Article
En savoir plus...
Jurisprudence
Actualités
Article 45 - Transferts fondés sur une décision d'adéquation
1. Un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale peut avoir lieu lorsque la Commission a constaté par voie de décision que le pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou l'organisation internationale en question assure un niveau de protection adéquat. Un tel transfert ne nécessite pas d'autorisation spécifique.2. Lorsqu'elle évalue le caractère adéquat du niveau de protection, la Commission tient compte, en particulier, des éléments suivants:
- a) l'état de droit, le respect des droits de l'homme et des libertés fondamentales, la législation pertinente, tant générale que sectorielle, y compris en ce qui concerne la sécurité publique, la défense, la sécurité nationale et le droit pénal ainsi que l'accès des autorités publiques aux données à caractère personnel, de même que la mise en œuvre de ladite législation, les règles en matière de protection des données, les règles professionnelles et les mesures de sécurité, y compris les règles relatives au transfert ultérieur de données à caractère personnel vers un autre pays tiers ou à une autre organisation internationale qui sont respectées dans le pays tiers ou par l'organisation internationale en question, la jurisprudence, ainsi que les droits effectifs et opposables dont bénéficient les personnes concernées et les recours administratifs et judiciaires que peuvent effectivement introduire les personnes concernées dont les données à caractère personnel sont transférées;
- b) l'existence et le fonctionnement effectif d'une ou de plusieurs autorités de contrôle indépendantes dans le pays tiers, ou auxquelles une organisation internationale est soumise, chargées d'assurer le respect des règles en matière de protection des données et de les faire appliquer, y compris par des pouvoirs appropriés d'application desdites règles, d'assister et de conseiller les personnes concernées dans l'exercice de leurs droits et de coopérer avec les autorités de contrôle des États membres; et
- c) les engagements internationaux pris par le pays tiers ou l'organisation internationale en question, ou d'autres obligations découlant de conventions ou d'instruments juridiquement contraignants ainsi que de sa participation à des systèmes multilatéraux ou régionaux, en particulier en ce qui concerne la protection des données à caractère personnel.
4. La Commission suit, de manière permanente, les évolutions dans les pays tiers et au sein des organisations internationales qui pourraient porter atteinte au fonctionnement des décisions adoptées en vertu du paragraphe 3 du présent article et des décisions adoptées sur la base de l'article 25, paragraphe 6, de la directive 95/46/CE.
5. Lorsque les informations disponibles révèlent, en particulier à l'issue de l'examen visé au paragraphe 3 du présent article, qu'un pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans un pays tiers, ou une organisation internationale n'assure plus un niveau de protection adéquat au sens du paragraphe 2 du présent article, la Commission si nécessaire, abroge, modifie ou suspend la décision visée au paragraphe 3 du présent article par voie d'actes d'exécution sans effet rétroactif. Ces actes d'exécution sont adoptés en conformité avec la procédure d'examen visée à l'article 93, paragraphe 2.
Pour des raisons d'urgence impérieuses dûment justifiées, la Commission adopte des actes d'exécution immédiatement applicables en conformité avec la procédure visée à l'article 93, paragraphe 3.
6. La Commission engage des consultations avec le pays tiers ou l'organisation internationale en vue de remédier à la situation donnant lieu à la décision adoptée en vertu du paragraphe 5.
7. Une décision adoptée en vertu du paragraphe 5 du présent article est sans préjudice des transferts de données à caractère personnel vers le pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou à l'organisation internationale en question, effectués en application des articles 46 à 49.
8. La Commission publie au Journal officiel de l'Union européenne et sur son site internet une liste des pays tiers, des territoires et des secteurs déterminés dans un pays tiers et des organisations internationales pour lesquels elle a constaté par voie de décision qu'un niveau de protection adéquat est ou n'est plus assuré.
9. Les décisions adoptées par la Commission sur la base de l'article 25, paragraphe 6, de la directive 95/46/CE demeurent en vigueur jusqu'à leur modification, leur remplacement ou leur abrogation par une décision de la Commission adoptée conformément au paragraphe 3 ou 5 du présent article.
En savoir plus...
L'article 45 du RGPD porte sur la question complexe des transferts internationaux de données. Les énormes quantités de données transférées de l'UE vers des pays tiers ont rendu nécessaire l'adoption de dispositions garantissant la mise en œuvre de mesures de précaution pour protéger les transferts. Le niveau de protection à atteindre est promu et délimité au chapitre V du RGPD. Le chapitre V du RGPD crée une structure à trois niveaux pour les bases juridiques des transferts internationaux de données, avec les décisions d'adéquation au sommet, les garanties appropriées au milieu et les négociations à la base. Sur la base de l'article 45, la Commission européenne (Commission) a le pouvoir de déterminer si un pays en dehors de l'UE offre un niveau de protection des données adéquat, « essentiellement équivalent » à celui de l'UE. Le caractère adéquat signifie que les règles mises en œuvre dans les pays tiers ou les organisations internationales sont efficaces dans la pratique.La Commission a jusqu'à présent reconnu les pays suivants comme offrant une protection adéquate par le biais de « décisions d'adéquation » : Andorre, l'Argentine, le Canada (uniquement les organisations commerciales), les Îles Féroé, Guernesey, Israël, l'Île de Man, le Japon, Jersey, la Nouvelle-Zélande, la République de Corée, la Suisse, le Royaume-Uni (en vertu du UK RGPD et de la LED) et l'Uruguay. Ces décisions impliquent que les données à caractère personnel peuvent être transférées de l'UE (ainsi que de la Norvège, du Liechtenstein et de l'Islande) vers ces pays tiers sans garanties supplémentaires, que ces transferts seront assimilés à des transferts de données à caractère personnel, et que les données à caractère personnel peuvent être transférées de l'UE vers ces pays tiers sans garanties supplémentaires.
Le RGPD prévoit-il une amende en cas d'infraction à cet article ?
Conformément à l'article article 83 du RGPD, les infractions aux règles définies dans le présent article sont passibles d'amendes administratives pouvant aller jusqu'à 20 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 4 % du chiffre d'affaires annuel mondial total réalisé au cours de l'exercice précédent, le montant le plus élevé étant retenu.
Considérants pertinents
[Décisions d'adéquation]
103. La Commission peut décider, avec effet dans l'ensemble de l'Union, qu'un pays tiers, un territoire ou un secteur déterminé dans un pays tiers, ou une organisation internationale offre un niveau adéquat de protection des données, assurant ainsi une sécurité juridique et une uniformité dans l'ensemble l'Union en ce qui concerne le pays tiers ou l'organisation internationale qui est réputé offrir un tel niveau de protection. Dans ce cas, les transferts de données à caractère personnel vers ce pays tiers ou cette organisation internationale peuvent avoir lieu sans qu'il soit nécessaire d'obtenir une autre autorisation. La Commission peut également décider, après en avoir informé le pays tiers ou l'organisation internationale et lui avoir fourni une justification complète, de révoquer une telle décision.
[Critères d'évaluation pour les décisions d'adéquation]
104. Eu égard aux valeurs fondamentales sur lesquelles est fondée l'Union, en particulier la protection des droits de l'homme, la Commission devrait, dans son évaluation d'un pays tiers, d'un territoire ou d'un secteur déterminé dans un pays tiers, prendre en considération la manière dont un pays tiers déterminé respecte l'état de droit, garantit l'accès à la justice et observe les règles et normes internationales dans le domaine des droits de l'homme, ainsi que sa législation générale et sectorielle, y compris la législation sur la sécurité publique, la défense et la sécurité nationale ainsi que l'ordre public et le droit pénal. Lors de l'adoption, à l'égard d'un territoire ou d'un secteur déterminé dans un pays tiers, d'une décision d'adéquation, il y a lieu de tenir compte de critères clairs et objectifs, telles que les activités de traitement spécifiques et le champ d'application des normes juridiques applicables et de la législation en vigueur dans le pays tiers. Le pays tiers devrait offrir des garanties pour assurer un niveau adéquat de protection essentiellement équivalent à celui qui est garanti dans l'Union, en particulier quand les données à caractère personnel sont traitées dans un ou plusieurs secteurs spécifiques. Plus particulièrement, le pays tiers devrait assurer un contrôle indépendant effectif de la protection des données et prévoir des mécanismes de coopération avec les autorités de protection des données des États membres, et les personnes concernées devraient se voir octroyer des droits effectifs et opposables ainsi que des possibilités effectives de recours administratif et juridictionnel.
[Prise en compte des obligations internationales pour les décisions d'adéquation]
105. Outre les engagements internationaux pris par le pays tiers ou l'organisation internationale, la Commission devrait tenir compte des obligations découlant de la participation du pays tiers ou de l'organisation internationale à des systèmes multilatéraux ou régionaux, notamment en ce qui concerne la protection des données à caractère personnel, ainsi que de la mise en œuvre de ces obligations. Il y a lieu, en particulier, de prendre en considération l'adhésion du pays tiers à la convention du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et à son protocole additionnel. Lorsqu'elle évalue le niveau de protection offert par des pays tiers ou des organisations internationales, la Commission devrait consulter le comité.
[Surveillance du fonctionnelement des décisions d'adéquation]
La Commission devrait surveiller le fonctionnement des décisions relatives au niveau de protection offert par un pays tiers, un territoire ou un secteur déterminé dans un pays tiers, ou par une organisation internationale, et surveiller le fonctionnement des décisions adoptées sur la base de l'article 25, paragraphe 6, ou de l'article 26, paragraphe 4, de la directive 95/46/CE. Dans ses décisions d'adéquation, la Commission devrait prévoir un mécanisme d'examen périodique de leur fonctionnement. Cet examen périodique devrait être effectué en consultation avec le pays tiers ou l'organisation internationale en question et tenir compte de l'ensemble des évolutions présentant un intérêt dans le pays tiers ou au sein de l'organisation internationale. Aux fins de la surveillance et de la réalisation des examens périodiques, la Commission devrait prendre en considération les observations et les conclusions du Parlement européen et du Conseil, ainsi que d'autres organes et sources pertinents. La Commission devrait évaluer le fonctionnement desdites décisions dans un délai raisonnable et communiquer toute conclusion pertinente au comité au sens du règlement (UE) no 182/2011 du Parlement européen et du Conseil établi en vertu du présent règlement, au Parlement européen et au Conseil.
[Obligations en cas de constatation qu'un pays tiers n'assure plus un niveau adéquat]
107. La Commission peut constater qu'un pays tiers, un territoire ou un secteur déterminé dans un pays tiers, ou une organisation internationale n'assure plus un niveau adéquat de protection des données. En conséquence, le transfert de données à caractère personnel vers ce pays tiers ou à cette organisation internationale devrait être interdit, à moins que les exigences du présent règlement relatives aux transferts faisant l'objet de garanties appropriées, y compris des règles d'entreprise contraignantes et des dérogations pour des situations particulières, soient respectées. Dans ce cas, il y aurait lieu de prévoir des consultations entre la Commission et le pays tiers ou l'organisation internationale en question. La Commission devrait informer en temps utile le pays tiers ou l'organisation internationale des motifs de sa conclusion et engager des consultations avec ceux-ci en vue de remédier à la situation.
103. La Commission peut décider, avec effet dans l'ensemble de l'Union, qu'un pays tiers, un territoire ou un secteur déterminé dans un pays tiers, ou une organisation internationale offre un niveau adéquat de protection des données, assurant ainsi une sécurité juridique et une uniformité dans l'ensemble l'Union en ce qui concerne le pays tiers ou l'organisation internationale qui est réputé offrir un tel niveau de protection. Dans ce cas, les transferts de données à caractère personnel vers ce pays tiers ou cette organisation internationale peuvent avoir lieu sans qu'il soit nécessaire d'obtenir une autre autorisation. La Commission peut également décider, après en avoir informé le pays tiers ou l'organisation internationale et lui avoir fourni une justification complète, de révoquer une telle décision.
[Critères d'évaluation pour les décisions d'adéquation]
104. Eu égard aux valeurs fondamentales sur lesquelles est fondée l'Union, en particulier la protection des droits de l'homme, la Commission devrait, dans son évaluation d'un pays tiers, d'un territoire ou d'un secteur déterminé dans un pays tiers, prendre en considération la manière dont un pays tiers déterminé respecte l'état de droit, garantit l'accès à la justice et observe les règles et normes internationales dans le domaine des droits de l'homme, ainsi que sa législation générale et sectorielle, y compris la législation sur la sécurité publique, la défense et la sécurité nationale ainsi que l'ordre public et le droit pénal. Lors de l'adoption, à l'égard d'un territoire ou d'un secteur déterminé dans un pays tiers, d'une décision d'adéquation, il y a lieu de tenir compte de critères clairs et objectifs, telles que les activités de traitement spécifiques et le champ d'application des normes juridiques applicables et de la législation en vigueur dans le pays tiers. Le pays tiers devrait offrir des garanties pour assurer un niveau adéquat de protection essentiellement équivalent à celui qui est garanti dans l'Union, en particulier quand les données à caractère personnel sont traitées dans un ou plusieurs secteurs spécifiques. Plus particulièrement, le pays tiers devrait assurer un contrôle indépendant effectif de la protection des données et prévoir des mécanismes de coopération avec les autorités de protection des données des États membres, et les personnes concernées devraient se voir octroyer des droits effectifs et opposables ainsi que des possibilités effectives de recours administratif et juridictionnel.
[Prise en compte des obligations internationales pour les décisions d'adéquation]
105. Outre les engagements internationaux pris par le pays tiers ou l'organisation internationale, la Commission devrait tenir compte des obligations découlant de la participation du pays tiers ou de l'organisation internationale à des systèmes multilatéraux ou régionaux, notamment en ce qui concerne la protection des données à caractère personnel, ainsi que de la mise en œuvre de ces obligations. Il y a lieu, en particulier, de prendre en considération l'adhésion du pays tiers à la convention du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et à son protocole additionnel. Lorsqu'elle évalue le niveau de protection offert par des pays tiers ou des organisations internationales, la Commission devrait consulter le comité.
[Surveillance du fonctionnelement des décisions d'adéquation]
La Commission devrait surveiller le fonctionnement des décisions relatives au niveau de protection offert par un pays tiers, un territoire ou un secteur déterminé dans un pays tiers, ou par une organisation internationale, et surveiller le fonctionnement des décisions adoptées sur la base de l'article 25, paragraphe 6, ou de l'article 26, paragraphe 4, de la directive 95/46/CE. Dans ses décisions d'adéquation, la Commission devrait prévoir un mécanisme d'examen périodique de leur fonctionnement. Cet examen périodique devrait être effectué en consultation avec le pays tiers ou l'organisation internationale en question et tenir compte de l'ensemble des évolutions présentant un intérêt dans le pays tiers ou au sein de l'organisation internationale. Aux fins de la surveillance et de la réalisation des examens périodiques, la Commission devrait prendre en considération les observations et les conclusions du Parlement européen et du Conseil, ainsi que d'autres organes et sources pertinents. La Commission devrait évaluer le fonctionnement desdites décisions dans un délai raisonnable et communiquer toute conclusion pertinente au comité au sens du règlement (UE) no 182/2011 du Parlement européen et du Conseil établi en vertu du présent règlement, au Parlement européen et au Conseil.
[Obligations en cas de constatation qu'un pays tiers n'assure plus un niveau adéquat]
107. La Commission peut constater qu'un pays tiers, un territoire ou un secteur déterminé dans un pays tiers, ou une organisation internationale n'assure plus un niveau adéquat de protection des données. En conséquence, le transfert de données à caractère personnel vers ce pays tiers ou à cette organisation internationale devrait être interdit, à moins que les exigences du présent règlement relatives aux transferts faisant l'objet de garanties appropriées, y compris des règles d'entreprise contraignantes et des dérogations pour des situations particulières, soient respectées. Dans ce cas, il y aurait lieu de prévoir des consultations entre la Commission et le pays tiers ou l'organisation internationale en question. La Commission devrait informer en temps utile le pays tiers ou l'organisation internationale des motifs de sa conclusion et engager des consultations avec ceux-ci en vue de remédier à la situation.
Droit souple
Lignes directrices et recommandations
Guides pratiques
Documents anciens
Références
Cet article cite...
> Article 46 - Transferts moyennant des garanties appropriées
> Article 47 - Règles d'entreprise contraignantes
> Article 48 - Transferts ou divulgations non autorisés par le droit de l'Union
> Article 49 - Dérogations pour des situations particulières
> Article 93 - Comité
Cet article est cité par...
> Article 46 - Transferts moyennant des garanties appropriées
> Article 49 - Dérogations pour des situations particulières
> Article 83 - Conditions générales pour imposer des amendes administratives
> Article 97 - Rapports de la Commission
Autres textes liés
> Règlement 2018/1725 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère
personnel par les institutions, organes et organismes de l’Union ("EUDPR"), articles 47, 48 et 50
23 octobre 2018
Jurisprudence
Cliquez sur une ligne pour obtenir tous les détails.
Note importante : cette base de données n'est pas achevée ; par ailleurs, le développement du "RGPD annoté" implique sa re-structuration complète: il est donc possible que certains résultats soient peu pertinents ou soient manquants. Veuillez ne pas hésiter à me le signaler !
