Article 6 – Licéité du traitement

Article 6 - Licéité du traitement

1. Le traitement n'est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie:

a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques;
b) le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci;
c) le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis;
d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique;
e) le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement;
f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.

Le point f) du premier alinéa ne s'applique pas au traitement effectué par les autorités publiques dans l'exécution de leurs missions.

2. Les États membres peuvent maintenir ou introduire des dispositions plus spécifiques pour adapter l'application des règles du présent règlement pour ce qui est du traitement dans le but de respecter le paragraphe 1, points c) et e), en déterminant plus précisément les exigences spécifiques applicables au traitement ainsi que d'autres mesures visant à garantir un traitement licite et loyal, y compris dans d'autres situations particulières de traitement comme le prévoit le chapitre IX.

3. Le fondement du traitement visé au paragraphe 1, points c) et e), est défini par:

a) le droit de l'Union; ou
b) le droit de l'État membre auquel le responsable du traitement est soumis.

Les finalités du traitement sont définies dans cette base juridique ou, en ce qui concerne le traitement visé au paragraphe 1, point e), sont nécessaires à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement. Cette base juridique peut contenir des dispositions spécifiques pour adapter l'application des règles du présent règlement, entre autres: les conditions générales régissant la licéité du traitement par le responsable du traitement; les types de données qui font l'objet du traitement; les personnes concernées; les entités auxquelles les données à caractère personnel peuvent être communiquées et les finalités pour lesquelles elles peuvent l'être; la limitation des finalités; les durées de conservation; et les opérations et procédures de traitement, y compris les mesures visant à garantir un traitement licite et loyal, telles que celles prévues dans d'autres situations particulières de traitement comme le prévoit le chapitre IX. Le droit de l'Union ou le droit des États membres répond à un objectif d'intérêt public et est proportionné à l'objectif légitime poursuivi.

4. Lorsque le traitement à une fin autre que celle pour laquelle les données ont été collectées n'est pas fondé sur le consentement de la personne concernée ou sur le droit de l'Union ou le droit d'un État membre qui constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir les objectifs visés à l'article 23, paragraphe 1, le responsable du traitement, afin de déterminer si le traitement à une autre fin est compatible avec la finalité pour laquelle les données à caractère personnel ont été initialement collectées, tient compte, entre autres:

a) de l'existence éventuelle d'un lien entre les finalités pour lesquelles les données à caractère personnel ont été collectées et les finalités du traitement ultérieur envisagé;
b) du contexte dans lequel les données à caractère personnel ont été collectées, en particulier en ce qui concerne la relation entre les personnes concernées et le responsable du traitement;
c) de la nature des données à caractère personnel, en particulier si le traitement porte sur des catégories particulières de données à caractère personnel, en vertu de l'article 9, ou si des données à caractère personnel relatives à des condamnations pénales et à des infractions sont traitées, en vertu de l'article 10;
d) des conséquences possibles du traitement ultérieur envisagé pour les personnes concernées;
e) de l'existence de garanties appropriées, qui peuvent comprendre le chiffrement ou la pseudonymisation.

En savoir plus...

Le paragraphe 1 de l'article 6 est largement basé sur l'article 7 de l'ancienne directive sur la protection des données 95/46/CE, prévoyant que les données à caractère personnel ne peuvent être traitées sans respecter l'une des six exceptions (« base légale »). Les deux paragraphes suivants évoquent la possibilité pour les États membres de mettre en œuvre des lois qui rendent nécessaire le traitement au titre de l'article 6, paragraphe 1, points c) et e).

Enfin, le paragraphe 4 est en fait lié au principe de « limitation de la finalité » énoncé à l' article 5, paragraphe 1, point b) du RGPD et précise les conditions dans lequelles il est possible d'utiliser des données personnelles pour des fins autres qu'initialement prévues, et ce qu'est une « finalité compatible ».

Le RGPD prévoit-il une amende en cas d'infraction à cet article ?

Conformément à l'article article 83 du RGPD, les infractions aux règles définies dans le présent article sont passibles d'amendes administratives pouvant aller jusqu'à 20 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial total réalisé au cours de l'exercice précédent, le montant le plus élevé étant retenu.

Considérants pertinents

[Consentement à de la recherche scientifique]
33. Souvent, il n'est pas possible de cerner entièrement la finalité du traitement des données à caractère personnel à des fins de recherche scientifique au moment de la collecte des données. Par conséquent, les personnes concernées devraient pouvoir donner leur consentement en ce qui concerne certains domaines de la recherche scientifique, dans le respect des normes éthiques reconnues en matière de recherche scientifique. Les personnes concernées devraient pouvoir donner leur consentement uniquement pour ce qui est de certains domaines de la recherche ou de certaines parties de projets de recherche, dans la mesure où la finalité visée le permet.

[Principes généraux des traitement des données]
39. Tout traitement de données à caractère personnel devrait être licite et loyal. Le fait que des données à caractère personnel concernant des personnes physiques sont collectées, utilisées, consultées ou traitées d'une autre manière et la mesure dans laquelle ces données sont ou seront traitées devraient être transparents à l'égard des personnes physiques concernées. Le principe de transparence exige que toute information et communication relatives au traitement de ces données à caractère personnel soient aisément accessibles, faciles à comprendre, et formulées en des termes clairs et simples. Ce principe vaut, notamment, pour les informations communiquées aux personnes concernées sur l'identité du responsable du traitement et sur les finalités du traitement ainsi que pour les autres informations visant à assurer un traitement loyal et transparent à l'égard des personnes physiques concernées et leur droit d'obtenir la confirmation et la communication des données à caractère personnel les concernant qui font l'objet d'un traitement. Les personnes physiques devraient être informées des risques, règles, garanties et droits liés au traitement des données à caractère personnel et des modalités d'exercice de leurs droits en ce qui concerne ce traitement. En particulier, les finalités spécifiques du traitement des données à caractère personnel devraient être explicites et légitimes, et déterminées lors de la collecte des données à caractère personnel. Les données à caractère personnel devraient être adéquates, pertinentes et limitées à ce qui est nécessaire pour les finalités pour lesquelles elles sont traitées. Cela exige, notamment, de garantir que la durée de conservation des données soit limitée au strict minimum. Les données à caractère personnel ne devraient être traitées que si la finalité du traitement ne peut être raisonnablement atteinte par d'autres moyens. Afin de garantir que les données ne sont pas conservées plus longtemps que nécessaire, des délais devraient être fixés par le responsable du traitement pour leur effacement ou pour un examen périodique. Il y a lieu de prendre toutes les mesures raisonnables afin de garantir que les données à caractère personnel qui sont inexactes sont rectifiées ou supprimées. Les données à caractère personnel devraient être traitées de manière à garantir une sécurité et une confidentialité appropriées, y compris pour prévenir l'accès non autorisé à ces données et à l'équipement utilisé pour leur traitement ainsi que l'utilisation non autorisée de ces données et de cet équipement.

[Licéité du traitement]
40. Pour être licite, le traitement de données à caractère personnel devrait être fondé sur le consentement de la personne concernée ou reposer sur tout autre fondement légitime prévu par la loi, soit dans le présent règlement soit dans une autre disposition du droit national ou du droit de l'Union, ainsi que le prévoit le présent règlement, y compris la nécessité de respecter l'obligation légale à laquelle le responsable du traitement est soumis ou la nécessité d'exécuter un contrat auquel la personne concernée est partie ou pour prendre des mesures précontractuelles à la demande de la personne concernée.

[Base légale = mesure législative ?]
41. Lorsque le présent règlement fait référence à une base juridique ou à une mesure législative, cela ne signifie pas nécessairement que l'adoption d'un acte législatif par un parlement est exigée, sans préjudice des obligations prévues en vertu de l'ordre constitutionnel de l'État membre concerné. Cependant, cette base juridique ou cette mesure législative devrait être claire et précise et son application devrait être prévisible pour les justiciables, conformément à la jurisprudence de la Cour de justice de l'Union européenne (ci-après dénommée «Cour de justice») et de la Cour européenne des droits de l'homme.

