Article 10 – Traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions

Article 10 - Traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions

Le traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes fondé sur l'article 6, paragraphe 1 ne peut être effectué que sous le contrôle de l'autorité publique, ou si le traitement est autorisé par le droit de l'Union ou par le droit d'un État membre qui prévoit des garanties appropriées pour les droits et libertés des personnes concernées. Tout registre complet des condamnations pénales ne peut être tenu que sous le contrôle de l'autorité publique.

En savoir plus...

L'article 10 du RGPD est une disposition complémentaire à la directive Police-Justice. Il vise à garantir que le traitement des données pénales reste effectué conformément aux principes du RGPD et avec des garanties appropriées lorsque la directive n'est pas directement applicable (auquel cas le traitement ne serait plus dans le champ du RGPD, conformément à l'article 2). Les données pénales sont en effet des données susceptibles de conduire à la stigmatisation, ce qui peut avoir des effets profonds sur différents aspects de la vie d'une personne concernée en raison de leur nature sensible. Par exemple, lorsque des données sont traitées de manière inappropriée dans le contexte de l'emploi (voir,en ce sens, CJUE, C‑439/19, Latvijas Republikas Saeima).

Le RGPD prévoit-il une amende en cas d'infraction à cet article ?

Le RGPD ne mentionne pas la possibilité, pour une autorité de contrôle, de prononcer une amende aux contrevenants à cet article.
Bien que cela ne soit pas toujours pertinent, cela reste théoriquement possible en vertu de l'article 84 du RGPD, qui permet aux Etats Membres de prévoir des sanctions supplémentaires (sous certaines conditions).

Considérants pertinents

[Non applicable aux activités de poursuite judiciaire]
19. La protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces et la libre circulation de ces données, fait l'objet d'un acte juridique spécifique de l'Union. Le présent règlement ne devrait dès lors pas s'appliquer aux activités de traitement effectuées à ces fins. Toutefois, les données à caractère personnel traitées par des autorités publiques en vertu du présent règlement devraient, lorsqu'elles sont utilisées à ces fins, être régies par un acte juridique de l'Union plus spécifique, à savoir la directive (UE) 2016/680 du Parlement européen et du Conseil (7). Les États membres peuvent confier à des autorités compétentes au sens de la directive (UE) 2016/680 des missions qui ne sont pas nécessairement effectuées à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces, de manière à ce que le traitement de données à caractère personnel à ces autres fins, pour autant qu'il relève du champ d'application du droit de l'Union, relève du champ d'application du présent règlement.

En ce qui concerne le traitement de données à caractère personnel par ces autorités compétentes à des fins relevant du champ d'application du présent règlement, les États membres devraient pouvoir maintenir ou introduire des dispositions plus spécifiques pour adapter l'application des règles du présent règlement. Ces dispositions peuvent déterminer plus précisément les exigences spécifiques au traitement de données à caractère personnel par ces autorités compétentes à ces autres fins, compte tenu de la structure constitutionnelle, organisationnelle et administrative de l'État membre concerné. Lorsque le traitement de données à caractère personnel par des organismes privés relève du champ d'application du présent règlement, celui-ci devrait prévoir la possibilité pour les États membres, sous certaines conditions, de limiter par la loi certaines obligations et certains droits lorsque cette limitation constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir des intérêts spécifiques importants tels que la sécurité publique, ainsi que la prévention et la détection des infractions pénales, les enquêtes et les poursuites en la matière ou l'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces. Cela est pertinent, par exemple, dans le cadre de la lutte contre le blanchiment d'argent ou des activités des laboratoires de police scientifique.

[Notion de finalité compatible]
50. Le traitement de données à caractère personnel dans la mesure strictement nécessaire et proportionnée aux fins de garantir la sécurité du réseau et des informations, c'est-à-dire la capacité d'un réseau ou d'un système d'information de résister, à un niveau de confiance donné, à des événements accidentels ou à des actions illégales ou malveillantes qui compromettent la disponibilité, l'authenticité, l'intégrité et la confidentialité de données à caractère personnel conservées ou transmises, ainsi que la sécurité des services connexes offerts ou rendus accessibles via ces réseaux et systèmes, par des autorités publiques, des équipes d'intervention en cas d'urgence informatique (CERT), des équipes d'intervention en cas d'incidents de sécurité informatique (CSIRT), des fournisseurs de réseaux et de services de communications électroniques et des fournisseurs de technologies et services de sécurité, constitue un intérêt légitime du responsable du traitement concerné. Il pourrait s'agir, par exemple, d'empêcher l'accès non autorisé à des réseaux de communications électroniques et la distribution de codes malveillants, et de faire cesser des attaques par «déni de service» et des dommages touchant les systèmes de communications informatiques et électroniques.