Décision n° | Nom | Date | Année | Pays | Autorité | Thème(s) | Secteur(s) | Apport de la décision | Contexte | Question | Extrait(s) pertinent(s) | Article(s) du RGPD | SHA1 Value | Article(s) LIL | Fait référence à | Autres informations | Lien |
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
C-21/23 | Lindenapotheke | 04/10/2024 | 2024 | Allemagne | Cour de Justice de l'UE | A classer | Manquement au RGPD - Susceptible d'être poursuivi par un concurrent - Admission sous réserve que le droit national le prévoit | 73. [...] Les dispositions du chapitre VIII du RGPD doivent être interprétées en ce sens qu’elles ne s’opposent pas à une réglementation nationale qui, parallèlement aux pouvoirs d’intervention des autorités de contrôle chargées de surveiller et de faire appliquer ce règlement ainsi qu’aux possibilités de recours des personnes concernées, confère aux concurrents de l’auteur présumé d’une atteinte à la protection des données à caractère personnel la qualité pour agir contre celui-ci au moyen d’un recours devant les juridictions civiles, en raison de violations dudit règlement et sur le fondement de l’interdiction des pratiques commerciales déloyales. | 77, 78, 79, 80, 81, 82, 83, 84 | 89f2fd1b6301991102bdadc722a5323c40dd302d, cb08aa41f17ae8041815cdd5e3b7c468c63b293b, b4eba8cbe7a9de8a9202ff3aec8d53dd613e2fd8, bb44e18ada1402f32b39da7edc60c2ef0261473d, 9099f29299c9263aebbdc4dd4f1e5027151bcaa0, c67708d1f81a877f2b8dfc425f4a0437c4e8b324, 13f3089206d6a7af14309e3188901bac86bb8db9, 68136ec0621ef3fe8935bf9fa91f0f6e4a202509 | Cliquer pour accéder à la décision | ||||||
C-21/23 | Lindenapotheke | 04/10/2024 | 2024 | Allemagne | Cour de Justice de l'UE | Données de santé | Santé | Donnée de santé - Données associées à une commande sur une pharmacie en ligne même sans prescription médicale - Admission | 94. Compte tenu de ce qui précède, il y a lieu de répondre à la seconde question que l’article 8, paragraphe 1, de la directive 95/46 et l’article 9, paragraphe 1, du RGPD doivent être interprétés en ce sens que, dans la situation où l’exploitant d’une pharmacie commercialise, par le biais d’une plate-forme en ligne, des médicaments dont la vente est réservée aux pharmacies, les informations que les clients de cet exploitant saisissent lors de la commande en ligne des médicaments, telles que leur nom, l’adresse de livraison et les éléments nécessaires à l’individualisation des médicaments, constituent des données concernant la santé, au sens de ces dispositions, même lorsque la vente de ces médicaments n’est pas soumise à prescription médicale. | 9 | b85ab32eaa572c8016edf68011078dceed8149e5 | Cliquer pour accéder à la décision | |||||
C-200/23 | Agentsia po vpisvaniyata | 04/10/2024 | 2024 | Bulgarie | Cour de Justice de l'UE | A classer | Violation de données - Perte de contrôle limitée - Dommage moral - Admission | 156. [...] L’article 82, paragraphe 1, du RGPD doit être interprété en ce sens qu’une perte de contrôle d’une durée limitée, par la personne concernée, sur ses données à caractère personnel en raison de la mise à la disposition du public de ces données, en ligne, dans le registre du commerce d’un État membre, peut suffire pour causer un « dommage moral », pour autant que cette personne démontre qu’elle a effectivement subi un tel dommage, aussi minime fût-il, sans que cette notion de « dommage moral » requière la démonstration de l’existence de conséquences négatives tangibles supplémentaires. | 82 | c67708d1f81a877f2b8dfc425f4a0437c4e8b324 | Cliquer pour accéder à la décision | ||||||
C-200/23 | Agentsia po vpisvaniyata | 04/10/2024 | 2024 | Bulgarie | Cour de Justice de l'UE | A classer | Violation de données - Réparation du préjudice - Prise en compte de l'avis de l'autorité - Absence | 176. Eu égard à ce qui précède, il convient de répondre à la huitième question que l’article 82, paragraphe 3, du RGPD doit être interprété en ce sens qu’un avis de l’autorité de contrôle d’un État membre, émis sur le fondement de l’article 58, paragraphe 3, sous b), de ce règlement, ne suffit pas à exonérer de responsabilité, au titre de l’article 82, paragraphe 2, dudit règlement, l’autorité chargée de la tenue du registre du commerce de cet État membre ayant la qualité de « responsable du traitement » au sens de l’article 4, point 7, du même règlement. | 82 | c67708d1f81a877f2b8dfc425f4a0437c4e8b324 | Cliquer pour accéder à la décision | ||||||
C-621/22 | Koninklijke Nederlandse Lawn Tennisbond | 04/10/2024 | 2024 | Pays-Bas | Cour de Justice de l'UE | Intérêt légitime | Economie et fiscalité | Intérêt légitime - Justifié par un intérêt commrecial - Admission sous conditions - 1) Est strictement nécessaire - 2) Les intérêts de la personne concernée ne prévalent pas - 3) Est licite | 57. [...] L’article 6, paragraphe 1, premier alinéa, sous f), du RGPD doit être interprété en ce sens qu’un traitement de données à caractère personnel consistant en la communication à titre onéreux de données à caractère personnel des membres d’une fédération sportive, en vue de satisfaire à un intérêt commercial du responsable du traitement, ne peut être considéré comme étant nécessaire aux fins des intérêts légitimes poursuivis par ce responsable, au sens de cette disposition, qu’à la condition que ce traitement soit strictement nécessaire à la réalisation de l’intérêt légitime en cause et que, au regard de l’ensemble des circonstances pertinentes, les intérêts ou les libertés et les droits fondamentaux de ces membres ne prévalent pas sur cet intérêt légitime. Si ladite disposition n’exige pas qu’un tel intérêt soit déterminé par la loi, elle requiert que l’intérêt légitime allégué soit licite. | 6 | 2ce6ddc84d93a3a1dcd84238cd67260bd7272e08 | Cliquer pour accéder à la décision | |||||
C-507/23 | Patērētāju tiesību aizsardzības centrs | 04/10/2024 | 2024 | Lettonie | Cour de Justice de l'UE | A classer | Manquement au RGPD - Réparation du préjudice moral en résultant - Caractère suffisant dela présentation d'excuses - Admission si le préjudice est intégralement réparé | 37. Eu égard aux motifs qui précèdent, il convient de répondre à la deuxième question que l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens que la présentation d’excuses peut constituer une réparation adéquate d’un dommage moral sur le fondement de cette disposition, notamment lorsqu’il est impossible de rétablir la situation antérieure à la survenance de ce dommage, pour autant que cette forme de réparation soit de nature à compenser intégralement le préjudice subi par la personne concernée. | 82 | c67708d1f81a877f2b8dfc425f4a0437c4e8b324 | Cliquer pour accéder à la décision | ||||||
C-507/23 | Patērētāju tiesību aizsardzības centrs | 04/10/2024 | 2024 | Lettonie | Cour de Justice de l'UE | A classer | Manquement au RGPD - Réparation du préjudice en résultant - Prise en compte du comportement du responsable - Absence | 45. Eu égard aux motifs qui précèdent, il convient de répondre à la troisième question que l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens qu’il s’oppose à ce que l’attitude et la motivation du responsable du traitement puissent être prises en compte afin, le cas échéant, d’accorder à la personne concernée une réparation inférieure au préjudice qu’elle a concrètement subi. | 82 | c67708d1f81a877f2b8dfc425f4a0437c4e8b324 | Cliquer pour accéder à la décision | ||||||
C-548/21 | Bezirkshauptmannschaft Landeck | 04/10/2024 | 2024 | Autriche | Cour de Justice de l'UE | Directive Police-Justice | Police-Justice | Accès de la police aux données contenues dans un téléphone portable - Limitation à la lutte contre la criminalité grave - Absence | 110.Il ressort de ce qui précède qu’il convient de répondre aux première et deuxième questions que l’article 4, paragraphe 1, sous c), de la directive 2016/680, lu à la lumière des articles 7 et 8 ainsi que de l’article 52, paragraphe 1, de la Charte, doit être interprété en ce sens qu’il ne s’oppose pas à une réglementation nationale qui octroie aux autorités compétentes la possibilité d’accéder aux données contenues dans un téléphone portable, à des fins de prévention, de recherche, de détection et de poursuite d’infractions pénales en général, si cette réglementation : - définit de manière suffisamment précise la nature ou les catégories des infractions concernées, - garantit le respect du principe de proportionnalité, et - soumet l’exercice de cette possibilité, sauf cas d’urgence dûment justifié, à un contrôle préalable d’un juge ou d’une entité administrative indépendante. | 5, 10 | c23f7da7070511444ebc75875fd9d202b5dd13cf | Cliquer pour accéder à la décision | |||||
C-548/21 | Bezirkshauptmannschaft Landeck | 04/10/2024 | 2024 | Autriche | Cour de Justice de l'UE | Limitation des finalités | Police-Justice | Accès de la police aux données contenues dans un téléphone portable - Limitation à la lutte contre la criminalité grave - Absence | 110.Il ressort de ce qui précède qu’il convient de répondre aux première et deuxième questions que l’article 4, paragraphe 1, sous c), de la directive 2016/680, lu à la lumière des articles 7 et 8 ainsi que de l’article 52, paragraphe 1, de la Charte, doit être interprété en ce sens qu’il ne s’oppose pas à une réglementation nationale qui octroie aux autorités compétentes la possibilité d’accéder aux données contenues dans un téléphone portable, à des fins de prévention, de recherche, de détection et de poursuite d’infractions pénales en général, si cette réglementation : - définit de manière suffisamment précise la nature ou les catégories des infractions concernées, - garantit le respect du principe de proportionnalité, et - soumet l’exercice de cette possibilité, sauf cas d’urgence dûment justifié, à un contrôle préalable d’un juge ou d’une entité administrative indépendante. | 5, 10 | 743da23f34ee7adc1bc280808926e060c096910e | Cliquer pour accéder à la décision | |||||
C-446/21 | Schrems | 04/10/2024 | 2024 | Autriche | Cour de Justice de l'UE | Minimisation, Conservation limitée | Technologie, Marketing et Prospection | Publicité ciblée - Réseau social en ligne - Utilisation l’ensemble des données personnelles obtenues sans limitation dans le temps et sans distinction en fonction de leur nature - Illicéité | 65. Compte tenu de ce qui précède, il y a lieu de répondre à la deuxième question que l’article 5, paragraphe 1, sous c), du RGPD, doit être interprété en ce sens que le principe de la « minimisation des données », prévu à cette disposition, s’oppose à ce que l’ensemble des données à caractère personnel qui ont été obtenues par un responsable du traitement, tel que l’exploitant d’une plateforme de réseau social en ligne, auprès de la personne concernée ou de tiers et qui ont été collectées tant sur cette plateforme qu’en dehors de celle-ci, soient agrégées, analysées et traitées à des fins de publicité ciblée, sans limitation dans le temps et sans distinction en fonction de la nature de ces données. | 5 | 743da23f34ee7adc1bc280808926e060c096910e | Cliquer pour accéder à la décision | |||||
C-446/21 | Schrems | 04/10/2024 | 2024 | Autriche | Cour de Justice de l'UE | Définition | Technologie | Donnée sensible - Caractère manifestement public d'une donnée - Autorisation de traiter des données similaires obtenues par un autre biais - Absence | 83. Eu égard à ce qui précède, il y a lieu de répondre à la quatrième question que l’article 9, paragraphe 2, sous e), du RGPD, doit être interprété en ce sens que la circonstance qu’une personne se soit exprimée sur son orientation sexuelle lors d’une table ronde, dont la participation est ouverte au public, n’autorise pas l’exploitant d’une plateforme de réseau social en ligne à traiter d’autres données relatives à l’orientation sexuelle de cette personne, obtenues, le cas échéant, en dehors de cette plateforme à partir d’applications et de sites Internet de tiers partenaires, en vue de l’agrégation et l’analyse de celles-ci, afin de lui proposer de la publicité personnalisée. | 9 | b85ab32eaa572c8016edf68011078dceed8149e5 | Cliquer pour accéder à la décision | |||||
C-768/21 | Land Hessen | 26/09/2024 | 2024 | Allemagne | Cour de Justice de l'UE | A classer | Violation de données - Obligation d’agir de l’autorité de protection des données - Absence si l'intervention n’est pas appropriée, nécessaire ou proportionnée pour remédier à l’insuffisance | 50. [...] L’article 57, paragraphe 1, sous a) et f), l’article 58, paragraphe 2, et l’article 77, paragraphe 1, du RGPD doivent être interprétés en ce sens que, en cas de constatation d’une violation de données à caractère personnel, l’autorité de contrôle n’est pas tenue d’adopter une mesure correctrice, en particulier une amende administrative, au titre de cet article 58, paragraphe 2, lorsqu’une telle intervention n’est pas appropriée, nécessaire ou proportionnée pour remédier à l’insuffisance constatée et garantir le plein respect de ce règlement. | 57, 58 | fdf3d4fb47ed5729bc84397b140ee0eef1973a65, ac351926118d8f66267b46ecf31c5a7a5d468363 | Cliquer pour accéder à la décision | ||||||
C-17/22, C-18/22 | HTB Neunte Immobilien Portfolio | 12/09/2024 | 2024 | Allemagne | Cour de Justice de l'UE | Obligation légale | Obligation légale - Jurisprudence comme source d'une telle obligation - Admission sous conditions | 71. Il ne saurait être exclu que « le droit de l’État membre auquel le responsable du traitement est soumis », au sens de l’article 6, paragraphe 3, sous b), du RGPD, couvre également la jurisprudence nationale. Cependant, ainsi qu’il ressort du considérant 41 de ce règlement, il est exigé qu’une telle jurisprudence soit claire et précise et que son application soit prévisible pour les justiciables, conformément à la jurisprudence de la Cour. - 73. En outre, […] encore faut-il que cette jurisprudence constitue une base juridique répondant à un objectif d’intérêt public, qu’elle soit proportionnée à celui-ci et que le traitement concerné soit opéré dans les limites du strict nécessaire, ce qu’il incombe à la juridiction de renvoi de vérifier [voir, en ce sens, arrêt du 4 juillet 2023, Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social), C-252/21, EU:C:2023:537, points 134 et 138]. - 74. Il appartiendra ainsi à cette juridiction de déterminer, notamment, s’il n’existe pas de mesures qui, tout en permettant de garantir la transparence entre les associés de sociétés de personnes, telle qu’elle paraît découler du droit allemand, ainsi qu’il a été exposé aux points 18 à 22 du présent arrêt, seraient moins attentatoires à la protection des données à caractère personnel confidentielles des associés indirects de sociétés en commandite faisant appel public à l’épargne que l’obligation de divulguer ces données à tout autre associé qui en ferait la demande. | 6 | 2ce6ddc84d93a3a1dcd84238cd67260bd7272e08 | Cliquer pour accéder à la décision | ||||||
C-757/22 | Meta Platforms Ireland Ltd | 11/07/2024 | 2024 | Allemagne | Cour de Justice de l'UE | A classer | Action représentative en l'absence de mandat - Notion de droits des personnes violés "du fait du traitement" - Manquement à l'obligation d'information - Inclusion | 65. Compte tenu de ce qui précède, il convient de répondre à la question préjudicielle que l’article 80, paragraphe 2, du RGPD doit être interprété en ce sens que la condition selon laquelle une entité habilitée, pour pouvoir introduire une action représentative au titre de cette disposition, doit faire valoir qu’elle considère que les droits d’une personne concernée prévus dans ce règlement ont été violés « du fait du traitement », au sens de ladite disposition, est remplie lorsque cette entité fait valoir que la violation des droits de cette personne intervient à l’occasion d’un traitement de données à caractère personnel et qu’elle résulte de la méconnaissance de l’obligation qui incombe au responsable du traitement, en vertu de l’article 12, paragraphe 1, première phrase, et de l’article 13, paragraphe 1, sous c) et e), dudit règlement, de communiquer à la personne concernée par ce traitement de données, d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, les informations relatives à la finalité dudit traitement de données ainsi qu’aux destinataires de telles données, au plus tard lors de la collecte de celles‑ci. | 80 | bb44e18ada1402f32b39da7edc60c2ef0261473d | Cliquer pour accéder à la décision | ||||||
C-461/22 | MK contre WB | 11/07/2024 | 2024 | Allemagne | Cour de Justice de l'UE | Responsable de traitement | Responsable de traitement - Ancien curateur vis-à-vis d'une personne protégée - Admission | 31. Eu égard à l’ensemble des considérations qui précèdent, il y a lieu de répondre aux questions posées que l’article 4, point 7, du règlement 2016/679 doit être interprété en ce sens qu’un ancien curateur ayant exercé ses fonctions à titre professionnel à l’égard d’une personne placée sous sa curatelle doit être qualifié de « responsable du traitement », au sens de cette disposition, des données à caractère personnel en sa possession concernant cette personne et qu’un tel traitement doit respecter l’ensemble des dispositions de ce règlement, notamment l’article 15 de celui-ci. | 4 | a33beb1398d687ce56ea092654850e76f54bebb2 | Cliquer pour accéder à la décision | ||||||
C-590/22 | PS GbR | 20/06/2024 | 2024 | Allemagne | Cour de Justice de l'UE | Crainte d’un potentiel usage abusif de données personnelles par un tiers - Incertitudes sur la consultation des données par ce tiers - Dommage moral - Admission sous conditions probatoires | 36. Eu égard aux motifs qui précèdent, il y a lieu de répondre à la troisième question que l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens que la crainte éprouvée par une personne que ses données à caractère personnel aient, du fait d’une violation de ce règlement, été divulguées à des tiers sans qu’il puisse être établi que tel a été effectivement le cas suffit à fonder un droit à réparation pour autant que cette crainte, avec ses conséquences négatives, soit dûment prouvée. | 33, 82 | 39c9c4e0ab390e751b96a98212ede77eecceb022, c67708d1f81a877f2b8dfc425f4a0437c4e8b324 | Cliquer pour accéder à la décision | |||||||
C-590/22 | PS GbR | 20/06/2024 | 2024 | Allemagne | Cour de Justice de l'UE | A classer | Violation de données - Réparation du préjudice - Prise en compte de la violation de dispositions nationales non liées - Absence - Prise en compte des critères de l'article 83 pour déterminer le montant des dommages-intérêts - Absence | 44. Eu égard aux motifs qui précèdent, il convient de répondre aux quatrième et cinquième questions que l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens que, pour déterminer le montant des dommages-intérêts dus au titre de la réparation d’un dommage fondée sur cette disposition, il n’y a pas lieu, d’une part, d’appliquer mutatis mutandis les critères de fixation du montant des amendes administratives prévus à l’article 83 de ce règlement et, d’autre part, de conférer à ce droit à réparation une fonction dissuasive. - 50. Eu égard aux motifs qui précèdent, il convient de répondre à la sixième question que l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens que, pour déterminer le montant des dommages-intérêts dus au titre de la réparation d’un dommage fondée sur cette disposition, il n’y a pas lieu de tenir compte de violations simultanées de dispositions nationales portant sur la protection des données personnelles, mais n’ayant pas pour objet de préciser les règles de ce règlement. | 33, 82 | 39c9c4e0ab390e751b96a98212ede77eecceb022, c67708d1f81a877f2b8dfc425f4a0437c4e8b324 | Cliquer pour accéder à la décision | ||||||
