Article 33 – Notification à l’autorité de contrôle d’une violation de données à caractère personnel

Article 33 - Notification à l'autorité de contrôle d'une violation de données à caractère personnel

1. En cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l'autorité de contrôle compétente conformément à l'article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification à l'autorité de contrôle n'a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard.

2. Le sous-traitant notifie au responsable du traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance.

3. La notification visée au paragraphe 1 doit, à tout le moins:
  • a) décrire la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés;
  • b) communiquer le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;
  • c) décrire les conséquences probables de la violation de données à caractère personnel;
  • d) décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.
4. Si, et dans la mesure où, il n'est pas possible de fournir toutes les informations en même temps, les informations peuvent être communiquées de manière échelonnée sans autre retard indu.

5. Le responsable du traitement documente toute violation de données à caractère personnel, en indiquant les faits concernant la violation des données à caractère personnel, ses effets et les mesures prises pour y remédier. La documentation ainsi constituée permet à l'autorité de contrôle de vérifier le respect du présent article.

En savoir plus...

L'article 33 du RGPD régit les obligations du responsable du traitement et du sous-traitant en cas de violation de données.
Le paragraphe 1 impose aux responsables du traitement l'obligation de notifier à l'autorité de contrôle compétente une violation de données à caractère personnel dans un délai raisonnable lorsque cette violation est susceptible d'engendrer un risque pour les droits et libertés de personnes physiques. Le paragraphe 2 impose une obligation correspondante au sous-traitant, la seule différence étant que le destinataire de la notification doit être le responsable du traitement. Le paragraphe 3 dresse une liste non exhaustive des informations qui doivent être fournies à l'autorité de contrôle. Le paragraphe 4 donne aux responsables du traitement la possibilité de partager les détails de la violation en différentes phases lorsque toutes les informations ne peuvent être fournies en même temps. Enfin, en vertu du paragraphe 5, et conformément au principe de responsabilité, le responsable du traitement doit documenter toute violation de données, y compris les faits, les effets et les mesures correctives prises.

Le RGPD prévoit-il une amende en cas d'infraction à cet article ?

Conformément à l'article article 83 du RGPD, les infractions aux règles définies dans le présent article sont passibles d'amendes administratives pouvant aller jusqu'à 10 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 2 % du chiffre d'affaires annuel mondial total réalisé au cours de l'exercice précédent, le montant le plus élevé étant retenu.

Considérants pertinents

[Motifs et délais de la notification d'une violation]
85. Une violation de données à caractère personnel risque, si l'on n'intervient pas à temps et de manière appropriée, de causer aux personnes physiques concernées des dommages physiques, matériels ou un préjudice moral tels qu'une perte de contrôle sur leurs données à caractère personnel ou la limitation de leurs droits, une discrimination, un vol ou une usurpation d'identité, une perte financière, un renversement non autorisé de la procédure de pseudonymisation, une atteinte à la réputation, une perte de confidentialité de données à caractère personnel protégées par le secret professionnel ou tout autre dommage économique ou social important. En conséquence, dès que le responsable du traitement apprend qu'une violation de données à caractère personnel s'est produite, il convient qu'il le notifie à l'autorité de contrôle dans les meilleurs délais et, lorsque c'est possible, 72 heures au plus tard après en avoir pris connaissance, à moins qu'il ne puisse démontrer, conformément au principe de responsabilité, qu'il est peu probable que la violation en question engendre un risque pour les droits et libertés des personnes physiques. Si une telle notification ne peut avoir lieu dans ce délai de 72 heures, la notification devrait être assortie des motifs du retard et des informations peuvent être fournies de manière échelonnée sans autre retard indu.

[Vérification des mesures de sécurité et des délais]
87. Il convient de vérifier si toutes les mesures de protection techniques et organisationnelles appropriées ont été mises en œuvre pour établir immédiatement si une violation des données à caractère personnel s'est produite et pour informer rapidement l'autorité de contrôle et la personne concernée. Il convient d'établir que la notification a été faite dans les meilleurs délais, compte tenu en particulier de la nature et de la gravité de la violation des données à caractère personnel et de ses conséquences et effets négatifs pour la personne concernée. Une telle notification peut amener une autorité de contrôle à intervenir conformément à ses missions et à ses pouvoirs fixés par le présent règlement.

[Règles et procédures liées à la notification d'une violation]
88. Lors de la fixation de règles détaillées concernant la forme et les procédures applicables à la notification des violations de données à caractère personnel, il convient de tenir dûment compte des circonstances de cette violation, y compris du fait que les données à caractère personnel étaient ou non protégées par des mesures de protection techniques appropriées, limitant efficacement la probabilité d'usurpation d'identité ou d'autres formes d'abus. Par ailleurs, ces règles et procédures devraient tenir compte des intérêts légitimes des autorités répressives lorsqu'une divulgation prématurée risquerait d'entraver inutilement l'enquête sur les circonstances de la violation des données à caractère personnel.

Droit souple

Lignes directrices et recommandations

Guides pratiques

Documents anciens

Références

Jurisprudence

Cliquez sur une ligne pour obtenir tous les détails.
Note importante : cette base de données n'est pas achevée ; par ailleurs, le développement du "RGPD annoté" implique sa re-structuration complète: il est donc possible que certains résultats soient peu pertinents ou soient manquants. Veuillez ne pas hésiter à me le signaler !

Décision n°NomDatePaysAutoritéSecteur(s)Apport de la décisionContexteQuestionExtrait(s) pertinent(s)Fait référence àAutres informationsLien
C-21/23Lindenapotheke04/10/20242024AllemagneCour de Justice de l'UEA classerManquement au RGPD - Susceptible d'être poursuivi par un concurrent - Admission sous réserve que le droit national le prévoit73. [...] Les dispositions du chapitre VIII du RGPD doivent être interprétées en ce sens qu’elles ne s’opposent pas à une réglementation nationale qui, parallèlement aux pouvoirs d’intervention des autorités de contrôle chargées de surveiller et de faire appliquer ce règlement ainsi qu’aux possibilités de recours des personnes concernées, confère aux concurrents de l’auteur présumé d’une atteinte à la protection des données à caractère personnel la qualité pour agir contre celui-ci au moyen d’un recours devant les juridictions civiles, en raison de violations dudit règlement et sur le fondement de l’interdiction des pratiques commerciales déloyales.77, 78, 79, 80, 81, 82, 83, 8489f2fd1b6301991102bdadc722a5323c40dd302d, cb08aa41f17ae8041815cdd5e3b7c468c63b293b, b4eba8cbe7a9de8a9202ff3aec8d53dd613e2fd8, bb44e18ada1402f32b39da7edc60c2ef0261473d, 9099f29299c9263aebbdc4dd4f1e5027151bcaa0, c67708d1f81a877f2b8dfc425f4a0437c4e8b324, 13f3089206d6a7af14309e3188901bac86bb8db9, 68136ec0621ef3fe8935bf9fa91f0f6e4a202509 Cliquer pour accéder à la décision
C-21/23Lindenapotheke04/10/20242024AllemagneCour de Justice de l'UEDonnées de santéSantéDonnée de santé - Données associées à une commande sur une pharmacie en ligne même sans prescription médicale - Admission94. Compte tenu de ce qui précède, il y a lieu de répondre à la seconde question que l’article 8, paragraphe 1, de la directive 95/46 et l’article 9, paragraphe 1, du RGPD doivent être interprétés en ce sens que, dans la situation où l’exploitant d’une pharmacie commercialise, par le biais d’une plate-forme en ligne, des médicaments dont la vente est réservée aux pharmacies, les informations que les clients de cet exploitant saisissent lors de la commande en ligne des médicaments, telles que leur nom, l’adresse de livraison et les éléments nécessaires à l’individualisation des médicaments, constituent des données concernant la santé, au sens de ces dispositions, même lorsque la vente de ces médicaments n’est pas soumise à prescription médicale.9b85ab32eaa572c8016edf68011078dceed8149e5Cliquer pour accéder à la décision
C-200/23Agentsia po vpisvaniyata04/10/20242024BulgarieCour de Justice de l'UEA classerViolation de données - Perte de contrôle limitée - Dommage moral - Admission156. [...] L’article 82, paragraphe 1, du RGPD doit être interprété en ce sens qu’une perte de contrôle d’une durée limitée, par la personne concernée, sur ses données à caractère personnel en raison de la mise à la disposition du public de ces données, en ligne, dans le registre du commerce d’un État membre, peut suffire pour causer un « dommage moral », pour autant que cette personne démontre qu’elle a effectivement subi un tel dommage, aussi minime fût-il, sans que cette notion de « dommage moral » requière la démonstration de l’existence de conséquences négatives tangibles supplémentaires.82c67708d1f81a877f2b8dfc425f4a0437c4e8b324Cliquer pour accéder à la décision
C-200/23Agentsia po vpisvaniyata04/10/20242024BulgarieCour de Justice de l'UEA classerViolation de données - Réparation du préjudice - Prise en compte de l'avis de l'autorité - Absence176. Eu égard à ce qui précède, il convient de répondre à la huitième question que l’article 82, paragraphe 3, du RGPD doit être interprété en ce sens qu’un avis de l’autorité de contrôle d’un État membre, émis sur le fondement de l’article 58, paragraphe 3, sous b), de ce règlement, ne suffit pas à exonérer de responsabilité, au titre de l’article 82, paragraphe 2, dudit règlement, l’autorité chargée de la tenue du registre du commerce de cet État membre ayant la qualité de « responsable du traitement » au sens de l’article 4, point 7, du même règlement.82c67708d1f81a877f2b8dfc425f4a0437c4e8b324Cliquer pour accéder à la décision
C-621/22Koninklijke Nederlandse Lawn Tennisbond04/10/20242024Pays-BasCour de Justice de l'UEIntérêt légitimeEconomie et fiscalitéIntérêt légitime - Justifié par un intérêt commrecial - Admission sous conditions - 1) Est strictement nécessaire - 2) Les intérêts de la personne concernée ne prévalent pas - 3) Est licite57. [...] L’article 6, paragraphe 1, premier alinéa, sous f), du RGPD doit être interprété en ce sens qu’un traitement de données à caractère personnel consistant en la communication à titre onéreux de données à caractère personnel des membres d’une fédération sportive, en vue de satisfaire à un intérêt commercial du responsable du traitement, ne peut être considéré comme étant nécessaire aux fins des intérêts légitimes poursuivis par ce responsable, au sens de cette disposition, qu’à la condition que ce traitement soit strictement nécessaire à la réalisation de l’intérêt légitime en cause et que, au regard de l’ensemble des circonstances pertinentes, les intérêts ou les libertés et les droits fondamentaux de ces membres ne prévalent pas sur cet intérêt légitime. Si ladite disposition n’exige pas qu’un tel intérêt soit déterminé par la loi, elle requiert que l’intérêt légitime allégué soit licite.62ce6ddc84d93a3a1dcd84238cd67260bd7272e08Cliquer pour accéder à la décision
C-507/23Patērētāju tiesību aizsardzības centrs04/10/20242024LettonieCour de Justice de l'UEA classerManquement au RGPD - Réparation du préjudice moral en résultant - Caractère suffisant dela présentation d'excuses - Admission si le préjudice est intégralement réparé37. Eu égard aux motifs qui précèdent, il convient de répondre à la deuxième question que l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens que la présentation d’excuses peut constituer une réparation adéquate d’un dommage moral sur le fondement de cette disposition, notamment lorsqu’il est impossible de rétablir la situation antérieure à la survenance de ce dommage, pour autant que cette forme de réparation soit de nature à compenser intégralement le préjudice subi par la personne concernée.82c67708d1f81a877f2b8dfc425f4a0437c4e8b324Cliquer pour accéder à la décision
C-507/23Patērētāju tiesību aizsardzības centrs04/10/20242024LettonieCour de Justice de l'UEA classerManquement au RGPD - Réparation du préjudice en résultant - Prise en compte du comportement du responsable - Absence45. Eu égard aux motifs qui précèdent, il convient de répondre à la troisième question que l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens qu’il s’oppose à ce que l’attitude et la motivation du responsable du traitement puissent être prises en compte afin, le cas échéant, d’accorder à la personne concernée une réparation inférieure au préjudice qu’elle a concrètement subi.82c67708d1f81a877f2b8dfc425f4a0437c4e8b324Cliquer pour accéder à la décision
C-548/21Bezirkshauptmannschaft Landeck 04/10/20242024AutricheCour de Justice de l'UEDirective Police-JusticePolice-JusticeAccès de la police aux données contenues dans un téléphone portable - Limitation à la lutte contre la criminalité grave - Absence110.Il ressort de ce qui précède qu’il convient de répondre aux première et deuxième questions que l’article 4, paragraphe 1, sous c), de la directive 2016/680, lu à la lumière des articles 7 et 8 ainsi que de l’article 52, paragraphe 1, de la Charte, doit être interprété en ce sens qu’il ne s’oppose pas à une réglementation nationale qui octroie aux autorités compétentes la possibilité d’accéder aux données contenues dans un téléphone portable, à des fins de prévention, de recherche, de détection et de poursuite d’infractions pénales en général, si cette réglementation :
- définit de manière suffisamment précise la nature ou les catégories des infractions concernées,
- garantit le respect du principe de proportionnalité, et
- soumet l’exercice de cette possibilité, sauf cas d’urgence dûment justifié, à un contrôle préalable d’un juge ou d’une entité administrative indépendante.
5, 10c23f7da7070511444ebc75875fd9d202b5dd13cfCliquer pour accéder à la décision
C-548/21Bezirkshauptmannschaft Landeck 04/10/20242024AutricheCour de Justice de l'UELimitation des finalitésPolice-JusticeAccès de la police aux données contenues dans un téléphone portable - Limitation à la lutte contre la criminalité grave - Absence110.Il ressort de ce qui précède qu’il convient de répondre aux première et deuxième questions que l’article 4, paragraphe 1, sous c), de la directive 2016/680, lu à la lumière des articles 7 et 8 ainsi que de l’article 52, paragraphe 1, de la Charte, doit être interprété en ce sens qu’il ne s’oppose pas à une réglementation nationale qui octroie aux autorités compétentes la possibilité d’accéder aux données contenues dans un téléphone portable, à des fins de prévention, de recherche, de détection et de poursuite d’infractions pénales en général, si cette réglementation :
- définit de manière suffisamment précise la nature ou les catégories des infractions concernées,
- garantit le respect du principe de proportionnalité, et
- soumet l’exercice de cette possibilité, sauf cas d’urgence dûment justifié, à un contrôle préalable d’un juge ou d’une entité administrative indépendante.
5, 10743da23f34ee7adc1bc280808926e060c096910eCliquer pour accéder à la décision
C-446/21Schrems04/10/20242024AutricheCour de Justice de l'UEMinimisation, Conservation limitéeTechnologie, Marketing et ProspectionPublicité ciblée - Réseau social en ligne - Utilisation l’ensemble des données personnelles obtenues sans limitation dans le temps et sans distinction en fonction de leur nature - Illicéité65. Compte tenu de ce qui précède, il y a lieu de répondre à la deuxième question que l’article 5, paragraphe 1, sous c), du RGPD, doit être interprété en ce sens que le principe de la « minimisation des données », prévu à cette disposition, s’oppose à ce que l’ensemble des données à caractère personnel qui ont été obtenues par un responsable du traitement, tel que l’exploitant d’une plateforme de réseau social en ligne, auprès de la personne concernée ou de tiers et qui ont été collectées tant sur cette plateforme qu’en dehors de celle-ci, soient agrégées, analysées et traitées à des fins de publicité ciblée, sans limitation dans le temps et sans distinction en fonction de la nature de ces données.5743da23f34ee7adc1bc280808926e060c096910eCliquer pour accéder à la décision
C-446/21Schrems04/10/20242024AutricheCour de Justice de l'UEDéfinitionTechnologieDonnée sensible - Caractère manifestement public d'une donnée - Autorisation de traiter des données similaires obtenues par un autre biais - Absence83. Eu égard à ce qui précède, il y a lieu de répondre à la quatrième question que l’article 9, paragraphe 2, sous e), du RGPD, doit être interprété en ce sens que la circonstance qu’une personne se soit exprimée sur son orientation sexuelle lors d’une table ronde, dont la participation est ouverte au public, n’autorise pas l’exploitant d’une plateforme de réseau social en ligne à traiter d’autres données relatives à l’orientation sexuelle de cette personne, obtenues, le cas échéant, en dehors de cette plateforme à partir d’applications et de sites Internet de tiers partenaires, en vue de l’agrégation et l’analyse de celles-ci, afin de lui proposer de la publicité personnalisée.9b85ab32eaa572c8016edf68011078dceed8149e5Cliquer pour accéder à la décision
C-768/21Land Hessen26/09/20242024AllemagneCour de Justice de l'UEA classerViolation de données - Obligation d’agir de l’autorité de protection des données - Absence si l'intervention n’est pas appropriée, nécessaire ou proportionnée pour remédier à l’insuffisance50. [...] L’article 57, paragraphe 1, sous a) et f), l’article 58, paragraphe 2, et l’article 77, paragraphe 1, du RGPD doivent être interprétés en ce sens que, en cas de constatation d’une violation de données à caractère personnel, l’autorité de contrôle n’est pas tenue d’adopter une mesure correctrice, en particulier une amende administrative, au titre de cet article 58, paragraphe 2, lorsqu’une telle intervention n’est pas appropriée, nécessaire ou proportionnée pour remédier à l’insuffisance constatée et garantir le plein respect de ce règlement.57, 58fdf3d4fb47ed5729bc84397b140ee0eef1973a65, ac351926118d8f66267b46ecf31c5a7a5d468363Cliquer pour accéder à la décision
C-17/22, C-18/22HTB Neunte Immobilien Portfolio12/09/20242024AllemagneCour de Justice de l'UEObligation légaleObligation légale - Jurisprudence comme source d'une telle obligation - Admission sous conditions71. Il ne saurait être exclu que « le droit de l’État membre auquel le responsable du traitement est soumis », au sens de l’article 6, paragraphe 3, sous b), du RGPD, couvre également la jurisprudence nationale. Cependant, ainsi qu’il ressort du considérant 41 de ce règlement, il est exigé qu’une telle jurisprudence soit claire et précise et que son application soit prévisible pour les justiciables, conformément à la jurisprudence de la Cour.
-
73. En outre, […] encore faut-il que cette jurisprudence constitue une base juridique répondant à un objectif d’intérêt public, qu’elle soit proportionnée à celui-ci et que le traitement concerné soit opéré dans les limites du strict nécessaire, ce qu’il incombe à la juridiction de renvoi de vérifier [voir, en ce sens, arrêt du 4 juillet 2023, Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social), C-252/21, EU:C:2023:537, points 134 et 138].
-
74. Il appartiendra ainsi à cette juridiction de déterminer, notamment, s’il n’existe pas de mesures qui, tout en permettant de garantir la transparence entre les associés de sociétés de personnes, telle qu’elle paraît découler du droit allemand, ainsi qu’il a été exposé aux points 18 à 22 du présent arrêt, seraient moins attentatoires à la protection des données à caractère personnel confidentielles des associés indirects de sociétés en commandite faisant appel public à l’épargne que l’obligation de divulguer ces données à tout autre associé qui en ferait la demande.
62ce6ddc84d93a3a1dcd84238cd67260bd7272e08Cliquer pour accéder à la décision
C-757/22Meta Platforms Ireland Ltd11/07/20242024AllemagneCour de Justice de l'UEA classerAction représentative en l'absence de mandat - Notion de droits des personnes violés "du fait du traitement" - Manquement à l'obligation d'information - Inclusion65. Compte tenu de ce qui précède, il convient de répondre à la question préjudicielle que l’article 80, paragraphe 2, du RGPD doit être interprété en ce sens que la condition selon laquelle une entité habilitée, pour pouvoir introduire une action représentative au titre de cette disposition, doit faire valoir qu’elle considère que les droits d’une personne concernée prévus dans ce règlement ont été violés « du fait du traitement », au sens de ladite disposition, est remplie lorsque cette entité fait valoir que la violation des droits de cette personne intervient à l’occasion d’un traitement de données à caractère personnel et qu’elle résulte de la méconnaissance de l’obligation qui incombe au responsable du traitement, en vertu de l’article 12, paragraphe 1, première phrase, et de l’article 13, paragraphe 1, sous c) et e), dudit règlement, de communiquer à la personne concernée par ce traitement de données, d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, les informations relatives à la finalité dudit traitement de données ainsi qu’aux destinataires de telles données, au plus tard lors de la collecte de celles‑ci.80bb44e18ada1402f32b39da7edc60c2ef0261473dCliquer pour accéder à la décision
C-461/22MK contre WB11/07/20242024AllemagneCour de Justice de l'UEResponsable de traitementResponsable de traitement - Ancien curateur vis-à-vis d'une personne protégée - Admission31. Eu égard à l’ensemble des considérations qui précèdent, il y a lieu de répondre aux questions posées que l’article 4, point 7, du règlement 2016/679 doit être interprété en ce sens qu’un ancien curateur ayant exercé ses fonctions à titre professionnel à l’égard d’une personne placée sous sa curatelle doit être qualifié de « responsable du traitement », au sens de cette disposition, des données à caractère personnel en sa possession concernant cette personne et qu’un tel traitement doit respecter l’ensemble des dispositions de ce règlement, notamment l’article 15 de celui-ci.4a33beb1398d687ce56ea092654850e76f54bebb2Cliquer pour accéder à la décision
C-590/22PS GbR20/06/20242024AllemagneCour de Justice de l'UECrainte d’un potentiel usage abusif de données personnelles par un tiers - Incertitudes sur la consultation des données par ce tiers - Dommage moral - Admission sous conditions probatoires36. Eu égard aux motifs qui précèdent, il y a lieu de répondre à la troisième question que l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens que la crainte éprouvée par une personne que ses données à caractère personnel aient, du fait d’une violation de ce règlement, été divulguées à des tiers sans qu’il puisse être établi que tel a été effectivement le cas suffit à fonder un droit à réparation pour autant que cette crainte, avec ses conséquences négatives, soit dûment prouvée.33, 8239c9c4e0ab390e751b96a98212ede77eecceb022, c67708d1f81a877f2b8dfc425f4a0437c4e8b324Cliquer pour accéder à la décision
C-590/22PS GbR20/06/20242024AllemagneCour de Justice de l'UEA classerViolation de données - Réparation du préjudice - Prise en compte de la violation de dispositions nationales non liées - Absence - Prise en compte des critères de l'article 83 pour déterminer le montant des dommages-intérêts - Absence44. Eu égard aux motifs qui précèdent, il convient de répondre aux quatrième et cinquième questions que l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens que, pour déterminer le montant des dommages-intérêts dus au titre de la réparation d’un dommage fondée sur cette disposition, il n’y a pas lieu, d’une part, d’appliquer mutatis mutandis les critères de fixation du montant des amendes administratives prévus à l’article 83 de ce règlement et, d’autre part, de conférer à ce droit à réparation une fonction dissuasive.
-
50. Eu égard aux motifs qui précèdent, il convient de répondre à la sixième question que l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens que, pour déterminer le montant des dommages-intérêts dus au titre de la réparation d’un dommage fondée sur cette disposition, il n’y a pas lieu de tenir compte de violations simultanées de dispositions nationales portant sur la protection des données personnelles, mais n’ayant pas pour objet de préciser les règles de ce règlement.
33, 8239c9c4e0ab390e751b96a98212ede77eecceb022, c67708d1f81a877f2b8dfc425f4a0437c4e8b324Cliquer pour accéder à la décision
C-182/22, C-189/22Scalable Capital GmbH20/06/20242024AllemagneCour de Justice de l'UEA classerViolation de données - Réparation du préjudice - Distinction entre "vol" et "usurpation" d'identité - Absence55. Ainsi que M. l’avocat général l’a relevé au point 29 de ses conclusions, les différentes versions linguistiques des considérants 75 et 85 du RGPD mentionnent les termes « vol d’identité », « usurpation d’identité », « fraude à l’identité », « abus d’identité » et « détournement d’identité » qui y sont utilisés indistinctement. Par conséquent, les notions de « vol » et d’« usurpation » d’identité sont interchangeables et aucune distinction ne saurait être opérée entre elles. Ces deux dernières notions donnent lieu à la présomption d’une volonté de s’approprier l’identité d’une personne dont les données à caractère personnel ont, auparavant, été volées.
-
58. Par ces motifs, il y a lieu de répondre à la cinquième question que l’article 82, paragraphe 1, du RGPD, lu à la lumière des considérants 75 et 85 de ce règlement, doit être interprété en ce sens que, pour être caractérisée et ouvrir droit à réparation du dommage moral au titre de cette disposition, la notion de « vol d’identité » implique que l’identité d’une personne concernée par un vol de données à caractère personnel soit effectivement usurpée par un tiers. Toutefois, la réparation d’un dommage moral causé par le vol de données à caractère personnel, au titre de ladite disposition, ne saurait être limitée aux cas où il est démontré qu’un tel vol de données a ensuite donné lieu à un vol ou à une usurpation d’identité.
33, 8239c9c4e0ab390e751b96a98212ede77eecceb022, c67708d1f81a877f2b8dfc425f4a0437c4e8b324Cliquer pour accéder à la décision
C-741/21Juris GmbH11/04/20242024AllemagneCour de Justice de l'UEA classerPréjudice issu d'un manquement au RGPD - Méthode de calcul du montant des dommages-intérêts identique à celle du calcul des amendes - Absence65. Par conséquent, il convient de répondre aux troisième et quatrième questions que l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens que, pour déterminer le montant des dommages‑intérêts dus au titre de la réparation d’un dommage fondée sur cette disposition, il n’y a pas lieu, d’une part, d’appliquer mutatis mutandis les critères de fixation du montant des amendes administratives qui sont prévus à l’article 83 de ce règlement et, d’autre part, de tenir compte du fait que plusieurs violations dudit règlement concernant une même opération de traitement affectent la personne demandant réparation82, 83c67708d1f81a877f2b8dfc425f4a0437c4e8b324, 13f3089206d6a7af14309e3188901bac86bb8db9Cliquer pour accéder à la décision
C-61/22Landeshauptstadt Wiesbaden21/03/20242024AllemagneCour de Justice de l'UEMinimisationAdministrationDroit fondamental à la vie privée - Insertion obligatoire dans les cartes d'identité de deux empreintes digitiales - Compatibilité - Admission123. Eu égard à ce qui précède, il doit être constaté que la limitation de l’exercice des droits garantis aux articles 7 et 8 de la Charte résultant de l’intégration de deux empreintes digitales dans le support de stockage des cartes d’identité n’apparaît pas être, compte tenu de la nature des données en cause, de la nature et des modalités des opérations de traitement ainsi que des mécanismes de sauvegarde prévus, d’une gravité qui serait disproportionnée par rapport à l’importance des différents objectifs que cette mesure poursuit. Ainsi, une telle mesure doit être considérée comme étant fondée sur une pondération équilibrée entre, d’une part, ces objectifs et, d’autre part, les droits fondamentaux en présence.5743da23f34ee7adc1bc280808926e060c096910eCliquer pour accéder à la décision
TSV.26.2020Verkkokauppa18/03/20242024FinlandeCNIL (ou équivalent)MinimisationInternetExigence de création d'un compte client pour effectuer un achat en ligne - Rejet(Traduction) 44. La pratique du responsable du traitement consistant à exiger l'enregistrement du client pour effectuer un achat individuel dans une boutique en ligne n'était pas conforme à l'article 5, paragraphe 1, point e), et à l'article 25, paragraphe 2, du GDPR. La procédure a également conduit à la conservation des données des acheteurs individuels pendant une période plus longue que celle qui aurait été nécessaire pour effectuer un seul achat.5, 25743da23f34ee7adc1bc280808926e060c096910eCette décision a fait l'objet d'un appel, la procédure est en cours.Cliquer pour accéder à la décision traduite par machine
ou Cliquer pour accéder à la décision officielle
TSV.26.2020Verkkokauppa18/03/20242024FinlandeCNIL (ou équivalent)A classerInternetExigence de création d'un compte client pour effectuer un achat en ligne - Rejet(Traduction) 44. La pratique du responsable du traitement consistant à exiger l'enregistrement du client pour effectuer un achat individuel dans une boutique en ligne n'était pas conforme à l'article 5, paragraphe 1, point e), et à l'article 25, paragraphe 2, du GDPR. La procédure a également conduit à la conservation des données des acheteurs individuels pendant une période plus longue que celle qui aurait été nécessaire pour effectuer un seul achat.5, 2560fa983c8c5500c101ff5344d51feccfdf46fae7Cette décision a fait l'objet d'un appel, la procédure est en cours.Cliquer pour accéder à la décision traduite par machine
ou Cliquer pour accéder à la décision officielle
C-740/22Endemol Shine Finland Oy07/03/20242024FinlandeCour de Justice de l'UETraitementTraitement de données à caractère personnel - Communication orale de données à caractère personnel - Inclusion29. Il ressort notamment de l’expression « toute opération », que le législateur de l’Union a entendu donner à la notion de « traitement » une portée large, ce qui est corroboré par le caractère non exhaustif, exprimé par la locution « telles que », des opérations énumérées à ladite disposition [voir, en ce sens, arrêts du 24 février 2022, Valsts ieņēmumu dienests (Traitement des données personnelles à des fins fiscales), C‑175/20, EU:C:2022:124, point 35, et du 22 juin 2023, Pankki S, C‑579/21, EU:C:2023:501, point 46].