Droit souple

Lignes directrices et recommandations

> CEPD - Lignes directrices 05/2022 - Reconnaissance faciale à des fins répressives (v2.0)

26 avril 2023

> CEPD - Recommandations 01/2021 - Critères de référence pour l'adéquation dans le cadre de la directive Police-Justice

2 février 2021

> CEPD - Recommandations 02/2020 - Garanties essentielles européennes pour la surveillance

10 novembre 2020

Référentiels

> CNIL - Référentiel - Désignation des conducteurs ayant commis une infraction au code de la route

12 avril 2021

Rien trouvé ? N'hésitez pas à consulter la documentation sectorielle et transversale !

Références

En savoir plus...

Droit souple (sectoriel ou transversal)

Lignes directrices et recommandations

> CNIL - Recommandations - Vidéosurveillance dans les Ehpad

29 février 2024

> CNIL - Recommandations - Applications mobiles

21 juillet 2023

> CNIL - Recommandations - API

07 juillet 2023

> CNIL - Recommandations - Télésurveillance examens en ligne

8 juin 2023

> CEPD - Lignes directrices 02/2021 - Assistants vocaux virtuels (v2.0)

7 juillet 2021

> CEPD - Lignes directrices 8/2020 - Ciblage des utilisateurs de médias sociaux (v2.0)

13 avril 2021

> CEPD - Lignes directrices 01/2020 - Véhicules connectés et applications de mobilité (v2.0)

9 mars 2021

> CEPD - Lignes directrices 6/2020 - Intéraction directive services de paiement et RGPD (v2.0)

15 décembre 2020

> CNIL - Lignes directrices - Cookies et autres traceurs

17 septembre 2020

> CNIL - Recommandations - Cookies et autres traceurs

17 septembre 2020

> CEPD - Lignes directrices 3/2019 - Dispositifs vidéo (v2.0)

29 janvier 2020

Référentiels

> CNIL - Référentiel - Systèmes d'alertes professionnelles

06 juillet 2023

> CNIL - Référentiel - Officines de pharmacie

18 juillet 2022

> CNIL - Référentiel - Gestion commerciale

03 février 2022

> CNIL - Référentiel - Gestion des impayés

03 février 2022

> CNIL - Référentiel - Protection de l'enfance

20 janvier 2022

> CNIL - Référentiel - Gestion locative

6 mai 2021)

> CNIL - Référentiel - Accueil, hébergement et accompagnement social et médico-social des personnes en difficulté

11 mars 2021

> CNIL - Référentiel - Gestion RH

21 novembre 2019

Guides pratiques

> CNIL - Guide pratique - Obligations et responsabilités des collectivités locales

04 juillet 2022

> CNIL - Guide pratique - Guide pratique du développeur

13 décembre 2021 (sur le github de la CNIL)

> CNIL - Guide pratique - Guide pratique de l'UNAF

Mars 2021 (sur le site de l'UNAF)

> CNIL - Guide pratique - Sensibilisation pour les collectivités territoriales

18 septembre 2019

> CNIL - Guide pratique - Guide pratique de l'ordre des médecins

01 juin 2018

Jurisprudence

Cliquez sur une ligne pour obtenir tous les détails.
Note importante : cette base de données n'est pas achevée ; par ailleurs, le développement du "RGPD annoté" implique sa re-structuration complète: il est donc possible que la partie soit vide, ou que certains résultats soient peu pertinents ou soient manquants. Veuillez ne pas hésiter à me le signaler !

Année :

Autorité :

Thème :

Secteur :