C-182/22, C-189/22 | Scalable Capital GmbH | 20/06/2024 | 2024 | Allemagne | Cour de Justice de l'UE | A classer | Violation de données - Réparation du préjudice - Distinction entre "vol" et "usurpation" d'identité - Absence | 55. Ainsi que M. l’avocat général l’a relevé au point 29 de ses conclusions, les différentes versions linguistiques des considérants 75 et 85 du RGPD mentionnent les termes « vol d’identité », « usurpation d’identité », « fraude à l’identité », « abus d’identité » et « détournement d’identité » qui y sont utilisés indistinctement. Par conséquent, les notions de « vol » et d’« usurpation » d’identité sont interchangeables et aucune distinction ne saurait être opérée entre elles. Ces deux dernières notions donnent lieu à la présomption d’une volonté de s’approprier l’identité d’une personne dont les données à caractère personnel ont, auparavant, été volées. - 58. Par ces motifs, il y a lieu de répondre à la cinquième question que l’article 82, paragraphe 1, du RGPD, lu à la lumière des considérants 75 et 85 de ce règlement, doit être interprété en ce sens que, pour être caractérisée et ouvrir droit à réparation du dommage moral au titre de cette disposition, la notion de « vol d’identité » implique que l’identité d’une personne concernée par un vol de données à caractère personnel soit effectivement usurpée par un tiers. Toutefois, la réparation d’un dommage moral causé par le vol de données à caractère personnel, au titre de ladite disposition, ne saurait être limitée aux cas où il est démontré qu’un tel vol de données a ensuite donné lieu à un vol ou à une usurpation d’identité. | 33, 82 | 39c9c4e0ab390e751b96a98212ede77eecceb022, c67708d1f81a877f2b8dfc425f4a0437c4e8b324 | Cliquer pour accéder à la décision | ||||||
C-741/21 | Juris GmbH | 11/04/2024 | 2024 | Allemagne | Cour de Justice de l'UE | A classer | Préjudice issu d'un manquement au RGPD - Méthode de calcul du montant des dommages-intérêts identique à celle du calcul des amendes - Absence | 65. Par conséquent, il convient de répondre aux troisième et quatrième questions que l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens que, pour déterminer le montant des dommages‑intérêts dus au titre de la réparation d’un dommage fondée sur cette disposition, il n’y a pas lieu, d’une part, d’appliquer mutatis mutandis les critères de fixation du montant des amendes administratives qui sont prévus à l’article 83 de ce règlement et, d’autre part, de tenir compte du fait que plusieurs violations dudit règlement concernant une même opération de traitement affectent la personne demandant réparation | 82, 83 | c67708d1f81a877f2b8dfc425f4a0437c4e8b324, 13f3089206d6a7af14309e3188901bac86bb8db9 | Cliquer pour accéder à la décision | ||||||
C-61/22 | Landeshauptstadt Wiesbaden | 21/03/2024 | 2024 | Allemagne | Cour de Justice de l'UE | Minimisation | Administration | Droit fondamental à la vie privée - Insertion obligatoire dans les cartes d'identité de deux empreintes digitiales - Compatibilité - Admission | 123. Eu égard à ce qui précède, il doit être constaté que la limitation de l’exercice des droits garantis aux articles 7 et 8 de la Charte résultant de l’intégration de deux empreintes digitales dans le support de stockage des cartes d’identité n’apparaît pas être, compte tenu de la nature des données en cause, de la nature et des modalités des opérations de traitement ainsi que des mécanismes de sauvegarde prévus, d’une gravité qui serait disproportionnée par rapport à l’importance des différents objectifs que cette mesure poursuit. Ainsi, une telle mesure doit être considérée comme étant fondée sur une pondération équilibrée entre, d’une part, ces objectifs et, d’autre part, les droits fondamentaux en présence. | 5 | 743da23f34ee7adc1bc280808926e060c096910e | Cliquer pour accéder à la décision | |||||
TSV.26.2020 | Verkkokauppa | 18/03/2024 | 2024 | Finlande | CNIL (ou équivalent) | Minimisation | Internet | Exigence de création d'un compte client pour effectuer un achat en ligne - Rejet | (Traduction) 44. La pratique du responsable du traitement consistant à exiger l'enregistrement du client pour effectuer un achat individuel dans une boutique en ligne n'était pas conforme à l'article 5, paragraphe 1, point e), et à l'article 25, paragraphe 2, du GDPR. La procédure a également conduit à la conservation des données des acheteurs individuels pendant une période plus longue que celle qui aurait été nécessaire pour effectuer un seul achat. | 5, 25 | 743da23f34ee7adc1bc280808926e060c096910e | Cette décision a fait l'objet d'un appel, la procédure est en cours. | Cliquer pour accéder à la décision traduite par machine ou Cliquer pour accéder à la décision officielle | ||||
TSV.26.2020 | Verkkokauppa | 18/03/2024 | 2024 | Finlande | CNIL (ou équivalent) | A classer | Internet | Exigence de création d'un compte client pour effectuer un achat en ligne - Rejet | (Traduction) 44. La pratique du responsable du traitement consistant à exiger l'enregistrement du client pour effectuer un achat individuel dans une boutique en ligne n'était pas conforme à l'article 5, paragraphe 1, point e), et à l'article 25, paragraphe 2, du GDPR. La procédure a également conduit à la conservation des données des acheteurs individuels pendant une période plus longue que celle qui aurait été nécessaire pour effectuer un seul achat. | 5, 25 | 60fa983c8c5500c101ff5344d51feccfdf46fae7 | Cette décision a fait l'objet d'un appel, la procédure est en cours. | Cliquer pour accéder à la décision traduite par machine ou Cliquer pour accéder à la décision officielle | ||||
C-740/22 | Endemol Shine Finland Oy | 07/03/2024 | 2024 | Finlande | Cour de Justice de l'UE | Traitement | Traitement de données à caractère personnel - Communication orale de données à caractère personnel - Inclusion | 29. Il ressort notamment de l’expression « toute opération », que le législateur de l’Union a entendu donner à la notion de « traitement » une portée large, ce qui est corroboré par le caractère non exhaustif, exprimé par la locution « telles que », des opérations énumérées à ladite disposition [voir, en ce sens, arrêts du 24 février 2022, Valsts ieņēmumu dienests (Traitement des données personnelles à des fins fiscales), C‑175/20, EU:C:2022:124, point 35, et du 22 juin 2023, Pankki S, C‑579/21, EU:C:2023:501, point 46]. 30. Cette énumération vise, entre autres, la communication par transmission, la diffusion et « toute autre forme de mise à disposition », ces opérations pouvant être automatisées ou non automatisées. À cet égard, l’article 4, point 2, du RGPD ne pose aucune condition quant à la forme du traitement « non automatisé ». La notion de « traitement » couvre dès lors la communication orale. | 4 | a33beb1398d687ce56ea092654850e76f54bebb2 | Cliquer pour accéder à la décision | ||||||
C-604/22 | IAB Europe | 07/03/2024 | 2024 | Pays-Bas | Cour de Justice de l'UE | Donnée à caractère personnel | Technologie, Marketing et prospection | Donnée à caractère personnel - Chaîne de caractères stockant les préférences en matière de publicité et de cookies - Admission | 51. Compte tenu de ce qui précède, il convient de répondre à la première question que l’article 4, point 1, du RGPD doit être interprété en ce sens qu’une chaîne composée d’une combinaison de lettres et de caractères, telle que la TC String, contenant les préférences d’un utilisateur d’Internet ou d’une application relatives au consentement de cet utilisateur au traitement des données à caractère personnel le concernant par des fournisseurs de sites Internet ou d’applications ainsi que par des courtiers de telles données et par des plateformes publicitaires, constitue une donnée à caractère personnel au sens de cette disposition dans la mesure où, lorsque celle-ci peut, par des moyens raisonnables, être associée à un identifiant, tels que notamment l’adresse IP de l’appareil dudit utilisateur, elle permet d’identifier la personne concernée. Dans de telles conditions, la circonstance que, sans une contribution extérieure, une organisation sectorielle détenant cette chaîne ne peut ni accéder aux données qui sont traitées par ses membres dans le cadre des règles qu’elle a établies ni combiner ladite chaîne avec d’autres éléments ne fait pas obstacle à ce que la même chaîne constitue une donnée à caractère personnel au sens de ladite disposition. | 4 | a33beb1398d687ce56ea092654850e76f54bebb2 | Cliquer pour accéder à la décision | |||||
9991064 | NTT Data | 08/02/2024 | 2024 | Italie | CNIL (ou équivalent) | A classer | Violation de données - Délai de notification - 72 heures à compter de la découverte initiale y compris par un sous-traitant - Prise en compte du nombre d'acteurs impliqués - Absence | (Traduction) 4. [...] À cet égard, en ce qui concerne l’expression « sans retard injustifié », les « Lignes directrices 9/2022 sur la notification des violations de données à caractère personnel conformément au GDPR », adoptées par le Comité européen de la protection des données le 28 mars 2023 (qui ont remplacé les précédentes « Lignes directrices sur la notification des violations de données à caractère personnel conformément au règlement (UE) 2016/679 » adoptées par le groupe de travail sur la protection des données de l’article 29, en dernier lieu le 6 février 2018 et approuvées par le Comité européen de la protection des données le 25 mai 2018), recommandent que le responsable du traitement « notifie sans tarder au responsable du traitement, en fournissant par la suite toute information supplémentaire sur la violation dont il a connaissance » ; ceci est » important pour aider le responsable du traitement à respecter l’obligation de notification à l’autorité de contrôle dans les 72 heures; | 24, 28, 33 | 788235c7a7839ac7e834e0a5a9a15b95657a9271, 2493779251de822754e7d9cbd06e551dfa7fcd2b, 39c9c4e0ab390e751b96a98212ede77eecceb022 | Cliquer pour accéder à la décision traduite par machine ou Cliquer pour accéder à la décision officielle | ||||||
C-118/22 | Direktor na Glavna direktsia "Natsionalna politsia" | 30/01/2024 | 2024 | Autriche | Cour de Justice de l'UE | Conservation limitée | Police-Justice | Directive Police-Justice - Finalité de prévention et de détection des infractions pénales - Conservation des données d'un fichier de conservation des empreintes génétiques jusqu'au décès des concernés - Rejet | 72. Eu égard à l’ensemble des considérations qui précédent, il y a lieu de répondre à la question posée que l’article 4, paragraphe 1, sous c) et e), de la directive 2016/680 [...] doit être interprété en ce sens qu’il s’oppose à une législation nationale qui prévoit la conservation, par les autorités de police, à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, de données à caractère personnel, notamment de données biométriques et génétiques, concernant des personnes ayant fait l’objet d’une condamnation pénale définitive pour une infraction pénale intentionnelle relevant de l’action publique, et ce jusqu’au décès de la personne concernée, y compris en cas de réhabilitation de celle-ci, sans mettre à la charge du responsable du traitement l’obligation de vérifier régulièrement si cette conservation est toujours nécessaire, ni reconnaître à ladite personne le droit à l’effacement de ces données, dès lors que leur conservation n’est plus nécessaire au regard des finalités pour lesquelles elles ont été traitées, ou, le cas échéant, à la limitation du traitement de celles-ci. | 5 | 743da23f34ee7adc1bc280808926e060c096910e | Cliquer pour accéder à la décision | |||||
C-687/21 | MediaMarktSaturn | 25/01/2024 | 2024 | Allemagne | Cour de Justice de l'UE | A classer | Préjudice issu d'un manquement au RGPD - Sollicitation de la réparation de son préjudice par la personne concernée - Régime de responsabilité de droit commun | 50. Par conséquent, il y a lieu de répondre à la septième question que l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens que le droit à réparation prévu à cette disposition, notamment en cas de dommage moral, remplit une fonction compensatoire, en ce qu’une réparation pécuniaire fondée sur ladite disposition doit permettre de compenser intégralement le préjudice concrètement subi du fait de la violation de ce règlement, et non une fonction punitive. | 33, 82 | 39c9c4e0ab390e751b96a98212ede77eecceb022, c67708d1f81a877f2b8dfc425f4a0437c4e8b324 | Cliquer pour accéder à la décision | ||||||
C-687/21 | MediaMarktSaturn | 25/01/2024 | 2024 | Allemagne | Cour de Justice de l'UE | A classer | Crainte d’un potentiel usage abusif de données personnelles par un tiers - Absence (prouvée) de consultation des données par ce tiers - Dommage moral - Rejet | 69. Partant, il y a lieu de répondre à la cinquième question que l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens que, dans l’hypothèse où un document contenant des données à caractère personnel a été remis à un tiers non autorisé dont il est établi qu’il n’a pas pris connaissance de celles-ci, un « dommage moral », au sens de cette disposition, n’est pas constitué par le simple fait que la personne concernée craint que, à la suite de cette communication ayant rendu possible la réalisation d’une copie dudit document avant sa restitution, une diffusion, voire un usage abusif, de ses données se produise dans le futur. | 33, 82 | 39c9c4e0ab390e751b96a98212ede77eecceb022, c67708d1f81a877f2b8dfc425f4a0437c4e8b324 | Cliquer pour accéder à la décision | ||||||
C-33/22 | Österreichische Datenschutzbehörde | 16/01/2024 | 2024 | Autriche | Cour de Justice de l'UE | Sécurité nationale | Administration | Exception au champ d'application du droit de l'Union (ici, du RGPD) - Activité visant à préserver la sécurité nationale ou activité relevant de cette catégorie - Activité d'une commission d’enquête mise en place par le parlement d’un État membre dans l’exercice de son pouvoir de contrôler une autorité policière - Exclusion | 57. Eu égard à ce qui précède, il convient de répondre à la deuxième question que l’article 2, paragraphe 2, sous a), du RGPD, lu à la lumière du considérant 16 de celui-ci, doit être interprété en ce sens que ne sauraient être considérées, en tant que telles, comme des activités relatives à la sécurité nationale situées en dehors du champ d’application du droit de l’Union, au sens de cette disposition, les activités d’une commission d’enquête mise en place par le parlement d’un État membre dans l’exercice de son pouvoir de contrôle du pouvoir exécutif, ayant pour objet d’enquêter sur les activités d’une autorité policière de protection de l’État en raison d’un soupçon d’influence politique sur cette autorité. | 2 | 70142f66475ae2fb33722d8d4750f386ecfefe7b | Cliquer pour accéder à la décision | |||||
C-33/22 | Österreichische Datenschutzbehörde | 16/01/2024 | 2024 | Autriche | Cour de Justice de l'UE | A classer | Administration | Principe de séparation des pouvoirs exécutifs et législatifs - Application à une autorité de contrôle du RGPD - Absence | 72. Compte tenu de ce qui précède, il convient de répondre à la troisième question que l’article 77, paragraphe 1, et l’article 55, paragraphe 1, du RGPD doivent être interprétés en ce sens que, lorsqu’un État membre a fait le choix, conformément à l’article 51, paragraphe 1, de ce règlement, d’instituer une seule autorité de contrôle, sans toutefois lui attribuer la compétence pour surveiller l’application dudit règlement par une commission d’enquête mise en place par le parlement de cet État membre dans l’exercice de son pouvoir de contrôle du pouvoir exécutif, ces dispositions confèrent directement à cette autorité la compétence pour connaître des réclamations relatives à des traitements de données à caractère personnel effectués par ladite commission d’enquête. | 77, 55 | 89f2fd1b6301991102bdadc722a5323c40dd302d, 90322c17695939e2ff17c03248b8dd88f73d597c | Cliquer pour accéder à la décision | |||||
SAN-2023-021 | Amazon France Logistique | 27/12/2023 | 2023 | France | CNIL (ou équivalent) | Minimisation, Licéité | Travail | Surveillance constante et pour toutes les tâches des salariés à des fins de suivi de l’activité et d’évaluation de la performance - Caractère excessif | 167. La formation restreinte considère que les traitements de données des salariés à des fins de suivi de l’activité et d’évaluation de la performance sont tellement précis qu’ils provoquent un changement d’échelle par rapport aux méthodes de suivi d’activité classiques. Elle estime que ces traitements, qui permettent un contrôle extrêmement précis des salariés, pour chaque action réalisée sur les tâches directes, maintiennent les salariés sous une surveillance constante pour toutes les tâches effectuées avec des scanners et créent ainsi une pression permanente. 168. Les manquements aux principes de minimisation et à l’obligation de disposer d’une base juridique se traduisent donc par des traitements quasi continus et massifs d’indicateurs relatifs à toutes les tâches directes et à la performance des salariés, qui aboutissent à une surveillance informatique disproportionnée de leur activité. | 5 | 743da23f34ee7adc1bc280808926e060c096910e | Cliquer pour accéder à la décision | |||||
C-340/21 | Natsionalna agentsia za prihodite | 14/12/2023 | 2023 | Bulgarie | Cour de Justice de l'UE | A classer | Crainte d’un potentiel usage abusif de données personnelles par un tiers - Constitutif d'un dommage moral - Admission sous conditions probatoires | 86. L’article 82, paragraphe 1, du règlement 2016/679 doit être interprété en ce sens que : la crainte d’un potentiel usage abusif de ses données à caractère personnel par des tiers qu’une personne concernée éprouve à la suite d’une violation de ce règlement est susceptible, à elle seule, de constituer un « dommage moral », au sens de cette disposition. | 33, 82 | 39c9c4e0ab390e751b96a98212ede77eecceb022, c67708d1f81a877f2b8dfc425f4a0437c4e8b324 | Cliquer pour accéder à la décision | ||||||
C-340/21 | Natsionalna agentsia za prihodite | 14/12/2023 | 2023 | Bulgarie | Cour de Justice de l'UE | A classer | Violation de données - Présomption irréfragable d'insuffisance des mesures de sécurité - Absence | 31. Partant, les articles 24 et 32 du RGPD ne sauraient être compris en ce sens qu’une divulgation non autorisée de données à caractère personnel ou un accès non autorisé à de telles données par un tiers suffisent pour conclure que les mesures adoptées par le responsable du traitement concerné n’étaient pas appropriées, au sens de ces dispositions, sans même permettre à ce dernier d’apporter la preuve contraire. | 24, 32, 82 | 788235c7a7839ac7e834e0a5a9a15b95657a9271, c9a79ac93c358874ab99f40683428a9fb7bd666c, c67708d1f81a877f2b8dfc425f4a0437c4e8b324 | Cliquer pour accéder à la décision | ||||||
C-634/21 | SCHUFA Holding (Scoring) | 07/12/2023 | 2023 | Allemagne | Cour de Justice de l'UE | Profilage | Economie et fiscalité | Profilage - Scoring déterminant pour l'octroi d'un droit - Qualification de décision individuelle automatisée | 50. Il en découle que, dans des circonstances telles que celles en cause au principal, dans lesquelles la valeur de probabilité établie par une société fournissant des informations commerciales et communiquée à une banque joue un rôle déterminant dans l’octroi d’un crédit, l’établissement de cette valeur doit être qualifié en soi de décision produisant à l’égard d’une personne concernée « des effets juridiques la concernant ou l’affectant de manière significative de façon similaire », au sens de l’article 22, paragraphe 1, du RGPD. | 4, 22 | a33beb1398d687ce56ea092654850e76f54bebb2, ab19f95e3779aa9f3d6d6281fadcb87b17e12dc4 | Cliquer pour accéder à la décision | |||||
C-26/22 | SCHUFA Holding | 07/12/2023 | 2023 | Allemagne | Cour de Justice de l'UE | Conservation limitée | Economie et fiscalité | Intérêt légitime - Conservation de données en lien avec une dette pour une supérieure au registre public d'insolvabilité - Exclusion | 113. L’article 5, paragraphe 1, sous a), du règlement 2016/679, lu conjointement avec l’article 6, paragraphe 1, premier alinéa, sous f), de ce règlement, doit être interprété en ce sens qu'il s’oppose à une pratique de sociétés privées fournissant des informations commerciales consistant à conserver, dans leurs propres bases de données, des informations provenant d’un registre public relatives à l’octroi d’une libération de reliquat de dette en faveur de personnes physiques afin de pouvoir fournir des renseignements sur la solvabilité de ces personnes, pendant une période allant au-delà de celle durant laquelle les données sont conservées dans le registre public. | 5, 6 | 743da23f34ee7adc1bc280808926e060c096910e | Cliquer pour accéder à la décision | |||||
