposition de l’autorité nationale compétente le registre du temps de travail - Licéité sous conditions		45. Dans ces conditions, il convient de répondre aux deuxième et troisième questions que les articles 6, paragraphe 1, sous b) et c), ainsi que 7, sous c) et e), de la directive 95/46 [article 6 du RGPD] doivent être interprétés en ce sens qu’ils ne s’opposent pas à une réglementation nationale, telle que celle en cause au principal, qui impose à l’employeur l’obligation de mettre à la disposition de l’autorité nationale compétente en matière de surveillance des conditions de travail le registre du temps de travail afin d’en permettre la consultation immédiate, pour autant que cette obligation est nécessaire aux fins de l’exercice par cette autorité de ses missions de surveillance de l’application de la réglementation en matière de conditions de travail, notamment, en ce qui concerne le temps de travail.	5	743da23f34ee7adc1bc280808926e060c096910e				Cliquer pour accéder à la décision
334014	M. F et Mme C	19/07/2010	2010	France	Conseil d'Etat	Conservation limitée	Administration	Durée de conservation - Données relatives à l’identification des élèves scolarisés : 35 ans - Durée excessive - Conséquence : annulation totale de la décision mettant en œuvre le traitement		(13.) Considérant [...] que si le ministre établit que la conservation des données collectées pendant toute la durée théorique maximale de présence d'un élève dans le premier cycle du système éducatif, serait nécessaire et légitime au regard des finalités du traitement qui vise à donner un identifiant unique aux élèves scolarisés dans les écoles maternelles et primaires, et s'il soutient à bon droit que la généralisation envisagée de l'utilisation de l'identifiant à l'enseignement secondaire et à l'enseignement supérieur justifierait une durée de conservation égale à la durée du cycle complet d'étude d'un élève donné, il n'apporte aucun élément de justification de nature à faire regarder un délai total de conservation de 35 ans comme nécessaire aux finalités du traitement ; que dès lors M. A est fondé à demander l'annulation des décisions attaquées ; que ces décisions doivent être annulées ;	5	743da23f34ee7adc1bc280808926e060c096910e				Cliquer pour accéder à la décision
317182	M. X et Mme Y	19/07/2010	2010	France	Conseil d'Etat	Minimisation	Jeunesse et éducation	Minimisation - Données pertinentes à l'atteinte des finalités - Cas de la gestion d'une école de premier cycle		(27.) Considérant que [pour l'application de l'article 6 de la loi n°78-17 du 6 janvier 1978] les données pertinentes au regard de la finalité d'un traitement automatisé de données à caractère personnel sont celles qui sont en adéquation avec la finalité du traitement et qui sont proportionnées à cette finalité; que l'arrêté litigieux se borne à prévoir l'enregistrement des seules données nécessaires, d'une part, à l'identification de l'élève, de ses responsables légaux et des autres personnes à contacter en cas d'urgence ou autorisées à le prendre en charge à la sortie de l'école, d'autre part, à la gestion des établissements, de la scolarité des élèves et de leurs activités parascolaires et périscolaires ; que de telles données, dont aucune n'excède les finalités [de gestion de l'enseignement scolaire de premier cycle] poursuivies par le traitement automatisé, doivent être regardées comme en adéquation avec la finalité du traitement et sont proportionnées à cette finalité ;	5	743da23f34ee7adc1bc280808926e060c096910e				Cliquer pour accéder à la décision
312051	Association SOS Racisme et GISTI	30/12/2009	2009	France	Conseil d'Etat	Conservation limitée	Police-Justice	Durée de conservation - Création d'un traitement destiné à faciliter la mise en œuvre des mesures d'éloignement des étrangers - Durée étendue à 3 ans pour certaines d'entre elles - Stricte nécessité : absence - Conséquence : illicéité et annulation de l'acte règlementaire créant le traitement		(21.) Considérant que [...] la circonstance que la conservation de certaines données essentielles pourrait permettre de faciliter une nouvelle mesure d'éloignement, qui s'avérerait nécessaire à l'encontre d'un étranger ayant déjà fait l'objet d'une telle mesure dans l'hypothèse où il viendrait à nouveau à séjourner irrégulièrement sur le territoire national, ne suffit pas à justifier la conservation de ces données, relatives à l'ensemble des étrangers faisant l'objet d'une mesure d'éloignement, pendant une durée de trois ans après la date de l'éloignement effectif ; que, d'autre part, il n'est pas établi, ni même sérieusement allégué, que l'élaboration de statistiques relatives à l'ensemble des mesures d'éloignement et à leur taux d'exécution serait rendue impossible en l'absence d'une conservation des données susmentionnées pendant une durée de trois ans ; que, par suite, faute pour le ministre de justifier de l'intérêt que pourrait présenter la conservation de ces données pendant une durée supérieure à trois mois, au regard notamment de la durée potentielle d'exécution de certaines des mesures d'éloignement mises en oeuvre, le décret attaqué doit être annulé en tant qu'il prévoit une durée dérogatoire de trois ans pour la conservation des données mentionnées ci-dessus ;	5	743da23f34ee7adc1bc280808926e060c096910e				Cliquer pour accéder à la décision