Décision n°	Nom	Date	Année	Pays	Autorité	Thème(s)	Secteur(s)	Apport de la décision	Contexte	Extrait(s) pertinent(s)	Article(s) du RGPD	SHA 1 VALUE	Article(s) LIL	Fait référence à	Lien
C-548/21	Bezirkshauptmannschaft Landeck	04/10/2024	2024	Autriche	Cour de Justice de l'UE	Directive Police-Justice	Police-Justice	Accès de la police aux données contenues dans un téléphone portable - Limitation à la lutte contre la criminalité grave - Absence		110. Il ressort de ce qui précède qu’il convient de répondre aux première et deuxième questions que l’article 4, paragraphe 1, sous c), de la directive 2016/680, lu à la lumière des articles 7 et 8 ainsi que de l’article 52, paragraphe 1, de la Charte, doit être interprété en ce sens qu’il ne s’oppose pas à une réglementation nationale qui octroie aux autorités compétentes la possibilité d’accéder aux données contenues dans un téléphone portable, à des fins de prévention, de recherche, de détection et de poursuite d’infractions pénales en général, si cette réglementation : - définit de manière suffisamment précise la nature ou les catégories des infractions concernées, - garantit le respect du principe de proportionnalité, et - soumet l’exercice de cette possibilité, sauf cas d’urgence dûment justifié, à un contrôle préalable d’un juge ou d’une entité administrative indépendante.	5, 10	c23f7da7070511444ebc75875fd9d202b5dd13cf			Accéder à la décision
Avis 2022-045	Avis sur projet d’arrêté, VidéoCRA	31/03/2022	2022	France	CNIL ou équivalent	Infraction pénale	Police-Justice	Données relative à des infractions de nature pénale et données sensible - Enregistrement de vidéosurveillance susceptible de contenir des données sensibles ou des données d’infraction - Absence de qualification automatique		La Commission relève qu'un enregistrement vidéo n'est pas considéré en soi comme relevant d'une catégorie particulière de données à caractère personnel.	9, 10	c23f7da7070511444ebc75875fd9d202b5dd13cf			Accéder à la décision
Avis 2022-045	Avis sur projet d’arrêté, VidéoCRA	31/03/2022	2022	France	CNIL ou équivalent	Droit applicable	Police-Justice	1) Placement en centre ou en lieu de rétention - Donnée relative à des infractions de nature pénale - Indépendance - 2) Traitements automatisés de données à caractère personnel provenant de dispositifs de vidéosurveillance installés dans les emprises des locaux et centres de rétention administrative et des zones d’attente - Qualification - Exemples		En l'espèce, la Commission rappelle que le placement en centre ou en lieu de rétention est indépendant de toute qualification pénale. Elle relève en outre que le contrôle du respect des règles de sécurité du règlement intérieur de chaque local de rétention administrative (1° de l'article 1er du projet d'arrêté) et des règles de contrôle d'accès (2° de l'article 1er du projet d'arrêté) ne relève pas non plus d'une finalité pénale. Il en va de même de la finalité relative à la collecte de preuves dans le cadre des procédures administratives et disciplinaires (3° de l'article 1er du projet d'arrêté). En revanche, les missions de maintien de la sécurité publique par les forces de l'ordre au sein des centres et lieux de rétention sont susceptibles de relever de la directive précitée. La Commission considère dès lors que les traitements projetés devraient relever d'un régime mixte (RGPD et directive police-justice tel que transposée au titre III de la loi du 6 janvier 1978 modifiée) en fonction des finalités poursuivies.	10	c23f7da7070511444ebc75875fd9d202b5dd13cf			Accéder à la décision
C-175/20	Valsts ieņēmumu dienests	24/02/2022	2022	Lettonie	Cour de Justice de l'UE	Directive Police-Justice	Police-Justice	Donnée relative aux infractions de nature pénale soumise à la directive « Police-Justice » - Perception de l’impôt et lutte contre la fraude fiscale par l’administration fiscale - Absence	Afficher SS est un prestataire de services d’annonces publiées sur Internet établi en Lettonie. Le 28 août 2018, l’administration fiscale lettone a adressé à SS une demande de communication fondée sur l’article 15, paragraphe 6, de la loi sur les impôts et les taxes dans laquelle elle invitait cette société à rétablir l’accès dont disposait cette administration fiscale aux numéros de châssis des véhicules faisant l’objet d’une annonce publiée sur le portail Internet de ladite société, et demandait la disponible d'autres informations sur les vendeurs des véhicules. Estimant que la demande de communication de l’administration fiscale lettone n’était pas conforme aux principes de proportionnalité et de minimisation des données à caractère personnel, consacrés par le règlement 2016/679, SS a introduit une réclamation contre cette demande auprès du directeur général faisant fonction de l’administration fiscale lettone. Par décision du 30 octobre 2018, ce dernier a rejeté cette réclamation en exposant notamment que, dans le cadre du traitement des données à caractère personnel en cause au principal, l’administration fiscale lettone exerçait les pouvoirs qui lui sont conférés par la loi. Après quelques péripéties, l'affaire arrive devant la CJUE.	45. En outre, même s’il n’est pas exclu que les données à caractère personnel en cause au principal puissent être utilisées dans le cadre de poursuites pénales qui pourraient être exercées, en cas d’infraction dans le domaine fiscal, contre certaines des personnes concernées, il n’apparaît pas que ces données soient collectées dans l’objectif spécifique d’exercer de telles poursuites pénales ou dans le cadre des activités de l’État relatives à des domaines du droit pénal (voir, en ce sens, arrêt du 27 septembre 2017, Puškár, C-73/16, EU:C:2017:725, point 40).	10	c23f7da7070511444ebc75875fd9d202b5dd13cf			Accéder à la décision
444992	M. M... B...	10/11/2021	2021	France	Conseil d'Etat	A classer		Juridictions compétentes pour le contentieux portant sur les traitements mixtes		7. Il résulte des dispositions citées au point 6 que la formation spécialisée du Conseil d'Etat statuant au contentieux n'est compétente, en ce qui concerne les litiges relatifs à l'accès indirect aux données recueillies dans le fichier STARTRAC, que pour celles de ces données qui intéressent la sûreté de l'Etat. Le tribunal administratif et la cour administrative d'appel restent compétents en première instance et en appel pour connaître des litiges relatifs à l'accès indirect aux données recueillies dans ce même fichier n'intéressant pas la sûreté de l'Etat.	10, 77, 78	c23f7da7070511444ebc75875fd9d202b5dd13cf	31, 87		Accéder à la décision