30. Cette énumération vise, entre autres, la communication par transmission, la diffusion et « toute autre forme de mise à disposition », ces opérations pouvant être automatisées ou non automatisées. À cet égard, l’article 4, point 2, du RGPD ne pose aucune condition quant à la forme du traitement « non automatisé ». La notion de « traitement » couvre dès lors la communication orale.
4a33beb1398d687ce56ea092654850e76f54bebb2Cliquer pour accéder à la décision
C-604/22IAB Europe07/03/20242024Pays-BasCour de Justice de l'UEDonnée à caractère personnelTechnologie, Marketing et prospectionDonnée à caractère personnel - Chaîne de caractères stockant les préférences en matière de publicité et de cookies - Admission51. Compte tenu de ce qui précède, il convient de répondre à la première question que l’article 4, point 1, du RGPD doit être interprété en ce sens qu’une chaîne composée d’une combinaison de lettres et de caractères, telle que la TC String, contenant les préférences d’un utilisateur d’Internet ou d’une application relatives au consentement de cet utilisateur au traitement des données à caractère personnel le concernant par des fournisseurs de sites Internet ou d’applications ainsi que par des courtiers de telles données et par des plateformes publicitaires, constitue une donnée à caractère personnel au sens de cette disposition dans la mesure où, lorsque celle-ci peut, par des moyens raisonnables, être associée à un identifiant, tels que notamment l’adresse IP de l’appareil dudit utilisateur, elle permet d’identifier la personne concernée.
Dans de telles conditions, la circonstance que, sans une contribution extérieure, une organisation sectorielle détenant cette chaîne ne peut ni accéder aux données qui sont traitées par ses membres dans le cadre des règles qu’elle a établies ni combiner ladite chaîne avec d’autres éléments ne fait pas obstacle à ce que la même chaîne constitue une donnée à caractère personnel au sens de ladite disposition.
4a33beb1398d687ce56ea092654850e76f54bebb2Cliquer pour accéder à la décision
9991064NTT Data08/02/20242024ItalieCNIL (ou équivalent)A classerViolation de données - Délai de notification - 72 heures à compter de la découverte initiale y compris par un sous-traitant - Prise en compte du nombre d'acteurs impliqués - Absence(Traduction) 4. [...] À cet égard, en ce qui concerne l’expression « sans retard injustifié », les « Lignes directrices 9/2022 sur la notification des violations de données à caractère personnel conformément au GDPR », adoptées par le Comité européen de la protection des données le 28 mars 2023 (qui ont remplacé les précédentes « Lignes directrices sur la notification des violations de données à caractère personnel conformément au règlement (UE) 2016/679 » adoptées par le groupe de travail sur la protection des données de l’article 29, en dernier lieu le 6 février 2018 et approuvées par le Comité européen de la protection des données le 25 mai 2018), recommandent que le responsable du traitement « notifie sans tarder au responsable du traitement, en fournissant par la suite toute information supplémentaire sur la violation dont il a connaissance » ; ceci est » important pour aider le responsable du traitement à respecter l’obligation de notification à l’autorité de contrôle dans les 72 heures;24, 28, 33788235c7a7839ac7e834e0a5a9a15b95657a9271, 2493779251de822754e7d9cbd06e551dfa7fcd2b, 39c9c4e0ab390e751b96a98212ede77eecceb022Cliquer pour accéder à la décision traduite par machine
ou Cliquer pour accéder à la décision officielle
C-118/22Direktor na Glavna direktsia "Natsionalna politsia"30/01/20242024AutricheCour de Justice de l'UEConservation limitéePolice-JusticeDirective Police-Justice - Finalité de prévention et de détection des infractions pénales - Conservation des données d'un fichier de conservation des empreintes génétiques jusqu'au décès des concernés - Rejet72. Eu égard à l’ensemble des considérations qui précédent, il y a lieu de répondre à la question posée que l’article 4, paragraphe 1, sous c) et e), de la directive 2016/680 [...] doit être interprété en ce sens qu’il s’oppose à une législation nationale qui prévoit la conservation, par les autorités de police, à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, de données à caractère personnel, notamment de données biométriques et génétiques, concernant des personnes ayant fait l’objet d’une condamnation pénale définitive pour une infraction pénale intentionnelle relevant de l’action publique, et ce jusqu’au décès de la personne concernée, y compris en cas de réhabilitation de celle-ci, sans mettre à la charge du responsable du traitement l’obligation de vérifier régulièrement si cette conservation est toujours nécessaire, ni reconnaître à ladite personne le droit à l’effacement de ces données, dès lors que leur conservation n’est plus nécessaire au regard des finalités pour lesquelles elles ont été traitées, ou, le cas échéant, à la limitation du traitement de celles-ci.5743da23f34ee7adc1bc280808926e060c096910eCliquer pour accéder à la décision
C-687/21MediaMarktSaturn25/01/20242024AllemagneCour de Justice de l'UEA classerPréjudice issu d'un manquement au RGPD - Sollicitation de la réparation de son préjudice par la personne concernée - Régime de responsabilité de droit commun50. Par conséquent, il y a lieu de répondre à la septième question que l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens que le droit à réparation prévu à cette disposition, notamment en cas de dommage moral, remplit une fonction compensatoire, en ce qu’une réparation pécuniaire fondée sur ladite disposition doit permettre de compenser intégralement le préjudice concrètement subi du fait de la violation de ce règlement, et non une fonction punitive.33, 8239c9c4e0ab390e751b96a98212ede77eecceb022, c67708d1f81a877f2b8dfc425f4a0437c4e8b324Cliquer pour accéder à la décision
C-687/21MediaMarktSaturn25/01/20242024AllemagneCour de Justice de l'UEA classerCrainte d’un potentiel usage abusif de données personnelles par un tiers - Absence (prouvée) de consultation des données par ce tiers - Dommage moral - Rejet69. Partant, il y a lieu de répondre à la cinquième question que l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens que, dans l’hypothèse où un document contenant des données à caractère personnel a été remis à un tiers non autorisé dont il est établi qu’il n’a pas pris connaissance de celles-ci, un « dommage moral », au sens de cette disposition, n’est pas constitué par le simple fait que la personne concernée craint que, à la suite de cette communication ayant rendu possible la réalisation d’une copie dudit document avant sa restitution, une diffusion, voire un usage abusif, de ses données se produise dans le futur.33, 8239c9c4e0ab390e751b96a98212ede77eecceb022, c67708d1f81a877f2b8dfc425f4a0437c4e8b324Cliquer pour accéder à la décision
C-33/22Österreichische Datenschutzbehörde16/01/20242024AutricheCour de Justice de l'UESécurité nationaleAdministrationException au champ d'application du droit de l'Union (ici, du RGPD) - Activité visant à préserver la sécurité nationale ou activité relevant de cette catégorie - Activité d'une commission d’enquête mise en place par le parlement d’un État membre dans l’exercice de son pouvoir de contrôler une autorité policière - Exclusion57. Eu égard à ce qui précède, il convient de répondre à la deuxième question que l’article 2, paragraphe 2, sous a), du RGPD, lu à la lumière du considérant 16 de celui-ci, doit être interprété en ce sens que ne sauraient être considérées, en tant que telles, comme des activités relatives à la sécurité nationale situées en dehors du champ d’application du droit de l’Union, au sens de cette disposition, les activités d’une commission d’enquête mise en place par le parlement d’un État membre dans l’exercice de son pouvoir de contrôle du pouvoir exécutif, ayant pour objet d’enquêter sur les activités d’une autorité policière de protection de l’État en raison d’un soupçon d’influence politique sur cette autorité.270142f66475ae2fb33722d8d4750f386ecfefe7bCliquer pour accéder à la décision
C-33/22Österreichische Datenschutzbehörde16/01/20242024AutricheCour de Justice de l'UEA classerAdministrationPrincipe de séparation des pouvoirs exécutifs et législatifs - Application à une autorité de contrôle du RGPD - Absence72. Compte tenu de ce qui précède, il convient de répondre à la troisième question que l’article 77, paragraphe 1, et l’article 55, paragraphe 1, du RGPD doivent être interprétés en ce sens que, lorsqu’un État membre a fait le choix, conformément à l’article 51, paragraphe 1, de ce règlement, d’instituer une seule autorité de contrôle, sans toutefois lui attribuer la compétence pour surveiller l’application dudit règlement par une commission d’enquête mise en place par le parlement de cet État membre dans l’exercice de son pouvoir de contrôle du pouvoir exécutif, ces dispositions confèrent directement à cette autorité la compétence pour connaître des réclamations relatives à des traitements de données à caractère personnel effectués par ladite commission d’enquête.77, 5589f2fd1b6301991102bdadc722a5323c40dd302d, 90322c17695939e2ff17c03248b8dd88f73d597cCliquer pour accéder à la décision
SAN-2023-021Amazon France Logistique27/12/20232023FranceCNIL (ou équivalent)Minimisation, LicéitéTravailSurveillance constante et pour toutes les tâches des salariés à des fins de suivi de l’activité et d’évaluation de la performance - Caractère excessif167. La formation restreinte considère que les traitements de données des salariés à des fins de suivi de l’activité et d’évaluation de la performance sont tellement précis qu’ils provoquent un changement d’échelle par rapport aux méthodes de suivi d’activité classiques. Elle estime que ces traitements, qui permettent un contrôle extrêmement précis des salariés, pour chaque action réalisée sur les tâches directes, maintiennent les salariés sous une surveillance constante pour toutes les tâches effectuées avec des scanners et créent ainsi une pression permanente.
168. Les manquements aux principes de minimisation et à l’obligation de disposer d’une base juridique se traduisent donc par des traitements quasi continus et massifs d’indicateurs relatifs à toutes les tâches directes et à la performance des salariés, qui aboutissent à une surveillance informatique disproportionnée de leur activité.
5743da23f34ee7adc1bc280808926e060c096910eCliquer pour accéder à la décision
C-340/21Natsionalna agentsia za prihodite14/12/20232023BulgarieCour de Justice de l'UEA classerCrainte d’un potentiel usage abusif de données personnelles par un tiers - Constitutif d'un dommage moral - Admission sous conditions probatoires86. L’article 82, paragraphe 1, du règlement 2016/679 doit être interprété en ce sens que : la crainte d’un potentiel usage abusif de ses données à caractère personnel par des tiers qu’une personne concernée éprouve à la suite d’une violation de ce règlement est susceptible, à elle seule, de constituer un « dommage moral », au sens de cette disposition.33, 8239c9c4e0ab390e751b96a98212ede77eecceb022, c67708d1f81a877f2b8dfc425f4a0437c4e8b324Cliquer pour accéder à la décision
C-340/21Natsionalna agentsia za prihodite14/12/20232023BulgarieCour de Justice de l'UEA classerViolation de données - Présomption irréfragable d'insuffisance des mesures de sécurité - Absence31. Partant, les articles 24 et 32 du RGPD ne sauraient être compris en ce sens qu’une divulgation non autorisée de données à caractère personnel ou un accès non autorisé à de telles données par un tiers suffisent pour conclure que les mesures adoptées par le responsable du traitement concerné n’étaient pas appropriées, au sens de ces dispositions, sans même permettre à ce dernier d’apporter la preuve contraire.24, 32, 82788235c7a7839ac7e834e0a5a9a15b95657a9271, c9a79ac93c358874ab99f40683428a9fb7bd666c, c67708d1f81a877f2b8dfc425f4a0437c4e8b324Cliquer pour accéder à la décision
C-634/21SCHUFA Holding (Scoring)07/12/20232023AllemagneCour de Justice de l'UEProfilageEconomie et fiscalitéProfilage - Scoring déterminant pour l'octroi d'un droit - Qualification de décision individuelle automatisée50. Il en découle que, dans des circonstances telles que celles en cause au principal, dans lesquelles la valeur de probabilité établie par une société fournissant des informations commerciales et communiquée à une banque joue un rôle déterminant dans l’octroi d’un crédit, l’établissement de cette valeur doit être qualifié en soi de décision produisant à l’égard d’une personne concernée « des effets juridiques la concernant ou l’affectant de manière significative de façon similaire », au sens de l’article 22, paragraphe 1, du RGPD.4, 22a33beb1398d687ce56ea092654850e76f54bebb2, ab19f95e3779aa9f3d6d6281fadcb87b17e12dc4Cliquer pour accéder à la décision
C-26/22SCHUFA Holding07/12/20232023AllemagneCour de Justice de l'UEConservation limitéeEconomie et fiscalitéIntérêt légitime - Conservation de données en lien avec une dette pour une supérieure au registre public d'insolvabilité - Exclusion113. L’article 5, paragraphe 1, sous a), du règlement 2016/679, lu conjointement avec l’article 6, paragraphe 1, premier alinéa, sous f), de ce règlement, doit être interprété en ce sens qu'il s’oppose à une pratique de sociétés privées fournissant des informations commerciales consistant à conserver, dans leurs propres bases de données, des informations provenant d’un registre public relatives à l’octroi d’une libération de reliquat de dette en faveur de personnes physiques afin de pouvoir fournir des renseignements sur la solvabilité de ces personnes, pendant une période allant au-delà de celle durant laquelle les données sont conservées dans le registre public.5, 6743da23f34ee7adc1bc280808926e060c096910eCliquer pour accéder à la décision
C-26/22SCHUFA Holding07/12/20232023AllemagneCour de Justice de l'UEIntérêt légitimeEconomie et fiscalitéIntérêt légitime - Conservation de données en lien avec une dette pour une supérieure au registre public d'insolvabilité - Exclusion113. L’article 5, paragraphe 1, sous a), du règlement 2016/679, lu conjointement avec l’article 6, paragraphe 1, premier alinéa, sous f), de ce règlement, doit être interprété en ce sens qu'il s’oppose à une pratique de sociétés privées fournissant des informations commerciales consistant à conserver, dans leurs propres bases de données, des informations provenant d’un registre public relatives à l’octroi d’une libération de reliquat de dette en faveur de personnes physiques afin de pouvoir fournir des renseignements sur la solvabilité de ces personnes, pendant une période allant au-delà de celle durant laquelle les données sont conservées dans le registre public.5, 62ce6ddc84d93a3a1dcd84238cd67260bd7272e08Cliquer pour accéder à la décision
C-807/71Deutsche Wohnen SE05/12/20232023AllemagneCour de Justice de l'UEA classerMéthode de calcul de l'amende - CA mondial de l'entreprise4. Cette notion [d'entreprise] n’est en effet pertinente que pour déterminer le montant de l’amende administrative imposée au titre de l’article 83, paragraphes 4 à 6, du RGPD à un responsable du traitement
-
56 À cet égard, il convient de souligner que, aux fins de l’application des règles de la concurrence, visées par les articles 101 et 102 TFUE, cette notion comprend toute entité exerçant une activité économique, indépendamment du statut juridique de cette entité et de son mode de financement. Elle désigne ainsi une unité économique même si, du point de vue juridique, cette unité économique est constituée de plusieurs personnes physiques ou morales. Cette unité économique consiste en une organisation unitaire d’éléments personnels, matériels et immatériels poursuivant de façon durable un but économique déterminé (arrêt du 6 octobre 2021, Sumal, C-882/19, EU:C:2021:800, point 41 et jurisprudence citée).
-
57 Ainsi, il ressort de l’article 83, paragraphes 4 à 6, du RGPD, qui vise le calcul des amendes administratives pour les violations énumérées dans ces paragraphes, que, dans le cas où le destinataire de l’amende administrative est ou fait partie d’une entreprise, au sens des articles 101 et 102 TFUE, le montant maximal de l’amende administrative est calculé sur la base d’un pourcentage du chiffre d’affaires annuel mondial total de l’exercice précédent de l’entreprise concernée.
8313f3089206d6a7af14309e3188901bac86bb8db9Cliquer pour accéder à la décision
C-683/21Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos05/12/20232023LituanieCour de Justice de l'UEResponsable de traitementResponsable de traitement - Obligation que le responsable ait accès et/ou traite lui-même des données et/ou donne son accord pour la réalisation des opérations du traitement - Absence38. Eu égard aux motifs qui précédent, il y a lieu de répondre aux première à troisième questions que l’article 4, point 7, du RGPD doit être interprété en ce sens que peut être considérée comme étant responsable du traitement, au sens de cette disposition, une entité qui a chargé une entreprise de développer une application informatique mobile et qui a, dans ce contexte, participé à la détermination des finalités et des moyens du traitement des données à caractère personnel réalisé au moyen de cette application, même si cette entité n’a pas procédé, elle-même, à des opérations de traitement de telles données, qu’elle n’a pas donné explicitement son accord pour la réalisation des opérations concrètes d’un tel traitement ou pour la mise à disposition du public de ladite application mobile et qu’elle n’a pas acquis cette même application mobile, à moins que, avant cette mise à disposition du public, ladite entité ne se soit expressément opposée à celle-ci et au traitement des données à caractère personnel qui en a résulté.4a33beb1398d687ce56ea092654850e76f54bebb2Cliquer pour accéder à la décision
C-683/21Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos05/12/20232023LituanieCour de Justice de l'UEA classerPrononcé d'une amende - Responsabilité pour faute (intentionnelle ou par négligence)71. En ce qui concerne lesdites conditions, il y a lieu de relever que l’article 83, paragraphe 2, du RGPD énumère les éléments au vu desquels l’autorité de contrôle impose une amende administrative au responsable du traitement. Parmi ces éléments figure, au point b) de cette disposition, « le fait que la violation a été commise délibérément ou par négligence ». En revanche, aucun des éléments énumérés à ladite disposition ne fait état d’une quelconque possibilité d’engager la responsabilité du responsable du traitement en l’absence d’un comportement fautif de sa part.
-
73. Il découle ainsi du libellé de l’article 83, paragraphe 2, du RGPD que seules les violations des dispositions de ce règlement commises de manière fautive par le responsable du traitement, à savoir celles commises délibérément ou par négligence, peuvent conduire à l’imposition d’une amende administrative à ce dernier en application de cet article.
8313f3089206d6a7af14309e3188901bac86bb8db9Cliquer pour accéder à la décision
C-683/21Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos05/12/20232023LituanieCour de Justice de l'UEDonnée à caractère personnelDonnée à caractère personnel - Données pseudonymisées - Admission58. En revanche, il découle de l’article 4, point 5, du RGPD, lu en combinaison avec le considérant 26 de ce règlement, que les données à caractère personnel qui ont seulement fait l’objet d’une pseudonymisation et qui pourraient être attribuées à une personne physique par le recours à des informations supplémentaires doivent être considérées comme des informations concernant une personne physique identifiable, auxquelles s’appliquent les principes relatifs à la protection des données.4a33beb1398d687ce56ea092654850e76f54bebb2Cliquer pour accéder à la décision
C-319/22Gesamtverband Autoteile-Handel09/11/20232023AllemagneCour de Justice de l'UEDonnée à caractère personnelTransportsDonnée à caractère personnel - VIN (Vehicule Identification Number) - Inclusion sous conditions - Moyens raisonnables de rattacher un VIN à une personne physique ou identifiable 47. Or, il résulte de l’annexe I, point II.5, de la directive 1999/37 que le VIN doit figurer dans lecertificat d’immatriculation d’un véhicule, tout comme le nom et l’adresse du titulaire de ce certificat. En outre, en vertu des points II.5 et II.6 de cette annexe, une personne physique peut être désignée dans ledit certificat comme propriétaire du véhicule ou comme une personne pouvant disposer du véhicule à un titre juridique autre que celui de propriétaire.
-
48 Dans ces conditions, le VIN constitue une donnée à caractère personnel, au sens de l’article 4, point 1, du RGPD, de la personne physique mentionnée dans le même certificat, dans la mesure où celui qui y a accès pourrait disposer de moyens lui permettant de l’utiliser pour identifier le propriétaire du véhicule auquel il se rapporte ou la personne pouvant disposer de ce véhicule à un titre juridique autre que celui de propriétaire.
4a33beb1398d687ce56ea092654850e76f54bebb2Cliquer pour accéder à la décision
C-252/21Meta Platforms e.a.04/07/20232023AllemagneCour de Justice de l'UEExécution du contratMarketing et prospectionExécution du contrat - Collecte de données des utilisateurs d’un réseau social issues de la consultation par ces utilisateurs de sites Internet ou d’applications tiers en vue de la mise en relation de ces données avec le compte du réseau social des utilisateurs ou de leur utilisation - Admission sous condition de stricte nécessité125. Au vu de tout ce qui précède, il convient de répondre aux troisième et quatrième questions que l’article 6, paragraphe 1, premier alinéa, sous b), du RGPD doit être interprété en ce sens que le traitement de données à caractère personnel effectué par un opérateur d’un réseau social en ligne, consistant en la collecte de données des utilisateurs d’un tel réseau issues d’autres services du groupe auquel appartient cet opérateur ou issues de la consultation par ces utilisateurs de sites Internet ou d’applications tiers, en la mise en relation de ces données avec le compte du réseau social desdits utilisateurs et en l’utilisation desdites données, ne peut être considéré comme étant nécessaire à l’exécution d’un contrat auquel les personnes concernées sont parties, au sens de cette disposition, qu’à la condition que ce traitement soit objectivement indispensable pour réaliser une finalité faisant partie intégrante de la prestation contractuelle destinée à ces mêmes utilisateurs, de telle sorte que l’objet principal du contrat ne pourrait être atteint en l’absence de ce traitement.62ce6ddc84d93a3a1dcd84238cd67260bd7272e08Cliquer pour accéder à la décision
C-252/21Meta Platforms e.a.04/07/20232023AllemagneCour de Justice de l'UEIntérêt légitimeMarketing et prospectionIntérêt légitime - Collecte de données des utilisateurs d’un réseau social issues de la consultation par ces utilisateurs de sites Internet ou d’applications tiers en vue de la mise en relation de ces données avec le compte du réseau social des utilisateurs ou de leur utilisation - Admission sous conditions126. L’article 6, paragraphe 1, premier alinéa, sous f), du RGPD doit être interprété en ce sens qu’un le traitement de données à caractère personnel effectué par un opérateur d’un réseau social en ligne, consistant en la collecte de données des utilisateurs d’un tel réseau issues d’autres services du groupe auquel appartient cet opérateur ou issues de la consultation par ces utilisateurs de sites Internet ou d’applications tiers, en la mise en relation de ces données avec le compte du réseau social desdits utilisateurs et en l’utilisation desdites données, ne peut être considéré comme étant nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, au sens de cette disposition, qu’à la condition que ledit opérateur ait indiqué aux utilisateurs auprès desquels les données ont été collectées un intérêt légitime poursuivi par leur traitement, que ce traitement est opéré dans les limites du strict nécessaire pour la réalisation de cet intérêt légitime et qu’il ressort d’une pondération des intérêts opposés, au regard de l’ensemble des circonstances pertinentes, que les intérêts ou les libertés et les droits fondamentaux de ces utilisateurs ne prévalent pas sur ledit intérêt légitime du responsable du traitement ou d’un tiers.62ce6ddc84d93a3a1dcd84238cd67260bd7272e08Cliquer pour accéder à la décision
MED-2023-040Société X26/06/20232023FranceCNIL (ou équivalent)MinimisationMarketing et prospectionMinimisation - Opposition à la prospection - 1) Données nécessaire à la prise en compte de l’opposition (liste repoussoir) - Admission - 2) Conservation de la civilité, du nom/prénom, date de naissance, numéro de téléphone, adresse électronique, ville ou code postal, niveau d’imposition et situation familiale des prospects ayant exercé leur droit d’opposition - Illicéité Afin d’assurer l’effectivité du droit d’opposition d’une personne à recevoir de la prospection commerciale, le responsable de traitement peut créer une « liste repoussoir » lui permettant de ne pas utiliser à nouveau les données de contact si elles venaient à lui être transmises à nouveau par une autre personne que la personne concernée. [...]
-
2) En l’espèce, la liste repoussoir comprenait la civilité, le nom, le prénom, la date de naissance, le numéro de téléphone, l’adresse électronique, la ville ou le code postal, le niveau d’imposition et la situation familiale alors que l’ensemble de ces données n’apparaissaient pas nécessaires au regard de la finalité liée à la prise en compte de l’opposition des prospects à recevoir de la prospection. Seules les données nécessaires à la prise en compte de l’opposition dans le temps et qui correspondent en l’espèce au numéro de téléphone et à l’adresse électronique de la personne concernée auraient dû être conservées sous une forme hachée. Il en résulte une méconnaissance de l’article 5-1-c) du RGPD.
5743da23f34ee7adc1bc280808926e060c096910eNon publié.
Source: CNIL, Tables Informatique et Libertés
MED-2023-040Société X26/06/20232023FranceCNIL (ou équivalent)Conservation limitéeMarketing et prospectionDurée de conversation - Données nécessaires à la prise en compte de l’opposition à de la prospection (liste repoussoir) - Durée minimale recommandée de trois ansAfin d’assurer l’effectivité du droit d’opposition, le responsable de traitement peut créer une « liste repoussoir » lui permettant de ne pas utiliser à nouveau les données de contact si elles venaient à lui être transmises à nouveau par une autre personne que la personne concernée. La CNIL recommande de conserver l’inscription à la « liste repoussoir » de la personne ayant fait opposition pendant une durée minimale de trois ans et de ne conserver que les empreintes de l’adresse ou du numéro utilisé pour la prospection. Cela permet de prendre en compte l’opposition dans le temps sans conserver de données directement identifiantes.5743da23f34ee7adc1bc280808926e060c096910eNon publié.
Source: CNIL, Tables Informatique et Libertés
SAN-2023-009Criteo15/06/20232023FranceCNIL (ou équivalent)Responsable de traitementMarketing et prospectionResponsabilité conjointe - Collecte du consentement pour le compte de sociétés partenaires - Obligation du responsable de traitement ne collectant pas le consentement d’être en mesure de démontrer que la personne concernée a donné son consentement60. Précisément, elle remarque, en l’occurrence, que la société s’est organisée d’une telle façon avec ses partenaires que les conditions générales d’utilisation des services Criteo, auxquelles les partenaires de la société ont adhéré, précisent qu’il revient bien au partenaire de recueillir le consentement de la personne concernée pour le traitement subséquent opéré à partir des données collectées par ce cookie.
-
61. La formation restreinte estime cependant que le fait que la collecte du consentement des internautes pour la mise en œuvre du traitement en cause revienne aux partenaires n’exonère pas la société de son obligation, en application de l’article 7 du RGPD, d’être en mesure de démontrer que la personne concernée a donné son consentement.
4, 7a33beb1398d687ce56ea092654850e76f54bebb2Cliquer pour accéder à la décision
SAN-2023-009Criteo15/06/20232023FranceCNIL (ou équivalent)PreuveMarketing et prospectionResponsabilité conjointe - Collecte du consentement pour le compte de sociétés partenaires - Obligation du responsable de traitement ne collectant pas le consentement d’être en mesure de démontrer que la personne concernée a donné son consentement60. Précisément, elle remarque, en l’occurrence, que la société s’est organisée d’une telle façon avec ses partenaires que les conditions générales d’utilisation des services Criteo, auxquelles les partenaires de la société ont adhéré, précisent qu’il revient bien au partenaire de recueillir le consentement de la personne concernée pour le traitement subséquent opéré à partir des données collectées par ce cookie.
-
61. La formation restreinte estime cependant que le fait que la collecte du consentement des internautes pour la mise en œuvre du traitement en cause revienne aux partenaires n’exonère pas la société de son obligation, en application de l’article 7 du RGPD, d’être en mesure de démontrer que la personne concernée a donné son consentement.
4, 75e56ceb6a3ee0eeaba07ec39a491a470a34c31f7Cliquer pour accéder à la décision
SAN-2023-009Criteo15/06/20232023FranceCNIL (ou équivalent)Donnée à caractère personnelTechnologie, Marketing et prospectionDonnée à caractère personnel - Combinaison de traces laissées par un témoin de connexion ou une adresse IP à des identifiants uniques ou à d’autres informations - Critères du moyen légal et raisonnable d'identifier - Application40. Ainsi, la formation restreinte note que si la société ne dispose pas directement de l’identité des personnes physiques auxquelles sont liés les terminaux sur lesquels des cookies sont inscrits, la réidentification peut être facilitée par le fait que, dans certaines hypothèses, la société collecte, outre les données liées aux évènements de navigation, d’autres données qui facilitent la réidentification telles que les adresses électroniques des personnes ayant fait leur parcours de navigation depuis un environnement authentifié (ou " logué ") sous forme hachée, des identifiants leur correspondant générés par d’autres acteurs, l’adresse IP sous forme hachée ou encore l’agent utilisateur du terminal utilisé.
-
41. Par conséquent, dès lors que la société est en mesure de réidentifier des personnes par des moyens raisonnables, les données traitées conservent un caractère personnel, au sens de l’article 4, 1) du RGPD
4a33beb1398d687ce56ea092654850e76f54bebb2Cliquer pour accéder à la décision
SAN-2023-008KG COM08/06/20232023FranceCNIL (ou équivalent)MinimisationMarketing et prospection, TravailMinimisation - Finalité probatoire - Enregistrement systématique des appels téléphoniques entre téléopérateurs et prospects - Caractère excessif 31. La formation restreinte considère qu’un responsable du traitement qui souhaite enregistrer des conversations téléphoniques à des fins probatoires doit démontrer qu’il ne dispose pas d’autres moyens moins intrusifs pour prouver que le contrat conclu à distance a bien a été conclu avec la personne concernée.
-
33. [...] L’article L.221-16 du code de la consommation prévoit que, lorsque le professionnel contacte un consommateur par téléphone en vue de conclure un contrat portant sur la vente d’un bien ou sur la fourniture d’un service, ce dernier n’est engagé par cette offre qu’après l’avoir signée et acceptée sur un support durable.
-
34. La formation restreinte considère donc que, dès lors que la preuve de la souscription d’un contrat conclu à distance, à la suite d’un démarchage téléphonique, peut être apportée par la confirmation écrite de l'offre, l’enregistrement des conversations téléphoniques, passées entre les téléopérateurs et les prospects, à des fins de preuve de la formation du contrat, n’apparaît pas nécessaire.
5743da23f34ee7adc1bc280808926e060c096910eCliquer pour accéder à la décision
SAN-2023-008KG COM08/06/20232023FranceCNIL (ou équivalent)MinimisationMarketing et prospection, TravailMinimisation - Finalité de contrôle qualité - Enregistrement systématique des appels téléphoniques entre téléopérateurs et prospects - Caractère excessif26. S’agissant de l’enregistrement intégral et systématique des appels téléphoniques à des fins de contrôle de la qualité du service, la formation restreinte considère que la finalité visant à contrôler la qualité du service fourni par les téléopérateurs et les voyants peut être atteinte par un moyen moins intrusif.
-
27. À cet égard, elle relève que la mise en place d’un enregistrement ponctuel et aléatoire de seulement quelques conversations téléphoniques permet à la personne chargée du suivi du contrôle qualité de disposer des éléments nécessaires à l’évaluation de la qualité des services proposés par la société.
-
28. Dès lors que le contrôle de la qualité du service peut être réalisé par échantillonnage, la formation restreinte considère que l’instauration d’un dispositif d’enregistrement systématique des appels téléphoniques passés, d’une part, entre les téléopérateurs et les prospects, et d’autre part, entre les voyants et les clients, est excessive au regard de la finalité poursuivie.
5743da23f34ee7adc1bc280808926e060c096910eCliquer pour accéder à la décision
C-204/21Commission c/ Pologne05/06/20232023PologneCour de Justice de l'UEDéfinitionDonnée sensible - Données dévoilant indirectement ou étant susceptible de révéler des informations sensibles - Application346. En l’espèce, force est de constater que la collecte et la mise en ligne des informations afférentes à l’« appartenance » passée d’un juge à un « parti politique » et aux « fonctions » exercées dans ce parti, visées à l’article 88a, paragraphe 1, point 3, de la loi modifiée relative aux juridictions de droit commun, constituent des traitements de nature à pouvoir révéler les opinions politiques de l’intéressé, au sens de l’article 9, paragraphe 1, du RGPD.
-
347. Quant aux informations afférentes à l’« appartenance » passée ou actuelle d’un juge à une « association » et aux « fonctions » exercées par ce juge dans le cadre de celle-ci ou aux « fonctions » passées ou actuelles exercées par celui-ci dans une instance d’une « fondation sans but lucratif », visées à l’article 88a, paragraphe 1, points 1 et 2, de la loi modifiée relative aux juridictions de droit commun, il y a lieu de constater, à l’instar de M. l’avocat général aux points 244 et 245 de ses conclusions, que, eu égard au caractère très large et imprécis des termes auxquels le législateur polonais a ainsi eu recours, la collecte et la mise en ligne de telles informations est, selon la nature précise des associations et fondations concernées, susceptible de révéler les convictions religieuses ou philosophiques des intéressés, au sens de l’article 9, paragraphe 1, du RGPD, ainsi que la Commission le fait valoir.
9b85ab32eaa572c8016edf68011078dceed8149e5Cliquer pour accéder à la décision
21-18.558Société FHF International01/06/20232023FranceCour de cassationDroit applicablePolice-Justice, Economie et fiscalitéAdministration fiscale - Traitement aux fins d’obtenir le droit de procéder à une mesure d’enquête - Fraude fiscale - Champ d’application matériel du RGPD9. La Cour de justice a ensuite retenu que, s'agissant de la collecte, par une administration fiscale, auprès d'un opérateur économique, de données à caractère personnel relatives à certains contribuables aux fins de la perception de l'impôt et de la lutte contre la fraude fiscale, « il n'apparaît pas que l'administration fiscale d'un État membre puisse être considérée comme une "autorité compétente", au sens de l'article 3, point 7, de la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016, [...]
-
10. Il s'en déduit que le traitement de données à caractère personnel mis en oeuvre par l'administration fiscale aux fins d'obtenir l'autorisation de procéder à des opérations de visite et saisies sur le fondement de l'article L. 16 B du livre des procédures fiscales, qui a pour finalité d'obtenir le droit de procéder à une mesure d'enquête pouvant donner lieu à la constatation d'une infraction ou d'un manquement à la législation fiscale, dans le but de percevoir l'impôt et de lutter contre la fraude fiscale, entre dans le champ d'application matériel du RGPD.
270142f66475ae2fb33722d8d4750f386ecfefe7bCliquer pour accéder à la décision
SAN-2023-006Doctissimo11/05/20232023FranceCNIL (ou équivalent)Contenu de l'informationSantéTraitement impliquant nécessairement des données de santé - Information explicite de l’utilisateur - Obligation56. En deuxième lieu, en l’absence d’autres conditions mobilisables pour permettre ledit traitement au cas d’espèce au titre de l’article 9-2-b) à j) du RGPD, la formation restreinte considère qu’un tel traitement ne peut être mis en œuvre que sur la base du consentement explicite de la personne concernée, au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques, en application de l’article 9-2-a) du RGPD. La formation restreinte rappelle que le caractère explicite du consentement s’analyse au cas par cas et dépend du contexte du traitement des données de santé. Lorsque le service demandé par l’utilisateur implique nécessairement le traitement de données de santé, il est cependant nécessaire que l’utilisateur ait pleinement conscience de ce que ses données de santé seront traitées et parfois conservés par le responsable de traitement, ce qui implique en principe une information explicite sur ce point lors du recueil du consentement.9, 12, 134fde6b87a266eece4b77ee2df16db81507c218b0, f7475b81fdc4723ec189ed2fbacb5f50b84b6a92Cliquer pour accéder à la décision
SAN-2023-006Doctissimo11/05/20232023FranceCNIL (ou équivalent)Données de santé, ConsentementSantéTraitement impliquant nécessairement des données de santé - Information explicite de l’utilisateur - Obligation56. En deuxième lieu, en l’absence d’autres conditions mobilisables pour permettre ledit traitement au cas d’espèce au titre de l’article 9-2-b) à j) du RGPD, la formation restreinte considère qu’un tel traitement ne peut être mis en œuvre que sur la base du consentement explicite de la personne concernée, au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques, en application de l’article 9-2-a) du RGPD. La formation restreinte rappelle que le caractère explicite du consentement s’analyse au cas par cas et dépend du contexte du traitement des données de santé. Lorsque le service demandé par l’utilisateur implique nécessairement le traitement de données de santé, il est cependant nécessaire que l’utilisateur ait pleinement conscience de ce que ses données de santé seront traitées et parfois conservés par le responsable de traitement, ce qui implique en principe une information explicite sur ce point lors du recueil du consentement.9, 12, 13b85ab32eaa572c8016edf68011078dceed8149e5Cliquer pour accéder à la décision
C-487/21Österreichische Datenschutzbehörde et CRIF04/05/20232023AllemagneCour de Justice de l'UEDonnée à caractère personnelDonnée à caractère personnel - Tout type d'information pouvant concerner une personne - Admission23. L’emploi de l’expression « toute information » dans la définition de la notion de « donnée à caractère personnel », figurant à cette disposition, reflète l’objectif du législateur de l’Union d’attribuer un sens large à cette notion, laquelle englobe potentiellement toute sorte d’informations, tant objectives que subjectives, sous forme d’avis ou d’appréciations, à condition que celles-ci « concernent » la personne en cause (voir, par analogie, arrêt du 20 décembre 2017, Nowak, C-434/16, EU:C:2017:994, point 34).