[Consentement: critères de validité et preuve]
42. Lorsque le traitement est fondé sur le consentement de la personne concernée, le responsable du traitement devrait être en mesure de prouver que ladite personne a consenti à l'opération de traitement. En particulier, dans le cadre d'une déclaration écrite relative à une autre question, des garanties devraient exister afin de garantir que la personne concernée est consciente du consentement donné et de sa portée. Conformément à la directive 93/13/CEE du Conseil, une déclaration de consentement rédigée préalablement par le responsable du traitement devrait être fournie sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples, et elle ne devrait contenir aucune clause abusive. Pour que le consentement soit éclairé, la personne concernée devrait connaître au moins l'identité du responsable du traitement et les finalités du traitement auquel sont destinées les données à caractère personnel. Le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d'une véritable liberté de choix ou n'est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice.

[Critères de liberté du consentement]
43. Pour garantir que le consentement est donné librement, il convient que celui-ci ne constitue pas un fondement juridique valable pour le traitement de données à caractère personnel dans un cas particulier lorsqu'il existe un déséquilibre manifeste entre la personne concernée et le responsable du traitement, en particulier lorsque le responsable du traitement est une autorité publique et qu'il est improbable que le consentement ait été donné librement au vu de toutes les circonstances de cette situation particulière. Le consentement est présumé ne pas avoir été donné librement si un consentement distinct ne peut pas être donné à différentes opérations de traitement des données à caractère personnel bien que cela soit approprié dans le cas d'espèce, ou si l'exécution d'un contrat, y compris la prestation d'un service, est subordonnée au consentement malgré que celui-ci ne soit pas nécessaire à une telle exécution.

[Traitement dans le cadre d'un contrat]
44. Le traitement devrait être considéré comme licite lorsqu'il est nécessaire dans le cadre d'un contrat ou de l'intention de conclure un contrat.

[Traitement dans le cadre d'une obligation légale posée par un Etat Membre]
45. Lorsque le traitement est effectué conformément à une obligation légale à laquelle le responsable du traitement est soumis ou lorsqu'il est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique, le traitement devrait avoir un fondement dans le droit de l'Union ou dans le droit d'un État membre. Le présent règlement ne requiert pas de disposition légale spécifique pour chaque traitement individuel. Une disposition légale peut suffire pour fonder plusieurs opérations de traitement basées sur une obligation légale à laquelle le responsable du traitement est soumis ou lorsque le traitement est nécessaire pour l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique. Il devrait également appartenir au droit de l'Union ou au droit d'un État membre de déterminer la finalité du traitement. Par ailleurs, ce droit pourrait préciser les conditions générales du présent règlement régissant la licéité du traitement des données à caractère personnel, établir les spécifications visant à déterminer le responsable du traitement, le type de données à caractère personnel faisant l'objet du traitement, les personnes concernées, les entités auxquelles les données à caractère personnel peuvent être communiquées, les limitations de la finalité, la durée de conservation et d'autres mesures visant à garantir un traitement licite et loyal. Il devrait, également, appartenir au droit de l'Union ou au droit d'un État membre de déterminer si le responsable du traitement exécutant une mission d'intérêt public ou relevant de l'exercice de l'autorité publique devrait être une autorité publique ou une autre personne physique ou morale de droit public ou, lorsque l'intérêt public le commande, y compris à des fins de santé, telles que la santé publique, la protection sociale et la gestion des services de soins de santé, de droit privé, telle qu'une association professionnelle.

[Intérêts vitaux d'une personne physique]
46. Le traitement de données à caractère personnel devrait être également considéré comme licite lorsqu'il est nécessaire pour protéger un intérêt essentiel à la vie de la personne concernée ou à celle d'une autre personne physique. Le traitement de données à caractère personnel fondé sur l'intérêt vital d'une autre personne physique ne devrait en principe avoir lieu que lorsque le traitement ne peut manifestement pas être fondé sur une autre base juridique. Certains types de traitement peuvent être justifiés à la fois par des motifs importants d'intérêt public et par les intérêts vitaux de la personne concernée, par exemple lorsque le traitement est nécessaire à des fins humanitaires, y compris pour suivre des épidémies et leur propagation, ou dans les cas d'urgence humanitaire, notamment les situations de catastrophe naturelle et d'origine humaine.

[Intérêt légitime du responsable de traitement: exemples et limites]
47. Les intérêts légitimes d'un responsable du traitement, y compris ceux d'un responsable du traitement à qui les données à caractère personnel peuvent être communiquées, ou d'un tiers peuvent constituer une base juridique pour le traitement, à moins que les intérêts ou les libertés et droits fondamentaux de la personne concernée ne prévalent, compte tenu des attentes raisonnables des personnes concernées fondées sur leur relation avec le responsable du traitement. Un tel intérêt légitime pourrait, par exemple, exister lorsqu'il existe une relation pertinente et appropriée entre la personne concernée et le responsable du traitement dans des situations telles que celles où la personne concernée est un client du responsable du traitement ou est à son service. En tout état de cause, l'existence d'un intérêt légitime devrait faire l'objet d'une évaluation attentive, notamment afin de déterminer si une personne concernée peut raisonnablement s'attendre, au moment et dans le cadre de la collecte des données à caractère personnel, à ce que celles-ci fassent l'objet d'un traitement à une fin donnée. Les intérêts et droits fondamentaux de la personne concernée pourraient, en particulier, prévaloir sur l'intérêt du responsable du traitement lorsque des données à caractère personnel sont traitées dans des circonstances où les personnes concernées ne s'attendent raisonnablement pas à un traitement ultérieur. Étant donné qu'il appartient au législateur de prévoir par la loi la base juridique pour le traitement des données à caractère personnel par les autorités publiques, cette base juridique ne devrait pas s'appliquer aux traitements effectués par des autorités publiques dans l'accomplissement de leurs missions. Le traitement de données à caractère personnel strictement nécessaire à des fins de prévention de la fraude constitue également un intérêt légitime du responsable du traitement concerné. Le traitement de données à caractère personnel à des fins de prospection peut être considéré comme étant réalisé pour répondre à un intérêt légitime.

[Transmissions de données intra-groupes]
49. Les responsables du traitement qui font partie d'un groupe d'entreprises ou d'établissements affiliés à un organisme central peuvent avoir un intérêt légitime à transmettre des données à caractère personnel au sein du groupe d'entreprises à des fins administratives internes, y compris le traitement de données à caractère personnel relatives à des clients ou des employés. Les principes généraux régissant le transfert de données à caractère personnel, au sein d'un groupe d'entreprises, à une entreprise située dans un pays tiers ne sont pas remis en cause.

[Notion de finalité compatible]
50. Le traitement de données à caractère personnel dans la mesure strictement nécessaire et proportionnée aux fins de garantir la sécurité du réseau et des informations, c'est-à-dire la capacité d'un réseau ou d'un système d'information de résister, à un niveau de confiance donné, à des événements accidentels ou à des actions illégales ou malveillantes qui compromettent la disponibilité, l'authenticité, l'intégrité et la confidentialité de données à caractère personnel conservées ou transmises, ainsi que la sécurité des services connexes offerts ou rendus accessibles via ces réseaux et systèmes, par des autorités publiques, des équipes d'intervention en cas d'urgence informatique (CERT), des équipes d'intervention en cas d'incidents de sécurité informatique (CSIRT), des fournisseurs de réseaux et de services de communications électroniques et des fournisseurs de technologies et services de sécurité, constitue un intérêt légitime du responsable du traitement concerné. Il pourrait s'agir, par exemple, d'empêcher l'accès non autorisé à des réseaux de communications électroniques et la distribution de codes malveillants, et de faire cesser des attaques par «déni de service» et des dommages touchant les systèmes de communications informatiques et électroniques.

[Phase transitoire pour les traitements en cours lorsque le consentement est la base légale]
171. La directive 95/46/CE devrait être abrogée par le présent règlement. Les traitements déjà en cours à la date d'application du présent règlement devraient être mis en conformité avec celui-ci dans un délai de deux ans après son entrée en vigueur. Lorsque le traitement est fondé sur un consentement en vertu de la directive 95/46/CE, il n'est pas nécessaire que la personne concernée donne à nouveau son consentement si la manière dont le consentement a été donné est conforme aux conditions énoncées dans le présent règlement, de manière à ce que le responsable du traitement puisse poursuivre le traitement après la date d'application du présent règlement. Les décisions de la Commission qui ont été adoptées et les autorisations qui ont été accordées par les autorités de contrôle sur le fondement de la directive 95/46/CE demeurent en vigueur jusqu'à ce qu'elles soient modifiées, remplacées ou abrogées.