C-439/19	Latvijas Republikas Saeima	22/06/2021	2021	Lettonie	Cour de Justice de l'UE	Infraction pénale	Police-Justice	Qualification des sanctions administratives - "Infraction" au sens du droit de l'UE dont le traitement est soumis à la directive « Police-Justice » - Rejet		77. Afin de déterminer si un tel accès constitue un traitement de données à caractère personnel relatives à des « infractions », au sens de l’article 10 du RGPD, il importe de faire observer, premièrement, que cette notion renvoie exclusivement aux infractions pénales, ainsi qu’il résulte notamment de la genèse du RGPD. En effet, alors que le Parlement européen avait proposé d’inclure expressément dans cette disposition les termes « sanctions administratives » (JO 2017, C 378, p. 430), cette proposition n’a pas été retenue. Cette circonstance est d’autant plus notable que la disposition ayant précédé l’article 10 du RGPD, à savoir l’article 8, paragraphe 5, de la directive 95/46, qui se référait, à son premier alinéa, aux « infractions » et aux « condamnations pénales », offrait, à son second alinéa, la possibilité aux États membres de « prévoir que les données relatives aux sanctions administratives [soient] également traitées sous le contrôle de l’autorité publique ». Il résulte ainsi clairement d’une lecture d’ensemble de cet article 8, paragraphe 5, que la notion d’« infraction » se référait uniquement aux infractions pénales.	10	c23f7da7070511444ebc75875fd9d202b5dd13cf			Accéder à la décision
C-439/19	Latvijas Republikas Saeima	22/06/2021	2021	Lettonie	Cour de Justice de l'UE	Infraction pénale	Police-Justice	Infraction pénale en droit de l'UE (notion autonome) - Critères de définition - 1) Qualification en droit interne - 2) Nature même de l’infraction - 3) Degré de sévérité de la sanction		87. Selon la jurisprudence de la Cour, trois critères sont pertinents pour apprécier le caractère pénal d’une infraction. Le premier est la qualification juridique de l’infraction en droit interne, le deuxième, la nature même de l’infraction et, le troisième, le degré de sévérité de la sanction que risque de subir l’intéressé (voir, en ce sens, arrêts du 5 juin 2012, Bonda, C-489/10, EU:C:2012:319, point 37 ; du 20 mars 2018, Garlsson Real Estate e.a., C-537/16, EU:C:2018:193, point 28, ainsi que du 2 février 2021, Consob, C-481/19, EU:C:2021:84, point 42).	10	c23f7da7070511444ebc75875fd9d202b5dd13cf			Accéder à la décision
C-439/19	Latvijas Republikas Saeima	22/06/2021	2021	Lettonie	Cour de Justice de l'UE	Infraction pénale	Police-Justice, Transports	Donnée relative aux infractions de nature pénale au sens du droit de l'UE - Données relatives à des points de pénalité infligés à la suite d’un manquement à la réglementation routière - Inclusion		93. Il en découle que les infractions routières qui sont susceptibles d’entraîner l’attribution de points de pénalité relèvent de la notion d’« infractions » visée à l’article 10 du RGPD. 94. Eu égard à l’ensemble des considérations qui précèdent, il y a lieu de répondre à la première question posée que l’article 10 du RGPD doit être interprété en ce sens qu’il s’applique au traitement des données à caractère personnel relatives aux points de pénalité imposés aux conducteurs de véhicules pour des infractions routières.	10	c23f7da7070511444ebc75875fd9d202b5dd13cf			Accéder à la décision
Avis 2021-055	Avis sur projet de décret	12/05/2021	2021	France	CNIL ou équivalent	Directive Police-Justice	Police-Justice	Crise sanitaire - Traitement mis en œuvre dans le cadre du suivi de mesures individuelles de quarantaine et d’isolement et à l’accompagnement des personnes - Régime mixte		Lorsque le contrôle de ces mesures individuelles, entendu notamment par la constatation des infractions pénales associées, apparait également au titre des finalités du même traitement, que celui-ci est placé sous la responsabilité conjointe du ministre chargé de la santé et du ministre de l’intérieur et que plusieurs services du ministère de l’intérieur accèdent ou sont rendus destinataires des données qui y sont enregistrées, il y a lieu de considérer que la prévention, la recherche et la constatation d’infractions pénales constituent une des finalités dudit traitement, et non un objet de ce traitement sans incidence sur son régime juridique. Dans ces conditions, et dès lors que le critère de l’autorité compétente prévue par la Directive « Police-Justice » est rempli, un tel traitement relève d’un régime mixte, à savoir le RGPD pour la finalité de suivi des mesures individuelles et le titre III de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée, pour la finalité de contrôle du respect de ces mesures par la constatation des infractions pénales associées, ce qui doit notamment apparaitre dans les dispositions réglementaires encadrant le traitement en cause.	10	c23f7da7070511444ebc75875fd9d202b5dd13cf	31, 87		Non publié. Source: CNIL, Tables Informatique et Libertés
C-136/17	GC e.a.	24/09/2019	2019	France	Cour de Justice de l'UE	Droits des personnes	Technologie	Déréférencement de données sensibles et pénales: principe - Conditions de rejet de la demande - 1) Respect du RGPD ET 2) Mise en balance entre la gravité de l’ingérence dans les droits fondamentaux de la personne concernée et le droit à l’information des internautes - OU - Traitement portant sur des données manifestement rendues publiques par la personne concernée ou nécessaires à la constatation, à l'exercice ou à la défense d'un droit en justice.	