C-524/06	Huber	16/12/2008	2008	Allemagne	Cour de Justice de l'UE	Licéité	Police-Justice	Mission d'intérêt public - Traitement de données à caractère personnel relatives aux citoyens de l’Union non-ressortissants de l’État membre ayant pour objectif le soutien des autorités nationales en charge de l’application de la réglementation sur le droit de séjour - Conditions de licéité		66. Il résulte de l’ensemble des considérations qui précèdent qu’un système de traitement de données à caractère personnel relatives aux citoyens de l’Union non-ressortissants de l’État membre visé ayant pour objectif le soutien des autorités nationales en charge de l’application de la réglementation sur le droit de séjour ne répond à l’exigence de nécessité prévue à l’article 7, sous e), de la directive 95/46/CE du 24 octobre 1995 interprété à la lumière de l’interdiction de toute discrimination exercée en raison de la nationalité, que : - s’il contient uniquement les données nécessaires à l’application par lesdites autorités de cette réglementation, et - si son caractère centralisé permet une application plus efficace de cette réglementation en ce qui concerne le droit de séjour des citoyens de l’Union non-ressortissants de cet État membre.	5, 6	743da23f34ee7adc1bc280808926e060c096910e				Cliquer pour accéder à la décision
05-83.423	B.	14/03/2006	2006	France	Cour de cassation	Loyauté	Marketing et prospection, Technologie	Caractère déloyal de la collecte d’adresses électroniques personnelles de personnes physiques, à leur insu, sur l’espace public d’internet - Existence		Constitue une collecte de données nominatives le fait d'identifier des adresses électroniques et de les utiliser, même sans les enregistrer dans un fichier, pour adresser à leurs titulaires des messages électroniques ; Est déloyal le fait de recueillir, à leur insu, des adresses électroniques personnelles de personnes physiques sur l'espace public d'internet, ce procédé faisant obstacle à leur droit d'opposition ;	4, 5	743da23f34ee7adc1bc280808926e060c096910e				Constitue une collecte de données nominatives le fait d'identifier des adresses électroniques et de les utiliser, même sans les enregistrer dans un fichier, pour adresser à leurs titulaires des messages électroniques ; Est déloyal le fait de recueillir, à leur insu, des adresses électroniques personnelles de personnes physiques sur l'espace public d'internet, ce procédé faisant obstacle à leur droit d'opposition ;
241325	M. X	05/03/2003	2003	France	Conseil d'Etat	Exactitude	Police-Justice	Exactitude des données - Effets de l'amnistie et de la réhabilitation - Interdiction de rappeler l'existence de condamnations, de sanctions, d'interdictions, de déchéances ou d'incapacités - Conséquence - 1) Obligation de prévoir l'effacement des données correspondantes sur les fichiers permettant dans les tribunaux la gestion automatisée des procédures - 2) Annulation partielle de l'arrêté ne le prévoyant pas		(4.) Considérant que [...] si le ministre de la justice, a prévu, au troisième alinéa de l'article 6 de l'arrêté du 18 juin 1986 et de l'arrêté du 13 avril 1993, tel que modifié par les arrêtés du 22 octobre 2001, que les fichiers informatiques institués par ces textes, dans le but d'automatiser la gestion des procédures, seraient mis à jour en cas d'amnistie et de réhabilitation « par mention et en conformité avec les dispositions [...] des articles 133-9 à 11 pour l'amnistie et 133-16 pour la réhabilitation », ce dispositif, qui ne prévoit aucun effacement des données, ne suffit pas à garantir que les principes posés par le code pénal qui interdisent « rappeler l'existence » de condamnations, de sanctions, d'interdictions, de déchéances ou d'incapacités, seront respectés; [...] que ces dispositions doivent être annulées.	5	743da23f34ee7adc1bc280808926e060c096910e				Cliquer pour accéder à la décision
204909	Association française des sociétés financières	30/10/2001	2001	France	Conseil d'Etat	Licéité	Economie et fiscalité	Pertinence du traitement de la nationalité d'un demandeur de prêt bancaire - Admission		La référence à la nationalité comme l'un des éléments de pur fait d'un calcul automatisé du risque, dont la mise en oeuvre n'entraîne pas le rejet d'une demande sans l'examen individuel de celle-ci, ne constitue pas une discrimination [...].	5	743da23f34ee7adc1bc280808926e060c096910e				Cliquer pour accéder à la décision
SAN-2021-019	RATP	29/10/2021	2021	France	CNIL ou équivalent	Conservation limitée	Transports	Durée de conservation - Obligations à l’issue de la durée lorsque la finalité poursuivie par le traitement est atteinte - Suppression ou archivage des données	Le 13 mai 2020, la CNIL a été saisie par l’organisation syndicale CGT-X d’une plainte (saisine n°) portant sur un fichier d’évaluation des agents de X, constitué dans le cadre de la procédure d’avancement de carrière des agents dans le centre de bus X. L’organisation syndicale faisait valoir que le fichier en cause contenait un certain nombre de catégories de données à caractère personnel qui lui confèreraient un caractère illicite, voire discriminatoire. Le 18 mai 2020, la RATP a notifié à la Commission une violation de données qui aurait consisté en l’utilisation d’un fichier contraire aux dispositions du RGPD dans le cadre des commissions de classement des agents du département BUS. Faisant suite, une instruction a été lancée. A son issue, la rapporteure a fait notifier à X, le 12 mai 2021, un rapport détaillant les manquements aux dispositions du RGPD qu’elle estimait constitués en l’espèce. Ce rapport proposait à la formation restreinte de la Commission de prononcer à l’encontre de X une amende administrative. En réponse, la RATP tente de souligner le caractère isolé des faits et demande ainsi à ne pas être sanctionné.	56. La formation restreinte relève que les fichiers de préparation des commissions sont établis comme support de prise de décision de réunions préparatoires aux commissions de classement annuelles, en vue de l’évaluation des agents, et ne peuvent par conséquent être conservés que pour la durée nécessaire à la réalisation de cette finalité. La formation restreinte observe que la RATP a fixé leur durée de conservation à dix-huit mois après la commission de classement pour laquelle ces fichiers sont réalisés, ayant estimé qu’il s’agissait de la durée nécessaire à la finalité du traitement. 