Droit souple

Lignes directrices et recommandations

> CEPD - Recommandations 02/2021 - Base légale pour le stockage de données de cartes de crédit

18 juin 2021

> CEPD - Lignes directrices 05/2020 - Le consentement

04 mai 2020

> CEPD - Lignes directrices 2/2019 - Exécution du contrat et fourniture de services en ligne

8 octobre 2019, v2.0

Documents anciens

> WP29 - Lignes directrices - Le consentement

WP259, 29 novembre 2017, modifiées le 10 avril 2018

Références

Jurisprudence

Cliquez sur une ligne pour obtenir tous les détails.
Note importante : cette base de données n'est pas achevée ; par ailleurs, le développement du "RGPD annoté" implique sa re-structuration complète: il est donc possible que la partie soit vide, ou que certains résultats soient peu pertinents ou soient manquants. Veuillez ne pas hésiter à me le signaler !

Année:

Autorité:

Thème:

Secteur:

Décision n°	Nom	Date	Année	Pays	Autorité	Thème(s)	Secteur(s)	Apport de la décision	Contexte	Extrait(s) pertinent(s)	Article(s) du RGPD	SHA 1 VALUE	Article(s) LIL	Fait référence à	Lien
C-621/22	Koninklijke Nederlandse Lawn Tennisbond	04/10/2024	2024	Pays-Bas	Cour de Justice de l'UE	Intérêt légitime	Economie et fiscalité	Intérêt légitime - Justifié par un intérêt commrecial - Admission sous conditions - 1) Est strictement nécessaire - 2) Les intérêts de la personne concernée ne prévalent pas - 3) Est licite		57. [...] L’article 6, paragraphe 1, premier alinéa, sous f), du RGPD doit être interprété en ce sens qu’un traitement de données à caractère personnel consistant en la communication à titre onéreux de données à caractère personnel des membres d’une fédération sportive, en vue de satisfaire à un intérêt commercial du responsable du traitement, ne peut être considéré comme étant nécessaire aux fins des intérêts légitimes poursuivis par ce responsable, au sens de cette disposition, qu’à la condition que ce traitement soit strictement nécessaire à la réalisation de l’intérêt légitime en cause et que, au regard de l’ensemble des circonstances pertinentes, les intérêts ou les libertés et les droits fondamentaux de ces membres ne prévalent pas sur cet intérêt légitime. Si ladite disposition n’exige pas qu’un tel intérêt soit déterminé par la loi, elle requiert que l’intérêt légitime allégué soit licite.	6	2ce6ddc84d93a3a1dcd84238cd67260bd7272e08			Cliquer pour accéder à la décision
C-17/22, C-18/22	HTB Neunte Immobilien Portfolio	12/09/2024	2024	Allemagne	Cour de Justice de l'UE	Obligation légale		Obligation légale - Jurisprudence comme source d'une telle obligation - Admission sous conditions		71. Il ne saurait être exclu que « le droit de l’État membre auquel le responsable du traitement est soumis », au sens de l’article 6, paragraphe 3, sous b), du RGPD, couvre également la jurisprudence nationale. Cependant, ainsi qu’il ressort du considérant 41 de ce règlement, il est exigé qu’une telle jurisprudence soit claire et précise et que son application soit prévisible pour les justiciables, conformément à la jurisprudence de la Cour. - 73. En outre, […] encore faut-il que cette jurisprudence constitue une base juridique répondant à un objectif d’intérêt public, qu’elle soit proportionnée à celui-ci et que le traitement concerné soit opéré dans les limites du strict nécessaire, ce qu’il incombe à la juridiction de renvoi de vérifier [voir, en ce sens, arrêt du 4 juillet 2023, Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social), C-252/21, EU:C:2023:537, points 134 et 138]. - 74. Il appartiendra ainsi à cette juridiction de déterminer, notamment, s’il n’existe pas de mesures qui, tout en permettant de garantir la transparence entre les associés de sociétés de personnes, telle qu’elle paraît découler du droit allemand, ainsi qu’il a été exposé aux points 18 à 22 du présent arrêt, seraient moins attentatoires à la protection des données à caractère personnel confidentielles des associés indirects de sociétés en commandite faisant appel public à l’épargne que l’obligation de divulguer ces données à tout autre associé qui en ferait la demande.	6	2ce6ddc84d93a3a1dcd84238cd67260bd7272e08			Cliquer pour accéder à la décision
C-17/22, C-18/22	HTB Neunte Immobilien Portfolio	12/09/2024	2024	Allemagne	Cour de Justice de l'UE	Exécution du contrat		Exécution du contrat - Notion de nécessité - Caratère objectivement indispensable	HTB et Ökorenta sont des sociétés d’investissement qui détiennent chacune une participation indirecte, par l’intermédiaire d’une société fiduciaire, dans des fonds d’investissement. Ces fonds d’investissement sont organisés sous la forme d’une société en commandite, à savoir une société de personnes, faisant appel public à l’épargne. La participation au capital de ces sociétés en commandite est conçue comme un placement financier. Lorsque cette participation est indirecte, les associés exercent leurs droits par l’intermédiaire de sociétés de participation fiduciaires. Les requérantes au principal demandent aux défenderesses au principal, qui sont des sociétés de participation fiduciaires, la divulgation des noms et adresses de tous leurs associés qui détiennent des participations indirectes dans les fonds d’investissement concernés, par l’intermédiaire de sociétés fiduciaires. Les défenderesses au principal s’opposent à une telle divulgation car elles considèrent que les données demandées sont destinées à servir les intérêts économiques propres des requérantes au principal, consistant à faire de la publicité pour leurs propres produits d’investissement, à inquiéter les investisseurs, ou à acheter leurs parts à un prix inférieur à leur valeur et à réaliser un bénéfice en les revendant. Or, les contrats de participation et de fiducie en vertu desquels les associés des défenderesses au principal ont acquis des participations indirectes dans les fonds d’investissement concernés contiendraient des clauses interdisant la communication desdites données à d’autres détenteurs de participations. L' affaire arrive finalement devant la CJUE.	43. À cet égard, la Cour a déjà jugé que, pour qu’un traitement de données à caractère personnel soit regardé comme étant nécessaire à l’exécution d’un contrat, au sens de cette disposition, il doit être objectivement indispensable pour réaliser une finalité faisant partie intégrante de la prestation contractuelle destinée à la personne concernée. Le responsable du traitement doit ainsi être en mesure de démontrer en quoi l’objet principal du contrat ne pourrait être atteint en l’absence du traitement en cause [arrêt du 4 juillet 2023, Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social), C-252/21, EU:C:2023:537, point 98].	6	2ce6ddc84d93a3a1dcd84238cd67260bd7272e08		[Notion de "nécessaire" au contrat] CJUE, 4 juillet 2023, Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social), C-252/21 (point 98), disponible ici	Cliquer pour accéder à la décision
C-26/22, C-64/22	SCHUFA Holding (Libération de reliquat de dette)	07/12/2023	2023	Allemagne	Cour de Justice de l'UE	Intérêt légitime	Economie et fiscalité	Intérêt légitime - Conservation de données en lien avec une dette pour une supérieure au registre public d'insolvabilité - Exclusion		113. L’article 5, paragraphe 1, sous a), du règlement 2016/679, lu conjointement avec l’article 6, paragraphe 1, premier alinéa, sous f), de ce règlement, doit être interprété en ce sens qu'il s’oppose à une pratique de sociétés privées fournissant des informations commerciales consistant à conserver, dans leurs propres bases de données, des informations provenant d’un registre public relatives à l’octroi d’une libération de reliquat de dette en faveur de personnes physiques afin de pouvoir fournir des renseignements sur la solvabilité de ces personnes, pendant une période allant au-delà de celle durant laquelle les données sont conservées dans le registre public.	5, 6	2ce6ddc84d93a3a1dcd84238cd67260bd7272e08			Cliquer pour accéder à la décision