Afficher GC, AF, BH et ED ont, chacun, demandé à Google de déréférencer, dans la liste de résultats affichée par le moteur de recherche exploité par cette société en réponse à une recherche effectuée à partir de leur nom respectif, divers liens menant vers des pages web publiées par des tiers, ce que ladite société a toutefois refusé. En particulier, certaines des informations concernaient des informations relatives à des procédures judiciaires qui n'étaient plus exactes à la date de la demande. À la suite des refus opposés par Google à leurs demandes de déréférencement, les requérants au principal ont saisi la CNIL de plaintes tendant à ce qu’il soit enjoint à cette société de procéder au déréférencement des liens en cause. Par courriers respectivement datés des 24 avril 2015, 28 août 2015, 21 mars 2016 et 9 mai 2016, la présidente de la CNIL a informé les requérants au principal de la clôture de leurs plaintes. Les requérants au principal ont alors introduit devant la juridiction de renvoi, le Conseil d’État (France), des requêtes dirigées contre ces refus de la CNIL de mettre en demeure Google de procéder aux déréférencements demandés. L'affaire arrive finalement devant la CJUE.	69. Les dispositions de l’article 8, paragraphes 1 et 5, de la directive 95/46 [articles 9 et 10 du RGPD] doivent être interprétées en ce sens que, en vertu de celles-ci, l’exploitant d’un moteur de recherche est en principe obligé, sous réserve des exceptions prévues par cette directive, de faire droit aux demandes de déréférencement portant sur des liens menant vers des pages web sur lesquelles figurent des données à caractère personnel qui relèvent des catégories particulières visées par ces dispositions. L’article 8, paragraphe 2, sous e), de la directive 95/46 doit être interprété en ce sens que, en application de celui-ci, un tel exploitant peut refuser de faire droit à une demande de déréférencement lorsqu’il constate que les liens en cause mènent vers des contenus comportant des données à caractère personnel qui relèvent des catégories particulières visées à cet article 8, paragraphe 1, mais dont le traitement est couvert par l’exception prévue audit article 8, paragraphe 2, sous e), à condition que ce traitement réponde à l’ensemble des autres conditions de licéité posées par cette directive et à moins que la personne concernée n’ait, en vertu de l’article 14, premier alinéa, sous a), de ladite directive, le droit de s’opposer audit traitement pour des raisons prépondérantes et légitimes tenant à sa situation particulière. Les dispositions de la directive 95/46 doivent être interprétées en ce sens que, lorsque l’exploitant d’un moteur de recherche est saisi d’une demande de déréférencement portant sur un lien vers une page web sur laquelle des données à caractère personnel relevant des catégories particulières visées à l’article 8, paragraphe 1 ou 5, de cette directive sont publiées, cet exploitant doit, sur la base de tous les éléments pertinents du cas d’espèce et compte tenu de la gravité de l’ingérence dans les droits fondamentaux de la personne concernée au respect de la vie privée et à la protection des données à caractère personnel, consacrés aux articles 7 et 8 de la Charte, vérifier, au titre des motifs d’intérêt public important visés à l’article 8, paragraphe 4, de ladite directive et dans le respect des conditions prévues à cette dernière disposition, si l’inclusion de ce lien dans la liste de résultats, qui est affichée à la suite d’une recherche effectuée à partir du nom de cette personne, s’avère strictement nécessaire pour protéger la liberté d’information des internautes potentiellement intéressés à avoir accès à cette page web au moyen d’une telle recherche, consacrée à l’article 11 de la Charte.	9, 10, 17	c23f7da7070511444ebc75875fd9d202b5dd13cf			Accéder à la décision
424216	Association des américains accidentels	19/07/2019	2019	France	Conseil d'Etat	Droit applicable	Police-Justice	Distinction entre objet pénal et finalité pénale		8. [...] Si le traitement créé par l'arrêté du 5 octobre 2015 a pour finalité de lutter contre la fraude et l'évasion fiscales, il doit être regardé comme ayant parmi ses objets la prévention, la recherche, la constatation ou la poursuite des infractions pénales. Il s'ensuit, eu égard à cet objet, qu'il est au nombre des traitements visés à l'article 31 précité qui constitue l'exacte reprise de l'article 26 de cette même loi, dans sa version en vigueur à la date d'édiction des arrêtés du 5 octobre 2015 et du 25 juillet 2017. 18. [...] Alors même qu'ainsi qu'il a été dit au point 8, le traitement litigieux a plusieurs objets, au nombre desquels figurent la prévention, la détection et la répression des infractions pénales, sa finalité est de permettre, en luttant contre la fraude et l'évasion fiscales, l'amélioration du respect de leurs obligations fiscales par les contribuables français et américains. Il s'ensuit qu'il relève du champ d'application du règlement du 27 avril 2016 et non de celui de la directive du même jour.	2, 10	c23f7da7070511444ebc75875fd9d202b5dd13cf	31, 87		Accéder à la décision
406664	Association française des sociétés financières	06/04/2018	2018	France	Conseil d'Etat	Infraction pénale	Police-Justice	Données relatives aux infractions de nature pénale - Données collectées dans le seul but d’assurer la sécurité des manifestations sportives - Exclusion		6. [...] Les données susceptibles de figurer dans les traitements en cause qui sont, ainsi que le prévoit le 2° de l'article R. 332-15 créé par le décret attaqué, relatives à des manquements " aux dispositions des conditions générales de vente ou du règlement intérieur concernant la sécurité des manifestations sportives " sont collectées dans le seul but d'assurer la sécurité des manifestations sportives en permettant aux organisateurs de telles manifestations d'empêcher certaines personnes d'accéder à leurs enceintes sportives, en raison de comportements dangereux correspondant à des manquements à des obligations de nature contractuelle. Il s'ensuit qu'alors même que certains faits ou comportements susceptibles d'être enregistrés dans ces traitements sont pénalement réprimés, les données ayant vocation à figurer dans les traitements en cause ne sont pas relatives à des infractions au sens de l'article 25 dès lors qu'elles ne sont pas collectées dans le but d'établir l'existence ou de prévenir la commission d'infractions, et ne sauraient d'ailleurs être mobilisées au soutien d'une plainte déposée devant le juge pénal. Il s'ensuit que le moyen tiré de ce que les traitements en cause auraient dû être soumis au régime d'autorisation par l'article R. 332-20 du code du sport créé par le décret attaqué doit être écarté.	10	c23f7da7070511444ebc75875fd9d202b5dd13cf	31		Accéder à la décision