57. Or, la formation restreinte relève que la délégation de la CNIL a constaté la conservation, dans les centres de bus d’X et de X, des fichiers de préparation des commissions de classement datant de 2017, ce qui correspond à une durée de plus de trois ans après la tenue de la commission de classement concernée. La formation restreinte [.... rappelle que] l’effectivité de la mise en œuvre d’une politique de durée de conservation des données est le pendant nécessaire de sa définition et permet d’assurer que les données sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées. Cela permet par ailleurs, notamment, de réduire les risques d’usage non autorisé des données en cause, par un salarié ou par un tiers.	5	743da23f34ee7adc1bc280808926e060c096910e		/		Cliquer pour accéder à la décision
SAN-2022-018	Infogreffe	08/09/2022	2022	France	CNIL ou équivalent	Conservation limitée	Economie et fiscalité	Durée de conservation - Expiration de la durée initiale - 1) Tri des données pertinentes à archiver - 2) Archivage intermédiaire - Base de données d’archives dédiée ou séparation logique	Le 12 décembre 2020, la CNIL a été saisie d’une plainte à l’encontre de l’organisme, d’une personne indiquant que le site web Infogreffe conserve les mots de passe des utilisateurs en clair et qu’elle a été capable d’obtenir son mot de passe par téléphone en donnant simplement son nom à l’interlocutrice du service d’assistance téléphonique. Une mission de contrôle a été réalisée afin de vérifier la conformité de tout traitement accessible à partir du domaine Infogreffe, ou portant sur des données à caractère personnel collectées à partir de ce dernier. À l’issue de son instruction, le rapporteur a, le 16 février 2022, fait notifier à l’organisme un rapport détaillant les manquements au RGPD qu’il estimait constitués en l’espèce, accompagné d’une convocation à la séance de la formation restreinte du 21 avril 2022. Ce rapport proposait à la formation restreinte de la Commission de prononcer une amende administrative au regard des manquements aux articles 5, paragraphe 1, e) et 32 du RGPD. En réponse, l’organisme admet que des données à caractère personnel ont été conservées plus longtemps que la durée indiquée au sein de sa Charte mais conteste le fait que la durée indiquée dans cette Charte soit prise comme seule référence alors qu’au regard d’autres finalités, comme par exemple celle relative aux opérations de recouvrement, il serait justifié que certaines données soient conservées pour une durée supérieure à 36 mois. S’agissant de l’anonymisation des données à caractère personnel, l’organisme admet que 25% des comptes ont été conservés au-delà de 36 mois après la dernière commande, formalité ou facture, sans être anonymisés. Il admet également le retard pris dans l’automatisation de l’anonymisation mais conteste le fait qu’il n’y ait eu aucune anonymisation des comptes.	24. En premier lieu, la formation restreinte relève que la finalité relative aux opérations de recouvrement, citée par l’organisme, et la durée de conservation afférente ne pourraient a priori concerner que les données des abonnés et non des membres, ces derniers payant immédiatement en échange de la réception d’un acte. En outre, la formation restreinte relève que, pour cette finalité comme pour les finalités comptables et fiscales, l’organisme n’avait pas identifié ces finalités et les durées correspondantes dans sa Charte de confidentialité à la date du contrôle. En tout état de cause, la formation restreinte relève que si la conservation de certaines données pour ces finalités peut apparaître justifiée, elle requiert que différentes actions soient réalisées. Ainsi, la formation restreinte rappelle qu’une fois la finalité du traitement atteinte, la conservation de certaines données pour le respect d’obligations légales ou à des fins précontentieuses ou contentieuses est possible, mais les données doivent être alors placées en archivage intermédiaire, pour une durée n’excédant pas celle nécessaire aux finalités pour lesquelles elles sont conservées, conformément aux dispositions en vigueur. Seules les données pertinentes doivent être placées en archivage intermédiaire, soit dans une base de données d’archive dédiée, soit en effectuant une séparation logique au sein de la base active, permettant que seules les personnes habilitées puissent y accéder. La formation restreinte relève qu’au jour du contrôle, aucune de ces actions n’était mise en œuvre par l’organisme.	5	743da23f34ee7adc1bc280808926e060c096910e		/		Cliquer pour accéder à la décision
C-184/20	Vyriausioji tarnybinės etikos komisija	01/08/2022	2022	Lituanie	Cour de Justice de l'UE	Licéité, Minimisation		1) Appréciation conjointe avec la condition de nécessité du traitement, en fonction de la base légale - 2) Publication de déclaration d’intérêts privés d’un directeur d’établissement recevant des fonds publics - Données nominatives relatives au conjoint, concubin ou partenaire - Absence de stricte nécessité	Cette demande a été présentée dans le cadre d’un litige opposant OT à la Vyriausioji tarnybinės etikos komisija (Haute commission de prévention des conflits d’intérêts dans le service public, Lituanie) (ci-après la « Haute commission ») au sujet d’une décision de cette dernière constatant un manquement d’OT à son obligation de déposer une déclaration d’intérêts privés. OT soutient, à supposer qu’il soit contraint de déposer une déclaration d’intérêts privés, que la publication de celle-ci porterait atteinte tant à son droit au respect de sa vie privée qu’à celui des autres personnes qu’il serait, le cas