C-26/22 | SCHUFA Holding | 07/12/2023 | 2023 | Allemagne | Cour de Justice de l'UE | Intérêt légitime | Economie et fiscalité | Intérêt légitime - Conservation de données en lien avec une dette pour une supérieure au registre public d'insolvabilité - Exclusion | 113. L’article 5, paragraphe 1, sous a), du règlement 2016/679, lu conjointement avec l’article 6, paragraphe 1, premier alinéa, sous f), de ce règlement, doit être interprété en ce sens qu'il s’oppose à une pratique de sociétés privées fournissant des informations commerciales consistant à conserver, dans leurs propres bases de données, des informations provenant d’un registre public relatives à l’octroi d’une libération de reliquat de dette en faveur de personnes physiques afin de pouvoir fournir des renseignements sur la solvabilité de ces personnes, pendant une période allant au-delà de celle durant laquelle les données sont conservées dans le registre public. | 5, 6 | 2ce6ddc84d93a3a1dcd84238cd67260bd7272e08 | Cliquer pour accéder à la décision | |||||
C-807/71 | Deutsche Wohnen SE | 05/12/2023 | 2023 | Allemagne | Cour de Justice de l'UE | A classer | Méthode de calcul de l'amende - CA mondial de l'entreprise | 4. Cette notion [d'entreprise] n’est en effet pertinente que pour déterminer le montant de l’amende administrative imposée au titre de l’article 83, paragraphes 4 à 6, du RGPD à un responsable du traitement - 56 À cet égard, il convient de souligner que, aux fins de l’application des règles de la concurrence, visées par les articles 101 et 102 TFUE, cette notion comprend toute entité exerçant une activité économique, indépendamment du statut juridique de cette entité et de son mode de financement. Elle désigne ainsi une unité économique même si, du point de vue juridique, cette unité économique est constituée de plusieurs personnes physiques ou morales. Cette unité économique consiste en une organisation unitaire d’éléments personnels, matériels et immatériels poursuivant de façon durable un but économique déterminé (arrêt du 6 octobre 2021, Sumal, C-882/19, EU:C:2021:800, point 41 et jurisprudence citée). - 57 Ainsi, il ressort de l’article 83, paragraphes 4 à 6, du RGPD, qui vise le calcul des amendes administratives pour les violations énumérées dans ces paragraphes, que, dans le cas où le destinataire de l’amende administrative est ou fait partie d’une entreprise, au sens des articles 101 et 102 TFUE, le montant maximal de l’amende administrative est calculé sur la base d’un pourcentage du chiffre d’affaires annuel mondial total de l’exercice précédent de l’entreprise concernée. | 83 | 13f3089206d6a7af14309e3188901bac86bb8db9 | Cliquer pour accéder à la décision | ||||||
C-683/21 | Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos | 05/12/2023 | 2023 | Lituanie | Cour de Justice de l'UE | Responsable de traitement | Responsable de traitement - Obligation que le responsable ait accès et/ou traite lui-même des données et/ou donne son accord pour la réalisation des opérations du traitement - Absence | 38. Eu égard aux motifs qui précédent, il y a lieu de répondre aux première à troisième questions que l’article 4, point 7, du RGPD doit être interprété en ce sens que peut être considérée comme étant responsable du traitement, au sens de cette disposition, une entité qui a chargé une entreprise de développer une application informatique mobile et qui a, dans ce contexte, participé à la détermination des finalités et des moyens du traitement des données à caractère personnel réalisé au moyen de cette application, même si cette entité n’a pas procédé, elle-même, à des opérations de traitement de telles données, qu’elle n’a pas donné explicitement son accord pour la réalisation des opérations concrètes d’un tel traitement ou pour la mise à disposition du public de ladite application mobile et qu’elle n’a pas acquis cette même application mobile, à moins que, avant cette mise à disposition du public, ladite entité ne se soit expressément opposée à celle-ci et au traitement des données à caractère personnel qui en a résulté. | 4 | a33beb1398d687ce56ea092654850e76f54bebb2 | Cliquer pour accéder à la décision | ||||||
C-683/21 | Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos | 05/12/2023 | 2023 | Lituanie | Cour de Justice de l'UE | A classer | Prononcé d'une amende - Responsabilité pour faute (intentionnelle ou par négligence) | 71. En ce qui concerne lesdites conditions, il y a lieu de relever que l’article 83, paragraphe 2, du RGPD énumère les éléments au vu desquels l’autorité de contrôle impose une amende administrative au responsable du traitement. Parmi ces éléments figure, au point b) de cette disposition, « le fait que la violation a été commise délibérément ou par négligence ». En revanche, aucun des éléments énumérés à ladite disposition ne fait état d’une quelconque possibilité d’engager la responsabilité du responsable du traitement en l’absence d’un comportement fautif de sa part. - 73. Il découle ainsi du libellé de l’article 83, paragraphe 2, du RGPD que seules les violations des dispositions de ce règlement commises de manière fautive par le responsable du traitement, à savoir celles commises délibérément ou par négligence, peuvent conduire à l’imposition d’une amende administrative à ce dernier en application de cet article. | 83 | 13f3089206d6a7af14309e3188901bac86bb8db9 | Cliquer pour accéder à la décision | ||||||
C-683/21 | Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos ministerijos | 05/12/2023 | 2023 | Lituanie | Cour de Justice de l'UE | Donnée à caractère personnel | Donnée à caractère personnel - Données pseudonymisées - Admission | 58. En revanche, il découle de l’article 4, point 5, du RGPD, lu en combinaison avec le considérant 26 de ce règlement, que les données à caractère personnel qui ont seulement fait l’objet d’une pseudonymisation et qui pourraient être attribuées à une personne physique par le recours à des informations supplémentaires doivent être considérées comme des informations concernant une personne physique identifiable, auxquelles s’appliquent les principes relatifs à la protection des données. | 4 | a33beb1398d687ce56ea092654850e76f54bebb2 | Cliquer pour accéder à la décision | ||||||
C-319/22 | Gesamtverband Autoteile-Handel | 09/11/2023 | 2023 | Allemagne | Cour de Justice de l'UE | Donnée à caractère personnel | Transports | Donnée à caractère personnel - VIN (Vehicule Identification Number) - Inclusion sous conditions - Moyens raisonnables de rattacher un VIN à une personne physique ou identifiable | 47. Or, il résulte de l’annexe I, point II.5, de la directive 1999/37 que le VIN doit figurer dans lecertificat d’immatriculation d’un véhicule, tout comme le nom et l’adresse du titulaire de ce certificat. En outre, en vertu des points II.5 et II.6 de cette annexe, une personne physique peut être désignée dans ledit certificat comme propriétaire du véhicule ou comme une personne pouvant disposer du véhicule à un titre juridique autre que celui de propriétaire. - 48 Dans ces conditions, le VIN constitue une donnée à caractère personnel, au sens de l’article 4, point 1, du RGPD, de la personne physique mentionnée dans le même certificat, dans la mesure où celui qui y a accès pourrait disposer de moyens lui permettant de l’utiliser pour identifier le propriétaire du véhicule auquel il se rapporte ou la personne pouvant disposer de ce véhicule à un titre juridique autre que celui de propriétaire. | 4 | a33beb1398d687ce56ea092654850e76f54bebb2 | Cliquer pour accéder à la décision | |||||
C-252/21 | Meta Platforms e.a. | 04/07/2023 | 2023 | Allemagne | Cour de Justice de l'UE | Exécution du contrat | Marketing et prospection | Exécution du contrat - Collecte de données des utilisateurs d’un réseau social issues de la consultation par ces utilisateurs de sites Internet ou d’applications tiers en vue de la mise en relation de ces données avec le compte du réseau social des utilisateurs ou de leur utilisation - Admission sous condition de stricte nécessité | 125. Au vu de tout ce qui précède, il convient de répondre aux troisième et quatrième questions que l’article 6, paragraphe 1, premier alinéa, sous b), du RGPD doit être interprété en ce sens que le traitement de données à caractère personnel effectué par un opérateur d’un réseau social en ligne, consistant en la collecte de données des utilisateurs d’un tel réseau issues d’autres services du groupe auquel appartient cet opérateur ou issues de la consultation par ces utilisateurs de sites Internet ou d’applications tiers, en la mise en relation de ces données avec le compte du réseau social desdits utilisateurs et en l’utilisation desdites données, ne peut être considéré comme étant nécessaire à l’exécution d’un contrat auquel les personnes concernées sont parties, au sens de cette disposition, qu’à la condition que ce traitement soit objectivement indispensable pour réaliser une finalité faisant partie intégrante de la prestation contractuelle destinée à ces mêmes utilisateurs, de telle sorte que l’objet principal du contrat ne pourrait être atteint en l’absence de ce traitement. | 6 | 2ce6ddc84d93a3a1dcd84238cd67260bd7272e08 | Cliquer pour accéder à la décision | |||||
C-252/21 | Meta Platforms e.a. | 04/07/2023 | 2023 | Allemagne | Cour de Justice de l'UE | Intérêt légitime | Marketing et prospection | Intérêt légitime - Collecte de données des utilisateurs d’un réseau social issues de la consultation par ces utilisateurs de sites Internet ou d’applications tiers en vue de la mise en relation de ces données avec le compte du réseau social des utilisateurs ou de leur utilisation - Admission sous conditions | 126. L’article 6, paragraphe 1, premier alinéa, sous f), du RGPD doit être interprété en ce sens qu’un le traitement de données à caractère personnel effectué par un opérateur d’un réseau social en ligne, consistant en la collecte de données des utilisateurs d’un tel réseau issues d’autres services du groupe auquel appartient cet opérateur ou issues de la consultation par ces utilisateurs de sites Internet ou d’applications tiers, en la mise en relation de ces données avec le compte du réseau social desdits utilisateurs et en l’utilisation desdites données, ne peut être considéré comme étant nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, au sens de cette disposition, qu’à la condition que ledit opérateur ait indiqué aux utilisateurs auprès desquels les données ont été collectées un intérêt légitime poursuivi par leur traitement, que ce traitement est opéré dans les limites du strict nécessaire pour la réalisation de cet intérêt légitime et qu’il ressort d’une pondération des intérêts opposés, au regard de l’ensemble des circonstances pertinentes, que les intérêts ou les libertés et les droits fondamentaux de ces utilisateurs ne prévalent pas sur ledit intérêt légitime du responsable du traitement ou d’un tiers. | 6 | 2ce6ddc84d93a3a1dcd84238cd67260bd7272e08 | Cliquer pour accéder à la décision | |||||
MED-2023-040 | Société X | 26/06/2023 | 2023 | France | CNIL (ou équivalent) | Minimisation | Marketing et prospection | Minimisation - Opposition à la prospection - 1) Données nécessaire à la prise en compte de l’opposition (liste repoussoir) - Admission - 2) Conservation de la civilité, du nom/prénom, date de naissance, numéro de téléphone, adresse électronique, ville ou code postal, niveau d’imposition et situation familiale des prospects ayant exercé leur droit d’opposition - Illicéité | Afin d’assurer l’effectivité du droit d’opposition d’une personne à recevoir de la prospection commerciale, le responsable de traitement peut créer une « liste repoussoir » lui permettant de ne pas utiliser à nouveau les données de contact si elles venaient à lui être transmises à nouveau par une autre personne que la personne concernée. [...] - 2) En l’espèce, la liste repoussoir comprenait la civilité, le nom, le prénom, la date de naissance, le numéro de téléphone, l’adresse électronique, la ville ou le code postal, le niveau d’imposition et la situation familiale alors que l’ensemble de ces données n’apparaissaient pas nécessaires au regard de la finalité liée à la prise en compte de l’opposition des prospects à recevoir de la prospection. Seules les données nécessaires à la prise en compte de l’opposition dans le temps et qui correspondent en l’espèce au numéro de téléphone et à l’adresse électronique de la personne concernée auraient dû être conservées sous une forme hachée. Il en résulte une méconnaissance de l’article 5-1-c) du RGPD. | 5 | 743da23f34ee7adc1bc280808926e060c096910e | Non publié. Source: CNIL, Tables Informatique et Libertés | |||||
MED-2023-040 | Société X | 26/06/2023 | 2023 | France | CNIL (ou équivalent) | Conservation limitée | Marketing et prospection | Durée de conversation - Données nécessaires à la prise en compte de l’opposition à de la prospection (liste repoussoir) - Durée minimale recommandée de trois ans | Afin d’assurer l’effectivité du droit d’opposition, le responsable de traitement peut créer une « liste repoussoir » lui permettant de ne pas utiliser à nouveau les données de contact si elles venaient à lui être transmises à nouveau par une autre personne que la personne concernée. La CNIL recommande de conserver l’inscription à la « liste repoussoir » de la personne ayant fait opposition pendant une durée minimale de trois ans et de ne conserver que les empreintes de l’adresse ou du numéro utilisé pour la prospection. Cela permet de prendre en compte l’opposition dans le temps sans conserver de données directement identifiantes. | 5 | 743da23f34ee7adc1bc280808926e060c096910e | Non publié. Source: CNIL, Tables Informatique et Libertés | |||||
SAN-2023-009 | Criteo | 15/06/2023 | 2023 | France | CNIL (ou équivalent) | Responsable de traitement | Marketing et prospection | Responsabilité conjointe - Collecte du consentement pour le compte de sociétés partenaires - Obligation du responsable de traitement ne collectant pas le consentement d’être en mesure de démontrer que la personne concernée a donné son consentement | 60. Précisément, elle remarque, en l’occurrence, que la société s’est organisée d’une telle façon avec ses partenaires que les conditions générales d’utilisation des services Criteo, auxquelles les partenaires de la société ont adhéré, précisent qu’il revient bien au partenaire de recueillir le consentement de la personne concernée pour le traitement subséquent opéré à partir des données collectées par ce cookie. - 61. La formation restreinte estime cependant que le fait que la collecte du consentement des internautes pour la mise en œuvre du traitement en cause revienne aux partenaires n’exonère pas la société de son obligation, en application de l’article 7 du RGPD, d’être en mesure de démontrer que la personne concernée a donné son consentement. | 4, 7 | a33beb1398d687ce56ea092654850e76f54bebb2 | Cliquer pour accéder à la décision | |||||
SAN-2023-009 | Criteo | 15/06/2023 | 2023 | France | CNIL (ou équivalent) | Preuve | Marketing et prospection | Responsabilité conjointe - Collecte du consentement pour le compte de sociétés partenaires - Obligation du responsable de traitement ne collectant pas le consentement d’être en mesure de démontrer que la personne concernée a donné son consentement | 60. Précisément, elle remarque, en l’occurrence, que la société s’est organisée d’une telle façon avec ses partenaires que les conditions générales d’utilisation des services Criteo, auxquelles les partenaires de la société ont adhéré, précisent qu’il revient bien au partenaire de recueillir le consentement de la personne concernée pour le traitement subséquent opéré à partir des données collectées par ce cookie. - 61. La formation restreinte estime cependant que le fait que la collecte du consentement des internautes pour la mise en œuvre du traitement en cause revienne aux partenaires n’exonère pas la société de son obligation, en application de l’article 7 du RGPD, d’être en mesure de démontrer que la personne concernée a donné son consentement. | 4, 7 | 5e56ceb6a3ee0eeaba07ec39a491a470a34c31f7 | Cliquer pour accéder à la décision | |||||
SAN-2023-009 | Criteo | 15/06/2023 | 2023 | France | CNIL (ou équivalent) | Donnée à caractère personnel | Technologie, Marketing et prospection | Donnée à caractère personnel - Combinaison de traces laissées par un témoin de connexion ou une adresse IP à des identifiants uniques ou à d’autres informations - Critères du moyen légal et raisonnable d'identifier - Application | 40. Ainsi, la formation restreinte note que si la société ne dispose pas directement de l’identité des personnes physiques auxquelles sont liés les terminaux sur lesquels des cookies sont inscrits, la réidentification peut être facilitée par le fait que, dans certaines hypothèses, la société collecte, outre les données liées aux évènements de navigation, d’autres données qui facilitent la réidentification telles que les adresses électroniques des personnes ayant fait leur parcours de navigation depuis un environnement authentifié (ou " logué ") sous forme hachée, des identifiants leur correspondant générés par d’autres acteurs, l’adresse IP sous forme hachée ou encore l’agent utilisateur du terminal utilisé. - 41. Par conséquent, dès lors que la société est en mesure de réidentifier des personnes par des moyens raisonnables, les données traitées conservent un caractère personnel, au sens de l’article 4, 1) du RGPD | 4 | a33beb1398d687ce56ea092654850e76f54bebb2 | Cliquer pour accéder à la décision | |||||
SAN-2023-008 | KG COM | 08/06/2023 | 2023 | France | CNIL (ou équivalent) | Minimisation | Marketing et prospection, Travail | Minimisation - Finalité probatoire - Enregistrement systématique des appels téléphoniques entre téléopérateurs et prospects - Caractère excessif | 31. La formation restreinte considère qu’un responsable du traitement qui souhaite enregistrer des conversations téléphoniques à des fins probatoires doit démontrer qu’il ne dispose pas d’autres moyens moins intrusifs pour prouver que le contrat conclu à distance a bien a été conclu avec la personne concernée. - 33. [...] L’article L.221-16 du code de la consommation prévoit que, lorsque le professionnel contacte un consommateur par téléphone en vue de conclure un contrat portant sur la vente d’un bien ou sur la fourniture d’un service, ce dernier n’est engagé par cette offre qu’après l’avoir signée et acceptée sur un support durable. - 34. La formation restreinte considère donc que, dès lors que la preuve de la souscription d’un contrat conclu à distance, à la suite d’un démarchage téléphonique, peut être apportée par la confirmation écrite de l'offre, l’enregistrement des conversations téléphoniques, passées entre les téléopérateurs et les prospects, à des fins de preuve de la formation du contrat, n’apparaît pas nécessaire. | 5 | 743da23f34ee7adc1bc280808926e060c096910e | Cliquer pour accéder à la décision | |||||
SAN-2023-008 | KG COM | 08/06/2023 | 2023 | France | CNIL (ou équivalent) | Minimisation | Marketing et prospection, Travail | Minimisation - Finalité de contrôle qualité - Enregistrement systématique des appels téléphoniques entre téléopérateurs et prospects - Caractère excessif | 26. S’agissant de l’enregistrement intégral et systématique des appels téléphoniques à des fins de contrôle de la qualité du service, la formation restreinte considère que la finalité visant à contrôler la qualité du service fourni par les téléopérateurs et les voyants peut être atteinte par un moyen moins intrusif. - 27. À cet égard, elle relève que la mise en place d’un enregistrement ponctuel et aléatoire de seulement quelques conversations téléphoniques permet à la personne chargée du suivi du contrôle qualité de disposer des éléments nécessaires à l’évaluation de la qualité des services proposés par la société. - 28. Dès lors que le contrôle de la qualité du service peut être réalisé par échantillonnage, la formation restreinte considère que l’instauration d’un dispositif d’enregistrement systématique des appels téléphoniques passés, d’une part, entre les téléopérateurs et les prospects, et d’autre part, entre les voyants et les clients, est excessive au regard de la finalité poursuivie. | 5 | 743da23f34ee7adc1bc280808926e060c096910e | Cliquer pour accéder à la décision | |||||