375669	Société Renault Trucks	11/05/2015	2015	France	Conseil d'Etat	Infraction pénale	Police-Justice	Données relatives aux infractions de nature pénale - 1) Données collectées dans le but d'établir ou de prévenir une infraction - Inclusion - 2) Possibilité pour les victimes d'infractions de traiter ces données - Existence		6. [...] que ces dispositions ne font, en outre, pas obstacle à la mise en oeuvre de traitements de données à caractère personnel relatives à des infractions par les personnes qui en ont été victimes ou sont susceptibles de l'être ; que doivent être regardées comme entrant dans le champ d'application de cet article, non seulement les données relatives aux infractions, condamnations ou mesures de sûreté elles-mêmes, mais également les données qui, en raison des finalités du traitement automatisé, ne sont collectées que dans le but d'établir l'existence ou de prévenir la commission d'infractions, y compris par des tiers ; qu'en vertu du 3° de l'article 25 [désormais abrogé] de la [Loi Informatique et Libertés], les traitements, automatisés ou non, portant sur des données relatives aux infractions, condamnations ou mesures de sûreté, sauf ceux qui sont mis en oeuvre par des auxiliaires de justice pour les besoins de leurs missions de défense des personnes concernées, doivent être autorisés par la Commission nationale de l'informatique et des libertés ;	10	c23f7da7070511444ebc75875fd9d202b5dd13cf			Accéder à la décision
08-84.088	Cyrille Y.	13/01/2009	2009	France	Cour de cassation	Infraction pénale	Police-Justice	Données relatives aux infractions de nature pénale - Constatations visuelles effectuées sur internet et renseignements (dont l'adresse IP) à des fins de lutte contre les contrefaçons - Exclusion	Afficher Un agent assermenté de la société des auteurs, compositeurs et éditeurs de musique (SACEM) et de la société pour l'administration du droit de reproduction mécanique des auteurs, compositeurs et éditeurs (SDRM) a procédé, conformément à l'article L. 331-2 du code de la propriété intellectuelle, à la constatation d'actes de contrefaçon d'oeuvres musicales commis sur le réseau internet, par téléchargement et mise à disposition d'oeuvres protégées sans l'autorisation des titulaires des droits sur celles-ci. En particulier, l'agent de la SACEM a traité des adresses IP pour pouvoir localiser son fournisseur d'accès en vue de la découverte ultérieure de l'auteur afin qu'il soit condamné. L'avocat a demandé que le procès-verbal de constat de l'infraction soit annulé au motif que des données personnelles seraient relatives à des infractions et que leur traitement n'a fait l'objet des formalités obligatoires devant la CNIL.	(6.) Mais attendu qu'en se déterminant ainsi, alors que les constatations visuelles effectuées sur internet et les renseignements recueillis en exécution de l'article L. 331-2 du code de la propriété intellectuelle par un agent assermenté qui, sans recourir à un traitement préalable de surveillance automatisé, utilise un appareillage informatique et un logiciel de pair à pair, pour accéder manuellement, aux fins de téléchargement, à la liste des oeuvres protégées irrégulièrement proposées sur la toile par un internaute, dont il se contente de relever l'adresse IP pour pouvoir localiser son fournisseur d'accès en vue de la découverte ultérieure de l'auteur des contrefaçons, rentrent dans les pouvoirs conférés à cet agent par la disposition précitée, et ne constituent pas un traitement de données à caractère personnel relatives à ces infractions, au sens des articles 2, 9 et 25 de la [Loi Informatique et Libertés], la cour d'appel, qui n'a pas tiré les conséquences légales de ses propres constatations, a méconnu le sens et la portée des textes susvisés	10	c23f7da7070511444ebc75875fd9d202b5dd13cf		/	Accéder à la décision
2009-580 DC	Loi favorisant la diffusion et la protection de la création sur internet	10/06/2009	2009	France	Conseil constitutionnel	Licéité	Police-Justice	Autorisation donnée à des personnes privées de traiter de données à caractère personnel relatives à des infractions pour repérer des contrefaçons en ligne - Licéité - Condition - Limitation à la protection des droits des victimes	Afficher Les députés requérants défèrent au Conseil constitutionnel la loi favorisant la diffusion et la protection de la création sur internet ; qu'ils contestent sa procédure d'examen ainsi que la conformité à la Constitution de ses articles 5, 10 et 11. En particulier l'article 11 que la réalisation d'un acte de contrefaçon à partir de l'adresse internet de l'abonné constitue, selon les termes du deuxième alinéa de l'article L. 331-21, " la matérialité des manquements à l'obligation définie à l'article L. 336-3 " ; que seul le titulaire du contrat d'abonnement d'accès à internet peut faire l'objet des sanctions instituées par le dispositif déféré ; que, pour s'exonérer de ces sanctions, il lui incombe, en vertu de l'article L. 331-38, de produire les éléments de nature à établir que l'atteinte portée au droit d'auteur ou aux droits voisins procède de la fraude d'un tiers". Les députés estiment que l'inversion de la charge de la preuve et le traitement de données personnelles réalisé par une entité privée pour sanctionner les infractions ne sont pas pas conformes à la Constitution.	