24. À cet égard, il a été jugé qu’une information concerne une personne physique identifiée ou identifiable lorsque, en raison de son contenu, sa finalité ou son effet, elle est liée à une personne identifiable (voir, en ce sens, arrêt du 20 décembre 2017, Nowak, C-434/16, EU:C:2017:994, point 35).
4a33beb1398d687ce56ea092654850e76f54bebb2Cliquer pour accéder à la décision
C-300/21Österreichische Post AG04/05/20232023AllemagneCour de Justice de l'UEA classerManquement au RGPD - Réparation du préjudice en résultant - 1 ) Conditions du droit à réparation - Simple violation dudit règlement - Insuffisance - 2) Condition de gravité minimale - Absence 42. Eu égard à l’ensemble des motifs qui précèdent, il y a lieu de répondre à la première question que l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens que la simple violation des dispositions de ce règlement ne suffit pas pour conférer un droit à réparation.
-
51. Eu égard aux motifs qui précèdent, il convient de répondre à la troisième question que l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens qu’il s’oppose à une règle ou une pratique nationale subordonnant la réparation d’un dommage moral, au sens de cette disposition, à la condition que le préjudice subi par la personne concernée ait atteint un certain degré de gravité.
82c67708d1f81a877f2b8dfc425f4a0437c4e8b324Cliquer pour accéder à la décision
T-557/20CRU / CEPD26/04/20232023AutreDonnée à caractère personnelDonnée à caractère personnel - Qualification - Analyse pratique et non théorique - Nécessité de se placer du point de vue de la personne en possession des données97. Toutefois, il ressort également de l’arrêt du 19 octobre 2016, Breyer (C-582/14, EU:C:2016:779), que, pour déterminer si les informations transmises à Deloitte constituaient des données à caractère personnel, il convient de se placer du point de vue de ce dernier pour déterminer si les informations qui lui ont été transmises se rapportent à des « personnes identifiables ».
-
105. Partant, à défaut pour le CEPD d’avoir recherché si Deloitte disposait de moyens légaux et réalisables en pratique lui permettant d’accéder aux informations supplémentaires nécessaires à la réidentification des auteurs des commentaires, le CEPD ne pouvait conclure que les informations transmises à Deloitte constituaient des informations se rapportant à une « personne physique identifiable » au sens de l’article 3, point 1, du règlement 2018/1725 [équivalent au 4 du RGPD].