C-252/21	Meta Platforms e.a.	04/07/2023	2023	Allemagne	Cour de Justice de l'UE	Exécution du contrat	Marketing et prospection	Exécution du contrat - Collecte de données des utilisateurs d’un réseau social issues de la consultation par ces utilisateurs de sites Internet ou d’applications tiers en vue de la mise en relation de ces données avec le compte du réseau social des utilisateurs ou de leur utilisation - Admission sous condition de stricte nécessité	Meta Platforms Ireland gère l’offre du réseau social en ligne Facebook dans l’Union et promeut, notamment à l’adresse www.facebook.com, des services qui sont gratuits pour les utilisateurs privés. Le modèle économique du réseau social en ligne Facebook se fonde sur le financement par la publicité en ligne, qui est faite sur mesure pour les utilisateurs individuels du réseau social en fonction notamment de leurs attitudes de consommation, de leurs intérêts, de leur pouvoir d’achat et de leur situation personnelle. Une telle publicité est techniquement rendue possible par l’établissement automatisé de profils détaillés des utilisateurs du réseau et des services en ligne proposés au niveau du groupe Meta. Pour le traitement desdites données, Meta Platforms Ireland se fonde sur le contrat d’utilisation auquel adhèrent les utilisateurs du réseau social Facebook par l’activation du bouton « s’inscrire » et par lequel ceux-ci acceptent les conditions générales établies par cette société. L’acceptation de ces conditions est nécessaire pour pouvoir utiliser le réseau social Facebook. L’autorité fédérale de la concurrence a engagé une procédure contre Meta Platforms, Meta Platforms Ireland et Facebook Deutschland, à l’issue de laquelle, par décision du 6 février 2019, fondée sur l’article 19, paragraphe 1, et l’article 32 du GWB, il leur a fait, en substance, interdiction de subordonner, dans les conditions générales, l’utilisation du réseau social Facebook par des utilisateurs privés résidant en Allemagne au traitement de leurs données off Facebook et de procéder, sans leur consentement, au traitement de ces données sur la base des conditions générales alors en vigueur. L'affaire arrive finalement devant la CJUE.	125. Au vu de tout ce qui précède, il convient de répondre aux troisième et quatrième questions que l’article 6, paragraphe 1, premier alinéa, sous b), du RGPD doit être interprété en ce sens que le traitement de données à caractère personnel effectué par un opérateur d’un réseau social en ligne, consistant en la collecte de données des utilisateurs d’un tel réseau issues d’autres services du groupe auquel appartient cet opérateur ou issues de la consultation par ces utilisateurs de sites Internet ou d’applications tiers, en la mise en relation de ces données avec le compte du réseau social desdits utilisateurs et en l’utilisation desdites données, ne peut être considéré comme étant nécessaire à l’exécution d’un contrat auquel les personnes concernées sont parties, au sens de cette disposition, qu’à la condition que ce traitement soit objectivement indispensable pour réaliser une finalité faisant partie intégrante de la prestation contractuelle destinée à ces mêmes utilisateurs, de telle sorte que l’objet principal du contrat ne pourrait être atteint en l’absence de ce traitement.	6	2ce6ddc84d93a3a1dcd84238cd67260bd7272e08			Cliquer pour accéder à la décision
C-252/21	Meta Platforms e.a.	04/07/2023	2023	Allemagne	Cour de Justice de l'UE	Intérêt légitime	Marketing et prospection	Intérêt légitime - Collecte de données des utilisateurs d’un réseau social issues de la consultation par ces utilisateurs de sites Internet ou d’applications tiers en vue de la mise en relation de ces données avec le compte du réseau social des utilisateurs ou de leur utilisation - Admission sous conditions	Meta Platforms Ireland gère l’offre du réseau social en ligne Facebook dans l’Union et promeut, notamment à l’adresse www.facebook.com, des services qui sont gratuits pour les utilisateurs privés. Le modèle économique du réseau social en ligne Facebook se fonde sur le financement par la publicité en ligne, qui est faite sur mesure pour les utilisateurs individuels du réseau social en fonction notamment de leurs attitudes de consommation, de leurs intérêts, de leur pouvoir d’achat et de leur situation personnelle. Une telle publicité est techniquement rendue possible par l’établissement automatisé de profils détaillés des utilisateurs du réseau et des services en ligne proposés au niveau du groupe Meta. Pour le traitement desdites données, Meta Platforms Ireland se fonde sur le contrat d’utilisation auquel adhèrent les utilisateurs du réseau social Facebook par l’activation du bouton « s’inscrire » et par lequel ceux-ci acceptent les conditions générales établies par cette société. L’acceptation de ces conditions est nécessaire pour pouvoir utiliser le réseau social Facebook. L’autorité fédérale de la concurrence a engagé une procédure contre Meta Platforms, Meta Platforms Ireland et Facebook Deutschland, à l’issue de laquelle, par décision du 6 février 2019, fondée sur l’article 19, paragraphe 1, et l’article 32 du GWB, il leur a fait, en substance, interdiction de subordonner, dans les conditions générales, l’utilisation du réseau social Facebook par des utilisateurs privés résidant en Allemagne au traitement de leurs données off Facebook et de procéder, sans leur consentement, au traitement de ces données sur la base des conditions générales alors en vigueur. L'affaire arrive finalement devant la CJUE.	126. L’article 6, paragraphe 1, premier alinéa, sous f), du RGPD doit être interprété en ce sens qu’un le traitement de données à caractère personnel effectué par un opérateur d’un réseau social en ligne, consistant en la collecte de données des utilisateurs d’un tel réseau issues d’autres services du groupe auquel appartient cet opérateur ou issues de la consultation par ces utilisateurs de sites Internet ou d’applications tiers, en la mise en relation de ces données avec le compte du réseau social desdits utilisateurs et en l’utilisation desdites données, ne peut être considéré comme étant nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, au sens de cette disposition, qu’à la condition que ledit opérateur ait indiqué aux utilisateurs auprès desquels les données ont été collectées un intérêt légitime poursuivi par leur traitement, que ce traitement est opéré dans les limites du strict nécessaire pour la réalisation de cet intérêt légitime et qu’il ressort d’une pondération des intérêts opposés, au regard de l’ensemble des circonstances pertinentes, que les intérêts ou les libertés et les droits fondamentaux de ces utilisateurs ne prévalent pas sur ledit intérêt légitime du responsable du traitement ou d’un tiers.	6	2ce6ddc84d93a3a1dcd84238cd67260bd7272e08			Cliquer pour accéder à la décision
C-252/21	Meta Platforms e.a.	04/07/2023	2023	Allemagne	Cour de Justice de l'UE	Exécution du contrat	Marketing et prospection	Exécution du contrat - Notion de "nécéssité" - Caractère objectivement indispensable	Meta Platforms Ireland gère l’offre du réseau social en ligne Facebook dans l’Union et promeut, notamment à l’adresse www.facebook.com, des services qui sont gratuits pour les utilisateurs privés. Le modèle économique du réseau social en ligne Facebook se fonde sur le financement par la publicité en ligne, qui est faite sur mesure pour les utilisateurs individuels du réseau social en fonction notamment de leurs attitudes de consommation, de leurs intérêts, de leur pouvoir d’achat et de leur situation personnelle. Une telle publicité est techniquement rendue possible par l’établissement automatisé de profils détaillés des utilisateurs du réseau et des services en ligne proposés au niveau du groupe Meta. Pour le traitement desdites données, Meta Platforms Ireland se fonde sur le contrat d’utilisation auquel adhèrent les utilisateurs du réseau social Facebook par l’activation du bouton « s’inscrire » et par lequel ceux-ci acceptent les conditions générales établies par cette société. L’acceptation de ces conditions est nécessaire pour pouvoir utiliser le réseau social Facebook. L’autorité fédérale de la concurrence a engagé une procédure contre Meta Platforms, Meta Platforms Ireland et Facebook Deutschland, à l’issue de laquelle, par décision du 6 février 2019, fondée sur l’article 19, paragraphe 1, et l’article 32 du GWB, il leur a fait, en substance, interdiction de subordonner, dans les conditions générales, l’utilisation du réseau social Facebook par des utilisateurs privés résidant en Allemagne au traitement de leurs données off Facebook et de procéder, sans leur consentement, au traitement de ces données sur la base des conditions générales alors en vigueur. L'affaire arrive finalement devant la CJUE.	98. À cet égard, pour qu’un traitement de données à caractère personnel soit regardé comme étant nécessaire à l’exécution d’un contrat, au sens de cette disposition, il doit être objectivement indispensable pour réaliser une finalité faisant partie intégrante de la prestation contractuelle destinée à la personne concernée. Le responsable du traitement doit ainsi être en mesure de démontrer en quoi l’objet principal du contrat ne pourrait être atteint en l’absence du traitement en cause	6	2ce6ddc84d93a3a1dcd84238cd67260bd7272e08		/	Cliquer pour accéder à la décision
SAN-2022-021	EDF	24/11/2022	2022	France	CNIL ou équivalent	Consentement	Marketing et prospection	Prospection commerciale - Collecte indirecte des données des prospects - 1) Modalités et preuve du recueil du consentement - 2) Information des personnes		22. En premier lieu, la formation restreinte rappelle que, lorsque les données des prospects n’ont pas été collectées directement auprès d’eux par l’organisme qui prospecte, le consentement peut avoir été recueilli au moment de la collecte initiale des données par le primo-collectant, pour le compte de l’organisme qui réalisera les opérations de prospection ultérieures. À défaut, il revient à l’organisme qui prospecte de recueillir un tel consentement avant de procéder à des actes de prospection. Au regard des dispositions de l’article 7, paragraphe 1, du RGPD, le prospecteur doit alors être en mesure de prouver qu’il dispose de ce consentement.	6, 7	2ce6ddc84d93a3a1dcd84238cd67260bd7272e08			Cliquer pour accéder à la décision