C-204/21 | Commission c/ Pologne | 05/06/2023 | 2023 | Pologne | Cour de Justice de l'UE | Définition | Donnée sensible - Données dévoilant indirectement ou étant susceptible de révéler des informations sensibles - Application | 346. En l’espèce, force est de constater que la collecte et la mise en ligne des informations afférentes à l’« appartenance » passée d’un juge à un « parti politique » et aux « fonctions » exercées dans ce parti, visées à l’article 88a, paragraphe 1, point 3, de la loi modifiée relative aux juridictions de droit commun, constituent des traitements de nature à pouvoir révéler les opinions politiques de l’intéressé, au sens de l’article 9, paragraphe 1, du RGPD. - 347. Quant aux informations afférentes à l’« appartenance » passée ou actuelle d’un juge à une « association » et aux « fonctions » exercées par ce juge dans le cadre de celle-ci ou aux « fonctions » passées ou actuelles exercées par celui-ci dans une instance d’une « fondation sans but lucratif », visées à l’article 88a, paragraphe 1, points 1 et 2, de la loi modifiée relative aux juridictions de droit commun, il y a lieu de constater, à l’instar de M. l’avocat général aux points 244 et 245 de ses conclusions, que, eu égard au caractère très large et imprécis des termes auxquels le législateur polonais a ainsi eu recours, la collecte et la mise en ligne de telles informations est, selon la nature précise des associations et fondations concernées, susceptible de révéler les convictions religieuses ou philosophiques des intéressés, au sens de l’article 9, paragraphe 1, du RGPD, ainsi que la Commission le fait valoir. | 9 | b85ab32eaa572c8016edf68011078dceed8149e5 | Cliquer pour accéder à la décision | ||||||
21-18.558 | Société FHF International | 01/06/2023 | 2023 | France | Cour de cassation | Droit applicable | Police-Justice, Economie et fiscalité | Administration fiscale - Traitement aux fins d’obtenir le droit de procéder à une mesure d’enquête - Fraude fiscale - Champ d’application matériel du RGPD | 9. La Cour de justice a ensuite retenu que, s'agissant de la collecte, par une administration fiscale, auprès d'un opérateur économique, de données à caractère personnel relatives à certains contribuables aux fins de la perception de l'impôt et de la lutte contre la fraude fiscale, « il n'apparaît pas que l'administration fiscale d'un État membre puisse être considérée comme une "autorité compétente", au sens de l'article 3, point 7, de la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016, [...] - 10. Il s'en déduit que le traitement de données à caractère personnel mis en oeuvre par l'administration fiscale aux fins d'obtenir l'autorisation de procéder à des opérations de visite et saisies sur le fondement de l'article L. 16 B du livre des procédures fiscales, qui a pour finalité d'obtenir le droit de procéder à une mesure d'enquête pouvant donner lieu à la constatation d'une infraction ou d'un manquement à la législation fiscale, dans le but de percevoir l'impôt et de lutter contre la fraude fiscale, entre dans le champ d'application matériel du RGPD. | 2 | 70142f66475ae2fb33722d8d4750f386ecfefe7b | Cliquer pour accéder à la décision | |||||
SAN-2023-006 | Doctissimo | 11/05/2023 | 2023 | France | CNIL (ou équivalent) | Contenu de l'information | Santé | Traitement impliquant nécessairement des données de santé - Information explicite de l’utilisateur - Obligation | 56. En deuxième lieu, en l’absence d’autres conditions mobilisables pour permettre ledit traitement au cas d’espèce au titre de l’article 9-2-b) à j) du RGPD, la formation restreinte considère qu’un tel traitement ne peut être mis en œuvre que sur la base du consentement explicite de la personne concernée, au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques, en application de l’article 9-2-a) du RGPD. La formation restreinte rappelle que le caractère explicite du consentement s’analyse au cas par cas et dépend du contexte du traitement des données de santé. Lorsque le service demandé par l’utilisateur implique nécessairement le traitement de données de santé, il est cependant nécessaire que l’utilisateur ait pleinement conscience de ce que ses données de santé seront traitées et parfois conservés par le responsable de traitement, ce qui implique en principe une information explicite sur ce point lors du recueil du consentement. | 9, 12, 13 | 4fde6b87a266eece4b77ee2df16db81507c218b0, f7475b81fdc4723ec189ed2fbacb5f50b84b6a92 | Cliquer pour accéder à la décision | |||||
SAN-2023-006 | Doctissimo | 11/05/2023 | 2023 | France | CNIL (ou équivalent) | Données de santé, Consentement | Santé | Traitement impliquant nécessairement des données de santé - Information explicite de l’utilisateur - Obligation | 56. En deuxième lieu, en l’absence d’autres conditions mobilisables pour permettre ledit traitement au cas d’espèce au titre de l’article 9-2-b) à j) du RGPD, la formation restreinte considère qu’un tel traitement ne peut être mis en œuvre que sur la base du consentement explicite de la personne concernée, au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques, en application de l’article 9-2-a) du RGPD. La formation restreinte rappelle que le caractère explicite du consentement s’analyse au cas par cas et dépend du contexte du traitement des données de santé. Lorsque le service demandé par l’utilisateur implique nécessairement le traitement de données de santé, il est cependant nécessaire que l’utilisateur ait pleinement conscience de ce que ses données de santé seront traitées et parfois conservés par le responsable de traitement, ce qui implique en principe une information explicite sur ce point lors du recueil du consentement. | 9, 12, 13 | b85ab32eaa572c8016edf68011078dceed8149e5 | Cliquer pour accéder à la décision | |||||
C-487/21 | Österreichische Datenschutzbehörde et CRIF | 04/05/2023 | 2023 | Allemagne | Cour de Justice de l'UE | Donnée à caractère personnel | Donnée à caractère personnel - Tout type d'information pouvant concerner une personne - Admission | 23. L’emploi de l’expression « toute information » dans la définition de la notion de « donnée à caractère personnel », figurant à cette disposition, reflète l’objectif du législateur de l’Union d’attribuer un sens large à cette notion, laquelle englobe potentiellement toute sorte d’informations, tant objectives que subjectives, sous forme d’avis ou d’appréciations, à condition que celles-ci « concernent » la personne en cause (voir, par analogie, arrêt du 20 décembre 2017, Nowak, C-434/16, EU:C:2017:994, point 34). 24. À cet égard, il a été jugé qu’une information concerne une personne physique identifiée ou identifiable lorsque, en raison de son contenu, sa finalité ou son effet, elle est liée à une personne identifiable (voir, en ce sens, arrêt du 20 décembre 2017, Nowak, C-434/16, EU:C:2017:994, point 35). | 4 | a33beb1398d687ce56ea092654850e76f54bebb2 | Cliquer pour accéder à la décision | ||||||
C-300/21 | Österreichische Post AG | 04/05/2023 | 2023 | Allemagne | Cour de Justice de l'UE | A classer | Manquement au RGPD - Réparation du préjudice en résultant - 1 ) Conditions du droit à réparation - Simple violation dudit règlement - Insuffisance - 2) Condition de gravité minimale - Absence | 42. Eu égard à l’ensemble des motifs qui précèdent, il y a lieu de répondre à la première question que l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens que la simple violation des dispositions de ce règlement ne suffit pas pour conférer un droit à réparation. - 51. Eu égard aux motifs qui précèdent, il convient de répondre à la troisième question que l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens qu’il s’oppose à une règle ou une pratique nationale subordonnant la réparation d’un dommage moral, au sens de cette disposition, à la condition que le préjudice subi par la personne concernée ait atteint un certain degré de gravité. | 82 | c67708d1f81a877f2b8dfc425f4a0437c4e8b324 | Cliquer pour accéder à la décision | ||||||
T-557/20 | CRU / CEPD | 26/04/2023 | 2023 | Autre | Donnée à caractère personnel | Donnée à caractère personnel - Qualification - Analyse pratique et non théorique - Nécessité de se placer du point de vue de la personne en possession des données | 97. Toutefois, il ressort également de l’arrêt du 19 octobre 2016, Breyer (C-582/14, EU:C:2016:779), que, pour déterminer si les informations transmises à Deloitte constituaient des données à caractère personnel, il convient de se placer du point de vue de ce dernier pour déterminer si les informations qui lui ont été transmises se rapportent à des « personnes identifiables ». - 105. Partant, à défaut pour le CEPD d’avoir recherché si Deloitte disposait de moyens légaux et réalisables en pratique lui permettant d’accéder aux informations supplémentaires nécessaires à la réidentification des auteurs des commentaires, le CEPD ne pouvait conclure que les informations transmises à Deloitte constituaient des informations se rapportant à une « personne physique identifiable » au sens de l’article 3, point 1, du règlement 2018/1725 [équivalent au 4 du RGPD]. ATTENTION: Cette décision a fait l'objet d'un pourvoi. | 4 | a33beb1398d687ce56ea092654850e76f54bebb2 | Cliquer pour accéder à la décision | |||||||
C-154/21 | Österreichische Post | 12/01/2023 | 2023 | Autriche | Cour de Justice de l'UE | A classer | Inclusion de la liste des destinataires dans une demande de droit d'accès - Obligation | 39. Ainsi, afin de garantir l’effet utile de l’ensemble des droits mentionnés au point précédent du présent arrêt, la personne concernée doit disposer, en particulier, d’un droit à être informée de l’identité des destinataires concrets dans le cas où ses données à caractère personnel ont déjà été communiquées. | 15 | 4c7a18c8baa891976ae8102b846b3aa8143fe90d | Cliquer pour accéder à la décision | ||||||
CEPD 04/2022 | Autorité irlandaise concernant Meta Platforms Ireland Limited | 05/12/2022 | 2022 | Irlande | CNIL (ou équivalent) | A classer | Licéité - Primauté des principes du RGPD sur les intérêts économiques de l’entreprise responsable du traitement | 108. (Traduction) Le RGPD rend Meta IE, en tant que responsable de traitement, directement responsable du respect des principes du règlement (licéité, loyauté et transparence du traitement de données à caractère personnel), ainsi que de toutes les obligations qui en découlent. Cette obligation prévaut même lorsque l'application effective de ces principes n'est pas aisée ou va à l'encontre des intérêts commerciaux de l’entreprise et de son modèle économique. Le responsable du traitement est également tenu de pouvoir démontrer qu'il respecte ces principes ainsi que toutes les obligations qui en découlent comme le respect des conditions spécifiques applicables à chaque base légale de traitement. | 5, 6 | 85c1796e088aa65a0cb75682027288d71d6c885d | Cliquer pour accéder à la décision | ||||||
CEPD 04/2022 | Autorité irlandaise concernant Meta Platforms Ireland Limited | 05/12/2022 | 2022 | Irlande | CNIL (ou équivalent) | A classer | Licéité - Choix de la base légale de traitement - Absence de hiérarchie - Objectif de protéger les droits et libertés des personnes physiques | 107. (Traduction) Il n'y a pas de hiérarchie entre ces bases juridiques. Toutefois, cela ne signifie pas qu'un responsable du traitement, comme Meta IE en l'espèce, dispose d'un pouvoir discrétionnaire absolu pour choisir la base juridique qui convient le mieux à ses intérêts commerciaux. Le responsable du traitement ne peut se fonder sur l'une des bases juridiques établies à l'article 6 du GDPR que si elle est appropriée pour le traitement en question. Une base juridique spécifique sera appropriée dans la mesure où le traitement peut répondre aux exigences fixées par le RGPD et remplir l'objectif du RGPD de protéger les droits et libertés des personnes physiques et en particulier leur droit à la protection des données à caractère personnel. La base juridique ne sera pas appropriée si son application à un traitement spécifique va à l'encontre de l'effet utile recherché par le RGPD et l'article 5, paragraphe 1, point a), et l'article 6 du RGPD. | 5, 6 | 85c1796e088aa65a0cb75682027288d71d6c885d | Cliquer pour accéder à la décision | ||||||
SAN-2022-021 | EDF | 24/11/2022 | 2022 | France | CNIL (ou équivalent) | Consentement | Marketing et prospection | Prospection commerciale - Collecte indirecte des données des prospects - 1) Modalités et preuve du recueil du consentement - 2) Information des personnes concernées - Liste exhaustive et mise à jour des prestataires et fournisseurs - Inclusion | 22. En premier lieu, la formation restreinte rappelle que, lorsque les données des prospects n’ont pas été collectées directement auprès d’eux par l’organisme qui prospecte, le consentement peut avoir été recueilli au moment de la collecte initiale des données par le primo-collectant, pour le compte de l’organisme qui réalisera les opérations de prospection ultérieures. À défaut, il revient à l’organisme qui prospecte de recueillir un tel consentement avant de procéder à des actes de prospection. Au regard des dispositions de l’article 7, paragraphe 1, du RGPD, le prospecteur doit alors être en mesure de prouver qu’il dispose de ce consentement. En outre, pour que le consentement soit éclairé, les personnes doivent notamment être clairement informées de l’identité du prospecteur pour le compte duquel le consentement est collecté et des finalités pour lesquelles les données seront utilisées. Pour ce faire, une liste exhaustive et mise à jour doit être tenue à la disposition des personnes au moment du recueil de leur consentement, par exemple directement sur le support de collecte ou, si celle-ci est trop longue, via un lien hypertexte renvoyant vers ladite liste et les politiques de confidentialité des prestataires et fournisseurs. | 6, 7 | 2ce6ddc84d93a3a1dcd84238cd67260bd7272e08 | Cliquer pour accéder à la décision | |||||
SAN-2022-021 | EDF | 24/11/2022 | 2022 | France | CNIL (ou équivalent) | Preuve, Eclairé | Marketing et prospection | Prospection commerciale - Collecte indirecte des données des prospects - 1) Modalités et preuve du recueil du consentement - 2) Information des personnes concernées - Liste exhaustive et mise à jour des prestataires et fournisseurs - Inclusion | 22. En premier lieu, la formation restreinte rappelle que, lorsque les données des prospects n’ont pas été collectées directement auprès d’eux par l’organisme qui prospecte, le consentement peut avoir été recueilli au moment de la collecte initiale des données par le primo-collectant, pour le compte de l’organisme qui réalisera les opérations de prospection ultérieures. À défaut, il revient à l’organisme qui prospecte de recueillir un tel consentement avant de procéder à des actes de prospection. Au regard des dispositions de l’article 7, paragraphe 1, du RGPD, le prospecteur doit alors être en mesure de prouver qu’il dispose de ce consentement. En outre, pour que le consentement soit éclairé, les personnes doivent notamment être clairement informées de l’identité du prospecteur pour le compte duquel le consentement est collecté et des finalités pour lesquelles les données seront utilisées. Pour ce faire, une liste exhaustive et mise à jour doit être tenue à la disposition des personnes au moment du recueil de leur consentement, par exemple directement sur le support de collecte ou, si celle-ci est trop longue, via un lien hypertexte renvoyant vers ladite liste et les politiques de confidentialité des prestataires et fournisseurs. | 6, 7 | 5e56ceb6a3ee0eeaba07ec39a491a470a34c31f7 | Cliquer pour accéder à la décision | |||||
SAN-2022-021 | EDF | 24/11/2022 | 2022 | France | CNIL (ou équivalent) | Contenu de l'information | Marketing et prospection | Prospection commerciale - Information des personnes concernées - Liste exhaustive et mise à jour des prestataires et fournisseurs - Inclusion | 22. [...] En outre, pour que le consentement soit éclairé, les personnes doivent notamment être clairement informées de l’identité du prospecteur pour le compte duquel le consentement est collecté et des finalités pour lesquelles les données seront utilisées. Pour ce faire, une liste exhaustive et mise à jour doit être tenue à la disposition des personnes au moment du recueil de leur consentement, par exemple directement sur le support de collecte ou, si celle-ci est trop longue, via un lien hypertexte renvoyant vers ladite liste et les politiques de confidentialité des prestataires et fournisseurs. | 13, 14, 15 | f7475b81fdc4723ec189ed2fbacb5f50b84b6a92, 4c346b79544cb7d893c9dac5883512c2b8b3ebd2, 4c7a18c8baa891976ae8102b846b3aa8143fe90d | Cliquer pour accéder à la décision | |||||
C-61/19 | Orange Romania | 11/11/2022 | 2022 | Roumanie | Cour de Justice de l'UE | Liberté, Eclairé | Technologie | Circonstances dans lesquelles le consentement n’est pas libre et éclairé - 1) Case pré-cochée par le responsable de traitement - 2) Information susceptible d’induire la personne concernée en erreur - 3) Exigence d’un formulaire faisant état du refus | Un contrat relatif à la fourniture de services de télécommunications qui contient une clause selon laquelle la personne concernée a été informée et a consenti à la collecte ainsi qu’à la conservation d’une copie de son titre d’identité à des fins d’identification n’est pas de nature à démontrer que cette personne a valablement donné son consentement, au sens de ces dispositions, à cette collecte et à cette conservation, lorsque - la case se référant à cette clause a été cochée par le responsable du traitement des données avant la signature de ce contrat, ou lorsque - les stipulations contractuelles dudit contrat sont susceptibles d’induire la personne concernée en erreur quant à la possibilité de conclure le contrat en question même si elle refuse de consentir au traitement de ses données, ou lorsque - le libre choix de s’opposer à cette collecte et à cette conservation est affecté indûment par ce responsable, en exigeant que la personne concernée, afin de refuser de donner son consentement, remplisse un formulaire supplémentaire faisant état de ce refus. | 7 | 5e56ceb6a3ee0eeaba07ec39a491a470a34c31f7 | Cliquer pour accéder à la décision | |||||
SAN-2022-020 | Discord INC. | 10/11/2022 | 2022 | France | CNIL (ou équivalent) | A classer | « Guichet unique » applicable aux traitements transfrontaliers (art. 56 RGPD) - 1) Absence d’établissement sur le territoire d’un État membre de l’Union européenne - Exclusion - 2) En conséquence, compétence de la CNIL pour le contrôle de la conformité au RGPD des traitements visant des personnes résidant sur le territoire national - Admission | 25. La formation restreinte relève, sans que ceci soit contesté par la société dans le cadre de la présente procédure, que le mécanisme du " guichet unique " prévu par l’article 56 du RGPD n’a pas vocation à s’appliquer en l’espèce, la société DISCORD INC. ne disposant pas d’établissement sur le territoire d’un État membre de l’Union européenne. Dès lors, chaque autorité de contrôle nationale est compétente pour contrôler le respect du RGPD sur le territoire de l’État membre dont elle relève conformément à l’article 55 du Règlement, pour les traitements mis en œuvre par DISCORD INC. visant des personnes résidant sur ce territoire. La CNIL est ainsi compétente pour contrôler la conformité au RGPD des traitements mis en œuvre par DISCORD INC. visant des personnes résidant sur le territoire français. | 56 | d46d35eba601c0bafe5f11a3d3cf117c20650aef | Cliquer pour accéder à la décision | ||||||