ATTENTION: Cette décision a fait l'objet d'un pourvoi.
4a33beb1398d687ce56ea092654850e76f54bebb2Cliquer pour accéder à la décision
C-154/21Österreichische Post12/01/20232023AutricheCour de Justice de l'UEA classerInclusion de la liste des destinataires dans une demande de droit d'accès - Obligation39. Ainsi, afin de garantir l’effet utile de l’ensemble des droits mentionnés au point précédent du présent arrêt, la personne concernée doit disposer, en particulier, d’un droit à être informée de l’identité des destinataires concrets dans le cas où ses données à caractère personnel ont déjà été communiquées.154c7a18c8baa891976ae8102b846b3aa8143fe90dCliquer pour accéder à la décision
CEPD 04/2022Autorité irlandaise concernant Meta Platforms Ireland Limited05/12/20222022IrlandeCNIL (ou équivalent)A classerLicéité - Primauté des principes du RGPD sur les intérêts économiques de l’entreprise responsable du traitement108. (Traduction) Le RGPD rend Meta IE, en tant que responsable de traitement, directement responsable du respect des principes du règlement (licéité, loyauté et transparence du traitement de données à caractère personnel), ainsi que de toutes les obligations qui en découlent. Cette obligation prévaut même lorsque l'application effective de ces principes n'est pas aisée ou va à l'encontre des intérêts commerciaux de l’entreprise et de son modèle économique. Le responsable du traitement est également tenu de pouvoir démontrer qu'il respecte ces principes ainsi que toutes les obligations qui en découlent comme le respect des conditions spécifiques applicables à chaque base légale de traitement. 5, 685c1796e088aa65a0cb75682027288d71d6c885dCliquer pour accéder à la décision
CEPD 04/2022Autorité irlandaise concernant Meta Platforms Ireland Limited05/12/20222022IrlandeCNIL (ou équivalent)A classerLicéité - Choix de la base légale de traitement - Absence de hiérarchie - Objectif de protéger les droits et libertés des personnes physiques 107. (Traduction) Il n'y a pas de hiérarchie entre ces bases juridiques. Toutefois, cela ne signifie pas qu'un responsable du traitement, comme Meta IE en l'espèce, dispose d'un pouvoir discrétionnaire absolu pour choisir la base juridique qui convient le mieux à ses intérêts commerciaux. Le responsable du traitement ne peut se fonder sur l'une des bases juridiques établies à l'article 6 du GDPR que si elle est appropriée pour le traitement en question. Une base juridique spécifique sera appropriée dans la mesure où le traitement peut répondre aux exigences fixées par le RGPD et remplir l'objectif du RGPD de protéger les droits et libertés des personnes physiques et en particulier leur droit à la protection des données à caractère personnel. La base juridique ne sera pas appropriée si son application à un traitement spécifique va à l'encontre de l'effet utile recherché par le RGPD et l'article 5, paragraphe 1, point a), et l'article 6 du RGPD.5, 685c1796e088aa65a0cb75682027288d71d6c885dCliquer pour accéder à la décision
SAN-2022-021EDF24/11/20222022FranceCNIL (ou équivalent)ConsentementMarketing et prospectionProspection commerciale - Collecte indirecte des données des prospects - 1) Modalités et preuve du recueil du consentement - 2) Information des personnes concernées - Liste exhaustive et mise à jour des prestataires et fournisseurs - Inclusion22. En premier lieu, la formation restreinte rappelle que, lorsque les données des prospects n’ont pas été collectées directement auprès d’eux par l’organisme qui prospecte, le consentement peut avoir été recueilli au moment de la collecte initiale des données par le primo-collectant, pour le compte de l’organisme qui réalisera les opérations de prospection ultérieures. À défaut, il revient à l’organisme qui prospecte de recueillir un tel consentement avant de procéder à des actes de prospection. Au regard des dispositions de l’article 7, paragraphe 1, du RGPD, le prospecteur doit alors être en mesure de prouver qu’il dispose de ce consentement. En outre, pour que le consentement soit éclairé, les personnes doivent notamment être clairement informées de l’identité du prospecteur pour le compte duquel le consentement est collecté et des finalités pour lesquelles les données seront utilisées. Pour ce faire, une liste exhaustive et mise à jour doit être tenue à la disposition des personnes au moment du recueil de leur consentement, par exemple directement sur le support de collecte ou, si celle-ci est trop longue, via un lien hypertexte renvoyant vers ladite liste et les politiques de confidentialité des prestataires et fournisseurs.6, 72ce6ddc84d93a3a1dcd84238cd67260bd7272e08Cliquer pour accéder à la décision
SAN-2022-021EDF24/11/20222022FranceCNIL (ou équivalent)Preuve, EclairéMarketing et prospectionProspection commerciale - Collecte indirecte des données des prospects - 1) Modalités et preuve du recueil du consentement - 2) Information des personnes concernées - Liste exhaustive et mise à jour des prestataires et fournisseurs - Inclusion22. En premier lieu, la formation restreinte rappelle que, lorsque les données des prospects n’ont pas été collectées directement auprès d’eux par l’organisme qui prospecte, le consentement peut avoir été recueilli au moment de la collecte initiale des données par le primo-collectant, pour le compte de l’organisme qui réalisera les opérations de prospection ultérieures. À défaut, il revient à l’organisme qui prospecte de recueillir un tel consentement avant de procéder à des actes de prospection. Au regard des dispositions de l’article 7, paragraphe 1, du RGPD, le prospecteur doit alors être en mesure de prouver qu’il dispose de ce consentement. En outre, pour que le consentement soit éclairé, les personnes doivent notamment être clairement informées de l’identité du prospecteur pour le compte duquel le consentement est collecté et des finalités pour lesquelles les données seront utilisées. Pour ce faire, une liste exhaustive et mise à jour doit être tenue à la disposition des personnes au moment du recueil de leur consentement, par exemple directement sur le support de collecte ou, si celle-ci est trop longue, via un lien hypertexte renvoyant vers ladite liste et les politiques de confidentialité des prestataires et fournisseurs.6, 75e56ceb6a3ee0eeaba07ec39a491a470a34c31f7Cliquer pour accéder à la décision
SAN-2022-021EDF24/11/20222022FranceCNIL (ou équivalent)Contenu de l'informationMarketing et prospectionProspection commerciale - Information des personnes concernées - Liste exhaustive et mise à jour des prestataires et fournisseurs - Inclusion22. [...] En outre, pour que le consentement soit éclairé, les personnes doivent notamment être clairement informées de l’identité du prospecteur pour le compte duquel le consentement est collecté et des finalités pour lesquelles les données seront utilisées. Pour ce faire, une liste exhaustive et mise à jour doit être tenue à la disposition des personnes au moment du recueil de leur consentement, par exemple directement sur le support de collecte ou, si celle-ci est trop longue, via un lien hypertexte renvoyant vers ladite liste et les politiques de confidentialité des prestataires et fournisseurs.13, 14, 15f7475b81fdc4723ec189ed2fbacb5f50b84b6a92, 4c346b79544cb7d893c9dac5883512c2b8b3ebd2, 4c7a18c8baa891976ae8102b846b3aa8143fe90dCliquer pour accéder à la décision
C-61/19Orange Romania11/11/20222022RoumanieCour de Justice de l'UELiberté, EclairéTechnologieCirconstances dans lesquelles le consentement n’est pas libre et éclairé - 1) Case pré-cochée par le responsable de traitement - 2) Information susceptible d’induire la personne concernée en erreur - 3) Exigence d’un formulaire faisant état du refus Un contrat relatif à la fourniture de services de télécommunications qui contient une clause selon laquelle la personne concernée a été informée et a consenti à la collecte ainsi qu’à la conservation d’une copie de son titre d’identité à des fins d’identification n’est pas de nature à démontrer que cette personne a valablement donné son consentement, au sens de ces dispositions, à cette collecte et à cette conservation, lorsque
- la case se référant à cette clause a été cochée par le responsable du traitement des données avant la signature de ce contrat, ou lorsque
- les stipulations contractuelles dudit contrat sont susceptibles d’induire la personne concernée en erreur quant à la possibilité de conclure le contrat en question même si elle refuse de consentir au traitement de ses données, ou lorsque
- le libre choix de s’opposer à cette collecte et à cette conservation est affecté indûment par ce responsable, en exigeant que la personne concernée, afin de refuser de donner son consentement, remplisse un formulaire supplémentaire faisant état de ce refus.
75e56ceb6a3ee0eeaba07ec39a491a470a34c31f7Cliquer pour accéder à la décision
SAN-2022-020Discord INC.10/11/20222022FranceCNIL (ou équivalent)A classer« Guichet unique » applicable aux traitements transfrontaliers (art. 56 RGPD) - 1) Absence d’établissement sur le territoire d’un État membre de l’Union européenne - Exclusion - 2) En conséquence, compétence de la CNIL pour le contrôle de la conformité au RGPD des traitements visant des personnes résidant sur le territoire national - Admission25. La formation restreinte relève, sans que ceci soit contesté par la société dans le cadre de la présente procédure, que le mécanisme du " guichet unique " prévu par l’article 56 du RGPD n’a pas vocation à s’appliquer en l’espèce, la société DISCORD INC. ne disposant pas d’établissement sur le territoire d’un État membre de l’Union européenne. Dès lors, chaque autorité de contrôle nationale est compétente pour contrôler le respect du RGPD sur le territoire de l’État membre dont elle relève conformément à l’article 55 du Règlement, pour les traitements mis en œuvre par DISCORD INC. visant des personnes résidant sur ce territoire. La CNIL est ainsi compétente pour contrôler la conformité au RGPD des traitements mis en œuvre par DISCORD INC. visant des personnes résidant sur le territoire français.56d46d35eba601c0bafe5f11a3d3cf117c20650aefCliquer pour accéder à la décision
C-306/21Koalitsia « Demokratichna Bulgaria - Obedinenie »20/10/20222022BulgarieCour de Justice de l'UESécurité nationaleAdministrationChamp d'application du RGPD - Traitement de données à caractère personnel dans le contexte de l’organisation d’élections dans un État membre - Inclusion40. Les activités qui ont pour but de préserver la sécurité nationale visées à l’article 2, paragraphe 2, sous a), du RGPD couvrent, en particulier, celles ayant pour objet de protéger les fonctions essentielles de l’État et les intérêts fondamentaux de la société [voir, en ce sens, arrêt du 22 juin 2021, Latvijas Republikas Saeima (Points de pénalité), C-439/19, EU:C:2021:504, point 67].
-
41. Or, les activités relatives à l’organisation d’élections dans un État membre ne poursuivent pas un tel objectif et ne sauraient, en conséquence, être rangées dans la catégorie des activités ayant pour but la préservation de la sécurité nationale, visées à l’article 2, paragraphe 2, sous a), du RGPD.
-
42. Eu égard aux considérations qui précèdent, il convient de répondre aux première et deuxième questions que l’article 2, paragraphe 2, sous a), du RGPD doit être interprété en ce sens que n’est pas exclu du champ d’application de ce règlement le traitement des données à caractère personnel dans le contexte de l’organisation d’élections dans un État membre.
270142f66475ae2fb33722d8d4750f386ecfefe7bCliquer pour accéder à la décision
C-184/20Vyriausioji tarnybinės etikos komisija01/08/20222022LituanieCour de Justice de l'UEA classerDonnée sensible - Données relatives au conjoint, concubin ou partenaire susceptibles de divulguer indirectement l’orientation sexuelle - Inclusion128. Eu égard à l’ensemble des considérations qui précèdent, il y a lieu de répondre à la seconde question que l’article 8, paragraphe 1, de la directive 95/46 et l’article 9, paragraphe 1, du RGPD doivent être interprétés en ce sens que la publication, sur le site Internet de l’autorité publique chargée de collecter et de contrôler la teneur des déclarations d’intérêts privés, de données à caractère personnel susceptibles de divulguer indirectement l’orientation sexuelle d’une personne physique constitue un traitement portant sur des catégories particulières de données à caractère personnel, au sens de ces dispositions.4, 9d767e48185542076cb9408feebebf0d3862f1fa0Cliquer pour accéder à la décision
SAN-2022-012Société X23/06/20222022FranceCNIL (ou équivalent)A classerAnonymisation - Mesures permettant d’assurer une anonymisation effective - ExempleConstitue une mesure de nature à ne plus permettre la réidentification des personnes la mise en place d’une procédure d’anonymisation automatique des données clients à l’issue de la période d’archivage intermédiaire, par laquelle les données - nom, prénom, numéro de téléphone, adresse électronique, adresse postale et coordonnées bancaires - sont remplacées par des données non identifiantes qui correspondent à une série de « X », d’autres données sont supprimées, et ne sont conservées que les données clients correspondant à la civilité, au code postal et à la ville. Ces dernières données, seules ou en lien avec d’autres données accessibles par le responsable de traitement ou des tiers, ne permettent pas, en l’espèce, de réidentifier la personne concernée. 2, 4e1c26d37d292004e5e73f2788b9f7d1db015bbdcNon publié.
Source: CNIL, Tables Informatique et Libertés
SAN-2022-012Société X23/06/20222022FranceCNIL (ou équivalent)Conservation limitéeRespect de la durée de conservation par anonymisation des données - AdmissionL’anonymisation peut être considérée comme un moyen permettant de se conformer aux obligations en matière de limitation de la conservation lorsqu’à l’issue d’une période de conservation en base active pendant la durée d’une relation contractuelle, une société procède à un premier tri des données en anonymisant les données non pertinentes et en conservant, en base d’archivage intermédiaire, les données permettant de répondre aux obligations légales ou lorsqu’elles présentent un intérêt administratif pour la société, et lorsqu’à l’issue de cette période d’archivage intermédiaire les données sont automatiquement anonymisées. 5743da23f34ee7adc1bc280808926e060c096910eNon publié.
Source: CNIL, Tables Informatique et Libertés
C-319/20Meta Platforms Ireland28/04/20222022AllemagneCour de Justice de l'UEA classerAction représentative en l'absence de mandat invoquant un fondement autre que le RGPD - Admission sous conditions : 1) Règlementation nationale le permettant - 2) Traitement susceptible d’affecter les droits "RGPD" des personnes concernées83. Eu égard à l’ensemble des considérations qui précèdent, il y a lieu de répondre à la question posée que l’article 80, paragraphe 2, du RGPD doit être interprété en ce sens qu’il ne s’oppose pas à une réglementation nationale qui permet à une association de défense des intérêts des consommateurs d’agir en justice, en l’absence d’un mandat qui lui a été conféré à cette fin et indépendamment de la violation de droits concrets des personnes concernées, contre l’auteur présumé d’une atteinte à la protection des données à caractère personnel, en invoquant la violation de l’interdiction des pratiques commerciales déloyales, d’une loi en matière de protection des consommateurs ou de l’interdiction de l’utilisation de conditions générales nulles, dès lors que le traitement de données concerné est susceptible d’affecter les droits que des personnes physiques identifiées ou identifiables tirent de ce règlement.80bb44e18ada1402f32b39da7edc60c2ef0261473dCliquer pour accéder à la décision
2022-051Avis sur projet de décret21/04/20222022FranceCNIL (ou équivalent)DestinataireSanté, AdministrationDestinataires et accédants - Personnes accédants au traitement ou destinataires de données de santé - Nécéssité de s'assurer du secret médical et droit d’en connaîtreDans le cadre d’un traitement mis en œuvre pour le compte de l’État et contenant des données recueillies par des professionnels de santé et couvertes par le secret médical, il revient au responsable du traitement de s'assurer que les personnes accédant au traitement ou destinataires des données qui pourraient avoir connaissance des données couvertes par le secret médical ont bien le droit d'en connaître. Excepté dans les cas de dérogation expressément prévus par la loi, ce secret couvre l'ensemble des informations concernant la personne portée à la connaissance d’un professionnel de santé, de tout membre du personnel d’un établissement, service ou organisme concourant à la prévention ou aux soins et de toute autre personne en relation, de par ses activités, avec ces établissements ou organismes. La Commission rappelle que ce secret s'impose à tous les professionnels intervenant dans le système de santé qui pourraient être amenés à transmettre des informations afin qu’elles soient enregistrées dans le traitement.4a33beb1398d687ce56ea092654850e76f54bebb2Non publié.
Source: CNIL, Tables Informatique et Libertés
2022-051Avis sur projet de décret21/04/20222022FranceCNIL (ou équivalent)Conservation limitéeAdministrationArchivage - Traitements publics encadrés par un acte réglementaire - 1) Obligation d’inscrire l’archivage intermédiaire dans l’acte réglementaire - Appréciation d’espèce - 2) Obligation d’inscrire l’archivage définitif dans l’acte réglementaire - AbsenceCas d’un traitement de l’État permettant d’enregistrer des informations sur les ressortissants français et leurs ayants droit ainsi que documents relatifs à une situation de crise à l’étranger en vue d’en faciliter la gestion et d’informer et associer les personnes concernées.
-
1) Une fois que les données ne sont plus utilisées dans le cadre de la gestion opérationnelle liée à l’évènement survenu à l’étranger ou pour réaliser les statistiques prévues, il est recommandé de mettre en place un archivage intermédiaire afin de limiter la consultation de ces données à des personnes spécifiquement habilitées. Eu égard à l’écart entre la durée d’utilisation opérationnelle des données et leur durée de conservation en base intermédiaire (10 ans), le principe d’un tel archivage intermédiaire devrait en l’espèce être inscrit dans le décret portant création du traitement, à titre de garantie apportée aux personnes concernées.
-
2) S’agissant de l’archivage définitif au titre de l’application des règles régissant les archives publiques issues du code du patrimoine, un acte réglementaire régissant un traitement public réserve toujours implicitement l’application des obligations du code du patrimoine et l’archivage définitif n’a pas besoin d’être expressément prévu par l’acte réglementaire.
5743da23f34ee7adc1bc280808926e060c096910eNon publié.
Source: CNIL, Tables Informatique et Libertés
19/12628S.A.R.L. CARBTECH15/04/20222022FranceAutreA classerManquement au RGPD - Susceptible de constituer une pratique de concurrence déloyale - Admission7- [...] Il incombe pourtant à tout responsable de traitement ou sous-traitant d'assurer la confidentialité et la sécurité des données personnelles collectées et traitées, c'est-à-dire de veiller à ce que ces données ne soient ni altérées ni communiquées à des tiers non autorisés or, au cas d'espèce, s'il est indiqué dans l'onglet « mentions légales » du site internet de la société CARBTECH que les informations enregistrées sont uniquement réservées à l'usage du service concerné et ne peuvent être communiquées à des sociétés tierces, aucune charte de confidentialité n'est cependant mise à la disposition du public, le lien dédié renvoyant en réalité à une page d'erreur comme cela ressort du procès-verbal de constat d'huissier dressé le 25 janvier 2019.
-
Au regard de l'ensemble de ces éléments et dans la mesure où tout manquement à la réglementation dans l'exercice d'une activité commerciale induit nécessairement un avantage concurrentiel indu pour son auteur, il convient de juger que la société CARBTECH s'est rendue coupable d'acte de concurrence déloyale au préjudice de la demanderesse.
da39a3ee5e6b4b0d3255bfef95601890afd80709Cliquer pour accéder à la décision
2022-045Avis sur projet d’arrêté, VidéoCRA31/03/20222022FranceCNIL (ou équivalent)DéfinitionPolice-JusticeDonnées relative à des infractions de nature pénale et données sensible - Enregistrement de vidéosurveillance susceptible de contenir des données sensibles ou des données d’infraction - Absence de qualification automatiqueLa Commission relève qu'un enregistrement vidéo n'est pas considéré en soi comme relevant d'une catégorie particulière de données à caractère personnel. 9, 10b85ab32eaa572c8016edf68011078dceed8149e5Cliquer pour accéder à la décision
2022-045Avis sur projet d’arrêté, VidéoCRA31/03/20222022FranceCNIL (ou équivalent)Infraction pénalePolice-JusticeDonnées relative à des infractions de nature pénale et données sensible - Enregistrement de vidéosurveillance susceptible de contenir des données sensibles ou des données d’infraction - Absence de qualification automatiqueLa Commission relève qu'un enregistrement vidéo n'est pas considéré en soi comme relevant d'une catégorie particulière de données à caractère personnel. 9, 10c23f7da7070511444ebc75875fd9d202b5dd13cfCliquer pour accéder à la décision
2022-045Avis sur projet d’arrêté, VidéoCRA31/03/20222022FranceCNIL (ou équivalent)Droit applicablePolice-Justice1) Placement en centre ou en lieu de rétention - Donnée relative à des infractions de nature pénale - Indépendance - 2) Traitements automatisés de données à caractère personnel provenant de dispositifs de vidéosurveillance installés dans les emprises des locaux et centres de rétention administrative et des zones d’attente - Qualification - ExemplesEn l'espèce, la Commission rappelle que le placement en centre ou en lieu de rétention est indépendant de toute qualification pénale. Elle relève en outre que le contrôle du respect des règles de sécurité du règlement intérieur de chaque local de rétention administrative (1° de l'article 1er du projet d'arrêté) et des règles de contrôle d'accès (2° de l'article 1er du projet d'arrêté) ne relève pas non plus d'une finalité pénale. Il en va de même de la finalité relative à la collecte de preuves dans le cadre des procédures administratives et disciplinaires (3° de l'article 1er du projet d'arrêté). En revanche, les missions de maintien de la sécurité publique par les forces de l'ordre au sein des centres et lieux de rétention sont susceptibles de relever de la directive précitée. La Commission considère dès lors que les traitements projetés devraient relever d'un régime mixte (RGPD et directive police-justice tel que transposée au titre III de la loi du 6 janvier 1978 modifiée) en fonction des finalités poursuivies.10c23f7da7070511444ebc75875fd9d202b5dd13cfCliquer pour accéder à la décision
40/2022Mme X17/03/20222022BelgiqueCNIL (ou équivalent)MinimisationExercice des droits - Interdiction de l'exigence systématique de la carte d'identité - Possibilité de masquer les parties non obligatoires - Admission12. La Chambre Contentieuse souligne à cet égard que ce n'est que dans les cas spécifiques où conformément à l'article 5.2 du RGPD, le responsable du traitement est à même de démontrer qu'il ne peut pas identifier cette personne concernée (art. 11.2 du RGPD) et/ou qu'il a des doutes raisonnables quant à l'identité de la personne physique présentant la demande (art. 12.6 du RGPD) qu'il peut réclamer les données supplémentaires nécessaires pour confirmer l'identité de la personne concernée. Ces données supplémentaires peuvent par exemple consister en une copie du recto de la carte d'identité ou d’un autre document
prouvant l’identité. Les autres données qui ne sont pas nécessaires à l’identification peuvent avoir été préalablement rendues illisibles par le plaignant.
-
Ces différents éléments concernant l’usage de la carte d’identité sont confirmés par le CEPD dans ses lignes directrices sur le droit d’accès , qui indiquent notamment que « demander des copies de la carte d'identité de leurs clients, ne devrait généralement pas être considérée comme un moyen d'authentification approprié ».
5, 15, 16, 17, 18, 19, 20, 21743da23f34ee7adc1bc280808926e060c096910eCliquer pour accéder à la décision
40/2022Mme X17/03/20222022BelgiqueCNIL (ou équivalent)A classerExercice des droits - Interdiction de l'exigence systématique de la carte d'identité - Possibilité de masquer les parties non obligatoires - Admission12. La Chambre Contentieuse souligne à cet égard que ce n'est que dans les cas spécifiques où conformément à l'article 5.2 du RGPD, le responsable du traitement est à même de démontrer qu'il ne peut pas identifier cette personne concernée (art. 11.2 du RGPD) et/ou qu'il a des doutes raisonnables quant à l'identité de la personne physique présentant la demande (art. 12.6 du RGPD) qu'il peut réclamer les données supplémentaires nécessaires pour confirmer l'identité de la personne concernée. Ces données supplémentaires peuvent par exemple consister en une copie du recto de la carte d'identité ou d’un autre document
prouvant l’identité. Les autres données qui ne sont pas nécessaires à l’identification peuvent avoir été préalablement rendues illisibles par le plaignant.
-
Ces différents éléments concernant l’usage de la carte d’identité sont confirmés par le CEPD dans ses lignes directrices sur le droit d’accès , qui indiquent notamment que « demander des copies de la carte d'identité de leurs clients, ne devrait généralement pas être considérée comme un moyen d'authentification approprié ».
5, 15, 16, 17, 18, 19, 20, 214c7a18c8baa891976ae8102b846b3aa8143fe90d, a99f1dbbfe0c91ea18cfffda9d7c8a31427e101b, 1e8656ea42e419dc857d077aca14615f16874373, 7ec55425dd482616b15ac330da38a1c61a044421, b2cc37fd75c7d64c337be8287efb964bab2565be, b8fc90fd7ade4838fc2405e4321d6b394d59f336, 18b66e1ee3dc142534c1d5c03f7bded8db5d3466Cliquer pour accéder à la décision
2021-976/977 QPCM. Habib A. et autre 25/02/20222022FranceConseil constitutionnelConservation limitéeTechnologieConservation généralisée et indifférenciée des données de connexion - Contraire à la Constitution13. Il résulte de ce qui précède qu’en autorisant la conservation générale et indifférenciée des données de connexion, les dispositions contestées portent une atteinte disproportionnée au droit au respect de la vie privée.5743da23f34ee7adc1bc280808926e060c096910eCliquer pour accéder à la décision
C-175/20Valsts ieņēmumu dienests24/02/20222022LettonieCour de Justice de l'UEDirective Police-JusticePolice-JusticeDonnée relative aux infractions de nature pénale soumise à la directive « Police-Justice » - Perception de l’impôt et lutte contre la fraude fiscale par l’administration fiscale - Absence45. En outre, même s’il n’est pas exclu que les données à caractère personnel en cause au principal puissent être utilisées dans le cadre de poursuites pénales qui pourraient être exercées, en cas d’infraction dans le domaine fiscal, contre certaines des personnes concernées, il n’apparaît pas que ces données soient collectées dans l’objectif spécifique d’exercer de telles poursuites pénales ou dans le cadre des activités de l’État relatives à des domaines du droit pénal (voir, en ce sens, arrêt du 27 septembre 2017, Puškár, C-73/16, EU:C:2017:725, point 40).10c23f7da7070511444ebc75875fd9d202b5dd13cfCliquer pour accéder à la décision
C-175/20Valsts ieņēmumu dienests24/02/20222022LettonieCour de Justice de l'UEMinimisationEconomie et fiscalité, AdministrationMinimisation - Application à l'administration fiscale - Admission44. Ainsi, lorsqu’elle demande à un opérateur économique de lui communiquer des données à caractère personnel relatives à certains contribuables aux fins de la perception de l’impôt et de la lutte contre la fraude fiscale, il n’apparaît pas que l’administration fiscale d’un État membre puisse être considérée comme une « autorité compétente », au sens de l’article 3, point 7, de la directive 2016/680, ni, partant, que de telles demandes d’informations puissent relever de l’exception prévue à l’article 2, paragraphe 2, sous d), du règlement 2016/679.
-
46. Partant, la collecte, par l’administration fiscale d’un État membre, de données à caractère personnel relatives aux annonces de vente de véhicules publiées sur le site Internet d’un opérateur économique relève du champ d’application matériel du règlement 2016/679 et, par suite, celle-ci doit respecter, notamment, les principes relatifs au traitement des données à caractère personnel énoncés à l’article 5 de ce règlement.
5743da23f34ee7adc1bc280808926e060c096910eCliquer pour accéder à la décision
447495M. A... B...24/02/20222022FranceConseil d'EtatA classerAdministrationDroit d’obtenir communication des informations relatives aux « destinataires ou catégories de destinataires » - Connaissance de l’identité des agents publics ou des salariés ayant consulté les données - Exclusion6. En quatrième lieu, les dispositions du c) du paragraphe 1 de l'article 15 du RGPD, qui prévoient le droit pour la personne concernée d'obtenir communication des informations relatives aux " destinataires ou catégories de destinataires " auxquels les données à caractère personnel la concernant ont été communiquées, n'ont ni pour objet, ni pour effet d'autoriser une personne à connaître l'identité des agents publics ou des salariés ayant consulté les données à caractère personnel la concernant dans l'exercice de leurs fonctions au sein de la personne morale ou du service destinataire. Le moyen tiré de ce que les décisions attaquées méconnaîtraient ces dispositions ne peut donc, en tout état de cause, qu'être écarté.154c7a18c8baa891976ae8102b846b3aa8143fe90dCliquer pour accéder à la décision
C-175/20Valsts ieņēmumu dienests24/02/20222022LettonieCour de Justice de l'UEMission d'intérêt publicMission d'intérêt public - Cas d’une demande de communication qui n’est pas directement fondée sur la disposition légale qui constitue le fondement du traitement mais résulte de l’autorité compétente - Conditions de licéité71. Il s’ensuit que, dans un cas où la communication des données à caractère personnel en cause n’est pas directement fondée sur la disposition légale qui en constitue le fondement, mais résulte d’une demande de l’autorité publique compétente, il est nécessaire que cette demande précise quelles sont les finalités spécifiques de cette collecte de données au regard de la mission d’intérêt public ou de l’exercice de l’autorité publique, afin de permettre au destinataire de ladite demande de s’assurer que la transmission des données à caractère personnel en cause est licite et aux juridictions nationales d’opérer un contrôle de la légalité des traitements concernés.62ce6ddc84d93a3a1dcd84238cd67260bd7272e08Cliquer pour accéder à la décision
MED-2022-005Société X03/02/20222022FranceCNIL (ou équivalent)Responsable de traitementTechnologieResponsable de traitement - Mise en œuvre de traitements à des fins de mesure d’audience en ligne - InclusionUne société gestionnaire du site web qui, d’une part, décide de mettre en œuvre une fonctionnalité d’un prestataire de service, laquelle conduit à traiter des données à caractère personnel, à des fins de mesure d’audience, de performance des campagnes médias de la société, d’évaluation et d’optimisation du site web (détermination de la finalité), et qui, d’autre part, a déterminé les moyens de la collecte et du traitement des données collectées dans le cadre de l’intégration de cette fonctionnalité sur son site web (détermination des moyens), est responsable de traitement au sens de l’article 4.7 du RGPD.4a33beb1398d687ce56ea092654850e76f54bebb2Non publié.
Source: CNIL, Tables Informatique et Libertés
Avis 2022-006Projet de décret Caméras installées sur des aéronefs circulant sans personne à bord13/01/20222022FranceCNIL (ou équivalent)DestinataireAdministrationDestinataires et accédants - Définition - Habilitation des accédantsLa Commission estime en effet que le terme « accédant », que n’utilise ni le RGPD, ni la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés mais qui a été créé par la doctrine, désigne, s’agissant d’un traitement automatisé de données mis en œuvre par une administration et encadré par un acte réglementaire, les personnes qui, au sein du responsable de traitement, seront appelées à effectuer les diverses opérations de traitement et, à ce titre, à accéder au système informatique en cause. Les habilitations des différents accédants peuvent être définies par l’acte réglementaire, et ne se limitent généralement pas à la seule consultation des données mais incluent aussi l’enregistrement, la correction ou l’effacement des données. Par ailleurs, au sens de la réglementation, et notamment du RGPD, les « destinataires » sont les personnes à qui le responsable de traitement peut être amené à communiquer les données et sur lesquelles il doit fournir une information aux personnes concernées. En pratique, cette communication peut prendre plusieurs formes, qu’il s’agisse d’une transmission d’un extrait des données ou d’une simple faculté de consultation par un accès sécurisé au système informatique. Lorsqu’un projet de décret mentionne des personnes comme « accédants aux données » alors qu’elles ne seront pas seulement chargées de consulter les données mais également de décider de leur recueil, ce point doit être précisé pour éviter toute ambiguïté.4a33beb1398d687ce56ea092654850e76f54bebb2Cliquer pour accéder à la décision
MED-2021-131Société X01/12/20212021FranceCNIL (ou équivalent)Limitation des finalitésCollecte de données non utilisées - Manquement au principe de limitation des finalités La collecte de données à caractère personnel issues de sites internet sans que cette collecte puisse être justifiée par un usage de ces données constitue un traitement dépourvu de finalités, en violation de l’article 5 § 1, b) du RGPD.5743da23f34ee7adc1bc280808926e060c096910eNon publié.
Source: CNIL, Tables Informatique et Libertés
MED-2021-131Société X01/12/20212021FranceCNIL (ou équivalent)SpécificitéMarketing et prospectionConsentement pour la revente de données - Consentement distinct de celui donné pour l’utilisation des données à des fins de prospection commerciale par voie électronique - ObligationLe consentement à la revente des données ne dispense pas que le consentement des personnes soit également recueilli, en application de l’article L. 34-5 du code des postes et des communications électroniques, pour l’utilisation de leurs données à des fins de prospection commerciale par voie électronique. 6, 75e56ceb6a3ee0eeaba07ec39a491a470a34c31f7Non publié.
Source: CNIL, Tables Informatique et Libertés
MED-2021-131Société X01/12/20212021FranceCNIL (ou équivalent)SpécificitéMarketing et prospectionProspection commerciale - Transmission de données à des tiers - Consentement global aux conditions générales contractuelles régissant un service et à l’ensemble des finalités d’un traitement - ExclusionDans le contexte d’une transmission de données à des partenaires afin qu’ils les utilisent pour de la prospection commerciale, le recueil d’un consentement spécifique implique que la personne soit en mesure de marquer son assentiment particulier à la transmission de ses données à des tiers, qui l’utiliseront pour de la prospection commerciale. L’exigence de spécificité du consentement exclut l’obtention d’un consentement global donné à la fois aux conditions générales contractuelles régissant un service et pour l’ensemble des finalités d’un traitement. 6, 75e56ceb6a3ee0eeaba07ec39a491a470a34c31f7Non publié.
Source: CNIL, Tables Informatique et Libertés
MED-2021-131Société X01/12/20212021FranceCNIL (ou équivalent)EclairéMarketing et prospectionProspection commerciale - Recueil du consentement pour la transmission de données à des tiers prospecteurs - Information des personnes concernées sur la portée du traitement - ObligationDans le contexte d’une transmission de données à des partenaires en vue qu’ils les utilisent pour de la prospection commerciale, le recueil d’un consentement éclairé requiert en particulier d’informer les personnes concernées de l’étendue de la transmission de leurs données. À cet égard, des indications relatives au nombre et au secteur d’activité des partenaires rendus destinataires des données avant toute transmission, sont de nature à éclairer les personnes concernées quant à l’utilisation ultérieure qui sera faite de leurs données. 6, 7, 12, 135e56ceb6a3ee0eeaba07ec39a491a470a34c31f7Non publié.
Source: CNIL, Tables Informatique et Libertés
MED-2021-131Société X01/12/20212021FranceCNIL (ou équivalent)ConsentementMarketing et prospectionConsentement pour la revente de données - Consentement distinct de celui donné pour l’utilisation des données à des fins de prospection commerciale par voie électronique - ObligationLe consentement à la revente des données ne dispense pas que le consentement des personnes soit également recueilli, en application de l’article L. 34-5 du code des postes et des communications électroniques, pour l’utilisation de leurs données à des fins de prospection commerciale par voie électronique. 6, 72ce6ddc84d93a3a1dcd84238cd67260bd7272e08Non publié.
Source: CNIL, Tables Informatique et Libertés
MED-2021-131Société X01/12/20212021FranceCNIL (ou équivalent)ConsentementMarketing et prospectionProspection commerciale - Transmission de données à des tiers - Consentement global aux conditions générales contractuelles régissant un service et à l’ensemble des finalités d’un traitement - ExclusionDans le contexte d’une transmission de données à des partenaires afin qu’ils les utilisent pour de la prospection commerciale, le recueil d’un consentement spécifique implique que la personne soit en mesure de marquer son assentiment particulier à la transmission de ses données à des tiers, qui l’utiliseront pour de la prospection commerciale. L’exigence de spécificité du consentement exclut l’obtention d’un consentement global donné à la fois aux conditions générales contractuelles régissant un service et pour l’ensemble des finalités d’un traitement. 6, 72ce6ddc84d93a3a1dcd84238cd67260bd7272e08Non publié.