C-61/19	Orange Romania	11/11/2022	2022	Roumanie	Cour de Justice de l'UE	Consentement	Technologie	Circonstances dans lesquelles le consentement n’est pas libre et éclairé - 1) Case pré-cochée par le responsable de traitement - 2) Information susceptible d’induire la personne concernée en erreur - 3) Exigence d’un formulaire faisant état du refus		Un contrat relatif à la fourniture de services de télécommunications qui contient une clause selon laquelle la personne concernée a été informée et a consenti à la collecte ainsi qu’à la conservation d’une copie de son titre d’identité à des fins d’identification n’est pas de nature à démontrer que cette personne a valablement donné son consentement, au sens de ces dispositions, à cette collecte et à cette conservation, lorsque - la case se référant à cette clause a été cochée par le responsable du traitement des données avant la signature de ce contrat, ou lorsque - les stipulations contractuelles dudit contrat sont susceptibles d’induire la personne concernée en erreur quant à la possibilité de conclure le contrat en question même si elle refuse de consentir au traitement de ses données, ou lorsque - le libre choix de s’opposer à cette collecte et à cette conservation est affecté indûment par ce responsable, en exigeant que la personne concernée, afin de refuser de donner son consentement, remplisse un formulaire supplémentaire faisant état de ce refus.	6, 7	2ce6ddc84d93a3a1dcd84238cd67260bd7272e08			Cliquer pour accéder à la décision
C-175/20	Valsts ieņēmumu dienests	24/02/2022	2022	Lettonie	Cour de Justice de l'UE	Mission d'intérêt public		Mission d'intérêt public - Cas d’une demande de communication qui n’est pas directement fondée sur la disposition légale qui constitue le fondement du traitement mais résulte de l’autorité compétente - Conditions de licéité		71. Il s’ensuit que, dans un cas où la communication des données à caractère personnel en cause n’est pas directement fondée sur la disposition légale qui en constitue le fondement, mais résulte d’une demande de l’autorité publique compétente, il est nécessaire que cette demande précise quelles sont les finalités spécifiques de cette collecte de données au regard de la mission d’intérêt public ou de l’exercice de l’autorité publique, afin de permettre au destinataire de ladite demande de s’assurer que la transmission des données à caractère personnel en cause est licite et aux juridictions nationales d’opérer un contrôle de la légalité des traitements concernés.	6	2ce6ddc84d93a3a1dcd84238cd67260bd7272e08			Cliquer pour accéder à la décision
MED-2021-131	Société X	01/12/2021	2021	France	CNIL ou équivalent	Consentement	Marketing et prospection	Consentement pour la revente de données - Consentement distinct de celui donné pour l’utilisation des données à des fins de prospection commerciale par voie électronique - Obligation		Le consentement à la revente des données ne dispense pas que le consentement des personnes soit également recueilli, en application de l’article L. 34-5 du code des postes et des communications électroniques, pour l’utilisation de leurs données à des fins de prospection commerciale par voie électronique.	6, 7	2ce6ddc84d93a3a1dcd84238cd67260bd7272e08			Non publié. Source: CNIL, Tables Informatique et Libertés
MED-2021-131	Société X	01/12/2021	2021	France	CNIL ou équivalent	Consentement	Marketing et prospection	Prospection commerciale - Transmission de données à des tiers - Consentement global aux conditions générales contractuelles régissant un service et à l’ensemble des finalités d’un traitement - Exclusion		Dans le contexte d’une transmission de données à des partenaires afin qu’ils les utilisent pour de la prospection commerciale, le recueil d’un consentement spécifique implique que la personne soit en mesure de marquer son assentiment particulier à la transmission de ses données à des tiers, qui l’utiliseront pour de la prospection commerciale. L’exigence de spécificité du consentement exclut l’obtention d’un consentement global donné à la fois aux conditions générales contractuelles régissant un service et pour l’ensemble des finalités d’un traitement.	6, 7	2ce6ddc84d93a3a1dcd84238cd67260bd7272e08			Non publié. Source: CNIL, Tables Informatique et Libertés
MED-2021-131	Société X	01/12/2021	2021	France	CNIL ou équivalent	Consentement	Marketing et prospection	Prospection commerciale - Recueil du consentement pour la transmission de données à des tiers prospecteurs - Information des personnes concernées sur la portée du traitement - Obligation		Dans le contexte d’une transmission de données à des partenaires en vue qu’ils les utilisent pour de la prospection commerciale, le recueil d’un consentement éclairé requiert en particulier d’informer les personnes concernées de l’étendue de la transmission de leurs données. À cet égard, des indications relatives au nombre et au secteur d’activité des partenaires rendus destinataires des données avant toute transmission, sont de nature à éclairer les personnes concernées quant à l’utilisation ultérieure qui sera faite de leurs données.	6, 7, 12, 13	2ce6ddc84d93a3a1dcd84238cd67260bd7272e08			Non publié. Source: CNIL, Tables Informatique et Libertés
MED-2021-134	Clearview AI	26/11/2021	2021	France	CNIL ou équivalent	Intérêt légitime		Intérêt légitime pour l'utilisation de données publiquement accessibles pour alimenter un logiciel de reconnaissance faciale - Exclusion - Absence d'attente raisonnable de la personne concernée		Il doit donc être considéré que les personnes qui ont publié des photographies les représentant sur des sites web, ou consenti à cette publication auprès d’un autre responsable de traitement, ne s’attendent pas à ce que celles-ci soient réutilisées pour les finalités poursuivies par la société, c’est-à-dire la création d’un logiciel de reconnaissance faciale (qui associe l’image d’une personne à un profil contenant l’ensemble des photographies sur lesquelles elle figure, les informations que ces photographies contiennent ainsi que les sites web sur lesquels elles se trouvent) et la commercialisation de ce logiciel à des forces de l’ordre. - Dès lors, au regard de l’ensemble de ces éléments, l’atteinte portée à la vie privée des personnes apparaît disproportionnée au regard des intérêts du responsable de traitement, notamment ses intérêts commerciaux et pécuniaires, et le fondement juridique de l’intérêt légitime de la société ne peut donc être retenu.	6	2ce6ddc84d93a3a1dcd84238cd67260bd7272e08			Cliquer pour accéder à la décision
SAN-2021-012	Monsanto	26/07/2021	2021	France	CNIL ou équivalent	Intérêt légitime	Economie et fiscalité, Marketing et prospection	Intérêt légitime pour un traitement consistant en la collecte d’informations visant à recenser les personnes influentes à des fins de lobbying - Existence - Admissibilité sous conditions		74. En premier lieu, il apparaît à la formation restreinte qu’un traitement de données à caractère personnel, consistant en la collecte d’informations visant à recenser les personnes influentes auprès desquelles une entreprise souhaite représenter ses intérêts peut, sous réserve de certaines conditions, être réalisé sur le fondement de l’intérêt légitime poursuivi par le responsable de traitement. En effet, un traitement tel que celui en cause peut être justifié par la poursuite de l’intérêt légitime du responsable de traitement sous réserve que les intérêts et droits fondamentaux des personnes concernées ne prévalent pas sur les intérêts du responsable de traitement. Cette mise en balance entre les différents intérêts en présence impose notamment de prendre en compte les attentes raisonnables des personnes concernées quant à la nature des données collectées et la façon dont elles sont traitées pour la constitution du traitement litigieux, comme le prévoit le considérant 47 du RGPD. - 75. En l’espèce, la formation restreinte note que les personnes dont les données figuraient dans le fichier litigieux pouvaient raisonnablement s’attendre à ce que la société X, ou plus généralement des organismes ayant pour activité la représentation d’intérêts, s’intéressent à leur positionnement dans le débat lié au [...], et traite leurs coordonnées professionnelles ainsi que les informations relatives à leurs prises de position publiques.	6	2ce6ddc84d93a3a1dcd84238cd67260bd7272e08			Cliquer pour accéder à la décision
4295571	Cdiscount	10/12/2020	2020	France	Conseil d'Etat	Intérêt légitime	Economie et fiscalité	Intérêt légitime pour la conservation des informations bancaires d’un client - Exclusion - Prévalence des intérêts des personnes concernées sur l’intérêt d’une société		9. D'autre part, si la société soutient que la conservation du numéro de carte bancaire du client qui a procédé à un achat en ligne est nécessaire aux fins de l'intérêt légitime consistant à faciliter des paiements ultérieurs en dispensant le client de le saisir à chacun de ses achats, notamment dans le cadre d'une fonctionnalité d'achat rapide - dite " en un clic " - cet intérêt ne saurait prévaloir sur l'intérêt des clients de protéger ces données, compte tenu de la sensibilité de ces informations bancaires et des préjudices susceptibles de résulter pour eux de leur captation et d'une utilisation détournée, et alors que de nombreux clients qui utilisent des sites de commerce en ligne en vue de réaliser des achats ponctuels ne peuvent raisonnablement s'attendre à ce que les entreprises concernées conservent de telles données sans leur consentement. Par suite, la CNIL a pu à bon droit estimer que, de façon générale, devait être soumise au consentement explicite de la personne concernée la conservation des numéros de cartes bancaires des clients des sites de commerce en ligne pour faciliter des achats ultérieurs. Il suit de là que le moyen tiré de la méconnaissance par la délibération litigieuse du règlement du 27 avril 2016 doit être écarté.	6	2ce6ddc84d93a3a1dcd84238cd67260bd7272e08			Cliquer pour accéder à la décision