C-306/21 | Koalitsia « Demokratichna Bulgaria - Obedinenie » | 20/10/2022 | 2022 | Bulgarie | Cour de Justice de l'UE | Sécurité nationale | Administration | Champ d'application du RGPD - Traitement de données à caractère personnel dans le contexte de l’organisation d’élections dans un État membre - Inclusion | 40. Les activités qui ont pour but de préserver la sécurité nationale visées à l’article 2, paragraphe 2, sous a), du RGPD couvrent, en particulier, celles ayant pour objet de protéger les fonctions essentielles de l’État et les intérêts fondamentaux de la société [voir, en ce sens, arrêt du 22 juin 2021, Latvijas Republikas Saeima (Points de pénalité), C-439/19, EU:C:2021:504, point 67]. - 41. Or, les activités relatives à l’organisation d’élections dans un État membre ne poursuivent pas un tel objectif et ne sauraient, en conséquence, être rangées dans la catégorie des activités ayant pour but la préservation de la sécurité nationale, visées à l’article 2, paragraphe 2, sous a), du RGPD. - 42. Eu égard aux considérations qui précèdent, il convient de répondre aux première et deuxième questions que l’article 2, paragraphe 2, sous a), du RGPD doit être interprété en ce sens que n’est pas exclu du champ d’application de ce règlement le traitement des données à caractère personnel dans le contexte de l’organisation d’élections dans un État membre. | 2 | 70142f66475ae2fb33722d8d4750f386ecfefe7b | Cliquer pour accéder à la décision | |||||
C-184/20 | Vyriausioji tarnybinės etikos komisija | 01/08/2022 | 2022 | Lituanie | Cour de Justice de l'UE | A classer | Donnée sensible - Données relatives au conjoint, concubin ou partenaire susceptibles de divulguer indirectement l’orientation sexuelle - Inclusion | 128. Eu égard à l’ensemble des considérations qui précèdent, il y a lieu de répondre à la seconde question que l’article 8, paragraphe 1, de la directive 95/46 et l’article 9, paragraphe 1, du RGPD doivent être interprétés en ce sens que la publication, sur le site Internet de l’autorité publique chargée de collecter et de contrôler la teneur des déclarations d’intérêts privés, de données à caractère personnel susceptibles de divulguer indirectement l’orientation sexuelle d’une personne physique constitue un traitement portant sur des catégories particulières de données à caractère personnel, au sens de ces dispositions. | 4, 9 | d767e48185542076cb9408feebebf0d3862f1fa0 | Cliquer pour accéder à la décision | ||||||
SAN-2022-012 | Société X | 23/06/2022 | 2022 | France | CNIL (ou équivalent) | A classer | Anonymisation - Mesures permettant d’assurer une anonymisation effective - Exemple | Constitue une mesure de nature à ne plus permettre la réidentification des personnes la mise en place d’une procédure d’anonymisation automatique des données clients à l’issue de la période d’archivage intermédiaire, par laquelle les données - nom, prénom, numéro de téléphone, adresse électronique, adresse postale et coordonnées bancaires - sont remplacées par des données non identifiantes qui correspondent à une série de « X », d’autres données sont supprimées, et ne sont conservées que les données clients correspondant à la civilité, au code postal et à la ville. Ces dernières données, seules ou en lien avec d’autres données accessibles par le responsable de traitement ou des tiers, ne permettent pas, en l’espèce, de réidentifier la personne concernée. | 2, 4 | e1c26d37d292004e5e73f2788b9f7d1db015bbdc | Non publié. Source: CNIL, Tables Informatique et Libertés | ||||||
SAN-2022-012 | Société X | 23/06/2022 | 2022 | France | CNIL (ou équivalent) | Conservation limitée | Respect de la durée de conservation par anonymisation des données - Admission | L’anonymisation peut être considérée comme un moyen permettant de se conformer aux obligations en matière de limitation de la conservation lorsqu’à l’issue d’une période de conservation en base active pendant la durée d’une relation contractuelle, une société procède à un premier tri des données en anonymisant les données non pertinentes et en conservant, en base d’archivage intermédiaire, les données permettant de répondre aux obligations légales ou lorsqu’elles présentent un intérêt administratif pour la société, et lorsqu’à l’issue de cette période d’archivage intermédiaire les données sont automatiquement anonymisées. | 5 | 743da23f34ee7adc1bc280808926e060c096910e | Non publié. Source: CNIL, Tables Informatique et Libertés | ||||||
C-319/20 | Meta Platforms Ireland | 28/04/2022 | 2022 | Allemagne | Cour de Justice de l'UE | A classer | Action représentative en l'absence de mandat invoquant un fondement autre que le RGPD - Admission sous conditions : 1) Règlementation nationale le permettant - 2) Traitement susceptible d’affecter les droits "RGPD" des personnes concernées | 83. Eu égard à l’ensemble des considérations qui précèdent, il y a lieu de répondre à la question posée que l’article 80, paragraphe 2, du RGPD doit être interprété en ce sens qu’il ne s’oppose pas à une réglementation nationale qui permet à une association de défense des intérêts des consommateurs d’agir en justice, en l’absence d’un mandat qui lui a été conféré à cette fin et indépendamment de la violation de droits concrets des personnes concernées, contre l’auteur présumé d’une atteinte à la protection des données à caractère personnel, en invoquant la violation de l’interdiction des pratiques commerciales déloyales, d’une loi en matière de protection des consommateurs ou de l’interdiction de l’utilisation de conditions générales nulles, dès lors que le traitement de données concerné est susceptible d’affecter les droits que des personnes physiques identifiées ou identifiables tirent de ce règlement. | 80 | bb44e18ada1402f32b39da7edc60c2ef0261473d | Cliquer pour accéder à la décision | ||||||
2022-051 | Avis sur projet de décret | 21/04/2022 | 2022 | France | CNIL (ou équivalent) | Destinataire | Santé, Administration | Destinataires et accédants - Personnes accédants au traitement ou destinataires de données de santé - Nécéssité de s'assurer du secret médical et droit d’en connaître | Dans le cadre d’un traitement mis en œuvre pour le compte de l’État et contenant des données recueillies par des professionnels de santé et couvertes par le secret médical, il revient au responsable du traitement de s'assurer que les personnes accédant au traitement ou destinataires des données qui pourraient avoir connaissance des données couvertes par le secret médical ont bien le droit d'en connaître. Excepté dans les cas de dérogation expressément prévus par la loi, ce secret couvre l'ensemble des informations concernant la personne portée à la connaissance d’un professionnel de santé, de tout membre du personnel d’un établissement, service ou organisme concourant à la prévention ou aux soins et de toute autre personne en relation, de par ses activités, avec ces établissements ou organismes. La Commission rappelle que ce secret s'impose à tous les professionnels intervenant dans le système de santé qui pourraient être amenés à transmettre des informations afin qu’elles soient enregistrées dans le traitement. | 4 | a33beb1398d687ce56ea092654850e76f54bebb2 | Non publié. Source: CNIL, Tables Informatique et Libertés | |||||
2022-051 | Avis sur projet de décret | 21/04/2022 | 2022 | France | CNIL (ou équivalent) | Conservation limitée | Administration | Archivage - Traitements publics encadrés par un acte réglementaire - 1) Obligation d’inscrire l’archivage intermédiaire dans l’acte réglementaire - Appréciation d’espèce - 2) Obligation d’inscrire l’archivage définitif dans l’acte réglementaire - Absence | Cas d’un traitement de l’État permettant d’enregistrer des informations sur les ressortissants français et leurs ayants droit ainsi que documents relatifs à une situation de crise à l’étranger en vue d’en faciliter la gestion et d’informer et associer les personnes concernées. - 1) Une fois que les données ne sont plus utilisées dans le cadre de la gestion opérationnelle liée à l’évènement survenu à l’étranger ou pour réaliser les statistiques prévues, il est recommandé de mettre en place un archivage intermédiaire afin de limiter la consultation de ces données à des personnes spécifiquement habilitées. Eu égard à l’écart entre la durée d’utilisation opérationnelle des données et leur durée de conservation en base intermédiaire (10 ans), le principe d’un tel archivage intermédiaire devrait en l’espèce être inscrit dans le décret portant création du traitement, à titre de garantie apportée aux personnes concernées. - 2) S’agissant de l’archivage définitif au titre de l’application des règles régissant les archives publiques issues du code du patrimoine, un acte réglementaire régissant un traitement public réserve toujours implicitement l’application des obligations du code du patrimoine et l’archivage définitif n’a pas besoin d’être expressément prévu par l’acte réglementaire. | 5 | 743da23f34ee7adc1bc280808926e060c096910e | Non publié. Source: CNIL, Tables Informatique et Libertés | |||||
19/12628 | S.A.R.L. CARBTECH | 15/04/2022 | 2022 | France | Autre | A classer | Manquement au RGPD - Susceptible de constituer une pratique de concurrence déloyale - Admission | 7- [...] Il incombe pourtant à tout responsable de traitement ou sous-traitant d'assurer la confidentialité et la sécurité des données personnelles collectées et traitées, c'est-à-dire de veiller à ce que ces données ne soient ni altérées ni communiquées à des tiers non autorisés or, au cas d'espèce, s'il est indiqué dans l'onglet « mentions légales » du site internet de la société CARBTECH que les informations enregistrées sont uniquement réservées à l'usage du service concerné et ne peuvent être communiquées à des sociétés tierces, aucune charte de confidentialité n'est cependant mise à la disposition du public, le lien dédié renvoyant en réalité à une page d'erreur comme cela ressort du procès-verbal de constat d'huissier dressé le 25 janvier 2019. - Au regard de l'ensemble de ces éléments et dans la mesure où tout manquement à la réglementation dans l'exercice d'une activité commerciale induit nécessairement un avantage concurrentiel indu pour son auteur, il convient de juger que la société CARBTECH s'est rendue coupable d'acte de concurrence déloyale au préjudice de la demanderesse. | da39a3ee5e6b4b0d3255bfef95601890afd80709 | Cliquer pour accéder à la décision | |||||||
2022-045 | Avis sur projet d’arrêté, VidéoCRA | 31/03/2022 | 2022 | France | CNIL (ou équivalent) | Définition | Police-Justice | Données relative à des infractions de nature pénale et données sensible - Enregistrement de vidéosurveillance susceptible de contenir des données sensibles ou des données d’infraction - Absence de qualification automatique | La Commission relève qu'un enregistrement vidéo n'est pas considéré en soi comme relevant d'une catégorie particulière de données à caractère personnel. | 9, 10 | b85ab32eaa572c8016edf68011078dceed8149e5 | Cliquer pour accéder à la décision | |||||
2022-045 | Avis sur projet d’arrêté, VidéoCRA | 31/03/2022 | 2022 | France | CNIL (ou équivalent) | Infraction pénale | Police-Justice | Données relative à des infractions de nature pénale et données sensible - Enregistrement de vidéosurveillance susceptible de contenir des données sensibles ou des données d’infraction - Absence de qualification automatique | La Commission relève qu'un enregistrement vidéo n'est pas considéré en soi comme relevant d'une catégorie particulière de données à caractère personnel. | 9, 10 | c23f7da7070511444ebc75875fd9d202b5dd13cf | Cliquer pour accéder à la décision | |||||
2022-045 | Avis sur projet d’arrêté, VidéoCRA | 31/03/2022 | 2022 | France | CNIL (ou équivalent) | Droit applicable | Police-Justice | 1) Placement en centre ou en lieu de rétention - Donnée relative à des infractions de nature pénale - Indépendance - 2) Traitements automatisés de données à caractère personnel provenant de dispositifs de vidéosurveillance installés dans les emprises des locaux et centres de rétention administrative et des zones d’attente - Qualification - Exemples | En l'espèce, la Commission rappelle que le placement en centre ou en lieu de rétention est indépendant de toute qualification pénale. Elle relève en outre que le contrôle du respect des règles de sécurité du règlement intérieur de chaque local de rétention administrative (1° de l'article 1er du projet d'arrêté) et des règles de contrôle d'accès (2° de l'article 1er du projet d'arrêté) ne relève pas non plus d'une finalité pénale. Il en va de même de la finalité relative à la collecte de preuves dans le cadre des procédures administratives et disciplinaires (3° de l'article 1er du projet d'arrêté). En revanche, les missions de maintien de la sécurité publique par les forces de l'ordre au sein des centres et lieux de rétention sont susceptibles de relever de la directive précitée. La Commission considère dès lors que les traitements projetés devraient relever d'un régime mixte (RGPD et directive police-justice tel que transposée au titre III de la loi du 6 janvier 1978 modifiée) en fonction des finalités poursuivies. | 10 | c23f7da7070511444ebc75875fd9d202b5dd13cf | Cliquer pour accéder à la décision | |||||
40/2022 | Mme X | 17/03/2022 | 2022 | Belgique | CNIL (ou équivalent) | Minimisation | Exercice des droits - Interdiction de l'exigence systématique de la carte d'identité - Possibilité de masquer les parties non obligatoires - Admission | 12. La Chambre Contentieuse souligne à cet égard que ce n'est que dans les cas spécifiques où conformément à l'article 5.2 du RGPD, le responsable du traitement est à même de démontrer qu'il ne peut pas identifier cette personne concernée (art. 11.2 du RGPD) et/ou qu'il a des doutes raisonnables quant à l'identité de la personne physique présentant la demande (art. 12.6 du RGPD) qu'il peut réclamer les données supplémentaires nécessaires pour confirmer l'identité de la personne concernée. Ces données supplémentaires peuvent par exemple consister en une copie du recto de la carte d'identité ou d’un autre document prouvant l’identité. Les autres données qui ne sont pas nécessaires à l’identification peuvent avoir été préalablement rendues illisibles par le plaignant. - Ces différents éléments concernant l’usage de la carte d’identité sont confirmés par le CEPD dans ses lignes directrices sur le droit d’accès , qui indiquent notamment que « demander des copies de la carte d'identité de leurs clients, ne devrait généralement pas être considérée comme un moyen d'authentification approprié ». | 5, 15, 16, 17, 18, 19, 20, 21 | 743da23f34ee7adc1bc280808926e060c096910e | Cliquer pour accéder à la décision | ||||||
40/2022 | Mme X | 17/03/2022 | 2022 | Belgique | CNIL (ou équivalent) | A classer | Exercice des droits - Interdiction de l'exigence systématique de la carte d'identité - Possibilité de masquer les parties non obligatoires - Admission | 12. La Chambre Contentieuse souligne à cet égard que ce n'est que dans les cas spécifiques où conformément à l'article 5.2 du RGPD, le responsable du traitement est à même de démontrer qu'il ne peut pas identifier cette personne concernée (art. 11.2 du RGPD) et/ou qu'il a des doutes raisonnables quant à l'identité de la personne physique présentant la demande (art. 12.6 du RGPD) qu'il peut réclamer les données supplémentaires nécessaires pour confirmer l'identité de la personne concernée. Ces données supplémentaires peuvent par exemple consister en une copie du recto de la carte d'identité ou d’un autre document prouvant l’identité. Les autres données qui ne sont pas nécessaires à l’identification peuvent avoir été préalablement rendues illisibles par le plaignant. - Ces différents éléments concernant l’usage de la carte d’identité sont confirmés par le CEPD dans ses lignes directrices sur le droit d’accès , qui indiquent notamment que « demander des copies de la carte d'identité de leurs clients, ne devrait généralement pas être considérée comme un moyen d'authentification approprié ». | 5, 15, 16, 17, 18, 19, 20, 21 | 4c7a18c8baa891976ae8102b846b3aa8143fe90d, a99f1dbbfe0c91ea18cfffda9d7c8a31427e101b, 1e8656ea42e419dc857d077aca14615f16874373, 7ec55425dd482616b15ac330da38a1c61a044421, b2cc37fd75c7d64c337be8287efb964bab2565be, b8fc90fd7ade4838fc2405e4321d6b394d59f336, 18b66e1ee3dc142534c1d5c03f7bded8db5d3466 | Cliquer pour accéder à la décision | ||||||
2021-976/977 QPC | M. Habib A. et autre | 25/02/2022 | 2022 | France | Conseil constitutionnel | Conservation limitée | Technologie | Conservation généralisée et indifférenciée des données de connexion - Contraire à la Constitution | 13. Il résulte de ce qui précède qu’en autorisant la conservation générale et indifférenciée des données de connexion, les dispositions contestées portent une atteinte disproportionnée au droit au respect de la vie privée. | 5 | 743da23f34ee7adc1bc280808926e060c096910e | Cliquer pour accéder à la décision | |||||
C-175/20 | Valsts ieņēmumu dienests | 24/02/2022 | 2022 | Lettonie | Cour de Justice de l'UE | Directive Police-Justice | Police-Justice | Donnée relative aux infractions de nature pénale soumise à la directive « Police-Justice » - Perception de l’impôt et lutte contre la fraude fiscale par l’administration fiscale - Absence | 45. En outre, même s’il n’est pas exclu que les données à caractère personnel en cause au principal puissent être utilisées dans le cadre de poursuites pénales qui pourraient être exercées, en cas d’infraction dans le domaine fiscal, contre certaines des personnes concernées, il n’apparaît pas que ces données soient collectées dans l’objectif spécifique d’exercer de telles poursuites pénales ou dans le cadre des activités de l’État relatives à des domaines du droit pénal (voir, en ce sens, arrêt du 27 septembre 2017, Puškár, C-73/16, EU:C:2017:725, point 40). | 10 | c23f7da7070511444ebc75875fd9d202b5dd13cf | Cliquer pour accéder à la décision | |||||
C-175/20 | Valsts ieņēmumu dienests | 24/02/2022 | 2022 | Lettonie | Cour de Justice de l'UE | Minimisation | Economie et fiscalité, Administration | Minimisation - Application à l'administration fiscale - Admission | 44. Ainsi, lorsqu’elle demande à un opérateur économique de lui communiquer des données à caractère personnel relatives à certains contribuables aux fins de la perception de l’impôt et de la lutte contre la fraude fiscale, il n’apparaît pas que l’administration fiscale d’un État membre puisse être considérée comme une « autorité compétente », au sens de l’article 3, point 7, de la directive 2016/680, ni, partant, que de telles demandes d’informations puissent relever de l’exception prévue à l’article 2, paragraphe 2, sous d), du règlement 2016/679. - 46. Partant, la collecte, par l’administration fiscale d’un État membre, de données à caractère personnel relatives aux annonces de vente de véhicules publiées sur le site Internet d’un opérateur économique relève du champ d’application matériel du règlement 2016/679 et, par suite, celle-ci doit respecter, notamment, les principes relatifs au traitement des données à caractère personnel énoncés à l’article 5 de ce règlement. | 5 | 743da23f34ee7adc1bc280808926e060c096910e | Cliquer pour accéder à la décision | |||||
447495 | M. A... B... | 24/02/2022 | 2022 | France | Conseil d'Etat | A classer | Administration | Droit d’obtenir communication des informations relatives aux « destinataires ou catégories de destinataires » - Connaissance de l’identité des agents publics ou des salariés ayant consulté les données - Exclusion | 6. En quatrième lieu, les dispositions du c) du paragraphe 1 de l'article 15 du RGPD, qui prévoient le droit pour la personne concernée d'obtenir communication des informations relatives aux " destinataires ou catégories de destinataires " auxquels les données à caractère personnel la concernant ont été communiquées, n'ont ni pour objet, ni pour effet d'autoriser une personne à connaître l'identité des agents publics ou des salariés ayant consulté les données à caractère personnel la concernant dans l'exercice de leurs fonctions au sein de la personne morale ou du service destinataire. Le moyen tiré de ce que les décisions attaquées méconnaîtraient ces dispositions ne peut donc, en tout état de cause, qu'être écarté. | 15 | 4c7a18c8baa891976ae8102b846b3aa8143fe90d | Cliquer pour accéder à la décision | |||||