Source: CNIL, Tables Informatique et Libertés
MED-2021-131Société X01/12/20212021FranceCNIL (ou équivalent)Contenu de l'informationMarketing et prospectionProspection commerciale - Recueil du consentement pour la transmission de données à des tiers prospecteurs - Information des personnes concernées sur la portée du traitement - ObligationDans le contexte d’une transmission de données à des partenaires en vue qu’ils les utilisent pour de la prospection commerciale, le recueil d’un consentement éclairé requiert en particulier d’informer les personnes concernées de l’étendue de la transmission de leurs données. À cet égard, des indications relatives au nombre et au secteur d’activité des partenaires rendus destinataires des données avant toute transmission, sont de nature à éclairer les personnes concernées quant à l’utilisation ultérieure qui sera faite de leurs données. 6, 7, 12, 134fde6b87a266eece4b77ee2df16db81507c218b0, f7475b81fdc4723ec189ed2fbacb5f50b84b6a92Non publié.
Source: CNIL, Tables Informatique et Libertés
MED-2021-134Clearview AI26/11/20212021FranceCNIL (ou équivalent)Intérêt légitimeIntérêt légitime pour l'utilisation de données publiquement accessibles pour alimenter un logiciel de reconnaissance faciale - Exclusion - Absence d'attente raisonnable de la personne concernéeIl doit donc être considéré que les personnes qui ont publié des photographies les représentant sur des sites web, ou consenti à cette publication auprès d’un autre responsable de traitement, ne s’attendent pas à ce que celles-ci soient réutilisées pour les finalités poursuivies par la société, c’est-à-dire la création d’un logiciel de reconnaissance faciale (qui associe l’image d’une personne à un profil contenant l’ensemble des photographies sur lesquelles elle figure, les informations que ces photographies contiennent ainsi que les sites web sur lesquels elles se trouvent) et la commercialisation de ce logiciel à des forces de l’ordre.
-
Dès lors, au regard de l’ensemble de ces éléments, l’atteinte portée à la vie privée des personnes apparaît disproportionnée au regard des intérêts du responsable de traitement, notamment ses intérêts commerciaux et pécuniaires, et le fondement juridique de l’intérêt légitime de la société ne peut donc être retenu.
62ce6ddc84d93a3a1dcd84238cd67260bd7272e08Cliquer pour accéder à la décision
444992M. M... B...10/11/20212021FranceConseil d'EtatJuridiction compétenteJuridictions compétentes pour le contentieux portant sur les traitements mixtes7. Il résulte des dispositions citées au point 6 que la formation spécialisée du Conseil d'Etat statuant au contentieux n'est compétente, en ce qui concerne les litiges relatifs à l'accès indirect aux données recueillies dans le fichier STARTRAC, que pour celles de ces données qui intéressent la sûreté de l'Etat. Le tribunal administratif et la cour administrative d'appel restent compétents en première instance et en appel pour connaître des litiges relatifs à l'accès indirect aux données recueillies dans ce même fichier n'intéressant pas la sûreté de l'Etat.10, 77, 78c23f7da7070511444ebc75875fd9d202b5dd13cf, 89f2fd1b6301991102bdadc722a5323c40dd302d, cb08aa41f17ae8041815cdd5e3b7c468c63b293b31, 87Cliquer pour accéder à la décision
441317Médecins du Monde et autres24/09/20212021FranceConseil d'EtatConservation limitéePolice-JusticeDurée de conservation supérieure au délai de prescription pour une infraction - Admissibilité en l’espèce 5. Les associations requérantes soutiennent que les durées maximales respectives de conservation des données de dix ans pour les délits, de dix ans pour les contraventions prévues par le code de la route et de cinq ans pour les autres contraventions sont excessives eu égard aux délais de prescription de l'action publique. Toutefois, d'une part, s'agissant du délai de dix ans prévu pour la conservation des données relatives aux délits et aux contraventions routières, l'arrêté attaqué se borne à reprendre des dispositions antérieures et présente à cet égard le caractère d'une décision confirmative dont la légalité ne peut être discutée dans le cadre de la présente instance. D'autre part, eu égard aux délais de prescription de six ans des peines délictuelles et de trois ans des peines contraventionnelles, respectivement prévus par les articles 133-3 et 133-4 du code pénal, ainsi qu'aux règles de procédure qui régissent le recouvrement des amendes forfaitaires, en particulier les délais de recours et de mise en paiement, la durée de conservation de cinq ans des données relatives aux contraventions non routières et la durée de conservation de dix ans des données relatives aux délits non routiers n'est pas disproportionnée. Dès lors, le moyen tiré de ce que les durées de conservation des données prévues par l'arrêté litigieux seraient excessives doit être écarté.5743da23f34ee7adc1bc280808926e060c096910eCliquer pour accéder à la décision
SAN-2021-012Monsanto26/07/20212021FranceCNIL (ou équivalent)Intérêt légitimeEconomie et fiscalité, Marketing et prospectionIntérêt légitime pour un traitement consistant en la collecte d’informations visant à recenser les personnes influentes à des fins de lobbying - Existence - Admissibilité sous conditions 74. En premier lieu, il apparaît à la formation restreinte qu’un traitement de données à caractère personnel, consistant en la collecte d’informations visant à recenser les personnes influentes auprès desquelles une entreprise souhaite représenter ses intérêts peut, sous réserve de certaines conditions, être réalisé sur le fondement de l’intérêt légitime poursuivi par le responsable de traitement. En effet, un traitement tel que celui en cause peut être justifié par la poursuite de l’intérêt légitime du responsable de traitement sous réserve que les intérêts et droits fondamentaux des personnes concernées ne prévalent pas sur les intérêts du responsable de traitement. Cette mise en balance entre les différents intérêts en présence impose notamment de prendre en compte les attentes raisonnables des personnes concernées quant à la nature des données collectées et la façon dont elles sont traitées pour la constitution du traitement litigieux, comme le prévoit le considérant 47 du RGPD.
-
75. En l’espèce, la formation restreinte note que les personnes dont les données figuraient dans le fichier litigieux pouvaient raisonnablement s’attendre à ce que la société X, ou plus généralement des organismes ayant pour activité la représentation d’intérêts, s’intéressent à leur positionnement dans le débat lié au [...], et traite leurs coordonnées professionnelles ainsi que les informations relatives à leurs prises de position publiques.
62ce6ddc84d93a3a1dcd84238cd67260bd7272e08Cliquer pour accéder à la décision
SAN-2021-012Monsanto26/07/20212021FranceCNIL (ou équivalent)A classerEconomie et fiscalité, Marketing et prospectionInformation des personnes - Exemption en cas de publicité des données ou en cas d'absence d'utilisation du fichier - Exclusion - Exception liée au caractère disproportionné des efforts nécessaires pour la délivrance de l'information - Inapplicable en l'espèce81. S’agissant des exceptions prévues par l’article 14(5)(b) précité, la formation restreinte relève que l’information des personnes figurant dans le fichier intitulé " [...] " n’aurait pas nécessité de la part de la société X des efforts disproportionnés et était, en conséquence, nécessaire. La formation restreinte souligne d’abord que le fichier en cause concernait plus de 200 personnes et que la société disposait pour la quasi-totalité d’entre elles d’une information de contact telle qu’une adresse, un numéro de téléphone ou une adresse de messagerie électronique.
-
83. La formation restreinte note d’ailleurs que les personnes concernées ont finalement été informées individuellement en 2019, par l’intermédiaire du cabinet YY, ce qui démontre qu’une information était tout à fait possible.
-
85. Enfin, la formation restreinte note que les circonstances invoquées par la société X, à savoir que les données en question étaient publiques, que les personnes concernées pouvaient raisonnablement s’attendre à ce que leurs données fassent l’objet d’un tel traitement et que ce fichier n’a jamais été utilisé par la société, ne constituent pas des motifs de nature à exempter le responsable de traitement de son obligation d’information au regard des dispositions de l’article 14 du RGPD. En outre, contrairement à ce que soutient la société, la responsabilité de s’assurer que l’information a bien été délivrée aux personnes concernées incombe au responsable de traitement et non au sous-traitant.
144c346b79544cb7d893c9dac5883512c2b8b3ebd2Cliquer pour accéder à la décision
Avis 2021-082Livret de parcours inclusif (LPI)15/07/20212021FranceCNIL (ou équivalent)Confidentialité, MinimisationJeunesse et éducationCloisonnement - Identifiant spécifique et distinct de l’identifiant national pour la mise en œuvre d’un traitement spécifique - AdmissionEn troisième lieu, l’article 2, 1-a) du projet de décret fait par ailleurs état de ce que les données d’identification dans le LPI contiendront à la fois l’identifiant national élève (INE) et le numéro LPI. Le ministère a précisé à cet égard qu’il s’agissait bien de la création d’un nouvel identifiant unique, que le numéro INE n’était traité dans le LPI qu’à des fins d’interconnexion entre les différents systèmes d’information du ministère et que le numéro LPI permettra l’identification des élèves entre le ministère et le système d’information des MDPH. La Commission [...] accueille favorablement la création de cet identifiant spécifique, et considère que la création et l’utilisation de ce numéro LPI permettra, conformément à sa doctrine, de segmenter les traitements afin d’éviter des interconnexions ou rapprochements de données qui ne sont pas nécessaire, et de limiter les risques de réidentification des personnes en cas de fuite de données. Elle appelle donc le ministère à limiter au maximum les échanges de données nominatives.5743da23f34ee7adc1bc280808926e060c096910eCliquer pour accéder à la décision
19-13.856B.23/06/20212021FranceCour de cassationMinimisation, LicéitéTravailUtilisation par un employeur d’un tel dispositif pour le contrôle des règles d’hygiène et de sécurité - Disproportion - Inopposabilité au salarié des enregistrements issus de cette vidéosurveillance dans le cadre d’une procédure de licenciement5. Aux termes de l'article L. 1121-1 du code du travail, nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché.
-
6. La cour d'appel a constaté que le salarié, qui exerçait seul son activité en cuisine, était soumis à la surveillance constante de la caméra qui y était installée. Elle en a déduit à bon droit que les enregistrements issus de ce dispositif de surveillance, attentatoire à la vie personnelle du salarié et disproportionné au but allégué par l'employeur de sécurité des personnes et des biens, n'étaient pas opposables au salarié et a, par ces seuls motifs, légalement justifié sa décision.
5743da23f34ee7adc1bc280808926e060c096910eCliquer pour accéder à la décision
C-439/19Latvijas Republikas Saeima22/06/20212021LettonieCour de Justice de l'UEInfraction pénalePolice-JusticeQualification des sanctions administratives - "Infraction" au sens du droit de l'UE dont le traitement est soumis à la directive « Police-Justice » - Rejet77. Afin de déterminer si un tel accès constitue un traitement de données à caractère personnel relatives à des « infractions », au sens de l’article 10 du RGPD, il importe de faire observer, premièrement, que cette notion renvoie exclusivement aux infractions pénales, ainsi qu’il résulte notamment de la genèse du RGPD. En effet, alors que le Parlement européen avait proposé d’inclure expressément dans cette disposition les termes « sanctions administratives » (JO 2017, C 378, p. 430), cette proposition n’a pas été retenue. Cette circonstance est d’autant plus notable que la disposition ayant précédé l’article 10 du RGPD, à savoir l’article 8, paragraphe 5, de la directive 95/46, qui se référait, à son premier alinéa, aux « infractions » et aux « condamnations pénales », offrait, à son second alinéa, la possibilité aux États membres de « prévoir que les données relatives aux sanctions administratives [soient] également traitées sous le contrôle de l’autorité publique ». Il résulte ainsi clairement d’une lecture d’ensemble de cet article 8, paragraphe 5, que la notion d’« infraction » se référait uniquement aux infractions pénales.10c23f7da7070511444ebc75875fd9d202b5dd13cfCliquer pour accéder à la décision
C-439/19Latvijas Republikas Saeima22/06/20212021LettonieCour de Justice de l'UEInfraction pénalePolice-JusticeInfraction pénale en droit de l'UE (notion autonome) - Critères de définition - 1) Qualification en droit interne - 2) Nature même de l’infraction - 3) Degré de sévérité de la sanction87. Selon la jurisprudence de la Cour, trois critères sont pertinents pour apprécier le caractère pénal d’une infraction. Le premier est la qualification juridique de l’infraction en droit interne, le deuxième, la nature même de l’infraction et, le troisième, le degré de sévérité de la sanction que risque de subir l’intéressé (voir, en ce sens, arrêts du 5 juin 2012, Bonda, C-489/10, EU:C:2012:319, point 37 ; du 20 mars 2018, Garlsson Real Estate e.a., C-537/16, EU:C:2018:193, point 28, ainsi que du 2 février 2021, Consob, C-481/19, EU:C:2021:84, point 42).10c23f7da7070511444ebc75875fd9d202b5dd13cfCliquer pour accéder à la décision
C-439/19Latvijas Republikas Saeima22/06/20212021LettonieCour de Justice de l'UEInfraction pénalePolice-Justice, TransportsDonnée relative aux infractions de nature pénale au sens du droit de l'UE - Données relatives à des points de pénalité infligés à la suite d’un manquement à la réglementation routière - Inclusion93. Il en découle que les infractions routières qui sont susceptibles d’entraîner l’attribution de points de pénalité relèvent de la notion d’« infractions » visée à l’article 10 du RGPD.
-
94. Eu égard à l’ensemble des considérations qui précèdent, il y a lieu de répondre à la première question posée que l’article 10 du RGPD doit être interprété en ce sens qu’il s’applique au traitement des données à caractère personnel relatives aux points de pénalité imposés aux conducteurs de véhicules pour des infractions routières.
10c23f7da7070511444ebc75875fd9d202b5dd13cfCliquer pour accéder à la décision
C-439/19Latvijas Republikas Saeima22/06/20212021LettonieCour de Justice de l'UESécurité nationalePolice-JusticeException au champ d'application du droit de l'Union - Activité visant à préserver la sécurité nationale ou activité relevant de cette catégorie - Activité visant à améliorer la sécurité routière - Exclusion66. Il en résulte que l’article 2, paragraphe 2, sous a), du RGPD, lu à la lumière du considérant 16 de ce règlement, doit être considéré comme ayant pour seul objet d’exclure du champ d’application dudit règlement les traitements de données à caractère personnel effectués par les autorités étatiques dans le cadre d’une activité qui vise à préserver la sécurité nationale ou d’une activité pouvant être rangée dans la même catégorie, de telle sorte que le seul fait qu’une activité soit propre à l’État ou à une autorité publique ne suffit pas pour que cette exception soit automatiquement applicable à une telle activité (voir, en ce sens, arrêt du 9 juillet 2020, Land Hessen, C-272/19, EU:C:2020:535, point 70).
-
67. Les activités qui ont pour but de préserver la sécurité nationale visées à l’article 2, paragraphe 2, sous a), du RGPD couvrent, en particulier, ainsi que l’a également relevé en substance M. l’avocat général aux points 57 et 58 de ses conclusions, celles ayant pour objet de protéger les fonctions essentielles de l’État et les intérêts fondamentaux de la société.
-
68. Or, les activités relatives à la sécurité routière ne poursuivent pas un tel objectif et ne sauraient, en conséquence, être rangées dans la catégorie des activités ayant pour but la préservation de la sécurité nationale, visées à l’article 2, paragraphe 2, sous a), du RGPD.
2, 1070142f66475ae2fb33722d8d4750f386ecfefe7b, c23f7da7070511444ebc75875fd9d202b5dd13cfCliquer pour accéder à la décision
431875M. B... A...-C...10/06/20212021FranceConseil d'EtatDonnées de santéSantéDonnée de santé - Critères - 1) Nature - 2) Gravité de la pathologie10. Si la mise en ligne d'une telle information révèle indirectement que les personnes recrutées à ce titre souffrent d'un handicap, elle ne donne directement aucune information sur la nature ou la gravité de ce handicap et ne saurait, par suite, être regardée comme procédant au traitement d'une donnée relative à la santé des personnes considérées.9b85ab32eaa572c8016edf68011078dceed8149e5Cliquer pour accéder à la décision
431875M. B... A...-C...10/06/20212021FranceConseil d'EtatTraitementTechnologieTraitement de données à caractère personnel - Publication sur un site internet de données à caractère personnel - Inclusion 3. Il ressort des énonciations de l'arrêt attaqué que, pour écarter le moyen tiré de la méconnaissance des règles nationales et européennes applicables aux traitements de données à caractère personnel, la cour administrative d'appel a jugé que ni la publication par voie informatique d'un arrêté de nomination d'agents publics ne comportant que le nom des intéressés et l'indication du fondement juridique de leur nomination, ni la décision refusant de mettre un terme à cette publication, ne pouvaient être regardées comme relatives à un traitement de données à caractère personnel par voie informatique. En écartant l'application de ces règles, alors que la seule publication sur un site internet de données à caractère personnel suffit à les rendre applicables, la cour administrative d'appel a commis une erreur de droit.4a33beb1398d687ce56ea092654850e76f54bebb2Cliquer pour accéder à la décision
SAN-2021-007Société X03/06/20212021FranceCNIL (ou équivalent)Limitation des finalitésDisposition limitant expressément les finalités d’un traitement - Traitement mis en œuvre illicite au regard de cette disposition - Compétence de la CNIL Lorsqu’une disposition limite expressément les finalités d’un traitement de données à caractère personnel, que celle-ci soit contenue dans un acte réglementaire autorisant et régissant un traitement particulier de données sur le fondement des articles 31 et suivants de la loi Informatique et Libertés ou des dispositions qui y renvoient, ou qu’elle résulte d’une disposition législative ou réglementaire spéciale limitant la ou les finalités d’un traitement ou d’une catégorie de traitement, la formation restreinte de la CNIL est compétente pour sanctionner le traitement illicite que constitue la méconnaissance de cette disposition.5743da23f34ee7adc1bc280808926e060c096910e5, 16Non publié.
Source: CNIL, Tables Informatique et Libertés
SAN-2021-007Société X03/06/20212021FranceCNIL (ou équivalent)Donnée à caractère personnelDonnée à caractère personnel - Adresse postale - Identification indirecte - Inclusion La formation restreinte considère que l’adresse postale peut constituer une donnée à caractère personnel indirectement identifiante dans la mesure où, notamment combinée à d’autres informations, elle peut, dans certaines conditions, permettre l’identification d’une personne. C’est par exemple le cas lorsqu’une seule personne habite à cette adresse ou lorsque l’adresse est combinée à un numéro de téléphone ou à des données de réseaux telles que l’identifiant Wi-Fi ou l’adresse MAC d’un routeur.4a33beb1398d687ce56ea092654850e76f54bebb2Non publié.
Source: CNIL, Tables Informatique et Libertés
2021-055Avis sur projet de décret12/05/20212021FranceCNIL (ou équivalent)Directive Police-JusticePolice-JusticeCrise sanitaire - Traitement mis en œuvre dans le cadre du suivi de mesures individuelles de quarantaine et d’isolement et à l’accompagnement des personnes - Régime mixteLorsque le contrôle de ces mesures individuelles, entendu notamment par la constatation des infractions pénales associées, apparait également au titre des finalités du même traitement, que celui-ci est placé sous la responsabilité conjointe du ministre chargé de la santé et du ministre de l’intérieur et que plusieurs services du ministère de l’intérieur accèdent ou sont rendus destinataires des données qui y sont enregistrées, il y a lieu de considérer que la prévention, la recherche et la constatation d’infractions pénales constituent une des finalités dudit traitement, et non un objet de ce traitement sans incidence sur son régime juridique.
-
Dans ces conditions, et dès lors que le critère de l’autorité compétente prévue par la Directive « Police-Justice » est rempli, un tel traitement relève d’un régime mixte, à savoir le RGPD pour la finalité de suivi des mesures individuelles et le titre III de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée, pour la finalité de contrôle du respect de ces mesures par la constatation des infractions pénales associées, ce qui doit notamment apparaitre dans les dispositions réglementaires encadrant le traitement en cause.
10c23f7da7070511444ebc75875fd9d202b5dd13cf31, 87Non publié.
Source: CNIL, Tables Informatique et Libertés
MED-2021-009Société X04/03/20212021FranceCNIL (ou équivalent)A classerTechnologieMise à disposition de plateforme en ligne pour la publication d’annonces immobilières - Sous-traitance et sous-traitance de second rang - Formalisation des relations entre responsable du traitement et sous-traitants Un organisme de représentation professionnel qui met à disposition des entités indépendantes qu’il représente une plateforme de publication d’annonces immobilières et d’hébergement des documents annexés à ces annonces via un site web - en tant qu’activité accessoire et non réglementée de cette profession - doit être considéré comme sous-traitant de ces entités, considérées comme responsable du traitement, dès lors que ces dernières conservent dans ce cadre une entière liberté de choix quant aux moyens mis en œuvre pour exercer cette activité et publier des annonces immobilières, et dans la mesure où elles déterminent seules les finalités et les moyens du traitement.
-
En outre, lorsque les entités responsables du traitement confient à l’organisme sous-traitant la charge de publier leurs annonces immobilières et d’héberger les documents annexés à ces annonces sur un site web dont l’organisme sous-traitant se déclare éditeur, et lorsque que l’hébergement, l’exploitation, la maintenance et l’évolution de ce site, qui impliquent le traitement des données personnelles contenues dans les documents annexés aux annonces, ont été confiés par l’organisme sous-traitant à une autre société, cette dernière intervient dès lors en qualité de sous-traitant de second rang recruté par l’organisme sous-traitant.
282493779251de822754e7d9cbd06e551dfa7fcd2bNon publié.
Source: CNIL, Tables Informatique et Libertés
SAN-2021-002Société X08/01/20212021FranceCNIL (ou équivalent)A classerRépartition des responsabilités entre responsable de traitement et sous-traitant - Solutions techniques et organisationnelles de sécurité adéquates - Responsabilité du sous-traitant - ExistenceSi aux termes de l’article 32 du RGPD, les obligations en matière de sécurité des traitements de données à caractère personnel s’adressent tant au responsable de traitement qu’au sous-traitant, la répartition des responsabilités entre ces deux acteurs résulte également du contrat de sous-traitance qu’ils doivent conclure au titre de l’article 28 du RGPD. En ce sens, l’article 28-3-f impose que ce contrat prévoit que le sous-traitant « aide le responsable du traitement à garantir le respect des obligations prévues aux articles 32 à 36, compte tenu de la nature du traitement et des informations à la disposition du sous-traitant ». La CNIL déduit de la combinaison de ces dispositions qu’il revient au sous-traitant de proposer au responsable de traitement les solutions techniques et organisationnelles adéquates, notamment en ce qui concerne la sécurité des traitements, et ce, indépendamment des obligations qui pèsent en propre sur le responsable du traitement.24, 28, 32788235c7a7839ac7e834e0a5a9a15b95657a9271, 2493779251de822754e7d9cbd06e551dfa7fcd2b, c9a79ac93c358874ab99f40683428a9fb7bd666cNon publié.
Source: CNIL, Tables Informatique et Libertés
446155La Quadrature du Net22/12/20202020FranceConseil d'EtatTraitementPolice-JusticeTraitement de données à caractère personnel au sens de la directive (UE) 2016/680 - Dispositif de surveillance par drone transmettant, après floutage, des images au centre de commandement de la préfecture de police pour un visionnage en temps réel - Inclusion, sans qu'ait d'incidence la circonstance que seules les images floutées parviennent au centre de commandement6. En premier lieu, il résulte des dispositions citées aux points 3 et 4 que le dispositif de surveillance litigieux, qui consiste à collecter des données, grâce à la captation d'images par drone, afin de les transmettre, après application d'un procédé de floutage, au centre de commandement de la préfecture de police pour un visionnage en temps réel, constitue un traitement au sens de la directive du 27 avril 2016.
-
7. En second lieu, si ce dispositif permet de ne renvoyer à la direction opérationnelle que des images ayant fait l'objet d'un floutage, il ne constitue que l'une des opérations d'un traitement d'ensemble des données, qui va de la collecte des images par le drone à leur envoi vers la salle de commandement, après transmission des flux vers le serveur de floutage, décomposition de ces flux image par image aux fins d'identifier celles qui correspondent à des données à caractère personnel pour procéder à l'opération de floutage, puis à la recomposition du flux vidéo comportant les éléments floutés. Dès lors que les images collectées par les appareils sont susceptibles de comporter des données identifiantes, la circonstance que seules les données traitées par le logiciel de floutage parviennent au centre de commandement n'est pas de nature à modifier la nature des données faisant l'objet du traitement, qui doivent être regardées comme des données à caractère personnel.
4a33beb1398d687ce56ea092654850e76f54bebb231, 87Cliquer pour accéder à la décision
2020-135Projet de décret TousAntiCovid17/12/20202020FranceCNIL (ou équivalent)Responsable de traitementResponsable de traitement - Personne mettant à disposition du public un logiciel - Exclusion sous conditionsD’autre part, les données personnelles étant stockées et traitées uniquement localement, à la discrétion et pour le compte du seul utilisateur, il ne semble pas que les autorités publiques soient responsables de ces traitements, la seule mise à disposition d’un logiciel au public ne constituant pas la mise en œuvre d’un traitement de données à caractère personnel. En ce sens, il convient de relever que les dispositions du décret relatives à ces traitements ne sont pas conformes aux exigences de la Commission (durée de conservation, liste des destinataires, etc.) mais qu’il n’apparaît pas opportun de réglementer ces aspects qui, dans le cadre du fonctionnement du logiciel en cause, doivent rester à la discrétion du particulier qui utilise l’application.4a33beb1398d687ce56ea092654850e76f54bebb2Cliquer pour accéder à la décision
MED-2020-043Société X10/12/20202020FranceCNIL (ou équivalent)Donnée à caractère personnelMarketing et prospectionDonnée à caractère personnel - Propos tenus dans le cadre d’une conversation téléphonique - Inclusion L’ensemble des propos tenus dans la cadre d’une conversation téléphonique enregistrée sont susceptibles de constituer des données à caractère personnel concernant les deux parties à cette conversation.4a33beb1398d687ce56ea092654850e76f54bebb2Non publié.
Source: CNIL, Tables Informatique et Libertés
4295571Cdiscount10/12/20202020FranceConseil d'EtatIntérêt légitimeEconomie et fiscalitéIntérêt légitime pour la conservation des informations bancaires d’un client - Exclusion - Prévalence des intérêts des personnes concernées sur l’intérêt d’une société9. D'autre part, si la société soutient que la conservation du numéro de carte bancaire du client qui a procédé à un achat en ligne est nécessaire aux fins de l'intérêt légitime consistant à faciliter des paiements ultérieurs en dispensant le client de le saisir à chacun de ses achats, notamment dans le cadre d'une fonctionnalité d'achat rapide - dite " en un clic " - cet intérêt ne saurait prévaloir sur l'intérêt des clients de protéger ces données, compte tenu de la sensibilité de ces informations bancaires et des préjudices susceptibles de résulter pour eux de leur captation et d'une utilisation détournée, et alors que de nombreux clients qui utilisent des sites de commerce en ligne en vue de réaliser des achats ponctuels ne peuvent raisonnablement s'attendre à ce que les entreprises concernées conservent de telles données sans leur consentement. Par suite, la CNIL a pu à bon droit estimer que, de façon générale, devait être soumise au consentement explicite de la personne concernée la conservation des numéros de cartes bancaires des clients des sites de commerce en ligne pour faciliter des achats ultérieurs. Il suit de là que le moyen tiré de la méconnaissance par la délibération litigieuse du règlement du 27 avril 2016 doit être écarté.62ce6ddc84d93a3a1dcd84238cd67260bd7272e08Cliquer pour accéder à la décision
SAN-2020-018Nestor08/12/20202020FranceCNIL (ou équivalent)A classerPrescription d'un manquement au RGPD - Délai raisonnableLe rapporteur rappelle que la Commission a été saisie de quatre plaintes entre 2018 et 2019, que des contrôles ont été effectués par la délégation de la CNIL en mai 2019 et en février 2020 et que le rapporteur désigné en décembre 2019 aux fins d’instruction de ces éléments a notifié son rapport le 28 février 2020. La formation restreinte considère donc que la Commission a appliqué un délai raisonnable entre les constats effectués par la délégation de contrôle et la saisine de la formation restreinte.83, 8413f3089206d6a7af14309e3188901bac86bb8db9, 68136ec0621ef3fe8935bf9fa91f0f6e4a20250920Cliquer pour accéder à la décision
17-19.253Agence France Presse25/11/20202020FranceCour de cassationDonnée à caractère personnelTechnologieDonnée à caractère personnel - Adresse IP - Inclusion 11. Les adresses IP, qui permettent d'identifier indirectement une personne physique, sont des données à caractère personnel, au sens de l'article 2 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, de sorte que leur collecte par l'exploitation du fichier de journalisation constitue un traitement de données à caractère personnel et doit faire l'objet d'une déclaration préalable auprès de la Commission nationale de l'informatique et des libertés en application de l'article 23 de la loi précitée.4a33beb1398d687ce56ea092654850e76f54bebb2Cliquer pour accéder à la décision
MED-2020-040LAPI Commune X24/11/20202020FranceCNIL (ou équivalent)Responsable de traitementAdministrationResponsabilités du traitement - Concession de service public - Qualification du concessionnaire - Qualification de l’autorité publique concédanteLa qualification de responsable de traitement est reconnue au concessionnaire dès lors qu’il agit pour son propre compte avec une autonomie certaine sur les traitements des données d’usagers qu’il met en œuvre dans l’exécution de ses missions, en déterminant les finalités et les moyens essentiels du traitement.
-
Cependant, l’autorité publique concédante est également qualifiée de responsable des traitements des données à caractère personnel des usagers mis en œuvre par le concessionnaire dans le cadre de l’exécution du service, dès lors que le traitement de ces données est nécessaire à la satisfaction des finalités poursuivies par la collectivité et que cette dernière a substantiellement défini les traitements de données en cause et leurs conditions de réalisation par le concessionnaire, notamment à travers des clauses contractuelles ou des instructions précises quant à leur mise en œuvre durant l’exécution du contrat.
4, 24, 26a33beb1398d687ce56ea092654850e76f54bebb2, 788235c7a7839ac7e834e0a5a9a15b95657a9271, 8ce5af29fdc1bba6fa462556f98ce0fb61c67e64Non publié.
Source: CNIL, Tables Informatique et Libertés
433311Sergic04/11/20202020FranceConseil d'EtatA classerFaculté, pour la CNIL, de sanctionner sans mise en demeure préalable - Existence3. Il résulte clairement [des] dispositions [de l'article 83] que le prononcé d'une sanction par la formation restreinte de la CNIL n'est pas subordonné à l'intervention préalable d'une mise en demeure du responsable du traitement ou de son sous-traitant par le président de la CNIL. 83, 8413f3089206d6a7af14309e3188901bac86bb8db9, 68136ec0621ef3fe8935bf9fa91f0f6e4a202509Cliquer pour accéder à la décision
432656La Quadrature du Net04/11/20202020FranceConseil d'EtatLibertéTechnologieSystème d’identification électronique - Reconnaissance faciale - Conditions de liberté du consentement - Recours au traitement exigé par sa finalité et absence de préjudice en cas de refus de consentement8. D'une part, il ne ressort pas des pièces du dossier que, pour la création d'identifiants électroniques, il existait à la date du décret attaqué d'autres moyens d'authentifier l'identité de l'usager de manière entièrement dématérialisée en présentant le même niveau de garantie que le système de reconnaissance faciale. Il s'ensuit que le recours au traitement de données biométriques autorisé par le décret attaqué doit être regardé comme exigé par la finalité de ce traitement.
-
9. [...] Dès lors que les usagers qui ne consentiraient pas au traitement prévu dans le cadre de la création d'un compte Alicem peuvent accéder en ligne, grâce à un identifiant unique, à l'ensemble des téléservices proposés, ils ne sauraient être regardés comme subissant un préjudice au sens du règlement général sur la protection des données précité. Il s'ensuit que l'association requérante n'est pas fondée à soutenir que le consentement des utilisateurs de l'application Alicem ne serait pas librement recueilli ni, par suite, que le décret attaqué méconnaîtrait pour ce motif les dispositions du règlement général sur la protection des données et de la loi du 6 janvier 1978.
6, 7, 95e56ceb6a3ee0eeaba07ec39a491a470a34c31f7Cliquer pour accéder à la décision
424440Office public de l’habitat de Rennes Métropole-Archipel Habitat05/10/20202020FranceConseil d'EtatLimitation des finalitésMarketing et prospectionCourrier méconnaissant la finalité informative du traitement pour laquelle il a été autorisé - Incompatibilité 5. En premier lieu, l'office public de l'habitat est autorisé à utiliser les données à caractère personnel qu'il a collectées et qui font l'objet d'un traitement pour plusieurs finalités, en particulier la gestion du parc social immobilier de son ressort, mais également l'information de ses locataires, conformément à la délibération à caractère général de la CNIL n° 2006-138 du 9 mai 2006 [...].
-
6. [...] La formation restreinte de la CNIL, qui n'a pas, contrairement à ce qui est soutenu, qualifié le courrier de " communication politique ", a pu estimer que le contenu du courrier n'était " pas de nature purement informative " et qu'un manquement à l'obligation de respecter les finalités pour lesquelles le traitement avait été autorisé, de nature à justifier une sanction, était caractérisé.
5743da23f34ee7adc1bc280808926e060c096910eCliquer pour accéder à la décision
C-311/18 Facebook Ireland et Schrems16/07/20202020IrlandeCour de Justice de l'UESécurité nationaleEconomie et fiscalitéChamp d'application du RGPD - Transferts de données à caractère personnel effectués à des fins commerciales par un opérateur économique établi dans un État membre vers un autre opérateur établi dans un pays tiers - Inclusion - Données susceptibles d’être traitées par les autorités du pays tiers concerné à des fins de sécurité nationale - Absence d’incidence89. Partant, il y a lieu de répondre à la première question que l’article 2, paragraphes 1 et 2, du RGPD doit être interprété en ce sens que relève du champ d’application de ce règlement un transfert de données à caractère personnel effectué à des fins commerciales par un opérateur économique établi dans un État membre vers un autre opérateur économique établi dans un pays tiers, nonobstant le fait que, au cours ou à la suite de ce transfert, ces données sont susceptibles d’être traitées par les autorités du pays tiers concerné à des fins de sécurité publique, de défense et de sûreté de l’État.270142f66475ae2fb33722d8d4750f386ecfefe7bCliquer pour accéder à la décision
C-272/19Land Hessen09/07/20202020AllemagneCour de Justice de l'UESécurité nationalePolice-JusticeActivité visant à préserver la sécurité nationale ou activité relevant de cette catégorie de nature à exclure l'application du RGPD - Traitement propre à l’État ou à une autorité publique - Absence de qualification automatique69. Certes, la Cour a, en substance, souligné que les activités mentionnées à titre d’exemples à l’article 3, paragraphe 2, premier tiret, de la directive 95/46 (à savoir les activités prévues aux titres V et VI du traité sur l’Union européenne ainsi que les traitements ayant pour objet la sécurité publique, la défense, la sûreté de l’État et les activités relatives à des domaines du droit pénal) sont, dans tous les cas, des activités propres aux États ou aux autorités étatiques et que ces activités sont destinées à définir la portée de l’exception y prévue, de telle sorte que cette exception ne s’applique qu’aux activités qui y sont ainsi expressément mentionnées ou qui peuvent être rangées dans la même catégorie (ejusdem generis) (arrêt du 6 novembre 2003, Lindqvist, C-101/01, EU:C:2003:596, points 43 et 44).