432656	La Quadrature du Net	04/11/2020	2020	France	Conseil d'Etat	Consentement	Technologie	Système d’identification électronique - Reconnaissance faciale - Conditions de liberté du consentement - Recours au traitement exigé par sa finalité et absence de préjudice en cas de refus de consentement		8. D'une part, il ne ressort pas des pièces du dossier que, pour la création d'identifiants électroniques, il existait à la date du décret attaqué d'autres moyens d'authentifier l'identité de l'usager de manière entièrement dématérialisée en présentant le même niveau de garantie que le système de reconnaissance faciale. Il s'ensuit que le recours au traitement de données biométriques autorisé par le décret attaqué doit être regardé comme exigé par la finalité de ce traitement. - 9. [...] Dès lors que les usagers qui ne consentiraient pas au traitement prévu dans le cadre de la création d'un compte Alicem peuvent accéder en ligne, grâce à un identifiant unique, à l'ensemble des téléservices proposés, ils ne sauraient être regardés comme subissant un préjudice au sens du règlement général sur la protection des données précité. Il s'ensuit que l'association requérante n'est pas fondée à soutenir que le consentement des utilisateurs de l'application Alicem ne serait pas librement recueilli ni, par suite, que le décret attaqué méconnaîtrait pour ce motif les dispositions du règlement général sur la protection des données et de la loi du 6 janvier 1978.	6, 7, 9	2ce6ddc84d93a3a1dcd84238cd67260bd7272e08			Cliquer pour accéder à la décision
434684	Association des agences-conseils en communication et autres	19/06/2020	2020	France	Conseil d'Etat	Consentement	Cookies et autres traceurs, Technologie	Cookie wall - Exclusion de facto de la possibilité de recueillir le consentement - Rejet		10. D’autre part, la CNIL affirme, à ce même article 2, que la validité du consentement est soumise à la condition que la personne concernée ne subisse pas d’inconvénient majeur en cas d’absence ou de retrait de son consentement, un tel inconvénient majeur pouvant consister, selon elle, dans l’impossibilité d’accéder à un site Internet, en raison de la pratique des « cookies walls ». En déduisant pareille interdiction générale et absolue de la seule exigence d’un consentement libre, posé par le règlement du 27 avril 2016, la CNIL a excédé ce qu’elle peut légalement faire, dans le cadre d’un instrument de droit souple, édicté sur le fondement du 2° du I de l’article 8 de la loi du 6 janvier 1978 cité au point 3. Il s’ensuit que la délibération attaquée est, dans cette mesure, entachée d’illégalité.	6, 7	2ce6ddc84d93a3a1dcd84238cd67260bd7272e08	82		Cliquer pour accéder à la décision
430810	Google LLC	19/06/2020	2020	France	Conseil d'Etat	Consentement	Technologie	Consentement au moyen d'une case cochée par défaut et/ou dans le cadre de l'acceptation globale de conditions générales - Absence de validité - Exigence d'une présentation claire et distincte de l'ensemble des finalités poursuivies par le traitement		21. [...] Un consentement donné au moyen d'une case cochée par défaut n'implique pas un comportement actif de la part de l'utilisateur et ne peut dès lors être considéré comme procédant d'un acte positif clair permettant valablement le recueil du consentement. En outre, un consentement recueilli dans le cadre de l'acceptation globale de conditions générales d'utilisation d'un service ne revêt pas un caractère spécifique au sens du RGPD. Enfin, indépendamment des modalités dans lesquelles il est recueilli, le consentement n'est valide que s'il est précédé d'une présentation claire et distincte de l'ensemble des finalités poursuivies par le traitement.	6, 7	2ce6ddc84d93a3a1dcd84238cd67260bd7272e08			Cliquer pour accéder à la décision
C-708/18	Asociaţia de Proprietari bloc M5A-ScaraA	11/12/2019	2019	Roumanie	Cour de Justice de l'UE	Intérêt légitime		Intérêt légitime - Mise en place d’un système de vidéosurveillance dans les parties communes d’un immeuble à usage d’habitation - Existence - Condition de mise en balance des intérêts		60. Eu égard à ce qui précède, il y a lieu de répondre aux questions posées que l’article 6, paragraphe 1, sous c), et l’article 7, sous f), de la directive 95/46 [article 6 du RGPD], lus à la lumière des articles 7 et 8 de la Charte, doivent être interprétés en ce sens qu’ils ne s’opposent pas à des dispositions nationales qui autorisent la mise en place d’un système de vidéosurveillance, tel que le système en cause au principal installé dans les parties communes d’un immeuble à usage d’habitation, aux fins de poursuivre des intérêts légitimes consistant à assurer la garde et la protection des personnes et des biens, sans le consentement des personnes concernées, si le traitement de données à caractère personnel opéré au moyen du système de vidéosurveillance en cause répond aux conditions posées audit article 7, sous f), ce qu’il incombe à la juridiction de renvoi de vérifier.	6	2ce6ddc84d93a3a1dcd84238cd67260bd7272e08			Cliquer pour accéder à la décision
C-673/17	Planet49	01/10/2019	2019	Allemagne	Cour de Justice de l'UE	Consentement	Technologie	Consentement à l'utilisation de cookies au moyen d’une case pré-cochée par défaut - Exclusion		54. En particulier, l’article 7, sous a), de la directive 95/46 prévoit que le consentement de la personne concernée peut rendre un tel traitement licite pour autant que ce consentement est « indubitablement » donné par la personne concernée. Or, seul un comportement actif de la part de cette personne en vue de manifester son consentement est de nature à remplir cette exigence. - 55. À cet égard, il apparaît pratiquement impossible de déterminer de manière objective si l’utilisateur d’un site Internet a effectivement donné son consentement au traitement de ses données personnelles en ne décochant pas une case cochée par défaut ainsi que, en tout état de cause, si ce consentement a été donné de manière informée. En effet, il ne peut être exclu que ledit utilisateur n’ait pas lu l’information accompagnant la case cochée par défaut, voire qu’il n’ait pas aperçu cette case, avant de poursuivre son activité sur le site Internet qu’il visite. [...] 59. En l’occurrence, contrairement à ce qu’a fait valoir Planet49, le fait pour un utilisateur d’activer le bouton de participation au jeu promotionnel organisé par cette société ne saurait dès lors suffire pour considérer que l’utilisateur a valablement donné son consentement au placement de cookies.	6, 7	2ce6ddc84d93a3a1dcd84238cd67260bd7272e08			Cliquer pour accéder à la décision
C-40/17	Fashion ID	29/07/2019	2019	Allemagne	Cour de Justice de l'UE	Intérêt légitime	Technologie	Responsabilité conjointe entre le gestionnaire d’un site internet équipé du bouton « j’aime » et Facebook - Nécessité que les responsables poursuivent chacun un intérêt légitime		97. Eu égard aux considérations qui précèdent, il y a lieu de répondre à la quatrième question que, dans une situation telle que celle en cause au principal, dans laquelle le gestionnaire d’un site Internet insère sur ledit site un module social permettant au navigateur du visiteur de ce site de solliciter des contenus du fournisseur dudit module et de transmettre à cet effet audit fournisseur des données à caractère personnel du visiteur, il est nécessaire que ce gestionnaire et ce fournisseur poursuivent chacun, avec ces opérations de traitement, un intérêt légitime, au sens de l’article 7, sous f), de la directive 95/46, [article 6 du RGPD] afin que celles-ci soient justifiées dans son chef.	6	2ce6ddc84d93a3a1dcd84238cd67260bd7272e08			Cliquer pour accéder à la décision
397073	Avis sur le projet de décret "ALICEM"	02/04/2019	2019	France	Conseil d'Etat	Liberté		Consentement au traitement de données biométriques - Condition de liberté - Possibilité de refuser ou de retirer le consentement sans préjudice		Le Conseil d’État considère que ces dispositions ne sont pas méconnues par le projet dès lors que le recours à ALICEM pour s'authentifier auprès d'organismes publics ou privés est une faculté, les usagers ou clients ayant la possibilité de recourir à d'autres dispositifs d'authentification électronique ou d'entrer en contact avec ces organismes par des voies autres qu'électroniques. Le projet prévoit également la possibilité pour l'intéressé de désinstaller l'application de son équipement terminal de communications électroniques à tout moment. Les données biométriques sont elles-mêmes supprimées du traitement sitôt l'enrôlement dans le traitement terminé.	6, 7, 9	2ce6ddc84d93a3a1dcd84238cd67260bd7272e08			Non publié en intégralité.