C-175/20 | Valsts ieņēmumu dienests | 24/02/2022 | 2022 | Lettonie | Cour de Justice de l'UE | Mission d'intérêt public | Mission d'intérêt public - Cas d’une demande de communication qui n’est pas directement fondée sur la disposition légale qui constitue le fondement du traitement mais résulte de l’autorité compétente - Conditions de licéité | 71. Il s’ensuit que, dans un cas où la communication des données à caractère personnel en cause n’est pas directement fondée sur la disposition légale qui en constitue le fondement, mais résulte d’une demande de l’autorité publique compétente, il est nécessaire que cette demande précise quelles sont les finalités spécifiques de cette collecte de données au regard de la mission d’intérêt public ou de l’exercice de l’autorité publique, afin de permettre au destinataire de ladite demande de s’assurer que la transmission des données à caractère personnel en cause est licite et aux juridictions nationales d’opérer un contrôle de la légalité des traitements concernés. | 6 | 2ce6ddc84d93a3a1dcd84238cd67260bd7272e08 | Cliquer pour accéder à la décision | ||||||
MED-2022-005 | Société X | 03/02/2022 | 2022 | France | CNIL (ou équivalent) | Responsable de traitement | Technologie | Responsable de traitement - Mise en œuvre de traitements à des fins de mesure d’audience en ligne - Inclusion | Une société gestionnaire du site web qui, d’une part, décide de mettre en œuvre une fonctionnalité d’un prestataire de service, laquelle conduit à traiter des données à caractère personnel, à des fins de mesure d’audience, de performance des campagnes médias de la société, d’évaluation et d’optimisation du site web (détermination de la finalité), et qui, d’autre part, a déterminé les moyens de la collecte et du traitement des données collectées dans le cadre de l’intégration de cette fonctionnalité sur son site web (détermination des moyens), est responsable de traitement au sens de l’article 4.7 du RGPD. | 4 | a33beb1398d687ce56ea092654850e76f54bebb2 | Non publié. Source: CNIL, Tables Informatique et Libertés | |||||
Avis 2022-006 | Projet de décret Caméras installées sur des aéronefs circulant sans personne à bord | 13/01/2022 | 2022 | France | CNIL (ou équivalent) | Destinataire | Administration | Destinataires et accédants - Définition - Habilitation des accédants | La Commission estime en effet que le terme « accédant », que n’utilise ni le RGPD, ni la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés mais qui a été créé par la doctrine, désigne, s’agissant d’un traitement automatisé de données mis en œuvre par une administration et encadré par un acte réglementaire, les personnes qui, au sein du responsable de traitement, seront appelées à effectuer les diverses opérations de traitement et, à ce titre, à accéder au système informatique en cause. Les habilitations des différents accédants peuvent être définies par l’acte réglementaire, et ne se limitent généralement pas à la seule consultation des données mais incluent aussi l’enregistrement, la correction ou l’effacement des données. Par ailleurs, au sens de la réglementation, et notamment du RGPD, les « destinataires » sont les personnes à qui le responsable de traitement peut être amené à communiquer les données et sur lesquelles il doit fournir une information aux personnes concernées. En pratique, cette communication peut prendre plusieurs formes, qu’il s’agisse d’une transmission d’un extrait des données ou d’une simple faculté de consultation par un accès sécurisé au système informatique. Lorsqu’un projet de décret mentionne des personnes comme « accédants aux données » alors qu’elles ne seront pas seulement chargées de consulter les données mais également de décider de leur recueil, ce point doit être précisé pour éviter toute ambiguïté. | 4 | a33beb1398d687ce56ea092654850e76f54bebb2 | Cliquer pour accéder à la décision | |||||
MED-2021-131 | Société X | 01/12/2021 | 2021 | France | CNIL (ou équivalent) | Limitation des finalités | Collecte de données non utilisées - Manquement au principe de limitation des finalités | La collecte de données à caractère personnel issues de sites internet sans que cette collecte puisse être justifiée par un usage de ces données constitue un traitement dépourvu de finalités, en violation de l’article 5 § 1, b) du RGPD. | 5 | 743da23f34ee7adc1bc280808926e060c096910e | Non publié. Source: CNIL, Tables Informatique et Libertés | ||||||
MED-2021-131 | Société X | 01/12/2021 | 2021 | France | CNIL (ou équivalent) | Spécificité | Marketing et prospection | Consentement pour la revente de données - Consentement distinct de celui donné pour l’utilisation des données à des fins de prospection commerciale par voie électronique - Obligation | Le consentement à la revente des données ne dispense pas que le consentement des personnes soit également recueilli, en application de l’article L. 34-5 du code des postes et des communications électroniques, pour l’utilisation de leurs données à des fins de prospection commerciale par voie électronique. | 6, 7 | 5e56ceb6a3ee0eeaba07ec39a491a470a34c31f7 | Non publié. Source: CNIL, Tables Informatique et Libertés | |||||
MED-2021-131 | Société X | 01/12/2021 | 2021 | France | CNIL (ou équivalent) | Spécificité | Marketing et prospection | Prospection commerciale - Transmission de données à des tiers - Consentement global aux conditions générales contractuelles régissant un service et à l’ensemble des finalités d’un traitement - Exclusion | Dans le contexte d’une transmission de données à des partenaires afin qu’ils les utilisent pour de la prospection commerciale, le recueil d’un consentement spécifique implique que la personne soit en mesure de marquer son assentiment particulier à la transmission de ses données à des tiers, qui l’utiliseront pour de la prospection commerciale. L’exigence de spécificité du consentement exclut l’obtention d’un consentement global donné à la fois aux conditions générales contractuelles régissant un service et pour l’ensemble des finalités d’un traitement. | 6, 7 | 5e56ceb6a3ee0eeaba07ec39a491a470a34c31f7 | Non publié. Source: CNIL, Tables Informatique et Libertés | |||||
MED-2021-131 | Société X | 01/12/2021 | 2021 | France | CNIL (ou équivalent) | Eclairé | Marketing et prospection | Prospection commerciale - Recueil du consentement pour la transmission de données à des tiers prospecteurs - Information des personnes concernées sur la portée du traitement - Obligation | Dans le contexte d’une transmission de données à des partenaires en vue qu’ils les utilisent pour de la prospection commerciale, le recueil d’un consentement éclairé requiert en particulier d’informer les personnes concernées de l’étendue de la transmission de leurs données. À cet égard, des indications relatives au nombre et au secteur d’activité des partenaires rendus destinataires des données avant toute transmission, sont de nature à éclairer les personnes concernées quant à l’utilisation ultérieure qui sera faite de leurs données. | 6, 7, 12, 13 | 5e56ceb6a3ee0eeaba07ec39a491a470a34c31f7 | Non publié. Source: CNIL, Tables Informatique et Libertés | |||||
MED-2021-131 | Société X | 01/12/2021 | 2021 | France | CNIL (ou équivalent) | Consentement | Marketing et prospection | Consentement pour la revente de données - Consentement distinct de celui donné pour l’utilisation des données à des fins de prospection commerciale par voie électronique - Obligation | Le consentement à la revente des données ne dispense pas que le consentement des personnes soit également recueilli, en application de l’article L. 34-5 du code des postes et des communications électroniques, pour l’utilisation de leurs données à des fins de prospection commerciale par voie électronique. | 6, 7 | 2ce6ddc84d93a3a1dcd84238cd67260bd7272e08 | Non publié. Source: CNIL, Tables Informatique et Libertés | |||||
MED-2021-131 | Société X | 01/12/2021 | 2021 | France | CNIL (ou équivalent) | Consentement | Marketing et prospection | Prospection commerciale - Transmission de données à des tiers - Consentement global aux conditions générales contractuelles régissant un service et à l’ensemble des finalités d’un traitement - Exclusion | Dans le contexte d’une transmission de données à des partenaires afin qu’ils les utilisent pour de la prospection commerciale, le recueil d’un consentement spécifique implique que la personne soit en mesure de marquer son assentiment particulier à la transmission de ses données à des tiers, qui l’utiliseront pour de la prospection commerciale. L’exigence de spécificité du consentement exclut l’obtention d’un consentement global donné à la fois aux conditions générales contractuelles régissant un service et pour l’ensemble des finalités d’un traitement. | 6, 7 | 2ce6ddc84d93a3a1dcd84238cd67260bd7272e08 | Non publié. Source: CNIL, Tables Informatique et Libertés | |||||
MED-2021-131 | Société X | 01/12/2021 | 2021 | France | CNIL (ou équivalent) | Contenu de l'information | Marketing et prospection | Prospection commerciale - Recueil du consentement pour la transmission de données à des tiers prospecteurs - Information des personnes concernées sur la portée du traitement - Obligation | Dans le contexte d’une transmission de données à des partenaires en vue qu’ils les utilisent pour de la prospection commerciale, le recueil d’un consentement éclairé requiert en particulier d’informer les personnes concernées de l’étendue de la transmission de leurs données. À cet égard, des indications relatives au nombre et au secteur d’activité des partenaires rendus destinataires des données avant toute transmission, sont de nature à éclairer les personnes concernées quant à l’utilisation ultérieure qui sera faite de leurs données. | 6, 7, 12, 13 | 4fde6b87a266eece4b77ee2df16db81507c218b0, f7475b81fdc4723ec189ed2fbacb5f50b84b6a92 | Non publié. Source: CNIL, Tables Informatique et Libertés | |||||
MED-2021-134 | Clearview AI | 26/11/2021 | 2021 | France | CNIL (ou équivalent) | Intérêt légitime | Intérêt légitime pour l'utilisation de données publiquement accessibles pour alimenter un logiciel de reconnaissance faciale - Exclusion - Absence d'attente raisonnable de la personne concernée | Il doit donc être considéré que les personnes qui ont publié des photographies les représentant sur des sites web, ou consenti à cette publication auprès d’un autre responsable de traitement, ne s’attendent pas à ce que celles-ci soient réutilisées pour les finalités poursuivies par la société, c’est-à-dire la création d’un logiciel de reconnaissance faciale (qui associe l’image d’une personne à un profil contenant l’ensemble des photographies sur lesquelles elle figure, les informations que ces photographies contiennent ainsi que les sites web sur lesquels elles se trouvent) et la commercialisation de ce logiciel à des forces de l’ordre. - Dès lors, au regard de l’ensemble de ces éléments, l’atteinte portée à la vie privée des personnes apparaît disproportionnée au regard des intérêts du responsable de traitement, notamment ses intérêts commerciaux et pécuniaires, et le fondement juridique de l’intérêt légitime de la société ne peut donc être retenu. | 6 | 2ce6ddc84d93a3a1dcd84238cd67260bd7272e08 | Cliquer pour accéder à la décision | ||||||
444992 | M. M... B... | 10/11/2021 | 2021 | France | Conseil d'Etat | Juridiction compétente | Juridictions compétentes pour le contentieux portant sur les traitements mixtes | 7. Il résulte des dispositions citées au point 6 que la formation spécialisée du Conseil d'Etat statuant au contentieux n'est compétente, en ce qui concerne les litiges relatifs à l'accès indirect aux données recueillies dans le fichier STARTRAC, que pour celles de ces données qui intéressent la sûreté de l'Etat. Le tribunal administratif et la cour administrative d'appel restent compétents en première instance et en appel pour connaître des litiges relatifs à l'accès indirect aux données recueillies dans ce même fichier n'intéressant pas la sûreté de l'Etat. | 10, 77, 78 | c23f7da7070511444ebc75875fd9d202b5dd13cf, 89f2fd1b6301991102bdadc722a5323c40dd302d, cb08aa41f17ae8041815cdd5e3b7c468c63b293b | 31, 87 | Cliquer pour accéder à la décision | |||||
441317 | Médecins du Monde et autres | 24/09/2021 | 2021 | France | Conseil d'Etat | Conservation limitée | Police-Justice | Durée de conservation supérieure au délai de prescription pour une infraction - Admissibilité en l’espèce | 5. Les associations requérantes soutiennent que les durées maximales respectives de conservation des données de dix ans pour les délits, de dix ans pour les contraventions prévues par le code de la route et de cinq ans pour les autres contraventions sont excessives eu égard aux délais de prescription de l'action publique. Toutefois, d'une part, s'agissant du délai de dix ans prévu pour la conservation des données relatives aux délits et aux contraventions routières, l'arrêté attaqué se borne à reprendre des dispositions antérieures et présente à cet égard le caractère d'une décision confirmative dont la légalité ne peut être discutée dans le cadre de la présente instance. D'autre part, eu égard aux délais de prescription de six ans des peines délictuelles et de trois ans des peines contraventionnelles, respectivement prévus par les articles 133-3 et 133-4 du code pénal, ainsi qu'aux règles de procédure qui régissent le recouvrement des amendes forfaitaires, en particulier les délais de recours et de mise en paiement, la durée de conservation de cinq ans des données relatives aux contraventions non routières et la durée de conservation de dix ans des données relatives aux délits non routiers n'est pas disproportionnée. Dès lors, le moyen tiré de ce que les durées de conservation des données prévues par l'arrêté litigieux seraient excessives doit être écarté. | 5 | 743da23f34ee7adc1bc280808926e060c096910e | Cliquer pour accéder à la décision | |||||
SAN-2021-012 | Monsanto | 26/07/2021 | 2021 | France | CNIL (ou équivalent) | Intérêt légitime | Economie et fiscalité, Marketing et prospection | Intérêt légitime pour un traitement consistant en la collecte d’informations visant à recenser les personnes influentes à des fins de lobbying - Existence - Admissibilité sous conditions | 74. En premier lieu, il apparaît à la formation restreinte qu’un traitement de données à caractère personnel, consistant en la collecte d’informations visant à recenser les personnes influentes auprès desquelles une entreprise souhaite représenter ses intérêts peut, sous réserve de certaines conditions, être réalisé sur le fondement de l’intérêt légitime poursuivi par le responsable de traitement. En effet, un traitement tel que celui en cause peut être justifié par la poursuite de l’intérêt légitime du responsable de traitement sous réserve que les intérêts et droits fondamentaux des personnes concernées ne prévalent pas sur les intérêts du responsable de traitement. Cette mise en balance entre les différents intérêts en présence impose notamment de prendre en compte les attentes raisonnables des personnes concernées quant à la nature des données collectées et la façon dont elles sont traitées pour la constitution du traitement litigieux, comme le prévoit le considérant 47 du RGPD. - 75. En l’espèce, la formation restreinte note que les personnes dont les données figuraient dans le fichier litigieux pouvaient raisonnablement s’attendre à ce que la société X, ou plus généralement des organismes ayant pour activité la représentation d’intérêts, s’intéressent à leur positionnement dans le débat lié au [...], et traite leurs coordonnées professionnelles ainsi que les informations relatives à leurs prises de position publiques. | 6 | 2ce6ddc84d93a3a1dcd84238cd67260bd7272e08 | Cliquer pour accéder à la décision | |||||
SAN-2021-012 | Monsanto | 26/07/2021 | 2021 | France | CNIL (ou équivalent) | A classer | Economie et fiscalité, Marketing et prospection | Information des personnes - Exemption en cas de publicité des données ou en cas d'absence d'utilisation du fichier - Exclusion - Exception liée au caractère disproportionné des efforts nécessaires pour la délivrance de l'information - Inapplicable en l'espèce | 81. S’agissant des exceptions prévues par l’article 14(5)(b) précité, la formation restreinte relève que l’information des personnes figurant dans le fichier intitulé " [...] " n’aurait pas nécessité de la part de la société X des efforts disproportionnés et était, en conséquence, nécessaire. La formation restreinte souligne d’abord que le fichier en cause concernait plus de 200 personnes et que la société disposait pour la quasi-totalité d’entre elles d’une information de contact telle qu’une adresse, un numéro de téléphone ou une adresse de messagerie électronique. - 83. La formation restreinte note d’ailleurs que les personnes concernées ont finalement été informées individuellement en 2019, par l’intermédiaire du cabinet YY, ce qui démontre qu’une information était tout à fait possible. - 85. Enfin, la formation restreinte note que les circonstances invoquées par la société X, à savoir que les données en question étaient publiques, que les personnes concernées pouvaient raisonnablement s’attendre à ce que leurs données fassent l’objet d’un tel traitement et que ce fichier n’a jamais été utilisé par la société, ne constituent pas des motifs de nature à exempter le responsable de traitement de son obligation d’information au regard des dispositions de l’article 14 du RGPD. En outre, contrairement à ce que soutient la société, la responsabilité de s’assurer que l’information a bien été délivrée aux personnes concernées incombe au responsable de traitement et non au sous-traitant. | 14 | 4c346b79544cb7d893c9dac5883512c2b8b3ebd2 | Cliquer pour accéder à la décision | |||||
Avis 2021-082 | Livret de parcours inclusif (LPI) | 15/07/2021 | 2021 | France | CNIL (ou équivalent) | Confidentialité, Minimisation | Jeunesse et éducation | Cloisonnement - Identifiant spécifique et distinct de l’identifiant national pour la mise en œuvre d’un traitement spécifique - Admission | En troisième lieu, l’article 2, 1-a) du projet de décret fait par ailleurs état de ce que les données d’identification dans le LPI contiendront à la fois l’identifiant national élève (INE) et le numéro LPI. Le ministère a précisé à cet égard qu’il s’agissait bien de la création d’un nouvel identifiant unique, que le numéro INE n’était traité dans le LPI qu’à des fins d’interconnexion entre les différents systèmes d’information du ministère et que le numéro LPI permettra l’identification des élèves entre le ministère et le système d’information des MDPH. La Commission [...] accueille favorablement la création de cet identifiant spécifique, et considère que la création et l’utilisation de ce numéro LPI permettra, conformément à sa doctrine, de segmenter les traitements afin d’éviter des interconnexions ou rapprochements de données qui ne sont pas nécessaire, et de limiter les risques de réidentification des personnes en cas de fuite de données. Elle appelle donc le ministère à limiter au maximum les échanges de données nominatives. | 5 | 743da23f34ee7adc1bc280808926e060c096910e | Cliquer pour accéder à la décision | |||||
19-13.856 | B. | 23/06/2021 | 2021 | France | Cour de cassation | Minimisation, Licéité | Travail | Utilisation par un employeur d’un tel dispositif pour le contrôle des règles d’hygiène et de sécurité - Disproportion - Inopposabilité au salarié des enregistrements issus de cette vidéosurveillance dans le cadre d’une procédure de licenciement | 5. Aux termes de l'article L. 1121-1 du code du travail, nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché. - 6. La cour d'appel a constaté que le salarié, qui exerçait seul son activité en cuisine, était soumis à la surveillance constante de la caméra qui y était installée. Elle en a déduit à bon droit que les enregistrements issus de ce dispositif de surveillance, attentatoire à la vie personnelle du salarié et disproportionné au but allégué par l'employeur de sécurité des personnes et des biens, n'étaient pas opposables au salarié et a, par ces seuls motifs, légalement justifié sa décision. | 5 | 743da23f34ee7adc1bc280808926e060c096910e | Cliquer pour accéder à la décision | |||||