-
70. Cela étant, le fait qu’une activité soit propre à l’État ou à une autorité publique ne suffit pas pour que cette exception soit automatiquement applicable à une telle activité. Il est, en effet, nécessaire que cette activité figure au nombre de celles qui sont expressément mentionnées par ladite disposition ou qu’elle puisse être rangée dans la même catégorie que celles-ci.
270142f66475ae2fb33722d8d4750f386ecfefe7bCliquer pour accéder à la décision
C-272/19Land Hessen09/07/20202020AllemagneCour de Justice de l'UEResponsable de traitementAdministrationResponsable du traitement - Commission des pétitions du parlement d’un État fédéré d’un État membre - Inclusion - Article 15 - Droit d’accès de la personne concernée - Application72. En quatrième et dernier lieu, aucune exception n’est prévue dans le règlement 2016/679, notamment au considérant 20 et à l’article 23 de celui-ci, en ce qui concerne les activités parlementaires.
-
74. Il résulte de l’ensemble des considérations qui précèdent que l’article 4, point 7, du règlement 2016/679 doit être interprété en ce sens que, dans la mesure où une commission des pétitions du parlement d’un État fédéré d’un État membre détermine, seule ou avec d’autres, les finalités et les moyens du traitement, cette commission doit être qualifiée de « responsable du traitement », au sens de cette disposition, de telle sorte que le traitement de données à caractère personnel effectué par une telle commission relève du champ d’application de ce règlement, notamment de l’article 15 de celui-ci.
4, 15, 24a33beb1398d687ce56ea092654850e76f54bebb2Cliquer pour accéder à la décision
C-272/19Land Hessen09/07/20202020AllemagneCour de Justice de l'UEA classerAdministrationResponsable du traitement - Commission des pétitions du parlement d’un État fédéré d’un État membre - Inclusion - Article 15 - Droit d’accès de la personne concernée - Application72. En quatrième et dernier lieu, aucune exception n’est prévue dans le règlement 2016/679, notamment au considérant 20 et à l’article 23 de celui-ci, en ce qui concerne les activités parlementaires.
-
74. Il résulte de l’ensemble des considérations qui précèdent que l’article 4, point 7, du règlement 2016/679 doit être interprété en ce sens que, dans la mesure où une commission des pétitions du parlement d’un État fédéré d’un État membre détermine, seule ou avec d’autres, les finalités et les moyens du traitement, cette commission doit être qualifiée de « responsable du traitement », au sens de cette disposition, de telle sorte que le traitement de données à caractère personnel effectué par une telle commission relève du champ d’application de ce règlement, notamment de l’article 15 de celui-ci.
4, 15, 244c7a18c8baa891976ae8102b846b3aa8143fe90d, 788235c7a7839ac7e834e0a5a9a15b95657a9271Cliquer pour accéder à la décision
434684Association des agences-conseils en communication et autres19/06/20202020FranceConseil d'EtatLibertéCookies et autres traceurs, TechnologieCookie wall - Exclusion de facto de la possibilité de recueillir le consentement - Rejet10. D’autre part, la CNIL affirme, à ce même article 2, que la validité du consentement est soumise à la condition que la personne concernée ne subisse pas d’inconvénient majeur en cas d’absence ou de retrait de son consentement, un tel inconvénient majeur pouvant consister, selon elle, dans l’impossibilité d’accéder à un site Internet, en raison de la pratique des « cookies walls ». En déduisant pareille interdiction générale et absolue de la seule exigence d’un consentement libre, posé par le règlement du 27 avril 2016, la CNIL a excédé ce qu’elle peut légalement faire, dans le cadre d’un instrument de droit souple, édicté sur le fondement du 2° du I de l’article 8 de la loi du 6 janvier 1978 cité au point 3. Il s’ensuit que la délibération attaquée est, dans cette mesure, entachée d’illégalité.75e56ceb6a3ee0eeaba07ec39a491a470a34c31f782Cliquer pour accéder à la décision
430810Google LLC19/06/20202020FranceConseil d'EtatUnivoque, SpécificitéTechnologieConsentement au moyen d'une case cochée par défaut et/ou dans le cadre de l'acceptation globale de conditions générales - Absence de validité - Exigence d'une présentation claire et distincte de l'ensemble des finalités poursuivies par le traitement21. [...] Un consentement donné au moyen d'une case cochée par défaut n'implique pas un comportement actif de la part de l'utilisateur et ne peut dès lors être considéré comme procédant d'un acte positif clair permettant valablement le recueil du consentement. En outre, un consentement recueilli dans le cadre de l'acceptation globale de conditions générales d'utilisation d'un service ne revêt pas un caractère spécifique au sens du RGPD. Enfin, indépendamment des modalités dans lesquelles il est recueilli, le consentement n'est valide que s'il est précédé d'une présentation claire et distincte de l'ensemble des finalités poursuivies par le traitement.75e56ceb6a3ee0eeaba07ec39a491a470a34c31f7Cliquer pour accéder à la décision
430810Google LLC19/06/20202020FranceConseil d'EtatA classerInformation et transparence - Accessibilité des informations pertinentes relatives aux différentes finalités et à l'ampleur du traitement 20. Dans ces conditions, l’arborescence choisie par Google apparaît de nature, par l’éparpillement de l’information qu’elle organise, à nuire à l’accessibilité et à la clarté de celle-ci pour les utilisateurs, alors même que les traitements en cause sont particulièrement intrusifs eu égard au nombre et à la nature des données collectées. 12, 134fde6b87a266eece4b77ee2df16db81507c218b0, f7475b81fdc4723ec189ed2fbacb5f50b84b6a92Cliquer pour accéder à la décision
2020-062Avis sur projet de décret11/06/20202020FranceCNIL (ou équivalent)AnonymisationAnonymisation et pseudonymisation - Distinction - Sens restrictif du terme "anonymisation" au sens du RGPDIl y a lieu, lorsque des dispositions législatives ou réglementaires font référence à la notion d’anonymisation, de rechercher quelle est l’intention de l’auteur du texte pour comprendre la portée de ses exigences, et notamment si les dispositions en cause exigent une anonymisation au sens du RGPD ou une pseudonymisation, par occultation des données directement identifiantes. La Commission invite le législateur et le pouvoir réglementaire à tenir systématiquement compte de la distinction posée par le RGPD et à employer le mot d’anonymisation dans le seul sens restrictif que lui donne le RGPD.4a33beb1398d687ce56ea092654850e76f54bebb2Non publié.
Source: CNIL, Tables Informatique et Libertés
2020-800 QCLoi autorisant la prorogation de l'état d'urgence sanitaire et portant diverses mesures de gestion de la crise sanitaire11/05/20202020FranceConseil constitutionnelConfidentialitéExtension de l’accès aux données des personnes atteintes de la COVID-19 - Respect du droit à la vie privée - Conditions : strict respect du besoin d'en connaitre69. Si le champ des personnes susceptibles d'avoir accès à ces données à caractère personnel, sans le consentement de l'intéressé, est particulièrement étendu, cette extension est rendue nécessaire par la masse des démarches à entreprendre pour organiser la collecte des informations nécessaires à la lutte contre le développement de l'épidémie.
-
70. En revanche, sont également inclus dans ce champ, pour le partage des données, les organismes qui assurent l'accompagnement social des intéressés. Or, s'agissant d'un accompagnement social, qui ne relève donc pas directement de la lutte contre l'épidémie, rien ne justifie que la communication des données à caractère personnel traitées dans le système d'information ne soit pas subordonnée au recueil du consentement des intéressés. Dès lors, la deuxième phrase du paragraphe III de l'article 11, qui méconnaît le droit au respect de la vie privée, est contraire à la Constitution.
-
71. En outre, conformément au paragraphe III de l'article 11, chaque organisme n'est appelé à participer au système d'information mis en place que pour la part de ses missions susceptibles de répondre à l'une ou l'autre des finalités propres à ce système d'information et n'a accès qu'aux seules données nécessaires à son intervention. Il résulte également du paragraphe V du même article qu'un décret en Conseil d'État précisera, au sein de ces organismes, les services et personnels dont les interventions seraient, dans ce cadre, nécessaires, les catégories de données auxquelles ils auront accès, la durée de leurs accès ainsi que les règles de conservation de ces données.
5743da23f34ee7adc1bc280808926e060c096910eCliquer pour accéder à la décision
431350Cercle de réflexion et de proposition d’actions sur la psychiatrie et autres27/03/20202020FranceConseil d'EtatTraitementTraitement de données à caractère personnel - Mise en relation de traitements existants en vue de leur utilisation au regard de la finalité poursuivie par l'un d'entre eux ou d'une finalité propre - 1) Inclusion - 2) Cadre juridique applicable dépendant de la finalité poursuivie9. [...] Une mise en relation de deux traitements existants qui consiste à rapprocher des données conservées dans l'un et l'autre en vue de leur utilisation au regard de la finalité poursuivie par l'un d'entre eux ou d'une finalité propre constitue en elle-même un traitement au sens de ces dispositions. Le cadre juridique applicable à un tel traitement dépend de la finalité ainsi poursuivie.4a33beb1398d687ce56ea092654850e76f54bebb2Cliquer pour accéder à la décision
431350Cercle de réflexion et de proposition d’actions sur la psychiatrie et autres27/03/20202020FranceConseil d'EtatSécurité nationalePolice-Justice1) Traitement mettant en relation les traitements HOPSYWEB et FSPRT - Finalité - Prévention de la radicalisation à caractère terroriste - 2) Conséquences - a) Application des dispositions relatives aux traitements intéressant la sûreté de l'État et la défense - Existence - b) Application du RGPD - Absence10. Il ressort des pièces du dossier que le traitement créé par le décret attaqué, qui met partiellement en relation les traitements HOPSYWEB et le traitement FSPRT, a pour finalité la prévention de la radicalisation à caractère terroriste. Il s'ensuit qu'il relève, au même titre que le traitement FSPRT, des seules dispositions applicables aux traitements intéressant la sûreté de l'Etat et la défense, aujourd'hui regroupées au sein du titre IV de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ainsi que des dispositions communes à l'ensemble des traitements figurant aujourd'hui au titre I. Il ne relève dès lors pas du champ d'application du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD), ni du titre II de la loi du 6 janvier 1978 relatif aux traitements relevant du régime de protection prévu par ce règlement désormais applicable. Les moyens tirés de la méconnaissance des dispositions de ce règlement, en particulier le moyen tiré de l'insuffisance de l'analyse d'impact, ne peuvent donc qu'être écartés comme inopérants, sans qu'il soit besoin de surseoir à statuer jusqu'à ce que la Cour de justice de l'Union européenne se soit prononcée sur l'interprétation qu'il convient de retenir des articles 9, 12, 13, 14, 16 et 17 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016.270142f66475ae2fb33722d8d4750f386ecfefe7b115Cliquer pour accéder à la décision
C-708/18Asociaţia de Proprietari bloc M5A-ScaraA11/12/20192019RoumanieCour de Justice de l'UEIntérêt légitimeIntérêt légitime - Mise en place d’un système de vidéosurveillance dans les parties communes d’un immeuble à usage d’habitation - Existence - Condition de mise en balance des intérêts60. Eu égard à ce qui précède, il y a lieu de répondre aux questions posées que l’article 6, paragraphe 1, sous c), et l’article 7, sous f), de la directive 95/46 [article 6 du RGPD], lus à la lumière des articles 7 et 8 de la Charte, doivent être interprétés en ce sens qu’ils ne s’opposent pas à des dispositions nationales qui autorisent la mise en place d’un système de vidéosurveillance, tel que le système en cause au principal installé dans les parties communes d’un immeuble à usage d’habitation, aux fins de poursuivre des intérêts légitimes consistant à assurer la garde et la protection des personnes et des biens, sans le consentement des personnes concernées, si le traitement de données à caractère personnel opéré au moyen du système de vidéosurveillance en cause répond aux conditions posées audit article 7, sous f), ce qu’il incombe à la juridiction de renvoi de vérifier.62ce6ddc84d93a3a1dcd84238cd67260bd7272e08Cliquer pour accéder à la décision
420917M. B… A…02/12/20192019FranceConseil d'EtatPersonne concernéePersonne concernée - Ayant droit d’une personne décédée à laquelle se rapportent des données à caractère personnel - Exclusion par principe4. La loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés n'ouvre la possibilité de demander la communication de données à caractère personnel figurant dans un traitement automatisé ou de solliciter un accès indirect à de telles données qu'à la personne concernée par celles-ci. La seule qualité d'ayant droit de son père décédé dont se prévaut M. A... ne lui confère pas la qualité de personne concernée par les données susceptibles de concerner son père dans un fichier intéressant la sûreté de l'Etat ou la défense.4a33beb1398d687ce56ea092654850e76f54bebb2Cliquer pour accéder à la décision
DI 191260Lycées de la région X25/10/20192019FranceCNIL (ou équivalent)MinimisationJeunesse et éducationSystèmes d’identification par reconnaissance faciale de mineurs - Objectifs pouvant être atteints par des moyens aussi efficaces et moins intrusifs Les principes de nécessité d’un traitement fondé sur l’intérêt public et de minimisation des données s’opposent à la mise en œuvre de systèmes d’identification par reconnaissance faciale d’enfants à des fins de contrôle d’accès à des établissements scolaires, dès lors que les objectifs de sécurisation et la fluidification des entrées dans de tels établissements peuvent être atteints par des moyens aussi efficaces et moins intrusifs et compte tenu de la protection particulière dont doivent bénéficier les enfants, quand bien même ces systèmes seraient mis en œuvre à titre expérimental et reposeraient sur le consentement des élèves concernés.5743da23f34ee7adc1bc280808926e060c096910eNon publié.
Source: CNIL, Tables Informatique et Libertés
C-673/17Planet4901/10/20192019AllemagneCour de Justice de l'UEUnivoqueTechnologieConsentement à l'utilisation de cookies au moyen d’une case pré-cochée par défaut - Exclusion54. En particulier, l’article 7, sous a), de la directive 95/46 prévoit que le consentement de la personne concernée peut rendre un tel traitement licite pour autant que ce consentement est « indubitablement » donné par la personne concernée. Or, seul un comportement actif de la part de cette personne en vue de manifester son consentement est de nature à remplir cette exigence.
-
55. À cet égard, il apparaît pratiquement impossible de déterminer de manière objective si l’utilisateur d’un site Internet a effectivement donné son consentement au traitement de ses données personnelles en ne décochant pas une case cochée par défaut ainsi que, en tout état de cause, si ce consentement a été donné de manière informée. En effet, il ne peut être exclu que ledit utilisateur n’ait pas lu l’information accompagnant la case cochée par défaut, voire qu’il n’ait pas aperçu cette case, avant de poursuivre son activité sur le site Internet qu’il visite.
[...]
59. En l’occurrence, contrairement à ce qu’a fait valoir Planet49, le fait pour un utilisateur d’activer le bouton de participation au jeu promotionnel organisé par cette société ne saurait dès lors suffire pour considérer que l’utilisateur a valablement donné son consentement au placement de cookies.
75e56ceb6a3ee0eeaba07ec39a491a470a34c31f7Cliquer pour accéder à la décision
C-673/17Planet4901/10/20192019AllemagneCour de Justice de l'UEA classerTechnologieInformation claire et complète devant être donnée par le fournisseur de services - Durée de fonctionnement des cookies - Inclusion - Possibilité ou non pour des tiers d’avoir accès aux cookies - Inclusion 81. Eu égard aux considérations qui précèdent, il convient de répondre à la seconde question que l’article 5, paragraphe 3, de la directive 2002/58 doit être interprété en ce sens que les informations que le fournisseur de services doit donner à l’utilisateur d’un site Internet incluent la durée de fonctionnement des cookies ainsi que la possibilité ou non pour des tiers d’avoir accès à ces cookies.12, 134fde6b87a266eece4b77ee2df16db81507c218b0, f7475b81fdc4723ec189ed2fbacb5f50b84b6a92Cliquer pour accéder à la décision
C-673/17Planet4901/10/20192019AllemagneCour de Justice de l'UEA classerTechnologieExhaustivité de la liste des informations que doit fournir le responsable du traitement à la personne auprès de laquelle il collecte des données la concernant - Absence78. Si la durée du traitement des données ne figure pas parmi ces informations, il ressort toutefois de l’expression « au moins » figurant à l’article 10 de la directive 95/46 que celles-ci ne sont pas énumérées de manière exhaustive. Or, l’information sur la durée de fonctionnement des cookies doit être considérée comme répondant à l’exigence d’un traitement loyal des données prévue par ledit article, en ce que, dans une situation telle que celle en cause au principal, une durée longue, voire illimitée, implique la collecte de nombreuses informations sur les habitudes de navigation et la fréquence des visites éventuelles de l’utilisateur sur les sites des partenaires publicitaires de l’organisateur du jeu promotionnel12, 134fde6b87a266eece4b77ee2df16db81507c218b0, f7475b81fdc4723ec189ed2fbacb5f50b84b6a92Cliquer pour accéder à la décision
C-136/17GC e.a.24/09/20192019FranceCour de Justice de l'UEDroits des personnesTechnologieDéréférencement de données sensibles - Principe - Conditions de rejet de la demande - 1) Respect du RGPD ET 2) Mise en balance entre la gravité de l’ingérence dans les droits fondamentaux de la personne concernée et le droit à l’information des internautes - OU - Traitement portant sur des données manifestement rendues publiques par la personne concernée ou nécessaires à la constatation, à l'exercice ou à la défense d'un droit en justice.69. Les dispositions de l’article 8, paragraphes 1 et 5, de la directive 95/46 doivent être interprétées en ce sens que, en vertu de celles-ci, l’exploitant d’un moteur de recherche est en principe obligé, sous réserve des exceptions prévues par cette directive, de faire droit aux demandes de déréférencement portant sur des liens menant vers des pages web sur lesquelles figurent des données à caractère personnel qui relèvent des catégories particulières visées par ces dispositions.
-
L’article 8, paragraphe 2, sous e), de la directive 95/46 doit être interprété en ce sens que, en application de celui-ci, un tel exploitant peut refuser de faire droit à une demande de déréférencement lorsqu’il constate que les liens en cause mènent vers des contenus comportant des données à caractère personnel qui relèvent des catégories particulières visées à cet article 8, paragraphe 1, mais dont le traitement est couvert par l’exception prévue audit article 8, paragraphe 2, sous e), à condition que ce traitement réponde à l’ensemble des autres conditions de licéité posées par cette directive et à moins que la personne concernée n’ait, en vertu de l’article 14, premier alinéa, sous a), de ladite directive, le droit de s’opposer audit traitement pour des raisons prépondérantes et légitimes tenant à sa situation particulière.
-
Les dispositions de la directive 95/46 doivent être interprétées en ce sens que, lorsque l’exploitant d’un moteur de recherche est saisi d’une demande de déréférencement portant sur un lien vers une page web sur laquelle des données à caractère personnel relevant des catégories particulières visées à l’article 8, paragraphe 1 ou 5, de cette directive sont publiées, cet exploitant doit, sur la base de tous les éléments pertinents du cas d’espèce et compte tenu de la gravité de l’ingérence dans les droits fondamentaux de la personne concernée au respect de la vie privée et à la protection des données à caractère personnel, consacrés aux articles 7 et 8 de la Charte, vérifier, au titre des motifs d’intérêt public important visés à l’article 8, paragraphe 4, de ladite directive et dans le respect des conditions prévues à cette dernière disposition, si l’inclusion de ce lien dans la liste de résultats, qui est affichée à la suite d’une recherche effectuée à partir du nom de cette personne, s’avère strictement nécessaire pour protéger la liberté d’information des internautes potentiellement intéressés à avoir accès à cette page web au moyen d’une telle recherche, consacrée à l’article 11 de la Charte.
9, 10, 17b85ab32eaa572c8016edf68011078dceed8149e5, c23f7da7070511444ebc75875fd9d202b5dd13cfCliquer pour accéder à la décision
C-136/17GC e.a.24/09/20192019FranceCour de Justice de l'UEA classerTechnologieDéréférencement de données sensibles - Principe - Conditions de rejet de la demande - 1) Respect du RGPD ET 2) Mise en balance entre la gravité de l’ingérence dans les droits fondamentaux de la personne concernée et le droit à l’information des internautes - OU - Traitement portant sur des données manifestement rendues publiques par la personne concernée ou nécessaires à la constatation, à l'exercice ou à la défense d'un droit en justice.69. Les dispositions de l’article 8, paragraphes 1 et 5, de la directive 95/46 doivent être interprétées en ce sens que, en vertu de celles-ci, l’exploitant d’un moteur de recherche est en principe obligé, sous réserve des exceptions prévues par cette directive, de faire droit aux demandes de déréférencement portant sur des liens menant vers des pages web sur lesquelles figurent des données à caractère personnel qui relèvent des catégories particulières visées par ces dispositions.
-
L’article 8, paragraphe 2, sous e), de la directive 95/46 doit être interprété en ce sens que, en application de celui-ci, un tel exploitant peut refuser de faire droit à une demande de déréférencement lorsqu’il constate que les liens en cause mènent vers des contenus comportant des données à caractère personnel qui relèvent des catégories particulières visées à cet article 8, paragraphe 1, mais dont le traitement est couvert par l’exception prévue audit article 8, paragraphe 2, sous e), à condition que ce traitement réponde à l’ensemble des autres conditions de licéité posées par cette directive et à moins que la personne concernée n’ait, en vertu de l’article 14, premier alinéa, sous a), de ladite directive, le droit de s’opposer audit traitement pour des raisons prépondérantes et légitimes tenant à sa situation particulière.
-
Les dispositions de la directive 95/46 doivent être interprétées en ce sens que, lorsque l’exploitant d’un moteur de recherche est saisi d’une demande de déréférencement portant sur un lien vers une page web sur laquelle des données à caractère personnel relevant des catégories particulières visées à l’article 8, paragraphe 1 ou 5, de cette directive sont publiées, cet exploitant doit, sur la base de tous les éléments pertinents du cas d’espèce et compte tenu de la gravité de l’ingérence dans les droits fondamentaux de la personne concernée au respect de la vie privée et à la protection des données à caractère personnel, consacrés aux articles 7 et 8 de la Charte, vérifier, au titre des motifs d’intérêt public important visés à l’article 8, paragraphe 4, de ladite directive et dans le respect des conditions prévues à cette dernière disposition, si l’inclusion de ce lien dans la liste de résultats, qui est affichée à la suite d’une recherche effectuée à partir du nom de cette personne, s’avère strictement nécessaire pour protéger la liberté d’information des internautes potentiellement intéressés à avoir accès à cette page web au moyen d’une telle recherche, consacrée à l’article 11 de la Charte.
9, 10, 171e8656ea42e419dc857d077aca14615f16874373Cliquer pour accéder à la décision
C-507/17Google 24/09/20192019FranceCour de Justice de l'UEA classerTechnologieDroit à l'oubli et déréférencement - Portée territoriale - Ensemble des Etats membres73. Au vu de tout ce qui précède, il y a lieu de répondre aux questions posées que l’article 12, sous b), et l’article 14, premier alinéa, sous a), de la directive 95/46 ainsi que l’article 17, paragraphe 1, du règlement 2016/679 doivent être interprétés en ce sens que, lorsque l’exploitant d’un moteur de recherche fait droit à une demande de déréférencement en application de ces dispositions, il est tenu d’opérer ce déréférencement non pas sur l’ensemble des versions de son moteur, mais sur les versions de celui-ci correspondant à l’ensemble des États membres, et ce, si nécessaire, en combinaison avec des mesures qui, tout en satisfaisant aux exigences légales, permettent effectivement d’empêcher ou, à tout le moins, de sérieusement décourager les internautes effectuant une recherche sur la base du nom de la personne concernée à partir de l’un des États membres d’avoir, par la liste de résultats affichée à la suite de cette recherche, accès aux liens qui font l’objet de cette demande.171e8656ea42e419dc857d077aca14615f16874373Cliquer pour accéder à la décision
C-40/17Fashion ID29/07/20192019AllemagneCour de Justice de l'UEA classerTechnologieGestionnaire d’un site internet équipé du bouton « j’aime » de Facebook - Responsabilité conjointe entre le gestionnaire du site et Facebook - Admission75. En l’occurrence, sous réserve des vérifications qu’il appartient à la juridiction de renvoi d’effectuer, il ressort du dossier dont dispose la Cour que, en ayant inséré sur son site Internet le bouton « j’aime » de Facebook, Fashion ID semble avoir offert la possibilité à Facebook Ireland d’obtenir des données à caractère personnel des visiteurs de son site Internet, une telle possibilité étant déclenchée dès le moment de la consultation d’un tel site, et ce indépendamment du fait que ces visiteurs soient membres du réseau social Facebook ou qu’ils aient cliqué sur le bouton « j’aime » de Facebook ou encore qu’ils aient connaissance d’une telle opération.
-
76. Compte tenu de ces informations, il convient de constater que les opérations de traitement de données à caractère personnel dont Fashion ID est susceptible de déterminer, conjointement avec Facebook Ireland, les finalités et les moyens sont, au regard de la définition de la notion de « traitement à caractère personnel » figurant à l’article 2, sous b), de la directive 95/46, la collecte et la communication par transmission des données à caractère personnel des visiteurs de son site Internet.
24, 26788235c7a7839ac7e834e0a5a9a15b95657a9271, 8ce5af29fdc1bba6fa462556f98ce0fb61c67e64Cliquer pour accéder à la décision
C-40/17Fashion ID29/07/20192019AllemagneCour de Justice de l'UEIntérêt légitimeTechnologieResponsabilité conjointe entre le gestionnaire d’un site internet équipé du bouton « j’aime » et Facebook - Nécessité que les responsables poursuivent chacun un intérêt légitime97. Eu égard aux considérations qui précèdent, il y a lieu de répondre à la quatrième question que, dans une situation telle que celle en cause au principal, dans laquelle le gestionnaire d’un site Internet insère sur ledit site un module social permettant au navigateur du visiteur de ce site de solliciter des contenus du fournisseur dudit module et de transmettre à cet effet audit fournisseur des données à caractère personnel du visiteur, il est nécessaire que ce gestionnaire et ce fournisseur poursuivent chacun, avec ces opérations de traitement, un intérêt légitime, au sens de l’article 7, sous f), de la directive 95/46, [article 6 du RGPD] afin que celles-ci soient justifiées dans son chef.62ce6ddc84d93a3a1dcd84238cd67260bd7272e08Cliquer pour accéder à la décision
2019-797 QPCUnicef France et autres26/07/20192019FranceConseil constitutionnelLimitation des finalitésTraitement de données à caractère personnel poursuivant plusieurs finalités - Admission8. [...] Ce faisant, et alors qu'aucune norme constitutionnelle ne s'oppose par principe à ce qu'un traitement automatisé poursuive plusieurs finalités, le législateur a, en adoptant les dispositions contestées, entendu mettre en œuvre l'exigence constitutionnelle de protection de l'intérêt supérieur de l'enfant et poursuivi l'objectif de valeur constitutionnelle de lutte contre l'immigration irrégulière.5743da23f34ee7adc1bc280808926e060c096910eCliquer pour accéder à la décision
424216Association des américains accidentels19/07/20192019FranceConseil d'EtatDroit applicablePolice-JusticeDistinction entre objet pénal et finalité pénale8. [...] Si le traitement créé par l'arrêté du 5 octobre 2015 a pour finalité de lutter contre la fraude et l'évasion fiscales, il doit être regardé comme ayant parmi ses objets la prévention, la recherche, la constatation ou la poursuite des infractions pénales. Il s'ensuit, eu égard à cet objet, qu'il est au nombre des traitements visés à l'article 31 précité qui constitue l'exacte reprise de l'article 26 de cette même loi, dans sa version en vigueur à la date d'édiction des arrêtés du 5 octobre 2015 et du 25 juillet 2017.
-
18. [...] Alors même qu'ainsi qu'il a été dit au point 8, le traitement litigieux a plusieurs objets, au nombre desquels figurent la prévention, la détection et la répression des infractions pénales, sa finalité est de permettre, en luttant contre la fraude et l'évasion fiscales, l'amélioration du respect de leurs obligations fiscales par les contribuables français et américains. Il s'ensuit qu'il relève du champ d'application du règlement du 27 avril 2016 et non de celui de la directive du même jour.
2, 1070142f66475ae2fb33722d8d4750f386ecfefe7b, c23f7da7070511444ebc75875fd9d202b5dd13cf31, 87Cliquer pour accéder à la décision
397073Avis sur le projet de décret "ALICEM"02/04/20192019FranceConseil d'EtatConsentement, BiométrieConsentement au traitement de données biométriques - Condition de liberté - Possibilité de refuser ou de retirer le consentement sans préjudiceLe Conseil d’État considère que ces dispositions ne sont pas méconnues par le projet dès lors que le recours à ALICEM pour s'authentifier auprès d'organismes publics ou privés est une faculté, les usagers ou clients ayant la possibilité de recourir à d'autres dispositifs d'authentification électronique ou d'entrer en contact avec ces organismes par des voies autres qu'électroniques. Le projet prévoit également la possibilité pour l'intéressé de désinstaller l'application de son équipement terminal de communications électroniques à tout moment. Les données biométriques sont elles-mêmes supprimées du traitement sitôt l'enrôlement dans le traitement terminé. 7, 9b85ab32eaa572c8016edf68011078dceed8149e5Non publié en intégralité.
397073Avis sur le projet de décret "ALICEM"02/04/20192019FranceConseil d'EtatLibertéConsentement au traitement de données biométriques - Condition de liberté - Possibilité de refuser ou de retirer le consentement sans préjudiceLe Conseil d’État considère que ces dispositions ne sont pas méconnues par le projet dès lors que le recours à ALICEM pour s'authentifier auprès d'organismes publics ou privés est une faculté, les usagers ou clients ayant la possibilité de recourir à d'autres dispositifs d'authentification électronique ou d'entrer en contact avec ces organismes par des voies autres qu'électroniques. Le projet prévoit également la possibilité pour l'intéressé de désinstaller l'application de son équipement terminal de communications électroniques à tout moment. Les données biométriques sont elles-mêmes supprimées du traitement sitôt l'enrôlement dans le traitement terminé. 7, 95e56ceb6a3ee0eeaba07ec39a491a470a34c31f7Non publié en intégralité.
C-345/17Buivids14/02/20192019LettonieCour de Justice de l'UEDonnée à caractère personnelDonnée à caractère personnel - Image d’une personne enregistrée par une caméra - Inclusion 31. Selon la jurisprudence de la Cour, l’image d’une personne enregistrée par une caméra constitue une « donnée à caractère personnel », au sens de l’article 2, sous a), de la directive 95/46, dans la mesure où elle permet d’identifier la personne concernée (voir, en ce sens, arrêt du 11 décembre 2014, Ryneš, C‑212/13, EU:C:2014:2428, point 22).4a33beb1398d687ce56ea092654850e76f54bebb2Cliquer pour accéder à la décision
C-345/17Buivids14/02/20192019LettonieCour de Justice de l'UETraitementTechnologieTraitement de données à caractère personnel - Enregistrement vidéo publié sur internet et que les utilisateurs peuvent envoyer, regarder et partager - Inclusion47. Eu égard à ce qui précède, il y a lieu de répondre à la première question que l’article 3 de la directive 95/46 doit être interprété en ce sens que relèvent du champ d’application de cette directive l’enregistrement vidéo de membres de la police dans un commissariat, lors d’une prise de déposition, et la publication de la vidéo ainsi enregistrée sur un site Internet de vidéos sur lequel les utilisateurs peuvent envoyer, regarder et partager celles-ci.4a33beb1398d687ce56ea092654850e76f54bebb2Cliquer pour accéder à la décision
C-496/17Deutsche Post16/01/20192019AllemagneCour de Justice de l'UEMinimisationEconomie et fiscalité, AdministrationDemandeur du statut d’opérateur économique agréé - Licéité d’une demande de communication des numéros d’identification fiscale des personnes physiques par les autorités douanières - Admission sous condition que les données ne servent qu'à la recherche infractions graves ou répétées à la législation pertinente70. Eu égard aux considérations qui précèdent, il y a lieu de répondre à la question posée que l’article 24, paragraphe 1, second alinéa, du règlement d’exécution 2015/2447, lu à la lumière de la directive 95/46 et du règlement 2016/679, doit être interprété en ce sens que les autorités douanières peuvent exiger du demandeur du statut d’OEA qu’il communique les numéros d’identification fiscale, attribués aux fins du prélèvement de l’impôt sur le revenu, concernant uniquement les personnes physiques qui sont responsables du demandeur ou exercent le contrôle sur la gestion de celui-ci et celles qui sont responsables des questions douanières en son sein, ainsi que les coordonnées des centres des impôts compétents à l’égard de l’ensemble de ces personnes, pour autant que ces données permettent à ces autorités d’obtenir des informations relatives aux infractions graves ou répétées à la législation douanière ou aux dispositions fiscales ou aux infractions pénales graves commises par ces personnes physiques en lien avec leur activité économique.5743da23f34ee7adc1bc280808926e060c096910eCliquer pour accéder à la décision
396340Avis sur le projet de décret relatif à la mise en œuvre de traitements provenant des caméras individuelles des agents de la police municipale08/01/20192019FranceConseil d'EtatResponsable de traitementAdministration, Police-JusticeResponsable de traitement mis en oeuvre pour le compte de l'Etat (art. 31 LIL) - Caméras individuelles des agents de la police municipale - Responsabilité de traitement du ministre de l’intérieur - ExclusionÀ l’occasion de l’examen d’un projet de décret relatif à la mise en œuvre de traitements de données à caractère personnel provenant des caméras individuelles des agents de la police municipale, le Conseil d’État (section de l’intérieur) estime qu’il résulte tant des finalités poursuivies par les dispositifs en cause que des missions confiées aux agents de police municipale, que les traitements projetés relèvent des dispositions de la directive (UE) n° 2016/680 du 27 avril 2016 telle que transposée aux articles 70-1 et suivants de la loi du 6 janvier 1978 modifiée. Compte tenu de leurs finalités ils doivent être regardés comme mis en œuvre pour le compte de l'État. Le traitement étant mis en œuvre au niveau des collectivités locales ou des établissements de coopérations intercommunales, le ministre de l'intérieur ne peut être regardé comme le responsable du traitement au sens du premier alinéa de l'article 70-4, alors même que cette mise en œuvre est faite pour le compte de l'État. 4a33beb1398d687ce56ea092654850e76f54bebb231, 87Non publié en intégralité.
396212Projet de décret relatif à la validation du visa long séjour valant titre de séjour27/11/20182018FranceConseil d'EtatDroit applicablePolice-JusticeApplication de gestion des dossiers des ressortissants étrangers en France - Adoption d’un téléservice visant à recenser les données relatives au droit au séjour de l’étranger titulaire d’un visa de long séjour valant titre de séjour - RGPDLe Conseil d’État (section de l’intérieur) estime que cette nouvelle fonctionnalité du traitement de données, dont l’objet est de recenser les données relatives au droit au séjour de l’étranger titulaire d’un visa de long séjour valant titre de séjour, n’a pas pour finalité première la prévention et la détection d’infractions pénales, la conduite d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et ne relève pas de la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 mais du règlement 2016/679 du Parlement européen et du Conseil (règlement général sur la protection des données). 270142f66475ae2fb33722d8d4750f386ecfefe7bCliquer pour accéder à la décision
C-25/17Jehovan todistajat10/07/20182018FinlandeCour de Justice de l'UEA classerResponsabilité conjointe - Obligation que chaque responsable de traitement participe de manière équivalente et/ou ait accès aux données et/ou ait donné des consignes écrites relatives aux traitements - Absence66. L’objectif de cette disposition étant d’assurer, par une définition large de la notion de « responsable », une protection efficace et complète des personnes concernées, l’existence d’une responsabilité conjointe ne se traduit pas nécessairement par une responsabilité équivalente, pour un même traitement de données à caractère personnel, des différents acteurs. Au contraire, ces acteurs peuvent être impliqués à différents stades de ce traitement et selon différents degrés, de telle sorte que le niveau de responsabilité de chacun d’entre eux doit être évalué en tenant compte de toutes les circonstances pertinentes du cas d’espèce (voir, en ce sens, arrêt du 5 juin 2018, Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388, points 28, 43 et 44).