406664	Association française des sociétés financières	06/04/2018	2018	France	Conseil d'Etat	Licéité		Enregistrement dans un traitement de données à caractère personnel en l’absence de procédure contradictoire préalable - Admission		4. D'une part, ni l'article précité ni aucune disposition législative ou réglementaire ni aucun principe n'impose que l'enregistrement, dans un traitement, de données à caractère personnel soit précédé d'une procédure contradictoire menée avec la personne dont les données sont recueillies.	6	2ce6ddc84d93a3a1dcd84238cd67260bd7272e08			Cliquer pour accéder à la décision
C-13/16	Rïgas satiksme	04/05/2017	2017	Lettonie	Cour de Justice de l'UE	Intérêt légitime		Intérêt légitime - Demande par un particulier de communication des données personnelles d’une personne responsable d’un accident de la circulation afin d’exercer un droit en justice - Possibilité pour le responsable du traitement de faire droit à une telle demande - Admission - Obligation d'y faire droit - Absence		34. Il résulte de l’ensemble des considérations qui précèdent que l’article 7, sous f), de la directive 95/46 [article 6 du RGPD] doit être interprété en ce sens qu’il n’impose pas l’obligation de communiquer des données à caractère personnel à un tiers afin de lui permettre d’introduire un recours en indemnisation devant une juridiction civile pour un dommage causé par la personne concernée par la protection de ces données. Toutefois, l’article 7, sous f), de cette directive ne s’oppose pas à une telle communication sur la base du droit national.	6, 14	2ce6ddc84d93a3a1dcd84238cd67260bd7272e08			Cliquer pour accéder à la décision
C-582/14	Breyer	19/10/2016	2016	Allemagne	Cour de Justice de l'UE	Intérêt légitime	Technologie	Intérêt légitime - Restriction au moyen d’une règlementation nationale [visant à transposer la directive 95/46] empêchant la collecte et l’utilisation des données à caractère personnel par un fournisseur de service de médias en ligne sauf pour garantir le fonctionnement du service et sa facturation - Inconventionalité		64. Il résulte de l’ensemble des considérations qui précèdent qu’il convient de répondre à la seconde question que l’article 7, sous f), de la directive 95/46 [article 6 du RGPD] doit être interprété en ce sens qu’il s’oppose à une réglementation d’un État membre en vertu de laquelle un fournisseur de services de médias en ligne ne peut collecter et utiliser des données à caractère personnel afférentes à un utilisateur de ces services, en l’absence du consentement de celui-ci, que dans la mesure où cette collecte et cette utilisation sont nécessaires pour permettre et facturer l’utilisation concrète desdits services par cet utilisateur, sans que l’objectif visant à garantir la capacité générale de fonctionnement des mêmes services puisse justifier l’utilisation desdites données après une session de consultation de ceux-ci. - Elements de compréhension: 28. Selon la juridiction de renvoi, si et dans la mesure où il est nécessaire que le fournisseur de services de médias en ligne prenne des mesures pour lutter contre [des attaques informatiques], ces mesures pourraient être considérées comme nécessaires pour « permettre […] l’utilisation des médias électroniques » en vertu de l’article 15 [de la réglementation en cause]. Cependant, la doctrine défendrait majoritairement le point de vue selon lequel, d’une part, la collecte et l’utilisation des données à caractère personnel d’un utilisateur d’un site Internet n’est autorisée que pour permettre une utilisation concrète de ce site et, d’autre part, ces données doivent être effacées à la fin de la session de consultation considérée si elles ne sont pas requises à des fins de facturation. Or, une telle lecture restrictive de l’article 15, paragraphe 1, du TMG s’opposerait à ce que la conservation des adresses IP soit autorisée pour garantir, de manière générale, la sécurité et la continuité du bon fonctionnement des médias en ligne.	6	2ce6ddc84d93a3a1dcd84238cd67260bd7272e08			Cliquer pour accéder à la décision
C-468/10, C-469/10	ASNEF (C-468/10), FECEMD (C-469/10)	24/11/2011	2011	Espagne	Cour de Justice de l'UE	Intérêt légitime		Intérêt légitime - Restriction au moyen d'une réglementation nationale [visant à transposer la directive 95/46] conditionnant l'utilisation de cette base légale au caractère public de la donnée - Inconventionnalité		49. Au vu de ces considérations, il convient de répondre à la première question que l’article 7, sous f), de la directive 95/46 [article 6 du RGPD] doit être interprété en ce sens qu’il s’oppose à une réglementation nationale qui, en l’absence du consentement de la personne concernée et pour autoriser le traitement de ses données à caractère personnel nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable de ce traitement ou par le ou les tiers auxquels ces données sont communiquées, exige, outre le respect des droits et libertés fondamentaux de cette dernière, que lesdites données figurent dans des sources accessibles au public, excluant ainsi de façon catégorique et généralisée tout traitement de données ne figurant pas dans de telles sources.	6	2ce6ddc84d93a3a1dcd84238cd67260bd7272e08			Cliquer pour accéder à la décision
C-524/06	Huber	16/12/2008	2008	Allemagne	Cour de Justice de l'UE	Mission d'intérêt public	Police-Justice	Mission d'intérêt public - Traitement de données à caractère personnel relatives aux citoyens de l’Union non-ressortissants de l’État membre ayant pour objectif le soutien des autorités nationales en charge de l’application de la réglementation sur le droit de séjour - Conditions de licéité		66. Il résulte de l’ensemble des considérations qui précèdent qu’un système de traitement de données à caractère personnel relatives aux citoyens de l’Union non-ressortissants de l’État membre visé ayant pour objectif le soutien des autorités nationales en charge de l’application de la réglementation sur le droit de séjour ne répond à l’exigence de nécessité prévue à l’article 7, sous e), de la directive 95/46/CE du 24 octobre 1995 interprété à la lumière de l’interdiction de toute discrimination exercée en raison de la nationalité, que : - s’il contient uniquement les données nécessaires à l’application par lesdites autorités de cette réglementation, et - si son caractère centralisé permet une application plus efficace de cette réglementation en ce qui concerne le droit de séjour des citoyens de l’Union non-ressortissants de cet État membre.	5, 6	2ce6ddc84d93a3a1dcd84238cd67260bd7272e08			Cliquer pour accéder à la décision
C-394/23	Mousse	09/01/2025	2025	France	Cour de Justice de l'UE	Exécution du contrat	Transports	Minimisation - Titre de transport ferroviaire - Traiter le genre à des fins de communication personnalisée - Nécessaire pour l'exécution du contrat - Absence	L’association Mousse a contesté auprès de l’autorité française de protection des données à caractère personnel (CNIL) la pratique de l’entreprise ferroviaire française SNCF Connect qui oblige systématiquement ses clients à indiquer leur civilité (« Monsieur » ou « Madame ») lors de l’achat de titres de transport en ligne. Cette association estime que cette obligation viole le règlement général sur la protection des données (RGPD), notamment, au regard du principe de minimisation des données, car la mention de la civilité, qui correspond à une identité de genre, ne semble pas nécessaire pour l’achat d’un titre de transport ferroviaire. En 2021, la CNIL a décidé de rejeter cette réclamation, considérant que cette pratique ne constituait pas un manquement au RGPD. Un recours est finalement introduit devant la CJUE.	43. Ainsi, l’article 6, paragraphe 1, premier alinéa, sous b), du RGPD, lu en combinaison avec l’article 5, paragraphe 1, sous c), de celui-ci, doit être interprété en ce sens que le traitement de données à caractère personnel relatives à la civilité des clients d’une entreprise de transport, ayant pour finalité une personnalisation de la communication commerciale fondée sur leur identité de genre, ne paraît ni objectivement indispensable ni essentiel afin de permettre l’exécution correcte d’un contrat et, partant, ne peut pas être considéré comme étant nécessaire à l’exécution de ce contrat.	5, 6	2ce6ddc84d93a3a1dcd84238cd67260bd7272e08		[Notion de "nécessaire" au contrat] CJUE, 12 septembre 2024, HTB Neunte Immobilien Portfolio et Ökorenta Neue Energien Ökostabil IV, C-17/22 et C-18/22 (points 43 et 44), disponible ici [Analyse de la "nécessité" du traitement (au contrat) à réaliser service par service] CJUE, 4 juillet 2023, Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social), C-252/21 (point 100) [Absence de nécessité de la personnalisation de contenu lorsque cela ne fait pas partie intégrante des services] CJUE, 4 juillet 2023, Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social), C-252/21 (point 102)	Cliquer pour accéder à la décision
			Année		Autorité	Thème(s)	Secteur(s)