27. Considérant que la lutte contre les pratiques de contrefaçon sur internet répond à l'objectif de sauvegarde de la propriété intellectuelle et de la création culturelle ; que, toutefois, l'autorisation donnée à des personnes privées de collecter les données permettant indirectement d'identifier les titulaires de l'accès à des services de communication au public en ligne conduit à la mise en oeuvre, par ces personnes privées, d'un traitement de données à caractère personnel relatives à des infractions ; qu'une telle autorisation ne saurait, sans porter une atteinte disproportionnée au droit au respect de la vie privée, avoir d'autres finalités que de permettre aux titulaires du droit d'auteur et de droits voisins d'exercer les recours juridictionnels dont dispose toute personne physique ou morale s'agissant des infractions dont elle a été victime ; 28. Considérant que [...] les traitements de données à caractère personnel mis en oeuvre par les sociétés et organismes précités ainsi que la transmission de ces données à la commission de protection des droits pour l'exercice de ses missions s'inscrivent dans un processus de saisine des juridictions compétentes ; 29. Considérant que ces traitements seront soumis aux exigences prévues par la loi du 6 janvier 1978 susvisée ; que les données ne pourront être transmises qu'à cette autorité administrative ou aux autorités judiciaires ; qu'il appartiendra à la Commission nationale de l'informatique et des libertés, saisie pour autoriser de tels traitements, de s'assurer que les modalités de leur mise en oeuvre, notamment les conditions de conservation des données, seront strictement proportionnées à cette finalité ;	10	c23f7da7070511444ebc75875fd9d202b5dd13cf		/	Accéder à la décision
18-18.824	M. X	23/06/2021	2021	France	Cour de cassation	Licéité	Police-Justice	Mesure d’identification d’une adresse IP par le juge sur le fondement de l’article 145 du code de procédure civile - Communication nécessaire à l’exercice ou à la défense d’un droit en justice - Licéité - Conditions	Afficher Par ordonnance du 5 mai 2017, le président d'un tribunal de grande instance a ordonné à la société Orange, en sa qualité de fournisseur d'accès à Internet, l'identification de la personne titulaire d'une adresse « Internet Protocol » (adresse IP) ayant expédié un courriel anonyme sur l'espace numérique de travail (l'ENT) de l'université de Poitiers (l'université). M. X... ayant sollicité la rétractation de cette ordonnance devant le juge des référés, la société Orange est intervenue volontairement à cette instance. Par ordonnance en date du 18 octobre 2017, le juge des référés a rejeté la demande en rétractation de l'ordonnance rendue sur requête. Cette affaire arrive finalement devant la Cour de cassation.	8. En revanche, hors des conditions prévues par les textes [...], une mesure à fin d'identification d'une adresse IP peut être ordonnée par un juge, sur le fondement de l'article 145 du code de procédure civile, selon lequel s'il existe un motif légitime de conserver ou d'établir avant tout procès la preuve de faits dont pourrait dépendre la solution d'un litige, les mesures d'instruction légalement admissibles peuvent être ordonnées à la demande de tout intéressé, sur requête ou en référé. 9. Une telle mesure peut être regardée comme légalement admissible dès lors que la communication à un tiers d'une adresse IP est nécessaire à l'exercice ou à la défense d'un droit en justice, qu'elle ne porte pas une atteinte disproportionnée au droit à la vie privée de la personne dont les données sont ainsi communiquées à un tiers et qu'enfin, ce tiers fasse de ces données un usage licite.	10	c23f7da7070511444ebc75875fd9d202b5dd13cf		/	Accéder à la décision
C-136/17	GC e.a.	24/09/2019	2019	France	Cour de Justice de l'UE	Droits des personnes, Infraction pénale	Police-Justice	Déréférencement de données relatives à une procédure judiciaire en cours - 1) Donnée "pénale" - Inclusion - 2) Obligation de faire droit à une demande portant sur des informations obsolètes - Prévalence des intérêts de la personne concernée	Afficher GC, AF, BH et ED ont, chacun, demandé à Google de déréférencer, dans la liste de résultats affichée par le moteur de recherche exploité par cette société en réponse à une recherche effectuée à partir de leur nom respectif, divers liens menant vers des pages web publiées par des tiers, ce que ladite société a toutefois refusé. En particulier, certaines des informations concernaient des informations relatives à des procédures judiciaires qui n'étaient plus exactes à la date de la demande. À la suite des refus opposés par Google à leurs demandes de déréférencement, les requérants au principal ont saisi la CNIL de plaintes tendant à ce qu’il soit enjoint à cette société de procéder au déréférencement des liens en cause. Par courriers respectivement datés des 24 avril 2015, 28 août 2015, 21 mars 2016 et 9 mai 2016, la présidente de la CNIL a informé les requérants au principal de la clôture de leurs plaintes. Les requérants au principal ont alors introduit devant la juridiction de renvoi, le Conseil d’État (France), des requêtes dirigées contre ces refus de la CNIL de mettre en demeure Google de procéder aux déréférencements demandés. L'affaire arrive finalement devant la CJUE.	79. Eu égard aux considérations qui précèdent, il y a lieu de répondre à la quatrième question que les dispositions de la directive 95/46 doivent être interprétées en ce sens que, – d’une part, les informations relatives à une procédure judiciaire dont une personne physique a été l’objet ainsi que, le cas échéant, celles relatives à la condamnation qui en a découlé constituent des données relatives aux « infractions » et aux « condamnations pénales », au sens de l’article 8, paragraphe 5, de cette directive, et – d’autre part, l’exploitant d’un moteur de recherche est tenu de faire droit à une demande de déréférencement portant sur des liens vers des pages web, sur lesquelles figurent de telles informations, lorsque ces informations se rapportent à une étape antérieure de la procédure judiciaire en cause et ne correspondent plus, compte tenu du déroulement de celle-ci, à la situation actuelle, dans la mesure où il est constaté, dans le cadre de la vérification des motifs d’intérêt public important visés à l’article 8, paragraphe 4, de ladite directive, que, eu égard à l’ensemble des circonstances de l’espèce, les droits fondamentaux de la personne concernée, garantis par les articles 7 et 8 de la Charte, prévalent sur ceux des internautes potentiellement intéressés, protégés par l’article 11 de la Charte.	10, 17	c23f7da7070511444ebc75875fd9d202b5dd13cf		[Déréférencement de données inadéquates, pas ou plus pertinentes ou sont excessives au regard de ces finalités et du temps qui s’est écoulé] CJUE, 13 mai 2014, Google Spain et Google, C-131/12 (point 93), disponible ici	Accéder à la décision
			Année		Autorité	Thème(s)	Secteur(s)