échéant, tenu de mentionner dans sa déclaration (notamment son conjoint). La Cour demande pose à la CJUE la question suivante : eu égard aux exigences énoncées à l’article 6, paragraphe 3, du [RGPD], notamment celle selon laquelle le droit des États membres doit répondre à un objectif d’intérêt public et être proportionné à l’objectif légitime poursuivi, ainsi qu’aux articles 7 et 8 de la [Charte], convient-il d’interpréter la condition énoncée à l’article 6, paragraphe 1[, premier alinéa,] sous e), dudit règlement, selon laquelle le traitement [des données à caractère personnel] doit être nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement, en ce sens que le droit national ne saurait exiger la divulgation des données figurant dans des déclarations d’intérêts privés et la publication desdites données sur le site Internet du responsable du traitement - la [Haute commission] -, ce qui rend ces données accessibles à toutes les personnes qui ont la possibilité d’utiliser l’Internet ?	93. Troisièmement, en tout état de cause, il y a lieu de rappeler que la condition tenant à la nécessité du traitement doit être examinée conjointement avec le principe dit de la « minimisation des données » consacré à l’article 6, paragraphe 1, sous c), de la directive 95/46 ainsi qu’à l’article 5,paragraphe 1, sous c), du RGPD, selon lequel les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelleselles sont traitées (voir, en ce sens, arrêt du 11 décembre 2019, Asociaţia de Proprietari bloc M5A-ScaraA, C-708/18, EU:C:2019:1064, point 48). [...] 96. [...] La divulgation publique, en ligne, de données nominatives relatives au conjoint, concubin ou partenaire d’un directeur d’un établissement percevant des fonds publics ainsi qu’aux proches ou autres personnes connues de celui-ci susceptibles de donner lieu à un conflit d’intérêts paraît aller au-delà de ce qui est strictement nécessaire.	5	743da23f34ee7adc1bc280808926e060c096910e		[Analyse conjointe de la nécessité du traitement et de la minimisation des données] CJUE, 11 décembre 2019, Asociaţia de Proprietari bloc M5A-ScaraA, C-708/18 (point 48)		Cliquer pour accéder à la décision
317827	Association pour la promotion de l’image et autres	26/10/2011	2011	France	Conseil d'Etat	Minimisation	Administration	Minimisation - Conservation dans un traitement informatisé des données à caractère personnel recueillies lors de l'établissement ou du renouvellement des passeports de huit empreintes digitales alors que le passeport n'en contient que deux - Caractère excessif	Une association conteste la légalité du décret prévoyant le traitement de données relatif aux passeports, au motif (notamment) que celui-ci prévoit la conservation dans le traitement automatisé des empreintes digitales de huit doigts, alors que le composant électronique du passeport n'en contient que deux. L'association estime ainsi que la collecte et le traitement des données ne sont pas effectués de manière adéquate et proportionnée au regard de ces finalités, ce qui serait contraire à l'article 8 de la CEDH et à la LIL.	(12.) [...] Si le ministre soutient que la conservation dans le traitement automatisé des empreintes digitales de huit doigts, alors que le composant électronique du passeport n'en contient que deux, permettrait de réduire significativement les risques d'erreurs d'identification, cette assertion générale n'a été ni justifiée par une description précise des modalités d'utilisation du traitement dans les productions du ministre, ni explicitée lors de l'audience d'instruction à laquelle il a été procédé ; que, par suite, l'utilité du recueil des empreintes de huit doigts et non des deux seuls figurant sur le passeport n'étant pas établie, la collecte et la conservation d'un plus grand nombre d'empreintes digitales que celles figurant dans le composant électronique ne sont ni adéquates, ni pertinentes et apparaissent excessives au regard des finalités du traitement informatisé ; qu'ainsi, les requérants sont fondés à soutenir que les mesures prescrites par le décret attaqué ne sont pas adaptées, nécessaires et proportionnées et à demander par suite l'annulation de l'article 5 de ce décret en tant qu'il prévoit la collecte et la conservation des empreintes digitales ne figurant pas dans le composant électronique du passeport ;	5	743da23f34ee7adc1bc280808926e060c096910e		/		Cliquer pour accéder à la décision
2021-917 QPC	Union nationale des syndicats autonomes de la fonction publique	11/06/2021	2021	France	Conseil constitutionnel	Confidentialité	Administration, Santé	Communication de données de santé (médicales) - Finalité de contrôle administratif des congés d’invalidité - Atteinte disproportionnée au droit au respect de la vie privée - Admission en l’espèce	L'article 21 bis de la loi du 13 juillet 1983 mentionnée ci-dessus, dans sa rédaction résultant de l'ordonnance du 25 novembre 2020 mentionnée ci-dessus, détermine les conditions dans lesquelles le fonctionnaire en activité peut bénéficier d'un congé pour invalidité temporaire imputable au service. Son paragraphe VIII prévoit : « Nonobstant toutes dispositions contraires, peuvent être communiqués, sur leur demande, aux services administratifs placés auprès de l'autorité à laquelle appartient le pouvoir de décision et dont les agents sont tenus au secret professionnel, les seuls renseignements médicaux ou pièces médicales dont la production est indispensable pour l'examen des droits définis par le présent article ». L'union requérante, rejointe par les autres parties, soutient que ces dispositions méconnaîtraient le droit au respect de la vie privée ainsi que la protection des données à caractère personnel, et qu'elles seraient entachées d'incompétence négative. En effet, selon elles, ces dispositions autoriseraient des services administratifs à se faire communiquer des données médicales, sans déterminer les agents autorisés à formuler ces demandes, ni le champ des pièces et des informations dont ils peuvent recevoir la communication, ni prévoir de garanties suffisantes.	3. La liberté proclamée par l'article 2 de la Déclaration des droits de l'homme et du citoyen de 1789 implique le droit au respect de la vie privée. Ce droit requiert que soit observée une particulière vigilance dans la communication des données à caractère personnel de nature médicale.	5	743da23f34ee7adc1bc280808926e060c096910e		/		Cliquer pour accéder à la décision