[...]
75. Eu égard aux considérations qui précèdent, il convient de répondre aux troisième et quatrième questions que l’article 2, sous d), de la directive 95/46, lu à la lumière de l’article 10, paragraphe 1, de la Charte, doit être interprété en ce sens qu’il permet de considérer une communauté religieuse comme étant responsable, conjointement avec ses membres prédicateurs, des traitements de données à caractère personnel effectués par ces derniers dans le cadre d’une activité de prédication de porte-à-porte organisée, coordonnée et encouragée par cette communauté, sans qu’il soit nécessaire que ladite communauté ait accès aux données ni qu’il doive être établi qu’elle a donné à ses membres des lignes directrices écrites ou des consignes relativement à ces traitements.
24, 26788235c7a7839ac7e834e0a5a9a15b95657a9271, 8ce5af29fdc1bba6fa462556f98ce0fb61c67e64Cliquer pour accéder à la décision
C-25/17Jehovan todistajat10/07/20182018FinlandeCour de Justice de l'UEFichierFichier - Activité de prédication de porte-à-porte comportant des noms et des adresses - Données structurées selon des critères déterminés - Inclusion62. Il convient donc de répondre à la deuxième question que l’article 2, sous c), de la directive 95/46 doit être interprété en ce sens que la notion de « fichier », visée par cette disposition, couvre un ensemble de données à caractère personnel collectées dans le cadre d’une activité de prédication de porte-à-porte, comportant des noms et des adresses ainsi que d’autres informations concernant les personnes démarchées, dès lors que ces données sont structurées selon des critères déterminés permettant, en pratique, de les retrouver aisément aux fins d’une utilisation ultérieure. Pour qu’un tel ensemble relève de cette notion, il n’est pas nécessaire qu’il comprenne des fiches, des listes spécifiques ou d’autres systèmes de recherche.4a33beb1398d687ce56ea092654850e76f54bebb2Cliquer pour accéder à la décision
C-25/17Jehovan todistajat10/07/20182018FinlandeCour de Justice de l'UEException domestiqueException domestique - Collecte de données à caractère personnel effectuée par des membres d’une communauté religieuse dans le cadre d’une activité de prédication de porte-à-porte et traitements ultérieurs de ces données - Exclusion51. Eu égard aux considérations qui précèdent, il y a lieu de répondre à la première question que l’article 3, paragraphe 2, de la directive 95/46, lu à la lumière de l’article 10, paragraphe 1, de la Charte, doit être interprété en ce sens que la collecte de données à caractère personnel par des membres d’une communauté religieuse dans le cadre d’une activité de prédication de porte-à-porte et les traitements ultérieurs de ces données ne constituent ni des traitements de données à caractère personnel mis en œuvre pour l’exercice d’activités visées à l’article 3, paragraphe 2, premier tiret, de cette directive ni des traitements de données à caractère personnel effectués par des personnes physiques pour l’exercice d’activités exclusivement personnelles ou domestiques, au sens de l’article 3, paragraphe 2, second tiret, de ladite directive.270142f66475ae2fb33722d8d4750f386ecfefe7bCliquer pour accéder à la décision
412589Société Editions Croque Futur06/06/20182018FranceConseil d'EtatTraitementTechnologieTraitement de données à caractère personnel - Utilisation de témoins de connexion (« cookies ») répondant aux caractéristiques définies au II de l’article 32 de la loi du 6 janvier 1978 - Inclusion11. L'utilisation de " cookies " répondant aux caractéristiques définies au II de l'article 32 de la loi du 6 janvier 1978 [désormais 82] constitue un traitement de données qui doit respecter les prescriptions de l'article 6 précité. Lorsque des " cookies " sont déposés par l'éditeur du site, il doit être considéré comme responsable de traitement au sens de la loi. Il en va de même lorsque l'éditeur sous-traite à des tiers la gestion de " cookies " mis en place pour son compte. 4a33beb1398d687ce56ea092654850e76f54bebb282Cliquer pour accéder à la décision
C-210/16Wirtschaftsakademie Schleswig-Holstein05/06/20182018AllemagneCour de Justice de l'UEA classerTechnologieResponsabilité conjointe - Obligation que chaque responsable de traitement ait accès aux données et/ou participe de manière équivalente - Absence38. S’il est vrai que les statistiques d’audience établies par Facebook sont uniquement transmises à l’administrateur de la page fan sous une forme anonymisée, il n’en demeure pas moins que l’établissement de ces statistiques repose sur la collecte préalable, au moyen de cookies installés par Facebook sur l’ordinateur ou sur tout autre appareil des personnes ayant visité cette page, et le traitement des données personnelles de ces visiteurs à de telles fins statistiques. En tout état de cause, la directive 95/46 n’exige pas, lorsqu’il y a une responsabilité conjointe de plusieurs opérateurs pour un même traitement, que chacun ait accès aux données à caractère personnel concernées.
[...]
43. Cela étant, il y a lieu de préciser, ainsi que l’a relevé M. l’avocat général aux points 75 et 76 de ses conclusions, que l’existence d’une responsabilité conjointe ne se traduit pas nécessairement par une responsabilité équivalente des différents opérateurs concernés par un traitement de données à caractère personnel. Au contraire, ces opérateurs peuvent être impliqués à différents stades de ce traitement et selon différents degrés, de telle sorte que le niveau de responsabilité de chacun d’entre eux doit être évalué en tenant compte de toutes les circonstances pertinentes du cas d’espèce.
24, 26788235c7a7839ac7e834e0a5a9a15b95657a9271, 8ce5af29fdc1bba6fa462556f98ce0fb61c67e64Cliquer pour accéder à la décision
C-210/16Wirtschaftsakademie Schleswig-Holstein05/06/20182018AllemagneCour de Justice de l'UEA classerTechnologieGestionnaire d’une page hébergée sur un réseau social (Facebook) - Responsabilité conjointe entre le gestionnaire et le fournisseur du service - Admission39. Dans ces circonstances, il y a lieu de considérer que l’administrateur d’une page fan hébergée sur Facebook, tel que Wirtschaftsakademie, participe, par son action de paramétrage, en fonction, notamment, de son audience cible ainsi que d’objectifs de gestion ou de promotion de ses activités, à la détermination des finalités et des moyens du traitement des données personnelles des visiteurs de sa page fan. De ce fait, cet administrateur doit être, en l’occurrence, qualifié de responsable au sein de l’Union, conjointement avec Facebook Ireland, de ce traitement, au sens de l’article 2, sous d), de la directive 95/46.24, 26788235c7a7839ac7e834e0a5a9a15b95657a9271, 8ce5af29fdc1bba6fa462556f98ce0fb61c67e64Cliquer pour accéder à la décision
406664Association française des sociétés financières06/04/20182018FranceConseil d'EtatLicéitéEnregistrement dans un traitement de données à caractère personnel en l’absence de procédure contradictoire préalable - Admission4. D'une part, ni l'article précité ni aucune disposition législative ou réglementaire ni aucun principe n'impose que l'enregistrement, dans un traitement, de données à caractère personnel soit précédé d'une procédure contradictoire menée avec la personne dont les données sont recueillies.62ce6ddc84d93a3a1dcd84238cd67260bd7272e08Cliquer pour accéder à la décision
406664Association française des sociétés financières06/04/20182018FranceConseil d'EtatInfraction pénalePolice-JusticeDonnées relatives aux infractions de nature pénale - Données collectées dans le seul but d’assurer la sécurité des manifestations sportives - Exclusion6. [...] Les données susceptibles de figurer dans les traitements en cause qui sont, ainsi que le prévoit le 2° de l'article R. 332-15 créé par le décret attaqué, relatives à des manquements " aux dispositions des conditions générales de vente ou du règlement intérieur concernant la sécurité des manifestations sportives " sont collectées dans le seul but d'assurer la sécurité des manifestations sportives en permettant aux organisateurs de telles manifestations d'empêcher certaines personnes d'accéder à leurs enceintes sportives, en raison de comportements dangereux correspondant à des manquements à des obligations de nature contractuelle. Il s'ensuit qu'alors même que certains faits ou comportements susceptibles d'être enregistrés dans ces traitements sont pénalement réprimés, les données ayant vocation à figurer dans les traitements en cause ne sont pas relatives à des infractions au sens de l'article 25 dès lors qu'elles ne sont pas collectées dans le but d'établir l'existence ou de prévenir la commission d'infractions, et ne sauraient d'ailleurs être mobilisées au soutien d'une plainte déposée devant le juge pénal. Il s'ensuit que le moyen tiré de ce que les traitements en cause auraient dû être soumis au régime d'autorisation par l'article R. 332-20 du code du sport créé par le décret attaqué doit être écarté.10c23f7da7070511444ebc75875fd9d202b5dd13cf31Cliquer pour accéder à la décision
C-434/16Nowak21/12/20172017AngleterreCour de Justice de l'UEA classerDonnée à caractère personnel et droit d'accès - Réponses écrites fournies par le candidat à un examen professionnel - Annotations de l’examinateur relatives à ces réponses - Inclusion 42. S’agissant des annotations de l’examinateur relatives aux réponses du candidat, il convient de constater que celles-ci constituent, tout comme les réponses fournies par le candidat lors de l’examen, des informations concernant ce candidat.154c7a18c8baa891976ae8102b846b3aa8143fe90dCliquer pour accéder à la décision
C-434/16Nowak20/12/20172017AngleterreCour de Justice de l'UEDonnée à caractère personnelDonnée à caractère personnel - Absence d'obligation que toutes les informations soient dans les mains de la même personne31. En effet, pour qu’une donnée puisse être qualifiée de « donnée à caractère personnel », au sens de l’article 2, sous a), de la directive 95/46, il n’est pas requis que toutes les informations permettant d’identifier la personne concernée se trouvent entre les mains d’une seule personne (arrêt du 19 octobre 2016, Breyer, C-582/14, EU:C:2016:779, point 43). Il est par ailleurs constant que, dans l’hypothèse où l’examinateur ne connaît pas l’identité du candidat lors de la notation des réponses fournies par celui-ci dans le cadre d’un examen, l’entité organisant l’examen, en l’occurrence l’ordre des experts-comptables, dispose, en revanche, des informations nécessaires lui permettant d’identifier sans difficultés ou doutes ce candidat à partir de son numéro d’identification, apposé sur la copie d’examen ou le feuillet de couverture de cette copie, et ainsi de lui attribuer ses réponses.4a33beb1398d687ce56ea092654850e76f54bebb2Cliquer pour accéder à la décision
403776Société Odeolis15/12/20172017FranceConseil d'EtatMinimisationTravailGéolocalisation pour le contrôle de la durée du travail de ses salariés - Caractère excessif sauf lorsque ce contrôle ne peut pas être fait par un autre moyen, même moins efficace7. [...] Aux termes de l'article L. 1121-1 du code du travail : " Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché ". Il résulte de ces dispositions que l'utilisation par un employeur d'un système de géolocalisation pour assurer le contrôle de la durée du travail de ses salariés n'est licite que lorsque ce contrôle ne peut pas être fait par un autre moyen, fût-il moins efficace que la géolocalisation. En dehors de cette hypothèse, la collecte et le traitement de telles données à des fins de contrôle du temps de travail doivent être regardés comme excessifs au sens du 3° de l'article 6 de la loi du 6 janvier 1978 précité [prévoyant le principe de minimisation].5743da23f34ee7adc1bc280808926e060c096910eCliquer pour accéder à la décision
393336Avis sur un projet de décret portant création d’un traitement automatisé dénommé « Automatisation de la consultation centralisée de renseignements et de données »04/07/20172017FranceConseil d'EtatConservation limitéeAdministration, Police-JusticeDurée de conservation - Traitements automatisés de données à caractère personnel intéressant la sûreté de l'État ou la sécurité publique - Obligation de préciser cette durée dans l’acte autorisant le traitement - Absence - Cas des mineurs âgés de moins de 13 ans - ExceptionEn application des dispositions du 5° de l’article 6 de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, les responsables de tout traitement doivent veiller à ne conserver les données du traitement que pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées. La fixation, par ces responsables, d’une durée de conservation des données est donc obligatoire, même si, comme c’est possible pour ceux des traitements intéressant la sûreté de l’État ou la sécurité publique mentionnés à l’article 1er du décret du 15 mai 2007, cette durée peut ne pas être mentionnée dans l’acte réglementaire autorisant le traitement. Mais le Conseil d’État considère que la collecte, dans le cadre de ces mêmes traitements, de données relatives à des personnes âgées de moins de 13 ans, doit s’accompagner de la fixation, par l’acte réglementaire autorisant ce traitement, d’une durée de conservation de ces données.5743da23f34ee7adc1bc280808926e060c096910eNon publié.
Source: CNIL, Tables Informatique et Libertés
399446M.X07/06/20172017FranceConseil d'EtatPersonne concernéePersonne concernée - Ayant droit d’une personne décédée à laquelle se rapportent des données à caractère personnel - Exclusion par principe - Héritiers de la victime d'un dommage ayant engagé une action en réparation avant son décès ou ayant eux-mêmes engagé ultérieurement une telle action - Admission par exception2. [...] Il résulte de ces dispositions que la communication de données à caractère personnel n'est possible qu'à la personne concernée par ces données. Par suite, la seule qualité d'ayant droit d'une personne à laquelle se rapportent des données ne confère pas la qualité de " personne concernée " par leur traitement au sens des articles 2 et 39 de la loi du 6 janvier 1978.
-
3. Toutefois, lorsque la victime d'un dommage décède, son droit à la réparation de ce dommage, entré dans son patrimoine, est transmis à ses héritiers, saisis de plein droit des biens, droits et actions du défunt en application du premier alinéa de l'article 724 du code civil. Par suite, lorsque la victime a engagé une action en réparation avant son décès ou lorsque ses héritiers ont ultérieurement eux-mêmes engagé une telle action, ces derniers doivent être regardés comme des " personnes concernées " au sens des articles 2 et 39 de la loi du 6 janvier 1978 pour l'exercice de leur droit d'accès aux données à caractère personnel concernant le défunt, dans la mesure nécessaire à l'établissement du préjudice que ce dernier a subi en vue de sa réparation et pour les seuls besoins de l'instance engagée.
4a33beb1398d687ce56ea092654850e76f54bebb2Cliquer pour accéder à la décision
C-13/16Rïgas satiksme04/05/20172017LettonieCour de Justice de l'UEA classerIntérêt légitime - Demande par un particulier de communication des données personnelles d’une personne responsable d’un accident de la circulation afin d’exercer un droit en justice - Possibilité pour le responsable du traitement de faire droit à une telle demande - Admission - Obligation d'y faire droit - Absence34. Il résulte de l’ensemble des considérations qui précèdent que l’article 7, sous f), de la directive 95/46 [article 6 du RGPD] doit être interprété en ce sens qu’il n’impose pas l’obligation de communiquer des données à caractère personnel à un tiers afin de lui permettre d’introduire un recours en indemnisation devant une juridiction civile pour un dommage causé par la personne concernée par la protection de ces données. Toutefois, l’article 7, sous f), de cette directive ne s’oppose pas à une telle communication sur la base du droit national.6, 144c346b79544cb7d893c9dac5883512c2b8b3ebd2Cliquer pour accéder à la décision
C-13/16Rïgas satiksme04/05/20172017LettonieCour de Justice de l'UEIntérêt légitimeIntérêt légitime - Demande par un particulier de communication des données personnelles d’une personne responsable d’un accident de la circulation afin d’exercer un droit en justice - Possibilité pour le responsable du traitement de faire droit à une telle demande - Admission - Obligation d'y faire droit - Absence34. Il résulte de l’ensemble des considérations qui précèdent que l’article 7, sous f), de la directive 95/46 [article 6 du RGPD] doit être interprété en ce sens qu’il n’impose pas l’obligation de communiquer des données à caractère personnel à un tiers afin de lui permettre d’introduire un recours en indemnisation devant une juridiction civile pour un dommage causé par la personne concernée par la protection de ces données. Toutefois, l’article 7, sous f), de cette directive ne s’oppose pas à une telle communication sur la base du droit national.6, 142ce6ddc84d93a3a1dcd84238cd67260bd7272e08Cliquer pour accéder à la décision
C-398/15Manni09/03/20172017ItalieCour de Justice de l'UETraitementEconomie et fiscalitéTraitement de données à caractère personnel - Registre des sociétés - Inclusion35. Par ailleurs, en transcrivant et en conservant lesdites informations dans le registre et en communiquant celles-ci, le cas échéant, sur demande à des tiers, l’autorité chargée de la tenue de ce registre effectue un « traitement de données à caractère personnel », pour lequel elle est le « responsable », au sens des définitions fournies à l’article 2, sous b) et d), de la directive 95/46.4a33beb1398d687ce56ea092654850e76f54bebb2Cliquer pour accéder à la décision
393714Société JC Decaux France08/02/20172017FranceConseil d'EtatAnonymisationAnonymisation - Conditions d’anonymisation d’une donnée à caractère personnel7. En second lieu, il résulte de la définition de la donnée personnelle donnée par les dispositions, citées au point 2 ci-dessus, de l'article 2 de la loi du 6 janvier 1978, qu'une telle donnée ne peut être regardée comme rendue anonyme que lorsque l'identification de la personne concernée, directement ou indirectement, devient impossible que ce soit par le responsable du traitement ou par un tiers. Tel n'est pas le cas lorsqu'il demeure possible d'individualiser une personne ou de relier entre elles des données résultant de deux enregistrements qui la concernent.4a33beb1398d687ce56ea092654850e76f54bebb2Cliquer pour accéder à la décision
15-22.595B.03/11/20162016FranceCour de cassationDonnée à caractère personnelTechnologieDonnée à caractère personnel - Adresse IP - Inclusion (5.) Qu'en statuant ainsi, alors que les adresses IP, qui permettent d'identifier indirectement une personne physique, sont des données à caractère personnel, de sorte que leur collecte constitue un traitement de données à caractère personnel et doit faire l'objet d'une déclaration préalable auprès de la CNIL, la cour d'appel a violé les textes susvisés ;4a33beb1398d687ce56ea092654850e76f54bebb2Cliquer pour accéder à la décision
C-582/14Breyer19/10/20162016AllemagneCour de Justice de l'UEDonnée à caractère personnelTechnologieDonnée à caractère personnel - Limites : Moyen légal et raisonnable d'identifier - Exemple des adresses IP - Admission44. Le fait que les informations supplémentaires nécessaires pour identifier l’utilisateur d’un site Internet sont détenues non pas par le fournisseur de services de médias en ligne, mais par le fournisseur d’accès à Internet de cet utilisateur, n’apparaît ainsi pas de nature à exclure que les adresses IP dynamiques enregistrées par le fournisseur de services de médias en ligne constituent, pour celui-ci, des données à caractère personnel au sens de l’article 2, sous a), de la directive 95/46.
-
45. Il convient cependant de déterminer si la possibilité de combiner une adresse IP dynamique avec lesdites informations supplémentaires détenues par ce fournisseur d’accès à Internet constitue un moyen susceptible d’être raisonnablement mis en œuvre pour identifier la personne concernée.
-
46. Ainsi que l’a relevé en substance M. l’avocat général au point 68 de ses conclusions, tel ne serait pas le cas si l’identification de la personne concernée était interdite par la loi ou irréalisable en pratique, par exemple en raison du fait qu’elle impliquerait un effort démesuré en termes de temps, de coût et de main-d’œuvre, de sorte que le risque d’une identification paraît en réalité insignifiant.
4a33beb1398d687ce56ea092654850e76f54bebb2Cliquer pour accéder à la décision
C-582/14Breyer19/10/20162016AllemagneCour de Justice de l'UEIntérêt légitimeTechnologieIntérêt légitime - Restriction au moyen d’une règlementation nationale [visant à transposer la directive 95/46] empêchant la collecte et l’utilisation des données à caractère personnel par un fournisseur de service de médias en ligne sauf pour garantir le fonctionnement du service et sa facturation - Inconventionalité64. Il résulte de l’ensemble des considérations qui précèdent qu’il convient de répondre à la seconde question que l’article 7, sous f), de la directive 95/46 [article 6 du RGPD] doit être interprété en ce sens qu’il s’oppose à une réglementation d’un État membre en vertu de laquelle un fournisseur de services de médias en ligne ne peut collecter et utiliser des données à caractère personnel afférentes à un utilisateur de ces services, en l’absence du consentement de celui-ci, que dans la mesure où cette collecte et cette utilisation sont nécessaires pour permettre et facturer l’utilisation concrète desdits services par cet utilisateur, sans que l’objectif visant à garantir la capacité générale de fonctionnement des mêmes services puisse justifier l’utilisation desdites données après une session de consultation de ceux-ci.
-
Elements de compréhension: 28. Selon la juridiction de renvoi, si et dans la mesure où il est nécessaire que le fournisseur de services de médias en ligne prenne des mesures pour lutter contre [des attaques informatiques], ces mesures pourraient être considérées comme nécessaires pour « permettre […] l’utilisation des médias électroniques » en vertu de l’article 15 [de la réglementation en cause]. Cependant, la doctrine défendrait majoritairement le point de vue selon lequel, d’une part, la collecte et l’utilisation des données à caractère personnel d’un utilisateur d’un site Internet n’est autorisée que pour permettre une utilisation concrète de ce site et, d’autre part, ces données doivent être effacées à la fin de la session de consultation considérée si elles ne sont pas requises à des fins de facturation. Or, une telle lecture restrictive de l’article 15, paragraphe 1, du TMG s’opposerait à ce que la conservation des adresses IP soit autorisée pour garantir, de manière générale, la sécurité et la continuité du bon fonctionnement des médias en ligne.
62ce6ddc84d93a3a1dcd84238cd67260bd7272e08Cliquer pour accéder à la décision
389448Théâtre national de Bretagne28/09/20162016FranceConseil d'EtatA classerPublicité d'une sanction - Absence de limitation dans le temps - Exclusion10. Considérant qu'en l'espèce, eu égard au retentissement causé par le courriel litigieux dans le débat politique local, la sanction complémentaire contestée, qui vise à renforcer le caractère dissuasif de la sanction principale en lui assurant une publicité à l'égard tant des destinataires du courriel que d'un public plus large, est justifiée, dans son principe, au regard de la gravité des manquements aux dispositions du 2° de l'article 6 de la loi du 6 janvier 1978 ; que, toutefois, si la délibération attaquée prévoit que cette publication est effectuée sur le site internet de la CNIL et sur le site Légifrance, elle ne précise pas la durée de son maintien en ligne sur ces deux sites ; qu'en omettant de fixer la durée pendant laquelle la publication de l'avertissement resterait accessible de manière non anonyme sur ces deux sites, la formation restreinte de la CNIL doit être regardée comme ayant infligé une sanction sans borne temporelle ; que, dans ces conditions, la sanction complémentaire est, dans cette mesure, excessive ; qu'il suit de là qu'elle doit être annulée seulement en tant qu'elle n'a pas fixé la durée de son maintien en ligne de manière non anonyme ;8468136ec0621ef3fe8935bf9fa91f0f6e4a202509Cliquer pour accéder à la décision
377194SASP Paris-Saint-Germain Football13/06/20162016FranceConseil d'EtatConservation limitéeEconomie et fiscalitéDonnées relatives aux impayés - Conservation au-delà du règlement de la somme due - Admission8. Considérant que [...], tout en estimant dans sa délibération attaquée, qu'en règle générale, une durée de conservation de trois ans des données collectées " n'excède pas celle qui est nécessaire à l'accomplissement de la finalité poursuivie ", la Commission nationale de l'informatique et des libertés a entendu excepter le cas où, " lorsque l'exclusion est justifiée par l'existence d'un impayé, une mesure de suspension ou d'exclusion doit cesser à compter du complet paiement de la somme due par le débiteur " ; que, cependant, les conséquences ou les risques résultant de la commission d'un impayé ne peuvent être réputés avoir disparu dès le règlement de la dette et qu'il n'est dès lors pas disproportionné de prévoir une conservation des données relatives aux incidents de cette nature pendant une durée suffisante, au-delà du règlement de la somme due, pour prévenir le renouvellement de tels incidents ; que, par suite, la dernière phrase citée ci-dessus de la partie de la délibération attaquée, portant sur les durées de conservation, doit être annulée ;5743da23f34ee7adc1bc280808926e060c096910eCliquer pour accéder à la décision
372111Mme X et Mme Y18/11/20152015FranceConseil d'EtatAutomatisationAdministrationChamp d'application du RGPD - Traitements non automatisés de données à caractère personnel soumis à la loi du 6 janvier 1978 - Collecte, conservation et consultation des empreintes digitales relevées lors d'une demande de carte nationale d'identité - Inclusionl3. [...] Que, par suite, la collecte, la conservation et la consultation des empreintes digitales effectuées sur le fondement de l'article 5 du décret du 22 octobre 1955, sous la responsabilité du ministre de l'intérieur, entrent dans le champ d'application de la loi du 6 janvier 1978, nonobstant la circonstance que ces fichiers ne sont pas numérisés et qu'ils ne sont constitués et conservés qu'au seul niveau des préfectures, pour l'arrondissement du chef lieu d'un département, ou des sous-préfectures, et des consulats ;270142f66475ae2fb33722d8d4750f386ecfefe7bCliquer pour accéder à la décision
372111Mme X et Mme Y18/11/20152015FranceConseil d'EtatConservation limitéeAdministrationCarte nationale d'identité - Empreintes digitales - Durée de conservation illimitée faute de dispositions expresses la régissant - Illicéité6. Considérant que, faute de dispositions expresses la régissant, la durée de conservation des empreintes digitales relevées sur le fondement de l'article 5 du décret du 22 octobre 1955 est illimitée ; qu'une telle durée de conservation ne peut être regardée comme nécessaire aux finalités du fichier, eu égard à la durée de validité de la carte nationale d'identité et au délai dans lequel tout détenteur d'une carte nationale d'identité périmée peut en solliciter le renouvellement ; que, dès lors, Mmes D...et C...sont fondées à demander l'annulation des décisions rejetant leurs demandes tendant à l'abrogation de l'article 5 du décret du 22 octobre 1955, sans qu'il soit besoin d'examiner les autres moyens de leurs requêtes ;5743da23f34ee7adc1bc280808926e060c096910eCliquer pour accéder à la décision
383313Cons. national de l’ordre des médecins09/11/20152015FranceConseil d'EtatLicéitéAdministration, Police-JusticeTraitement public encadré par décret - Conservation des données pour une finalité non prévue par l’acte réglementaire - Conséquence : Illicéité et annulation de l'acte réglementaire créant le traitement8. Considérant [...] que la durée de conservation de deux années à compter de la date de la levée d'écrou n'excède pas ce qui est nécessaire, compte tenu de la finalité de gestion des contentieux entre l'administration pénitentiaire et les personnes placées sous main de justice ou leurs ayants droits, pour lesquelles les données sont collectées et traitées dans le traitement GENESIS, dès lors que l'accès aux données ainsi conservées doit nécessairement être entendu comme étant réservé, dans la limite du besoin d'en connaître, aux catégories de personnes limitativement énumérées à l'article susvisé ; qu'en revanche, si la garde des sceaux a, devant la Commission nationale de l'informatique et des libertés, soutenu que la conservation ultérieure des données durant huit ans était justifiée par la conduite éventuelle de contentieux, cette finalité n'est pas explicitée par les dispositions attaquées, qui ne comportent, par suite, pas de fondement légal à la limitation de l'accès à ces données, par les personnes qu'il désigne, au seul besoin d'en connaître au regard de cette finalité ; qu'ainsi, faute de comporter aucune garantie quant aux finalités et aux limitations d'accès à ces données, la durée de conservation de huit ans que fixent ces dispositions doit être regardée comme disproportionnée ; que le Conseil national de l'ordre des médecins est fondé, pour ce motif, à en demander l'annulation, sans qu'il soit besoin d'examiner l'autre moyen soutenu à l'encontre de ces dispositions ;5743da23f34ee7adc1bc280808926e060c096910eCliquer pour accéder à la décision
C-201/14Bara e.a01/10/20152015RoumanieCour de Justice de l'UELicéité, TransparenceEconomie et fiscalité, AdministrationTransfert par une administration publique d’un État membre de données fiscales à caractère personnel en vue de leur traitement par une autre administration publique sans information - IllicéitéLes articles 10, 11 et 13 de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doivent être interprétés en ce sens qu’ils s’opposent à des mesures nationales, telles que celles en cause au principal, qui permettent à une administration publique d’un État membre de transmettre des données personnelles à une autre administration publique et leur traitement subséquent, sans que les personnes concernées n’aient été informées de cette transmission ou de ce traitement.5743da23f34ee7adc1bc280808926e060c096910eCliquer pour accéder à la décision
389815Association de défense et d’assistance juridique des intérêts des supporters21/09/20152015FranceConseil d'EtatMinimisationMinimisation - Transmission de données - Condition de limitation des données transmises à celles strictement nécessaires aux destinataires pour poursuivre les finalités du traitement (principe du besoin d'en connaître)16. Considérant [...] qu'il résulte de [la loi du 6 janvier 1978] que, pour être compatible avec les finalités d'un traitement, la transmission des données à caractère personnel doit être strictement limitée à celles qui permettent aux destinataires de poursuivre les finalités du traitement ;
-
17. Considérant qu'aux termes de l'article 5 de l'arrêté attaqué : " peuvent être destinataires de tout ou partie des données et des informations mentionnées à l'article 2 : (...) / 5° Les associations et sociétés sportives, ainsi que les fédérations sportives agréées " ; qu'il est constant que tous ces destinataires n'exercent pas une mission relative aux finalités poursuivies par le " fichier STADE " et qu'au demeurant, en leur sein, tous les personnels ne sont pas chargés de les mettre en oeuvre ; que, par suite, la transmission de données ainsi prévue méconnaît les dispositions de la loi du 6 janvier 1978 citées au point précédent ;
5743da23f34ee7adc1bc280808926e060c096910e6Cliquer pour accéder à la décision
C-615/13ClientEarth et PAN Europe /EFSA16/07/20152015AngleterreCour de Justice de l'UEDonnée à caractère personnelDonnée à caractère personnel - Donnée relative à la vie privée - Absence de confusion32. Par ailleurs, ainsi que l’ont fait valoir l’EFSA, la Commission et le CEPD, les notions de «données à caractère personnel», au sens de l’article 2, sous a), du règlement no 45/2001, et de «données relatives à la vie privée» ne se confondent pas. Est, partant, inopérante en l’espèce l’allégation de ClientEarth et de PAN Europe selon laquelle l’information litigieuse ne relève pas de la vie privée des experts concernés.4a33beb1398d687ce56ea092654850e76f54bebb2Cliquer pour accéder à la décision
C-615/13ClientEarth et PAN Europe /EFSA16/07/20152015AngleterreCour de Justice de l'UEDonnée à caractère personnelDonnée à caractère personnel - Opinions exprimées par des experts à titre professionnel dans le cadre des travaux d’une agence de l’Union - Inclusion28. En l’occurrence, ainsi qu’il est rappelé au point 43 de l’arrêt attaqué, ClientEarth et PAN Europe visent, en sollicitant la divulgation de l’information litigieuse, à connaître, pour chacune des observations formulées par les experts externes, lequel d’entre eux en est l’auteur.
-
29. En ce que cette information permettrait de rattacher à tel ou tel expert déterminé une observation donnée, elle concerne des personnes physiques identifiées et, partant, constitue un ensemble de données à caractère personnel, au sens de l’article 2, sous a), du règlement no 45/2001.
4a33beb1398d687ce56ea092654850e76f54bebb2Cliquer pour accéder à la décision
375669Société Renault Trucks11/05/20152015FranceConseil d'EtatInfraction pénalePolice-JusticeDonnées relatives aux infractions de nature pénale - 1) Données collectées dans le but d'établir ou de prévenir une infraction - Inclusion - 2) Possibilité pour les victimes d'infractions de traiter ces données - Existence6. [...] que ces dispositions ne font, en outre, pas obstacle à la mise en oeuvre de traitements de données à caractère personnel relatives à des infractions par les personnes qui en ont été victimes ou sont susceptibles de l'être ; que doivent être regardées comme entrant dans le champ d'application de cet article, non seulement les données relatives aux infractions, condamnations ou mesures de sûreté elles-mêmes, mais également les données qui, en raison des finalités du traitement automatisé, ne sont collectées que dans le but d'établir l'existence ou de prévenir la commission d'infractions, y compris par des tiers ; qu'en vertu du 3° de l'article 25 [désormais abrogé] de la [Loi Informatique et Libertés], les traitements, automatisés ou non, portant sur des données relatives aux infractions, condamnations ou mesures de sûreté, sauf ceux qui sont mis en oeuvre par des auxiliaires de justice pour les besoins de leurs missions de défense des personnes concernées, doivent être autorisés par la Commission nationale de l'informatique et des libertés ;10c23f7da7070511444ebc75875fd9d202b5dd13cfCliquer pour accéder à la décision
C-212/13Ryneš11/12/20142014République TchèqueCour de Justice de l'UETraitementTraitement de données à caractère personnel - Surveillance par enregistrement vidéo stocké dans un disque dur - Inclusion 25. Or, une surveillance effectuée par un enregistrement vidéo des personnes, comme dans l’affaire au principal, stocké dans un dispositif d’enregistrement continu, à savoir le disque dur, constitue, conformément à l’article 3, paragraphe 1, de la directive 95/46, un traitement de données à caractère personnel automatisé.4a33beb1398d687ce56ea092654850e76f54bebb2Cliquer pour accéder à la décision
C-212/13Ryneš11/12/20142014République TchèqueCour de Justice de l'UEException domestiqueException domestique - 1) Conditions - Activités exclusivement personnelles ou domestiques - 2) Cas de la caméra de surveillance à l’intérieur d’une maison familiale surveillant partiellement l’espace public - Exclusion30. Cette interprétation stricte trouve son fondement également dans le libellé même de cette disposition qui soustrait à l’application de la directive 95/46 le traitement des données effectué pour l’exercice d’activités non pas simplement personnelles ou domestiques, mais «exclusivement» personnelles ou domestiques. [...] 33. Dans la mesure où une vidéosurveillance telle que celle en cause au principal s’étend, même partiellement, à l’espace public et, de ce fait, est dirigée vers l’extérieur de la sphère privée de celui qui procède au traitement des données par ce moyen, elle ne saurait être considérée comme une activité exclusivement «personnelle ou domestique», au sens de l’article 3, paragraphe 2, second tiret, de la directive 95/46.270142f66475ae2fb33722d8d4750f386ecfefe7bCliquer pour accéder à la décision
C-141/12, C-372/12YS e.a.17/07/20142014Pays-BasCour de Justice de l'UEDonnée à caractère personnelAdministrationDonnée à caractère personnel - Données figurant dans l'analyse juridique de la décision - Inclusion - Analyse en tant que telle - Exclusion48. Il résulte de l’ensemble des considérations qui précèdent qu’il convient de répondre aux première et deuxième questions dans l’affaire C-141/12 ainsi qu’à la cinquième question dans l’affaire C-372/12 que l’article 2, sous a), de la directive 95/46 doit être interprété en ce sens que les données relatives au demandeur du titre de séjour figurant dans la minute et, le cas échéant, celles figurant dans l’analyse juridique contenue dans celle-ci constituent des «données à caractère personnel», au sens de cette disposition, ladite analyse ne pouvant en revanche pas recevoir, en tant que telle, la même qualification.4a33beb1398d687ce56ea092654850e76f54bebb2Cliquer pour accéder à la décision