Actualités

Profitez de nos actualités en lien avec cet article !

APD (autorité belge)

08 janvier 2025

Un employeur réprimandé pour traitement illicite de données pénales de l’un de ses employés L’autorité belge a aujourd’hui publié une décision de sanction par laquelle elle condamne une entreprise (restée anonyme) pour traitement illicite de données. Dans cette affaire, un employé d’un organisme public (plaignant) a déposé plainte contre son employeur après avoir constaté qu’une […]

Disponible sur: veille.portail-rgpd.com

GPDP (autorité italienne)

02 janvier 2025

Télémarketing : le fournisseur d’électricité et de gaz se voit infliger une amende de 679 000 euros par la Garante Dans sa newsletter du 23 décembre, l’autorité a annoncé avoir condamné Illumia spa, une société opérant dans la fourniture de services d’électricité et de gaz, à 678 897 euros d’amendes pour avoir traité de manière […]

Disponible sur: veille.portail-rgpd.com

AP (autorité néerlandaise)

02 janvier 2025

Amende de 40 000 euros pour Coolblue pour l’utilisation non sollicitée de cookies L’Autorité de protection des données (AP) a infligé une amende de 40 000 euros à Coolblue pour le traitement illégal de données personnelles en 2020. Il est reproché à l’entreprise d’e-commerce de produits informatiques d’avoir collecté, via des cookies, des données personnelles […]

Disponible sur: veille.portail-rgpd.com

DPA (autorité grecque)

19 décembre 2024

30 000 euros d’amende pour un médecin ayant publié des photographies médicales sur un réseau social L’autorité hellénique a publié aujourd’hui une décision de sanction à l’encontre d’un médecin, avec 30 000 euros d’amende à la clé, pour avoir publié des photographies d’une partie du corps de la plaignante sur un réseau social géré par […]

Disponible sur: veille.portail-rgpd.com

NOYB – None of your business

13 décembre 2024

Le microciblage politique de la Commission européenne est illégal NOYB gagne la Commission européenne : Le CEPD (Contrôleur européen de la protection des données) publie une décision constatant que la Commission européenne a illégalement ciblé la publicité sur les citoyens en utilisant des données personnelles « sensibles » sur leurs opinions politiques. La Commission européenne a tenté […]

Disponible sur: veille.portail-rgpd.com

PIPC (autorité coréenne)

12 décembre 2024

Vente directe d’assurances automobiles : 12 sociétés d’assurance dommages sanctionnées pour violation de la loi sur la protection des données personnelles, pour un total de 9,277 milliards de wons L’autorité coréenne a, ce 12 décembre 2024, annoncé que les résultats de son enquête menée depuis aout 2023 à la suite de plainte ont conduit à […]

Disponible sur: veille.portail-rgpd.com

ICO (autorité anglaise)

12 décembre 2024

Des entreprises peu scrupuleuses ont reçu des amendes totalisant 290 000 £ (environ 350 000 euros) pour avoir passé des millions d’appels gênants L’ICO a aujourd’hui annoncé avoir infligé des amendes d’un montant total de 290 000 livres sterling (environ 350 000 euros) à deux sociétés basées dans le Grand Manchester et leur avoir délivré […]

Disponible sur: veille.portail-rgpd.com

CNIL

12 décembre 2024

Bannières cookies trompeuses : la CNIL met en demeure des éditeurs de sites web En réaction à plusieurs plaintes d’internautes, la CNIL a annoncé aujourd’hui avoir mis en demeure des éditeurs de sites web de modifier leurs bannières cookies considérées comme trompeuses. Lorsqu’elle reçoit une plainte en la matière, la CNIL analyse au cas par […]

Disponible sur: veille.portail-rgpd.com

NOYB – None of your business

12 décembre 2024

BeReal : L’application qui n’accepte pas de réponse négative Aujourd’hui, noyb a déposé une plainte auprès de la CNIL contre la plateforme de médias sociaux BeReal en raison du dernier « dark pattern » visant à obtenir le consentement des utilisateurs. Lorsque les utilisateurs ouvrent l’application, ils sont confrontés à une fenêtre contextuelle leur demandant de dire […]

Disponible sur: veille.portail-rgpd.com

ICO (autorité anglaise)

11 décembre 2024

Un employé d’une compagnie d’assurance condamné à une peine de prison avec sursis pour avoir accédé illégalement à des informations personnelles Dans un article publié ce jour, l’ICO a annoncé qu’un employé d’une compagnie d’assurance automobile qui avait accédé illégalement à des informations personnelles a été condamné à une peine de prison avec sursis à […]

Disponible sur: veille.portail-rgpd.com