2021-917 QPC	Union nationale des syndicats autonomes de la fonction publique	11/06/2021	2021	France	Conseil constitutionnel	Minimisation	Administration, Santé	Communication de données de santé (médicales) - Finalité de contrôle administratif des congés d’invalidité - Atteinte disproportionnée au droit au respect de la vie privée - Admission en l’espèce	L'article 21 bis de la loi du 13 juillet 1983 mentionnée ci-dessus, dans sa rédaction résultant de l'ordonnance du 25 novembre 2020 mentionnée ci-dessus, détermine les conditions dans lesquelles le fonctionnaire en activité peut bénéficier d'un congé pour invalidité temporaire imputable au service. Son paragraphe VIII prévoit : « Nonobstant toutes dispositions contraires, peuvent être communiqués, sur leur demande, aux services administratifs placés auprès de l'autorité à laquelle appartient le pouvoir de décision et dont les agents sont tenus au secret professionnel, les seuls renseignements médicaux ou pièces médicales dont la production est indispensable pour l'examen des droits définis par le présent article ». L'union requérante, rejointe par les autres parties, soutient que ces dispositions méconnaîtraient le droit au respect de la vie privée ainsi que la protection des données à caractère personnel, et qu'elles seraient entachées d'incompétence négative. En effet, selon elles, ces dispositions autoriseraient des services administratifs à se faire communiquer des données médicales, sans déterminer les agents autorisés à formuler ces demandes, ni le champ des pièces et des informations dont ils peuvent recevoir la communication, ni prévoir de garanties suffisantes.	7. Toutefois, les renseignements dont les services administratifs peuvent obtenir communication des tiers sont des données de nature médicale, qui peuvent leur être transmises sans recueillir préalablement le consentement des agents intéressés et sans que le secret médical puisse leur être opposé. 8. [...] D'une part, ce droit de communication est susceptible d'être exercé par les « services administratifs » placés auprès de l'autorité à laquelle appartient le pouvoir d'accorder le bénéfice du congé. Ainsi, en fonction de l'organisation propre aux administrations, ces renseignements médicaux sont susceptibles d'être communiqués à un très grand nombre d'agents, dont la désignation n'est subordonnée à aucune habilitation spécifique et dont les demandes de communication ne sont soumises à aucun contrôle particulier. 9. D'autre part, les dispositions contestées permettent que ces renseignements soient obtenus auprès de toute personne ou organisme. 10. Dès lors, ces dispositions portent une atteinte disproportionnée au droit au respect de la vie privée.	5	743da23f34ee7adc1bc280808926e060c096910e		/		Cliquer pour accéder à la décision
2012-652 DC	Loi relative à la protection de l'identité	22/03/2012	2012	France	Conseil constitutionnel	Limitation des finalités, Minimisation	Administration, Police-Justice	Traitement destiné à préserver l’intégrité des données nécessaires à la délivrance des titres d’identité et de voyage (passeports) - Disproportionnalité au regard de la sensibilité des données, de l'ampleur du traitement, de sa possible interrogation à d’autres fins - Inconstitutionnalité	Les députés et sénateurs requérants défèrent au Conseil constitutionnel la loi relative à la protection de l'identité ; qu'ils contestent la conformité à la Constitution des dispositions de ses articles 5 et 10. L'article 5 permet l'identification du demandeur d'un titre d'identité ou de voyage s'effectue en interrogeant le traitement de données à caractère personnel au moyen des données dont la liste est fixée à l'article 2, à l'exception de la photographie ; qu'il prévoit également que ce traitement de données à caractère personnel peut être interrogé au moyen des deux empreintes digitales recueillies dans le traitement, en premier lieu, lors de l'établissement des titres d'identité et de voyage, en deuxième lieu, pour les besoins de l'enquête relative à certaines infractions, sur autorisation du procureur de la République ou du juge d'instruction, et, en troisième lieu, sur réquisition du procureur de la République aux fins d'établir, lorsqu'elle est inconnue, l'identité d'une personne décédée, victime d'une catastrophe naturelle ou d'un accident collectif. L'article 10 permet aux agents individuellement désignés et dûment habilités des services de police et de gendarmerie nationales d'avoir accès au traitement de données à caractère personnel créé en application de l'article 5 pour des finalités pénales.	