C-131/12Google Spain13/05/20142014EspagneCour de Justice de l'UEA classerQualification de l'exploitant du moteur de recherche de responsable de traitement - Admission - Droit à l'oubli - Application territoriale : intégralité de l'UE60. L’article 4, paragraphe 1, sous a), de la directive 95/46 doit être interprété en ce sens qu’un traitement de données à caractère personnel est effectué dans le cadre des activités d’un établissement du responsable de ce traitement sur le territoire d’un État membre, au sens de cette disposition, lorsque l’exploitant d’un moteur de recherche crée dans un État membre une succursale ou une filiale destinée à assurer la promotion et la vente des espaces publicitaires proposés par ce moteur et dont l’activité vise les habitants de cet État membre.
-
88. Les articles 12, sous b), et 14, premier alinéa, sous a), de la directive 95/46 doivent être interprétés en ce sens que, afin de respecter les droits prévus à ces dispositions et pour autant que les conditions prévues par celles-ci sont effectivement satisfaites, l’exploitant d’un moteur de recherche est obligé de supprimer de la liste de résultats, affichée à la suite d’une recherche effectuée à partir du nom d’une personne, des liens vers des pages web, publiées par des tiers et contenant des informations relatives à cette personne, également dans l’hypothèse où ce nom ou ces informations ne sont pas effacés préalablement ou simultanément de ces pages web, et ce, le cas échéant, même lorsque leur publication en elle-même sur lesdites pages est licite.
3, 17bdc1408a91f161dab5a9893d23db3c7095200e1d, 1e8656ea42e419dc857d077aca14615f16874373Cliquer pour accéder à la décision
C-131/12Google Spain13/05/20142014EspagneCour de Justice de l'UETraitementTraitement de données à caractère personnel - Activité d’un moteur de recherche consistant à trouver des informations publiées ou placées sur Internet par des tiers, à les indexer de manière automatique, à les stocker temporairement et à les mettre à disposition des internautes selon un ordre de préférence donné - Inclusion 41. Il découle de l’ensemble des considérations qui précèdent qu’il convient de répondre à la deuxième question, sous a) et b), que l’article 2, sous b) et d), de la directive 95/46 doit être interprété en ce sens que, d’une part, l’activité d’un moteur de recherche consistant à trouver des informations publiées ou placées sur Internet par des tiers, à les indexer de manière automatique, à les stocker temporairement et, enfin, à les mettre à la disposition des internautes selon un ordre de préférence donné doit être qualifiée de «traitement de données à caractère personnel», au sens de cet article 2, sous b), lorsque ces informations contiennent des données à caractère personnel et, d’autre part, l’exploitant de ce moteur de recherche doit être considéré comme le «responsable» dudit traitement, au sens dudit article 2, sous d).4a33beb1398d687ce56ea092654850e76f54bebb2Cliquer pour accéder à la décision
361042Syndicat National des Enseignements de Second Degré (SNES)28/03/20142014FranceConseil d'EtatDonnées de santéSantéDonnée de santé - Donnée faisant état d’un handicap sans donner d’information sur sa nature - Exclusion 15. Considérant, d'une part, que la mention du taux d'incapacité permanente ou du taux d'invalidité du " conjoint ou partenaire " et des personnes à la charge de l'agent n'est pas une donnée " relative à la santé " au sens des dispositions précitées de l'article 8 la loi du 6 janvier 1978, dès lors qu'il n'est pas même allégué qu'elle donnerait une information sur la nature du handicap ; 9b85ab32eaa572c8016edf68011078dceed8149e5Cliquer pour accéder à la décision
354629Foncia12/03/20142014FranceConseil d'EtatA classerDécision de publier une sanction - Motivation spécifique obligatoire - Rejet8. Considérant, en troisième lieu, que si la décision par laquelle la CNIL rend publique la sanction prononcée a le caractère d'une sanction complémentaire, aucune disposition non plus qu'aucun principe n'impose qu'elle fasse l'objet d'une motivation spécifique, distincte de la motivation d'ensemble de la sanction principale qu'elle complète ; que, dès lors, le moyen tiré de ce que cette sanction complémentaire aurait été infligée irrégulièrement faute d'être motivée par l'intérêt général est sans incidence sur la légalité de la décision attaquée ;8468136ec0621ef3fe8935bf9fa91f0f6e4a202509Cliquer pour accéder à la décision
354629Société Foncia Groupe12/03/20142014FranceConseil d'EtatResponsable de traitementResponsable de traitement - 1) Société déterminant la nature des données collectées, les droits d’accès des entités qui lui sont liées ainsi que la durée de conservation des données - Inclusion - 2) Entités liées ayant désigné un correspondant à la protection des données - Exclusion5. [...] Il résulte de l'instruction que la société Foncia Groupe, qui a mis à disposition des entités qui lui sont liées le traitement " Totalimmo ", a décidé de la nature des données collectées et déterminé les droits d'accès à celles-ci, puis, après le contrôle de la CNIL, a fixé la durée de conservation des données et apporté des correctifs à leur traitement ; qu'ainsi, la société Foncia Groupe détermine les finalités et les moyens du traitement " Totalimmo " ; que la société ne peut être regardée comme sous-traitant au sens des dispositions de l'article 35 de la loi du 6 janvier 1978 ; que la désignation d'un correspondant à la protection des données par les entités n'a pas, par elle-même, pour effet de rendre celles-ci responsables des traitements ; que, par suite, en estimant que la société Foncia Groupe pouvait faire l'objet d'une sanction en tant que responsable de ce traitement, la CNIL a fait une exacte application des dispositions précitées ;4a33beb1398d687ce56ea092654850e76f54bebb2Cliquer pour accéder à la décision
C-291/12Schwarz17/10/20132013AllemagneCour de Justice de l'UEBiométrieAdministrationPasseport biométrique - Empreintes digitales - Incapicité du requérant à apporter la preuve de l'existence d'une méthode aussi efficace et moins intrusive pour prévenir les fraudes - Conséquence : proportionnalité de la méthode53. Dans ces conditions, il y a lieu de constater qu’il n’a pas été porté à la connaissance de la Cour l’existence de mesures susceptibles de contribuer, de manière suffisamment efficace, au but tenant à la protection des passeports contre leur utilisation frauduleuse, tout en portant des atteintes moins importantes aux droits reconnus par les articles 7 et 8 de la Charte que celles entraînées par la méthode fondée sur les empreintes digitales.9b85ab32eaa572c8016edf68011078dceed8149e5Cliquer pour accéder à la décision
C-342/12Worten30/05/20132013PortugalCour de Justice de l'UEDonnée à caractère personnelTravailDonnée à caractère personnel - Registre de temps de travail - Conditions - Inclusion22. Il convient dès lors de répondre à la première question que l’article 2, sous a), de la directive 95/46 doit être interprété en ce sens qu’un registre du temps de travail, tel que celui en cause au principal, qui comporte l’indication, pour chaque travailleur, des heures de début et de fin du travail, ainsi que des interruptions ou des pauses correspondantes, relève de la notion de «données à caractère personnel», au sens de cette disposition.4a33beb1398d687ce56ea092654850e76f54bebb2Cliquer pour accéder à la décision
C-342/12Worten30/05/20132013PortugalCour de Justice de l'UELicéitéRéglementation nationale imposant à l’employeur de mettre à la disposition de l’autorité nationale compétente le registre du temps de travail - Licéité sous conditions45. Dans ces conditions, il convient de répondre aux deuxième et troisième questions que les articles 6, paragraphe 1, sous b) et c), ainsi que 7, sous c) et e), de la directive 95/46 [article 6 du RGPD] doivent être interprétés en ce sens qu’ils ne s’opposent pas à une réglementation nationale, telle que celle en cause au principal, qui impose à l’employeur l’obligation de mettre à la disposition de l’autorité nationale compétente en matière de surveillance des conditions de travail le registre du temps de travail afin d’en permettre la consultation immédiate, pour autant que cette obligation est nécessaire aux fins de l’exercice par cette autorité de ses missions de surveillance de l’application de la réglementation en matière de conditions de travail, notamment, en ce qui concerne le temps de travail.5743da23f34ee7adc1bc280808926e060c096910eCliquer pour accéder à la décision
340026Société AIS 227/07/20122012FranceConseil d'EtatResponsable de traitementResponsable de traitement - Identification par la méthode du faisceau d'indices - Application7. [...] Il résulte de l'instruction que, si la société requérante est une filiale de la société Acadomia groupe SA, qu'elle exerce son activité sous la marque Acadomia et indique, sous le timbre de cette société, qu'après la sanction, des instructions correctives ont été données, elle exploite cependant elle-même les fichiers en cause, dont elle ne conteste pas être la propriétaire, pour l'exercice de sa propre activité commerciale, détermine effectivement le champ des données renseignées, la circonstance que d'autres filiales ou franchises les utilisent étant à cet égard sans incidence, et a en outre, d'une part, au cours de la procédure devant la CNIL, indiqué à la commission qu'elle entendait renoncer à la collecte de différentes données, d'autre part, devant le juge, soutenu qu'elle avait accompli les formalités nécessaires à la régularisation de l'exploitation des fichiers au regard des dispositions de la loi ;4a33beb1398d687ce56ea092654850e76f54bebb2Cliquer pour accéder à la décision
C-468/10, C-469/10ASNEF (C-468/10), FECEMD (C-469/10)24/11/20112011EspagneCour de Justice de l'UEIntérêt légitimeIntérêt légitime - Restriction au moyen d'une réglementation nationale [visant à transposer la directive 95/46] conditionnant l'utilisation de cette base légale au caractère public de la donnée - Inconventionnalité49. Au vu de ces considérations, il convient de répondre à la première question que l’article 7, sous f), de la directive 95/46 [article 6 du RGPD] doit être interprété en ce sens qu’il s’oppose à une réglementation nationale qui, en l’absence du consentement de la personne concernée et pour autoriser le traitement de ses données à caractère personnel nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable de ce traitement ou par le ou les tiers auxquels ces données sont communiquées, exige, outre le respect des droits et libertés fondamentaux de cette dernière, que lesdites données figurent dans des sources accessibles au public, excluant ainsi de façon catégorique et généralisée tout traitement de données ne figurant pas dans de telles sources.62ce6ddc84d93a3a1dcd84238cd67260bd7272e08Cliquer pour accéder à la décision
2011-173 QPCM. Louis C et autres30/09/20112011FranceConseil constitutionnelA classerSantéRespect de la vie privée - Condition de réalisation des expertises génétiques sur une personne décédée à des fins d'actions en matière de filiation - Accord durant le vivant6. Considérant qu'en disposant que les personnes décédées sont présumées ne pas avoir consenti à une identification par empreintes génétiques, le législateur a entendu faire obstacle aux exhumations afin d'assurer le respect dû aux morts ; qu'il n'appartient pas au Conseil constitutionnel de substituer son appréciation à celle du législateur sur la prise en compte, en cette matière, du respect dû au corps humain ; que, par suite, les griefs tirés de la méconnaissance du respect dû à la vie privée et au droit de mener une vie familiale normale doivent être écartés ;84, 85Cliquer pour accéder à la décision
334014M. F et Mme C19/07/20102010FranceConseil d'EtatDonnées de santéSantéDonnée de santé - Critères - 1) Nature - 2) Durée - 3) Gravité de la pathologie(10.) Considérant que parmi les données enregistrées au sein du traitement automatisé BNIE figurent les codes d'identification propres aux établissements dans lesquels sont scolarisés les enfants, y compris dans les cas où l'enfant est scolarisé dans une structure hospitalière ou dans un établissement spécialisé ; que cependant, la mention d'un code de référence des établissements de soins, si elle permet de savoir que l'élève a été souffrant, ne fournit, par elle-même aucune information sur la nature, la durée, ou la gravité de l'affection de l'élève, information qui ne peut être obtenue qu'en accédant à un autre fichier mettant en correspondance les codes et la dénomination de l'établissement, qui n'est que très rarement explicite quant à la nature des pathologies qu'il soigne ; qu'en conséquence, les décisions attaquées ne peuvent pas être regardées comme portant sur des données relatives à la santé en méconnaissance des dispositions de l'article 8 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ; que, par suite, ce moyen doit être écarté ;9b85ab32eaa572c8016edf68011078dceed8149e5Cliquer pour accéder à la décision
334014M. F et Mme C19/07/20102010FranceConseil d'EtatDonnées de santéSantéDonnée de santé - Code d’identification d’un établissement scolaire accueillant des enfants handicapés - Absence(10.) Considérant que parmi les données enregistrées au sein du traitement automatisé BNIE figurent les codes d'identification propres aux établissements dans lesquels sont scolarisés les enfants, y compris dans les cas où l'enfant est scolarisé dans une structure hospitalière ou dans un établissement spécialisé ; que cependant, la mention d'un code de référence des établissements de soins, si elle permet de savoir que l'élève a été souffrant, ne fournit, par elle-même aucune information sur la nature, la durée, ou la gravité de l'affection de l'élève, information qui ne peut être obtenue qu'en accédant à un autre fichier mettant en correspondance les codes et la dénomination de l'établissement, qui n'est que très rarement explicite quant à la nature des pathologies qu'il soigne ; qu'en conséquence, les décisions attaquées ne peuvent pas être regardées comme portant sur des données relatives à la santé en méconnaissance des dispositions de l'article 8 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ; que, par suite, ce moyen doit être écarté ;9b85ab32eaa572c8016edf68011078dceed8149e5Cliquer pour accéder à la décision
334014M. F et Mme C19/07/20102010FranceConseil d'EtatConservation limitéeAdministrationDurée de conservation - Données relatives à l’identification des élèves scolarisés : 35 ans - Durée excessive - Conséquence : annulation totale de la décision mettant en œuvre le traitement(13.) Considérant [...] que si le ministre établit que la conservation des données collectées pendant toute la durée théorique maximale de présence d'un élève dans le premier cycle du système éducatif, serait nécessaire et légitime au regard des finalités du traitement qui vise à donner un identifiant unique aux élèves scolarisés dans les écoles maternelles et primaires, et s'il soutient à bon droit que la généralisation envisagée de l'utilisation de l'identifiant à l'enseignement secondaire et à l'enseignement supérieur justifierait une durée de conservation égale à la durée du cycle complet d'étude d'un élève donné, il n'apporte aucun élément de justification de nature à faire regarder un délai total de conservation de 35 ans comme nécessaire aux finalités du traitement ; que dès lors M. A est fondé à demander l'annulation des décisions attaquées ; que ces décisions doivent être annulées ;5743da23f34ee7adc1bc280808926e060c096910eCliquer pour accéder à la décision
317182M. X et Mme Y19/07/20102010FranceConseil d'EtatDonnées de santéSantéDonnée de santé - Catégorie de classe d'intégration scolaire (CLIS) - Inclusion - Structure de soins accueillant des élèves - Exclusion(18.) Considérant que le requérant soutient sans être sérieusement contesté pour ce qui concerne la période allant jusqu'au 20 octobre 2008 que le traitement litigieux comportait, dans le cas où l'enfant est inscrit au sein d'une école primaire non spécialisée, la mention exacte de la catégorie de classe d'intégration scolaire (CLIS) identifiée par l'un des quatre chiffres codant le type de handicap ou de déficience des élèves en bénéficiant, dont la seule mention permet par suite d'identifier immédiatement la nature de l'affection ou du handicap propre à l'élève concerné, contrairement aux mentions de la structure de soins concernée, qui ne permet que dans de très rares cas, où sa dénomination est explicite, d'identifier directement la pathologie de l'élève concerné ; que la mention de la CLIS doit donc être regardée comme une donnée personnelle relative à la santé ;9b85ab32eaa572c8016edf68011078dceed8149e5Cliquer pour accéder à la décision
317182M. X et Mme Y19/07/20102010FranceConseil d'EtatMinimisationJeunesse et éducationMinimisation - Données pertinentes à l'atteinte des finalités - Cas de la gestion d'une école de premier cycle(27.) Considérant que [pour l'application de l'article 6 de la loi n°78-17 du 6 janvier 1978] les données pertinentes au regard de la finalité d'un traitement automatisé de données à caractère personnel sont celles qui sont en adéquation avec la finalité du traitement et qui sont proportionnées à cette finalité; que l'arrêté litigieux se borne à prévoir l'enregistrement des seules données nécessaires, d'une part, à l'identification de l'élève, de ses responsables légaux et des autres personnes à contacter en cas d'urgence ou autorisées à le prendre en charge à la sortie de l'école, d'autre part, à la gestion des établissements, de la scolarité des élèves et de leurs activités parascolaires et périscolaires ; que de telles données, dont aucune n'excède les finalités [de gestion de l'enseignement scolaire de premier cycle] poursuivies par le traitement automatisé, doivent être regardées comme en adéquation avec la finalité du traitement et sont proportionnées à cette finalité ;5743da23f34ee7adc1bc280808926e060c096910eCliquer pour accéder à la décision
312051Association SOS Racisme et GISTI30/12/20092009FranceConseil d'EtatConservation limitéePolice-JusticeDurée de conservation - Création d'un traitement destiné à faciliter la mise en œuvre des mesures d'éloignement des étrangers - Durée étendue à 3 ans pour certaines d'entre elles - Stricte nécessité : absence - Conséquence : illicéité et annulation de l'acte règlementaire créant le traitement(21.) Considérant que [...] la circonstance que la conservation de certaines données essentielles pourrait permettre de faciliter une nouvelle mesure d'éloignement, qui s'avérerait nécessaire à l'encontre d'un étranger ayant déjà fait l'objet d'une telle mesure dans l'hypothèse où il viendrait à nouveau à séjourner irrégulièrement sur le territoire national, ne suffit pas à justifier la conservation de ces données, relatives à l'ensemble des étrangers faisant l'objet d'une mesure d'éloignement, pendant une durée de trois ans après la date de l'éloignement effectif ; que, d'autre part, il n'est pas établi, ni même sérieusement allégué, que l'élaboration de statistiques relatives à l'ensemble des mesures d'éloignement et à leur taux d'exécution serait rendue impossible en l'absence d'une conservation des données susmentionnées pendant une durée de trois ans ; que, par suite, faute pour le ministre de justifier de l'intérêt que pourrait présenter la conservation de ces données pendant une durée supérieure à trois mois, au regard notamment de la durée potentielle d'exécution de certaines des mesures d'éloignement mises en oeuvre, le décret attaqué doit être annulé en tant qu'il prévoit une durée dérogatoire de trois ans pour la conservation des données mentionnées ci-dessus ;5743da23f34ee7adc1bc280808926e060c096910eCliquer pour accéder à la décision
C-553/07Rijkeboer07/05/20092009Pays-BasCour de Justice de l'UEA classerDirective 95/46/CE - Droit d’accès à l’information sur les destinataires et les catégories de destinataires des données - Durée de conservation de l’information sur les destinataires ou les catégories de destinataires70. Il y a lieu, dès lors, de répondre à la question posée de la manière suivante:
- L’article 12, sous a), de la directive impose aux États membres de prévoir un droit d’accès à l’information sur les destinataires ou les catégories de destinataires des données ainsi qu’au contenu de l’information communiquée non seulement pour le présent, mais aussi pour le passé. Il appartient aux États membres de fixer un délai de conservation de cette information ainsi qu’un accès corrélatif à celle-ci qui constituent un juste équilibre entre, d’une part, l’intérêt de la personne concernée à protéger sa vie privée, notamment au moyen des voies d’intervention et de recours prévus par la directive et, d’autre part, la charge que l’obligation de conserver cette information représente pour le responsable du traitement.
154c7a18c8baa891976ae8102b846b3aa8143fe90dCliquer pour accéder à la décision
C-73/07Satakunnan Markkinapörssi et Satamedia16/12/20082008FinlandeCour de Justice de l'UETraitementAdministration, Marketing et prospectionTraitement de données à caractère personnel - Collecte, publication, cession ou traitement dans un service de SMS des documents publics d’une administration fiscale contenant des données relatives aux revenus du travail et du capital et au patrimoine de personne physiques - Inclusion37. Par conséquent, il y a lieu de répondre à la première question que l’article 3, paragraphe 1, de la directive doit être interprété en ce sens qu’une activité qui consiste à:
— collecter dans les documents publics de l’administration fiscale des données relatives aux revenus du travail et du capital ainsi qu’au patrimoine de personnes physiques et à les traiter en vue de leur publication,
— les publier dans l’ordre alphabétique et par classe de revenus, sous la forme de listes détaillées établies commune par commune,
— les céder sous la forme de disques CD-ROM, pour qu’elles soient utilisées à des fins commerciales,
— les traiter dans un service de SMS qui permet aux utilisateurs de téléphones mobiles, en envoyant le nom et la commune de résidence d’une personne, de recevoir des informations concernant les revenus du travail et du capital ainsi que le patrimoine de cette personne
doit être considérée comme un «traitement de données à caractère personnel» ausens de cette disposition.
4a33beb1398d687ce56ea092654850e76f54bebb2Cliquer pour accéder à la décision
C‑524/06Huber16/12/20082008AllemagneCour de Justice de l'UELicéitéPolice-JusticeMission d'intérêt public - Traitement de données à caractère personnel relatives aux citoyens de l’Union non-ressortissants de l’État membre ayant pour objectif le soutien des autorités nationales en charge de l’application de la réglementation sur le droit de séjour - Conditions de licéité 66. Il résulte de l’ensemble des considérations qui précèdent qu’un système de traitement de données à caractère personnel relatives aux citoyens de l’Union non-ressortissants de l’État membre visé ayant pour objectif le soutien des autorités nationales en charge de l’application de la réglementation sur le droit de séjour ne répond à l’exigence de nécessité prévue à l’article 7, sous e), de la directive 95/46/CE du 24 octobre 1995 interprété à la lumière de l’interdiction de toute discrimination exercée en raison de la nationalité, que :
- s’il contient uniquement les données nécessaires à l’application par lesdites autorités de cette réglementation, et
- si son caractère centralisé permet une application plus efficace de cette réglementation en ce qui concerne le droit de séjour des citoyens de l’Union non-ressortissants de cet État membre.
5, 6743da23f34ee7adc1bc280808926e060c096910eCliquer pour accéder à la décision
C‑524/06Huber16/12/20082008AllemagneCour de Justice de l'UEMission d'intérêt publicPolice-JusticeMission d'intérêt public - Traitement de données à caractère personnel relatives aux citoyens de l’Union non-ressortissants de l’État membre ayant pour objectif le soutien des autorités nationales en charge de l’application de la réglementation sur le droit de séjour - Conditions de licéité 66. Il résulte de l’ensemble des considérations qui précèdent qu’un système de traitement de données à caractère personnel relatives aux citoyens de l’Union non-ressortissants de l’État membre visé ayant pour objectif le soutien des autorités nationales en charge de l’application de la réglementation sur le droit de séjour ne répond à l’exigence de nécessité prévue à l’article 7, sous e), de la directive 95/46/CE du 24 octobre 1995 interprété à la lumière de l’interdiction de toute discrimination exercée en raison de la nationalité, que :
- s’il contient uniquement les données nécessaires à l’application par lesdites autorités de cette réglementation, et
- si son caractère centralisé permet une application plus efficace de cette réglementation en ce qui concerne le droit de séjour des citoyens de l’Union non-ressortissants de cet État membre.
5, 62ce6ddc84d93a3a1dcd84238cd67260bd7272e08Cliquer pour accéder à la décision
263081Association Comité télévision et libertés et autres17/05/20062006FranceConseil d'EtatVie et orientation sexuellesSantéDonnées concernant la vie sexuelle - Données relatives au choix d’un abonné d’un service de télévision de recevoir certains programmes - Exclusion(9.) Considérant que, à supposer que les dispositions des recommandations du Conseil supérieur de l'audiovisuel du 21 octobre 2003 et du 15 décembre 2004 aient nécessairement, en tant qu'elles imposent aux abonnés d'un service offrant des programmes de catégorie V d'exprimer explicitement leur choix de recevoir ces programmes, pour effet d'imposer la collecte et la conservation de données se rapportant à ceux des abonnés qui ont souhaité recevoir des programmes de catégorie V, de telles données ne peuvent être regardées comme étant relatives à la vie sexuelle des personnes concernées ou comme étant de nature à faire apparaître, même indirectement, leurs moeurs au sens des dispositions précitées de la loi du 6 janvier 1978 ; que, dès lors, les moyens tiré d'une violation des dispositions de cette loi par les dispositions critiquées des recommandations attaquées doivent être écartés ;9b85ab32eaa572c8016edf68011078dceed8149e5Cliquer pour accéder à la décision
05-83.423B.14/03/20062006FranceCour de cassationTraitementMarketing et prospection, TechnologieCaractère déloyal de la collecte d’adresses électroniques personnelles de personnes physiques, à leur insu, sur l’espace public d’internet - ExistenceConstitue une collecte de données nominatives le fait d'identifier des adresses électroniques et de les utiliser, même sans les enregistrer dans un fichier, pour adresser à leurs titulaires des messages électroniques ;
Est déloyal le fait de recueillir, à leur insu, des adresses électroniques personnelles de personnes physiques sur l'espace public d'internet, ce procédé faisant obstacle à leur droit d'opposition ;
4, 5a33beb1398d687ce56ea092654850e76f54bebb2Cliquer pour accéder à la décision
05-83.423B.14/03/20062006FranceCour de cassationLoyautéMarketing et prospection, TechnologieCaractère déloyal de la collecte d’adresses électroniques personnelles de personnes physiques, à leur insu, sur l’espace public d’internet - ExistenceConstitue une collecte de données nominatives le fait d'identifier des adresses électroniques et de les utiliser, même sans les enregistrer dans un fichier, pour adresser à leurs titulaires des messages électroniques ;
Est déloyal le fait de recueillir, à leur insu, des adresses électroniques personnelles de personnes physiques sur l'espace public d'internet, ce procédé faisant obstacle à leur droit d'opposition ;
4, 5743da23f34ee7adc1bc280808926e060c096910eConstitue une collecte de données nominatives le fait d'identifier des adresses électroniques et de les utiliser, même sans les enregistrer dans un fichier, pour adresser à leurs titulaires des messages électroniques ;
Est déloyal le fait de recueillir, à leur insu, des adresses électroniques personnelles de personnes physiques sur l'espace public d'internet, ce procédé faisant obstacle à leur droit d'opposition ;
252691M.C10/03/20042004FranceConseil d'EtatOpinions politiquesDonnée sensible et donnée de nature à faire apparaître les opinions politiques - Données relatives à l’abstention électorale - Exclusion(3.) Considérant qu'il ressort des pièces du dossier que le ministre a, par un arrêté en date du 10 avril 2002, décidé la création d'un traitement automatisé d'informations individuelles relatif à une étude statistique sur la participation électorale et l'abstention entre 2002 et 2005 portant sur un échantillon de 40 000 personnes à partir des listes d'émargement des différents scrutins ; que les informations détenues par l'Institut national de la statistique et des études économiques (INSEE) pour mener à bien cette étude ne peuvent être regardées comme étant de nature à faire apparaître, même indirectement, les opinions politiques ou philosophiques au sens de l'article 31 précité [désormais abrogé] de la loi du 6 janvier 1978 ; que par suite, M. X n'est pas fondé à soutenir que le ministre de l'économie, des finances et de l'industrie n'était pas compétent pour créer le système de traitement automatisé dont s'agit ;9b85ab32eaa572c8016edf68011078dceed8149e5Cliquer pour accéder à la décision
C-101/01Bodil Lindqvist06/11/20032003SuèdeCour de Justice de l'UEException domestiqueChamp d'application du RGPD - Exception domestique - Interprétation stricte - Nombre de destinataires indéterminé - Exclusion46. S'agissant de l'exception prévue à l'article 3, paragraphe 2, second tiret, de la directive 95/46, le douzième considérant de celle-ci, relatif à cette exception, mentionne en tant qu'exemples de traitement de données effectué par une personne physique dans l'exercice d'activités exclusivement personnelles ou domestiques la correspondance et la tenue de répertoires d'adresses.
-
47. Cette exception doit donc être interprétée comme visant uniquement les activités qui s'insèrent dans le cadre de la vie privée ou familiale des particuliers, ce qui n'est manifestement pas le cas du traitement de données à caractère personnel consistant dans leur publication sur Internet de sorte que ces données sont rendues accessibles à un nombre indéfini de personnes.
270142f66475ae2fb33722d8d4750f386ecfefe7bCliquer pour accéder à la décision
C-101/01Bodil Lindqvist06/11/20032003SuèdeCour de Justice de l'UETraitementTechnologieTraitement de données à caractère personnel - Référence, sur une page Internet, à diverses personnes identifiées par leur nom ou d’autres moyens - Inclusion27. Il convient donc de répondre à la première question que l'opération consistant à faire référence, sur une page Internet, à diverses personnes et à les identifier soit par leur nom, soit par d'autres moyens, par exemple leur numéro de téléphone ou des informations relatives à leurs conditions de travail et à leurs passe-temps, constitue un «traitement de données à caractère personnel, automatisé en tout ou en partie,» au sens de l'article 3, paragraphe 1, de la directive 95/46. 4a33beb1398d687ce56ea092654850e76f54bebb2Cliquer pour accéder à la décision
C-101/01Bodil Lindqvist06/11/20032003SuèdeCour de Justice de l'UESécurité nationaleAdministrationException au champ d'application du droit de l'Union - Traitement de données ayant pour objet la sécurité publique, la défense, la sûreté de l’État et les activités de l’État relatives à des domaines du droit pénal - Interprétation stricte43. Les activités mentionnées à titre d'exemples à l'article 3, paragraphe 2, premier tiret, de la directive 95/46 (à savoir les activités prévues aux titres V et VI du traité sur l'Union européenne ainsi que les traitements ayant pour objet la sécurité publique, la défense, la sûreté de l'État et les activités relatives à des domaines du droit pénal) sont, dans tous les cas, des activités propres aux États ou aux autorités étatiques et étrangères aux domaines d'activité des particuliers.
-
44. Il y a donc lieu de considérer que les activités mentionnées en tant qu'exemples à l'article 3, paragraphe 2, premier tiret, de la directive 95/46 sont destinées à définir la portée de l'exception y prévue, de sorte que cette exception ne s'applique qu'aux activités qui y sont ainsi expressément mentionnées ou qui peuvent être rangées dans la même catégorie (ejusdem generis).
270142f66475ae2fb33722d8d4750f386ecfefe7bCliquer pour accéder à la décision
241325M. X05/03/20032003FranceConseil d'EtatExactitudePolice-JusticeExactitude des données - Effets de l'amnistie et de la réhabilitation - Interdiction de rappeler l'existence de condamnations, de sanctions, d'interdictions, de déchéances ou d'incapacités - Conséquence - 1) Obligation de prévoir l'effacement des données correspondantes sur les fichiers permettant dans les tribunaux la gestion automatisée des procédures - 2) Annulation partielle de l'arrêté ne le prévoyant pas (4.) Considérant que [...] si le ministre de la justice, a prévu, au troisième alinéa de l'article 6 de l'arrêté du 18 juin 1986 et de l'arrêté du 13 avril 1993, tel que modifié par les arrêtés du 22 octobre 2001, que les fichiers informatiques institués par ces textes, dans le but d'automatiser la gestion des procédures, seraient mis à jour en cas d'amnistie et de réhabilitation « par mention et en conformité avec les dispositions [...] des articles 133-9 à 11 pour l'amnistie et 133-16 pour la réhabilitation », ce dispositif, qui ne prévoit aucun effacement des données, ne suffit pas à garantir que les principes posés par le code pénal qui interdisent « rappeler l'existence » de condamnations, de sanctions, d'interdictions, de déchéances ou d'incapacités, seront respectés; [...] que ces dispositions doivent être annulées.5743da23f34ee7adc1bc280808926e060c096910eCliquer pour accéder à la décision
157402Ministre de l’équipement, des transports et du tourisme03/07/20022002FranceConseil d'EtatDonnée à caractère personnel, Personne physique, Personne concernéeEconomie et fiscalitéDonnée à caractère personnel - Personne physique - Entrepreneur individuel pris en cette qualité - Exclusion(2.) [...] Qu'il résulte des termes de ces dispositions législatives, éclairées au surplus par leurs travaux préparatoires, que les informations nominatives qu'elles mentionnent sont celles qui permettent d'identifier des personnes physiques ; que les entrepreneurs individuels, pris en cette qualité, ne sont pas des personnes physiques pour l'application de ces dispositions ;4a33beb1398d687ce56ea092654850e76f54bebb2Cliquer pour accéder à la décision
204909Association française des sociétés financières30/10/20012001FranceConseil d'EtatLicéitéEconomie et fiscalitéPertinence du traitement de la nationalité d'un demandeur de prêt bancaire - AdmissionLa référence à la nationalité comme l'un des éléments de pur fait d'un calcul automatisé du risque, dont la mise en oeuvre n'entraîne pas le rejet d'une demande sans l'examen individuel de celle-ci, ne constitue pas une discrimination [...].5743da23f34ee7adc1bc280808926e060c096910eCliquer pour accéder à la décision
96-85.900B.12/05/19981998FranceCour de cassationDonnée à caractère personnelDonnée à caractère personnel - Résultats d’un sondage portant sur une personne représentant l’état statistique de l’opinion de la population à un moment donné - Exclusion(5.) Qu'en effet les résultats d'un sondage portant sur une personne, qui représentent l'état statistique, à un moment donné, de l'opinion de la population sur celle-ci, ne constituent pas une information nominative au sens de l'article 4 de la loi du 6 janvier 1978 ; qu'il s'en déduit que, dès lors que les résultats ne lui sont pas opposés, cette personne ne saurait bénéficier du droit d'accès et des prérogatives qui en découlent, prévus par les articles 34 et suivants de ladite loi, ni exiger la communication du nom du commanditaire de l'opération ;4a33beb1398d687ce56ea092654850e76f54bebb2Cliquer pour accéder à la décision
148975Chambre syndicale Syntec Conseil09/07/19971997FranceConseil d'EtatDonnée à caractère personnelDonnée à caractère personnel - Résultats d’un sondage portant sur l’image d’une personnalité - Exclusion(5.) Considérant qu'un sondage, comportant des questions qui demandent aux personnes interrogées ce qu'elles pensent d'une personnalité, ne contient pas des informations qui s'appliquent à celle-ci au sens de l'article 4 précité de la loi du 6 janvier 1978 ; qu'un tel sondage n'a d'autre objet que de chercher à obtenir, par une méthode d'échantillonnage, l'état, à un moment donné, de l'opinion de la population, au sens statistique de ce terme, sur la personnalité qui fait l'objet du sondage ; que, dans ces conditions, il ne résulte ni des dispositions des articles 4 et 34 de la loi, ni d'aucune autre disposition, que les résultats, obtenus à partir du dépouillement des réponses aux questions, constitueraient des informations nominatives concernant cette personnalité ; que celle-ci ne saurait, par suite, être titulaire du droit d'accès organisé par l'article 34, ni des droits de communication, de rectification et d'effacement qui en découlent ; qu'elle ne peut, dès lors, ni avoir accès à ce sondage sur le fondement de la loi du 6 janvier 1978, ni exiger de savoir qui a commandé ledit sondage à l'institut qui l'a réalisé ;4a33beb1398d687ce56ea092654850e76f54bebb2Cliquer pour accéder à la décision

Actualités

Profitez de nos actualités en lien avec cet article !

L’Usine digitale
05 novembre 2024

Cybersécurité : Schneider Electric victime d’une nouvelle fuite de données Schneider Electric a annoncé le 4 novembre qu’elle enquêtait sur un “incident de cybersécurité impliquant un accès non autorisé” touchant l’une de ses “plateformes internes de suivi de l’exécution de projets”, a révélé le média spécialisé Bleeping Computer. La société précise que le fonctionnement de […]

Disponible sur: veille.portail-rgpd.com

Partenaires


Logo du M2 DNUM
Retour en haut