Actualités

Profitez de nos actualités en lien avec cet article !

APD (autorité belge)

08 janvier 2025

Un employeur réprimandé pour traitement illicite de données pénales de l’un de ses employés

L’autorité belge a aujourd’hui publié une décision de sanction par laquelle elle condamne une entreprise (restée anonyme) pour traitement illicite de données. Dans cette affaire, un employé d’un organisme public (plaignant) a déposé plainte contre son employeur après avoir constaté qu’une décision motivée [...]

SDTB (autorité allemande de Saxe)

18 novembre 2024

Conférence sur la protection des données en Allemagne : résolutions concernant l’IA, la loi sur la BKA, la loi sur l’accès en ligne et les services numériques

La conférence des autorités indépendantes de protection des données du fédéral et des Länder (« DSK ») a traité une multitude de sujets variés lors de sa 108e conférence, qui s’est tenue les 14 et 15 novembre 2024 à Wiesbaden.
4 sujets en p [...]

La Quadrature du Net

08 novembre 2024

Briefcam au Ministère de l’Intérieur : selon la Quadrature, le rapport d’inspection tente de noyer le poisson

L’an dernier, le média d’investigation Disclose révélait que depuis des années, en se sachant dans l’illégalité la plus totale, la police nationale avait recouru au logiciel de l’entreprise israélienne Briefcam, qui permet d’automatiser l’analyse des images de vidéosurveillance. Cette solution comporte une opti [...]

Signaler une erreur / Faire une suggestion
<< Retourner au menu