10. Considérant, toutefois, que, compte tenu de son objet, ce traitement de données à caractère personnel est destiné à recueillir les données relatives à la quasi-totalité de la population de nationalité française ; que les données biométriques enregistrées dans ce fichier, notamment les empreintes digitales, étant par elles-mêmes susceptibles d'être rapprochées de traces physiques laissées involontairement par la personne ou collectées à son insu, sont particulièrement sensibles ; que les caractéristiques techniques de ce fichier définies par les dispositions contestées permettent son interrogation à d'autres fins que la vérification de l'identité d'une personne ; que les dispositions de la loi déférée autorisent la consultation ou l'interrogation de ce fichier non seulement aux fins de délivrance ou de renouvellement des titres d'identité et de voyage et de vérification de l'identité du possesseur d'un tel titre, mais également à d'autres fins de police administrative ou judiciaire ; 11. Considérant qu'il résulte de ce qui précède qu'eu égard à la nature des données enregistrées, à l'ampleur de ce traitement, à ses caractéristiques techniques et aux conditions de sa consultation, les dispositions de l'article 5 portent au droit au respect de la vie privée une atteinte qui ne peut être regardée comme proportionnée au but poursuivi ; que, par suite, les articles 5 et 10 de la loi doivent être déclarés contraires à la Constitution ; qu'il en va de même, par voie de conséquence, du troisième alinéa de l'article 6, de l'article 7 et de la seconde phrase de l'article 8 ;	5	743da23f34ee7adc1bc280808926e060c096910e		/		Cliquer pour accéder à la décision
45245/15	Affaire Gaughran c. Royaume-Uni	13/02/2020	2020	Royaume-Uni	Autre	Conservation limitée	Police-Justice	Durée de conservation - Absence de limitation de durée et de possibilité de réexamen de la situation, du profil ADN, des empreintes digitales et de la photographie d’une personne reconnue coupable d’une infraction mineure - Caractère disproportionné et violation de l’article 8 CEDH - Admission	Le requérant, Fergus Gaughran, est un ressortissant britannique né en 1972 et résidant à Newry (Irlande du Nord, Royaume-Uni). Il fut arrêté en octobre 2008 pour conduite en état d’ivresse (une infraction emportant inscription dans les fichiers de la police, ou recordable offence). Il fut conduit au commissariat, où il fut soumis à un prélèvement d’haleine qui se révéla positif. Les policiers le prirent également en photo, relevèrent ses empreintes digitales et procédèrent à un prélèvement d’ADN. Par la suite, il plaida coupable, fut condamné au paiement d’une amende et se vit interdire de conduire pendant 12 mois. Sa condamnation fut rayée de son casier judiciaire en 2013. Le prélèvement ADN du requérant fut détruit en 2015, à sa demande. La police d’Irlande du Nord (Police Service Northern Ireland – « la PSNI ») conserve encore sans limitation de durée le profil ADN (données numériques) réalisé à partir de son échantillon d’ADN, ainsi que ses empreintes digitales et sa photographie. Le requérant conteste en justice la conservation de ses données personnelles par la PSNI. Débouté, l'affaire arrive finalement devant la CEDH.	96. (Traduction) Pour les raisons exposées ci-dessus, la Cour estime que le caractère indifférencié des pouvoirs de conservation du profil ADN, des empreintes digitales et de la photographie du requérant en tant que personne condamnée pour une infraction, même si celle-ci est passée, sans référence à la gravité de l'infraction ou à la nécessité d'une conservation indéfinie et en l'absence de toute possibilité réelle de réexamen, n'a pas ménagé un juste équilibre entre les intérêts publics et privés concurrents. La Cour rappelle qu'elle a estimé que l'État conservait une marge d'appréciation légèrement plus large en ce qui concerne la conservation des empreintes digitales et des photographies (voir paragraphe 84 ci-dessus). Toutefois, cette marge élargie n'est pas suffisante pour lui permettre de conclure que la conservation de ces données pourrait être proportionnée dans les circonstances, qui comprennent l'absence de toute garantie pertinente, y compris l'absence de tout contrôle réel. 97. En conséquence, l'État défendeur a dépassé la marge d'appréciation acceptable à cet égard et la rétention litigieuse constitue une ingérence disproportionnée dans le droit du requérant au respect de sa vie privée et ne peut être considérée comme nécessaire dans une société démocratique.	5	743da23f34ee7adc1bc280808926e060c096910e				Cliquer pour accéder à la décision (en anglais)
74440/17	Affaire P.N c Allemagne	11/06/2020	2020	Allemagne	Autre	Conservation limitée	Police-Justice	Durée de conservation - Photographies, du signalement et des empreintes digitales et palmaires d’un récidiviste subordonnée à des garanties et à un contrôle individualisé : 5 ans - Violation de l’article 8 CEDH - Absence	Le requérant, M. P.N., est un ressortissant allemand né en 1961. Il réside à Dresde (Allemagne). L’affaire concerne la collecte, ordonnée par la police, d’éléments destinés à identifier M. P.N., tels que des photographies de son visage et de son corps, notamment d’éventuels tatouages, ainsi que des empreintes digitales et palmaires. En août 2011, la police de Dresde ordonne, sur le fondement du code de procédure pénale, la collecte de données d’identification au motif que des poursuites pénales avaient été engagées contre le requérant qui était soupçonné de recel. L’intéressé avait des antécédents judiciaires et la police estimait que les mesures d’identification ordonnées faciliteraient les enquêtes sur des infractions futures. M. P.N. forme un recours contre cette décision mais il fut débouté d’abord en mai 2012 par la police de Dresde, puis en mars 2015 par le tribunal administratif de Dresde. Relevant que l’intéressé avait des antécédents judiciaires, la juridiction a estimé qu’en vertu du code de procédure pénale, il était légal de collecter des données d’identification s’il était possible que celles-ci fussent nécessaires pour une enquête à venir. Elle jugea que l’abandon des poursuites pour recel en juin 2012 ne faisait pas obstacle à pareille collecte. L'affaire arrive finalement devant la CEDH	90. (Traduction) Eu égard aux considérations qui précèdent, la Cour conclut que les motifs invoqués par les autorités nationales pour justifier l'ingérence dans le droit du requérant au respect de sa vie privée par la collecte et la conservation de données à caractère personnel le concernant étaient « pertinents et suffisants ». La collecte et la conservation de ces données en l'espèce ont ménagé un juste équilibre entre les intérêts publics et privés concurrents et relevaient donc de la marge d'appréciation de l'État défendeur. En conséquence, la mesure contestée constitue une ingérence proportionnée dans le droit du requérant au respect de sa vie privée et peut être considérée comme nécessaire dans une société démocratique. Elle est donc justifiée au regard de l'article 8 § 2.	5	743da23f34ee7adc1bc280808926e060c096910e				Cliquer pour accéder à la décision (en anglais)
11519/20	Glukhin c. Russie	04/10/2023	2023	Russie	Autre	Minimisation	Police-Justice	Prévention des infractions de nature pénale - Recours à la reconnaissance faciale : mesures particulièrement intrusives en l’espèce et traitement de données sensibles (notamment opinions politiques) - Violation de l’article 8 CEDH - Admission	Le requérant, Nikolay Sergeyevich Glukhin, est un ressortissant russe né en 1985 et résidant à Moscou. Le 23 août 2019, M. Glukhin emprunte le métro moscovite en portant la silhouette en carton grandeur nature de Konstanin Kotov (un activiste dont l’affaire avait provoqué un tollé et avait été largement médiatisée) qui brandissait une banderole sur laquelle on pouvait lire « Je risque jusqu’à cinq ans (...) pour des manifestations pacifiques ». À l’occasion d’une surveillance systématique d’Internet, la police découvre des photographies et une vidéo de la manifestation organisée par M. Glukhin dans le métro, qui avaient été mises en ligne sur le site d’un réseau social accessible au public. M. Glukhin estime que la police avait dû recourir à la technologie de reconnaissance faciale pour l’identifier à partir de captures d’écran du site du réseau social, recueillir les images enregistrées par les caméras de vidéosurveillance installées dans les stations du métro de Moscou par lesquelles il avait transité le 23 août 2019 et, plusieurs jours plus tard, utiliser la technologie de reconnaissance faciale en temps réel pour le repérer et l’interpeller alors qu’il voyageait dans le métro. Il conteste sa condamnation par les autorités devant la CEDH.	90. À la lumière de l’ensemble des considérations qui précèdent, la Cour conclut que l’utilisation d’une technologie de reconnaissance faciale très intrusive dans une situation où le requérant exerçait son droit à la liberté d’expression tel que garanti par la Convention est incompatible avec les idéaux et valeurs d’une société démocratique régie par la prééminence du droit, que la Convention est destinée à sauvegarder et à promouvoir. Le traitement des données personnelles du requérant au moyen d’une technologie de reconnaissance faciale dans le contexte d’une procédure pour infraction administrative – d’abord aux fins de l’identification de l’intéressé à partir des photographies et de la vidéo publiées sur Telegram, puis de sa localisation en vue de son arrestation alors qu’il effectuait un trajet en métro à Moscou – ne saurait être considéré comme « nécessaire dans une société démocratique ».	5	743da23f34ee7adc1bc280808926e060c096910e				Cliquer pour accéder à la décision
C-394/23	Mousse	09/01/2025	2025	France	Cour de Justice de l'UE	Minimisation	Transports	Minimisation - Titre de transport ferroviaire - Traiter le genre à des fins de communication personnalisée - Nécessaire pour l'exécution du contrat - Absence	L’association Mousse a contesté auprès de l’autorité française de protection des données à caractère personnel (CNIL) la pratique de l’entreprise ferroviaire française SNCF Connect qui oblige systématiquement ses clients à indiquer leur civilité (« Monsieur » ou « Madame ») lors de l’achat de titres de transport en ligne. Cette association estime que cette obligation viole le règlement général sur la protection des données (RGPD), notamment, au regard du principe de minimisation des données, car la mention de la civilité, qui correspond à une identité de genre, ne semble pas nécessaire pour l’achat d’un titre de transport ferroviaire. En 2021, la CNIL a décidé de rejeter cette réclamation, considérant que cette pratique ne constituait pas un manquement au RGPD. Un recours est finalement introduit devant la CJUE.	43. Ainsi, l’article 6, paragraphe 1, premier alinéa, sous b), du RGPD, lu en combinaison avec l’article 5, paragraphe 1, sous c), de celui-ci, doit être interprété en ce sens que le traitement de données à caractère personnel relatives à la civilité des clients d’une entreprise de transport, ayant pour finalité une personnalisation de la communication commerciale fondée sur leur identité de genre, ne paraît ni objectivement indispensable ni essentiel afin de permettre l’exécution correcte d’un contrat et, partant, ne peut pas être considéré comme étant nécessaire à l’exécution de ce contrat.	5, 6	743da23f34ee7adc1bc280808926e060c096910e		[Notion de "nécessaire" au contrat] CJUE, 12 septembre 2024, HTB Neunte Immobilien Portfolio et Ökorenta Neue Energien Ökostabil IV, C-17/22 et C-18/22 (points 43 et 44), disponible ici [Analyse de la "nécessité" du traitement (au contrat) à réaliser service par service] CJUE, 4 juillet 2023, Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social), C-252/21 (point 100) [Absence de nécessité de la personnalisation de contenu lorsque cela ne fait pas partie intégrante des services] CJUE, 4 juillet 2023, Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social), C-252/21 (point 102)		Cliquer pour accéder à la décision
			Année		Autorité	Thème(s)	Secteur(s)

Actualités

Profitez de nos actualités en lien avec cet article !

PIPC (autorité coréenne)

12 janvier 2025

Amende d’environ 1,7 millions d’euros contre le Bureau administratif des tribunaux pour fuite de numéro de registre et violation des obligations de sécurité La PIPC (présidée par Ko Hak-soo) a tenu sa première réunion plénière le 8 janvier et a décidé d’imposer une amende administrative de 2,7 milliards de wons et une amende de 6 […]

Disponible sur: veille.portail-rgpd.com

CJUE – Arrêt C-394/23

09 janvier 2025

RGPD et transport ferroviaire : l’identité de genre du client n’est pas une donnée nécessaire pour l’achat d’un titre de transport Dans un arrêt publié ce 9 janvier 2025, la CJUE a estimé que la collecte de données relatives à la civilité des clients n’est pas objectivement indispensable, en particulier, lorsqu’elle a pour finalité une […]

Disponible sur: veille.portail-rgpd.com

APD (autorité belge)

08 janvier 2025

Un employeur réprimandé pour traitement illicite de données pénales de l’un de ses employés L’autorité belge a aujourd’hui publié une décision de sanction par laquelle elle condamne une entreprise (restée anonyme) pour traitement illicite de données. Dans cette affaire, un employé d’un organisme public (plaignant) a déposé plainte contre son employeur après avoir constaté qu’une […]

Disponible sur: veille.portail-rgpd.com

GPDP (autorité italienne)

02 janvier 2025

Télémarketing : le fournisseur d’électricité et de gaz se voit infliger une amende de 679 000 euros par la Garante Dans sa newsletter du 23 décembre, l’autorité a annoncé avoir condamné Illumia spa, une société opérant dans la fourniture de services d’électricité et de gaz, à 678 897 euros d’amendes pour avoir traité de manière […]

Disponible sur: veille.portail-rgpd.com

GPDP (autorité italienne)

02 janvier 2025

L’autorité italienne rappelle que les certificats d’arrêt de travail ne doivent pas contenir de données de santé Dans sa newsletter du 23 décembre, l’autorité a annoncé avoir condamné une autorité locale de santé à hauteur de 17 000 euros pour avoir délivré un certificat d’arrêt de travail indiquant le service qui avait fourni le service […]

Disponible sur: veille.portail-rgpd.com

Tietosuoja (autorité finlandaise)

20 décembre 2024

950 000 euros d’amende pour le Sambla Group, fournisseur de services de comparaison de prêts, en raison de négligences en matière de sécurité des données L’autorité finlandaise a annoncé aujourd’hui avoir imposé une amende de 950 000 euros au Sambla Group, fournisseur de services de comparaison de prêts, en raison de sa faible sécurité des […]

Disponible sur: veille.portail-rgpd.com

DPA (autorité grecque)

19 décembre 2024

30 000 euros d’amende pour un médecin ayant publié des photographies médicales sur un réseau social L’autorité hellénique a publié aujourd’hui une décision de sanction à l’encontre d’un médecin, avec 30 000 euros d’amende à la clé, pour avoir publié des photographies d’une partie du corps de la plaignante sur un réseau social géré par […]

Disponible sur: veille.portail-rgpd.com

CNIL

19 décembre 2024

Aspiration de données : sanction de 200 000 euros à l’encontre de la société KASPR Le 5 décembre 2024, la CNIL a prononcé une amende de 200 000 euros à l’encontre de la société KASPR, notamment pour avoir collecté sur LinkedIn les coordonnées d’utilisateurs qui avaient pourtant choisis d’en limiter la visibilité. La société KASPR […]

Disponible sur: veille.portail-rgpd.com

APD (autorité belge)

17 décembre 2024

Un hôpital belge condamné à 50 000 euros d’amende pour des problèmes de sécurité L’autorité belge a aujourd’hui publié une décision de sanction à l’encontre d’un hôpital pour avoir manqué à ses obligations en matière de sécurité. Plus précisément, une violation de données de type ransomware a été notifiée à l’autorité par cet hôpital belge […]

Disponible sur: veille.portail-rgpd.com

APD (autorité belge)

16 décembre 2024

Erreur humaine : la Belgique rappelé l’importance de vérifier l’exactitude des données Dans une décision publiée ce jour, la Belgique a classé sans suite une affaire résultant d’une erreur humaine mais a insisté sur la nécessité pour les organisations de vérifier systématiquement l’exactitude des données afin d’éviter des incidents similaires à l’avenir. En septembre 2020, […]

Disponible sur: veille.portail-rgpd.com