C-439/19 | Latvijas Republikas Saeima | 22/06/2021 | 2021 | Lettonie | Cour de Justice de l'UE | Infraction pénale | Police-Justice | Qualification des sanctions administratives - "Infraction" au sens du droit de l'UE dont le traitement est soumis à la directive « Police-Justice » - Rejet | 77. Afin de déterminer si un tel accès constitue un traitement de données à caractère personnel relatives à des « infractions », au sens de l’article 10 du RGPD, il importe de faire observer, premièrement, que cette notion renvoie exclusivement aux infractions pénales, ainsi qu’il résulte notamment de la genèse du RGPD. En effet, alors que le Parlement européen avait proposé d’inclure expressément dans cette disposition les termes « sanctions administratives » (JO 2017, C 378, p. 430), cette proposition n’a pas été retenue. Cette circonstance est d’autant plus notable que la disposition ayant précédé l’article 10 du RGPD, à savoir l’article 8, paragraphe 5, de la directive 95/46, qui se référait, à son premier alinéa, aux « infractions » et aux « condamnations pénales », offrait, à son second alinéa, la possibilité aux États membres de « prévoir que les données relatives aux sanctions administratives [soient] également traitées sous le contrôle de l’autorité publique ». Il résulte ainsi clairement d’une lecture d’ensemble de cet article 8, paragraphe 5, que la notion d’« infraction » se référait uniquement aux infractions pénales. | 10 | c23f7da7070511444ebc75875fd9d202b5dd13cf | Cliquer pour accéder à la décision | |||||
C-439/19 | Latvijas Republikas Saeima | 22/06/2021 | 2021 | Lettonie | Cour de Justice de l'UE | Infraction pénale | Police-Justice | Infraction pénale en droit de l'UE (notion autonome) - Critères de définition - 1) Qualification en droit interne - 2) Nature même de l’infraction - 3) Degré de sévérité de la sanction | 87. Selon la jurisprudence de la Cour, trois critères sont pertinents pour apprécier le caractère pénal d’une infraction. Le premier est la qualification juridique de l’infraction en droit interne, le deuxième, la nature même de l’infraction et, le troisième, le degré de sévérité de la sanction que risque de subir l’intéressé (voir, en ce sens, arrêts du 5 juin 2012, Bonda, C-489/10, EU:C:2012:319, point 37 ; du 20 mars 2018, Garlsson Real Estate e.a., C-537/16, EU:C:2018:193, point 28, ainsi que du 2 février 2021, Consob, C-481/19, EU:C:2021:84, point 42). | 10 | c23f7da7070511444ebc75875fd9d202b5dd13cf | Cliquer pour accéder à la décision | |||||
C-439/19 | Latvijas Republikas Saeima | 22/06/2021 | 2021 | Lettonie | Cour de Justice de l'UE | Infraction pénale | Police-Justice, Transports | Donnée relative aux infractions de nature pénale au sens du droit de l'UE - Données relatives à des points de pénalité infligés à la suite d’un manquement à la réglementation routière - Inclusion | 93. Il en découle que les infractions routières qui sont susceptibles d’entraîner l’attribution de points de pénalité relèvent de la notion d’« infractions » visée à l’article 10 du RGPD. - 94. Eu égard à l’ensemble des considérations qui précèdent, il y a lieu de répondre à la première question posée que l’article 10 du RGPD doit être interprété en ce sens qu’il s’applique au traitement des données à caractère personnel relatives aux points de pénalité imposés aux conducteurs de véhicules pour des infractions routières. | 10 | c23f7da7070511444ebc75875fd9d202b5dd13cf | Cliquer pour accéder à la décision | |||||
C-439/19 | Latvijas Republikas Saeima | 22/06/2021 | 2021 | Lettonie | Cour de Justice de l'UE | Sécurité nationale | Police-Justice | Exception au champ d'application du droit de l'Union - Activité visant à préserver la sécurité nationale ou activité relevant de cette catégorie - Activité visant à améliorer la sécurité routière - Exclusion | 66. Il en résulte que l’article 2, paragraphe 2, sous a), du RGPD, lu à la lumière du considérant 16 de ce règlement, doit être considéré comme ayant pour seul objet d’exclure du champ d’application dudit règlement les traitements de données à caractère personnel effectués par les autorités étatiques dans le cadre d’une activité qui vise à préserver la sécurité nationale ou d’une activité pouvant être rangée dans la même catégorie, de telle sorte que le seul fait qu’une activité soit propre à l’État ou à une autorité publique ne suffit pas pour que cette exception soit automatiquement applicable à une telle activité (voir, en ce sens, arrêt du 9 juillet 2020, Land Hessen, C-272/19, EU:C:2020:535, point 70). - 67. Les activités qui ont pour but de préserver la sécurité nationale visées à l’article 2, paragraphe 2, sous a), du RGPD couvrent, en particulier, ainsi que l’a également relevé en substance M. l’avocat général aux points 57 et 58 de ses conclusions, celles ayant pour objet de protéger les fonctions essentielles de l’État et les intérêts fondamentaux de la société. - 68. Or, les activités relatives à la sécurité routière ne poursuivent pas un tel objectif et ne sauraient, en conséquence, être rangées dans la catégorie des activités ayant pour but la préservation de la sécurité nationale, visées à l’article 2, paragraphe 2, sous a), du RGPD. | 2, 10 | 70142f66475ae2fb33722d8d4750f386ecfefe7b, c23f7da7070511444ebc75875fd9d202b5dd13cf | Cliquer pour accéder à la décision | |||||
431875 | M. B... A...-C... | 10/06/2021 | 2021 | France | Conseil d'Etat | Données de santé | Santé | Donnée de santé - Critères - 1) Nature - 2) Gravité de la pathologie | 10. Si la mise en ligne d'une telle information révèle indirectement que les personnes recrutées à ce titre souffrent d'un handicap, elle ne donne directement aucune information sur la nature ou la gravité de ce handicap et ne saurait, par suite, être regardée comme procédant au traitement d'une donnée relative à la santé des personnes considérées. | 9 | b85ab32eaa572c8016edf68011078dceed8149e5 | Cliquer pour accéder à la décision | |||||
431875 | M. B... A...-C... | 10/06/2021 | 2021 | France | Conseil d'Etat | Traitement | Technologie | Traitement de données à caractère personnel - Publication sur un site internet de données à caractère personnel - Inclusion | 3. Il ressort des énonciations de l'arrêt attaqué que, pour écarter le moyen tiré de la méconnaissance des règles nationales et européennes applicables aux traitements de données à caractère personnel, la cour administrative d'appel a jugé que ni la publication par voie informatique d'un arrêté de nomination d'agents publics ne comportant que le nom des intéressés et l'indication du fondement juridique de leur nomination, ni la décision refusant de mettre un terme à cette publication, ne pouvaient être regardées comme relatives à un traitement de données à caractère personnel par voie informatique. En écartant l'application de ces règles, alors que la seule publication sur un site internet de données à caractère personnel suffit à les rendre applicables, la cour administrative d'appel a commis une erreur de droit. | 4 | a33beb1398d687ce56ea092654850e76f54bebb2 | Cliquer pour accéder à la décision | |||||
SAN-2021-007 | Société X | 03/06/2021 | 2021 | France | CNIL (ou équivalent) | Limitation des finalités | Disposition limitant expressément les finalités d’un traitement - Traitement mis en œuvre illicite au regard de cette disposition - Compétence de la CNIL | Lorsqu’une disposition limite expressément les finalités d’un traitement de données à caractère personnel, que celle-ci soit contenue dans un acte réglementaire autorisant et régissant un traitement particulier de données sur le fondement des articles 31 et suivants de la loi Informatique et Libertés ou des dispositions qui y renvoient, ou qu’elle résulte d’une disposition législative ou réglementaire spéciale limitant la ou les finalités d’un traitement ou d’une catégorie de traitement, la formation restreinte de la CNIL est compétente pour sanctionner le traitement illicite que constitue la méconnaissance de cette disposition. | 5 | 743da23f34ee7adc1bc280808926e060c096910e | 5, 16 | Non publié. Source: CNIL, Tables Informatique et Libertés | |||||
SAN-2021-007 | Société X | 03/06/2021 | 2021 | France | CNIL (ou équivalent) | Donnée à caractère personnel | Donnée à caractère personnel - Adresse postale - Identification indirecte - Inclusion | La formation restreinte considère que l’adresse postale peut constituer une donnée à caractère personnel indirectement identifiante dans la mesure où, notamment combinée à d’autres informations, elle peut, dans certaines conditions, permettre l’identification d’une personne. C’est par exemple le cas lorsqu’une seule personne habite à cette adresse ou lorsque l’adresse est combinée à un numéro de téléphone ou à des données de réseaux telles que l’identifiant Wi-Fi ou l’adresse MAC d’un routeur. | 4 | a33beb1398d687ce56ea092654850e76f54bebb2 | Non publié. Source: CNIL, Tables Informatique et Libertés | ||||||
2021-055 | Avis sur projet de décret | 12/05/2021 | 2021 | France | CNIL (ou équivalent) | Directive Police-Justice | Police-Justice | Crise sanitaire - Traitement mis en œuvre dans le cadre du suivi de mesures individuelles de quarantaine et d’isolement et à l’accompagnement des personnes - Régime mixte | Lorsque le contrôle de ces mesures individuelles, entendu notamment par la constatation des infractions pénales associées, apparait également au titre des finalités du même traitement, que celui-ci est placé sous la responsabilité conjointe du ministre chargé de la santé et du ministre de l’intérieur et que plusieurs services du ministère de l’intérieur accèdent ou sont rendus destinataires des données qui y sont enregistrées, il y a lieu de considérer que la prévention, la recherche et la constatation d’infractions pénales constituent une des finalités dudit traitement, et non un objet de ce traitement sans incidence sur son régime juridique. - Dans ces conditions, et dès lors que le critère de l’autorité compétente prévue par la Directive « Police-Justice » est rempli, un tel traitement relève d’un régime mixte, à savoir le RGPD pour la finalité de suivi des mesures individuelles et le titre III de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée, pour la finalité de contrôle du respect de ces mesures par la constatation des infractions pénales associées, ce qui doit notamment apparaitre dans les dispositions réglementaires encadrant le traitement en cause. | 10 | c23f7da7070511444ebc75875fd9d202b5dd13cf | 31, 87 | Non publié. Source: CNIL, Tables Informatique et Libertés | ||||
MED-2021-009 | Société X | 04/03/2021 | 2021 | France | CNIL (ou équivalent) | A classer | Technologie | Mise à disposition de plateforme en ligne pour la publication d’annonces immobilières - Sous-traitance et sous-traitance de second rang - Formalisation des relations entre responsable du traitement et sous-traitants | Un organisme de représentation professionnel qui met à disposition des entités indépendantes qu’il représente une plateforme de publication d’annonces immobilières et d’hébergement des documents annexés à ces annonces via un site web - en tant qu’activité accessoire et non réglementée de cette profession - doit être considéré comme sous-traitant de ces entités, considérées comme responsable du traitement, dès lors que ces dernières conservent dans ce cadre une entière liberté de choix quant aux moyens mis en œuvre pour exercer cette activité et publier des annonces immobilières, et dans la mesure où elles déterminent seules les finalités et les moyens du traitement. - En outre, lorsque les entités responsables du traitement confient à l’organisme sous-traitant la charge de publier leurs annonces immobilières et d’héberger les documents annexés à ces annonces sur un site web dont l’organisme sous-traitant se déclare éditeur, et lorsque que l’hébergement, l’exploitation, la maintenance et l’évolution de ce site, qui impliquent le traitement des données personnelles contenues dans les documents annexés aux annonces, ont été confiés par l’organisme sous-traitant à une autre société, cette dernière intervient dès lors en qualité de sous-traitant de second rang recruté par l’organisme sous-traitant. | 28 | 2493779251de822754e7d9cbd06e551dfa7fcd2b | Non publié. Source: CNIL, Tables Informatique et Libertés | |||||
SAN-2021-002 | Société X | 08/01/2021 | 2021 | France | CNIL (ou équivalent) | A classer | Répartition des responsabilités entre responsable de traitement et sous-traitant - Solutions techniques et organisationnelles de sécurité adéquates - Responsabilité du sous-traitant - Existence | Si aux termes de l’article 32 du RGPD, les obligations en matière de sécurité des traitements de données à caractère personnel s’adressent tant au responsable de traitement qu’au sous-traitant, la répartition des responsabilités entre ces deux acteurs résulte également du contrat de sous-traitance qu’ils doivent conclure au titre de l’article 28 du RGPD. En ce sens, l’article 28-3-f impose que ce contrat prévoit que le sous-traitant « aide le responsable du traitement à garantir le respect des obligations prévues aux articles 32 à 36, compte tenu de la nature du traitement et des informations à la disposition du sous-traitant ». La CNIL déduit de la combinaison de ces dispositions qu’il revient au sous-traitant de proposer au responsable de traitement les solutions techniques et organisationnelles adéquates, notamment en ce qui concerne la sécurité des traitements, et ce, indépendamment des obligations qui pèsent en propre sur le responsable du traitement. | 24, 28, 32 | 788235c7a7839ac7e834e0a5a9a15b95657a9271, 2493779251de822754e7d9cbd06e551dfa7fcd2b, c9a79ac93c358874ab99f40683428a9fb7bd666c | Non publié. Source: CNIL, Tables Informatique et Libertés | ||||||
446155 | La Quadrature du Net | 22/12/2020 | 2020 | France | Conseil d'Etat | Traitement | Police-Justice | Traitement de données à caractère personnel au sens de la directive (UE) 2016/680 - Dispositif de surveillance par drone transmettant, après floutage, des images au centre de commandement de la préfecture de police pour un visionnage en temps réel - Inclusion, sans qu'ait d'incidence la circonstance que seules les images floutées parviennent au centre de commandement | 6. En premier lieu, il résulte des dispositions citées aux points 3 et 4 que le dispositif de surveillance litigieux, qui consiste à collecter des données, grâce à la captation d'images par drone, afin de les transmettre, après application d'un procédé de floutage, au centre de commandement de la préfecture de police pour un visionnage en temps réel, constitue un traitement au sens de la directive du 27 avril 2016. - 7. En second lieu, si ce dispositif permet de ne renvoyer à la direction opérationnelle que des images ayant fait l'objet d'un floutage, il ne constitue que l'une des opérations d'un traitement d'ensemble des données, qui va de la collecte des images par le drone à leur envoi vers la salle de commandement, après transmission des flux vers le serveur de floutage, décomposition de ces flux image par image aux fins d'identifier celles qui correspondent à des données à caractère personnel pour procéder à l'opération de floutage, puis à la recomposition du flux vidéo comportant les éléments floutés. Dès lors que les images collectées par les appareils sont susceptibles de comporter des données identifiantes, la circonstance que seules les données traitées par le logiciel de floutage parviennent au centre de commandement n'est pas de nature à modifier la nature des données faisant l'objet du traitement, qui doivent être regardées comme des données à caractère personnel. | 4 | a33beb1398d687ce56ea092654850e76f54bebb2 | 31, 87 | Cliquer pour accéder à la décision | ||||
2020-135 | Projet de décret TousAntiCovid | 17/12/2020 | 2020 | France | CNIL (ou équivalent) | Responsable de traitement | Responsable de traitement - Personne mettant à disposition du public un logiciel - Exclusion sous conditions | D’autre part, les données personnelles étant stockées et traitées uniquement localement, à la discrétion et pour le compte du seul utilisateur, il ne semble pas que les autorités publiques soient responsables de ces traitements, la seule mise à disposition d’un logiciel au public ne constituant pas la mise en œuvre d’un traitement de données à caractère personnel. En ce sens, il convient de relever que les dispositions du décret relatives à ces traitements ne sont pas conformes aux exigences de la Commission (durée de conservation, liste des destinataires, etc.) mais qu’il n’apparaît pas opportun de réglementer ces aspects qui, dans le cadre du fonctionnement du logiciel en cause, doivent rester à la discrétion du particulier qui utilise l’application. | 4 | a33beb1398d687ce56ea092654850e76f54bebb2 | Cliquer pour accéder à la décision | ||||||
MED-2020-043 | Société X | 10/12/2020 | 2020 | France | CNIL (ou équivalent) | Donnée à caractère personnel | Marketing et prospection | Donnée à caractère personnel - Propos tenus dans le cadre d’une conversation téléphonique - Inclusion | L’ensemble des propos tenus dans la cadre d’une conversation téléphonique enregistrée sont susceptibles de constituer des données à caractère personnel concernant les deux parties à cette conversation. | 4 | a33beb1398d687ce56ea092654850e76f54bebb2 | Non publié. Source: CNIL, Tables Informatique et Libertés | |||||
4295571 | Cdiscount | 10/12/2020 | 2020 | France | Conseil d'Etat | Intérêt légitime | Economie et fiscalité | Intérêt légitime pour la conservation des informations bancaires d’un client - Exclusion - Prévalence des intérêts des personnes concernées sur l’intérêt d’une société | 9. D'autre part, si la société soutient que la conservation du numéro de carte bancaire du client qui a procédé à un achat en ligne est nécessaire aux fins de l'intérêt légitime consistant à faciliter des paiements ultérieurs en dispensant le client de le saisir à chacun de ses achats, notamment dans le cadre d'une fonctionnalité d'achat rapide - dite " en un clic " - cet intérêt ne saurait prévaloir sur l'intérêt des clients de protéger ces données, compte tenu de la sensibilité de ces informations bancaires et des préjudices susceptibles de résulter pour eux de leur captation et d'une utilisation détournée, et alors que de nombreux clients qui utilisent des sites de commerce en ligne en vue de réaliser des achats ponctuels ne peuvent raisonnablement s'attendre à ce que les entreprises concernées conservent de telles données sans leur consentement. Par suite, la CNIL a pu à bon droit estimer que, de façon générale, devait être soumise au consentement explicite de la personne concernée la conservation des numéros de cartes bancaires des clients des sites de commerce en ligne pour faciliter des achats ultérieurs. Il suit de là que le moyen tiré de la méconnaissance par la délibération litigieuse du règlement du 27 avril 2016 doit être écarté. | 6 | 2ce6ddc84d93a3a1dcd84238cd67260bd7272e08 | Cliquer pour accéder à la décision | |||||
SAN-2020-018 | Nestor | 08/12/2020 | 2020 | France | CNIL (ou équivalent) | A classer | Prescription d'un manquement au RGPD - Délai raisonnable | Le rapporteur rappelle que la Commission a été saisie de quatre plaintes entre 2018 et 2019, que des contrôles ont été effectués par la délégation de la CNIL en mai 2019 et en février 2020 et que le rapporteur désigné en décembre 2019 aux fins d’instruction de ces éléments a notifié son rapport le 28 février 2020. La formation restreinte considère donc que la Commission a appliqué un délai raisonnable entre les constats effectués par la délégation de contrôle et la saisine de la formation restreinte. | 83, 84 | 13f3089206d6a7af14309e3188901bac86bb8db9, 68136ec0621ef3fe8935bf9fa91f0f6e4a202509 | 20 | Cliquer pour accéder à la décision | |||||
17-19.253 | Agence France Presse | 25/11/2020 | 2020 | France | Cour de cassation | Donnée à caractère personnel | Technologie | Donnée à caractère personnel - Adresse IP - Inclusion | 11. Les adresses IP, qui permettent d'identifier indirectement une personne physique, sont des données à caractère personnel, au sens de l'article 2 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, de sorte que leur collecte par l'exploitation du fichier de journalisation constitue un traitement de données à caractère personnel et doit faire l'objet d'une déclaration préalable auprès de la Commission nationale de l'informatique et des libertés en application de l'article 23 de la loi précitée. | 4 | a33beb1398d687ce56ea092654850e76f54bebb2 | Cliquer pour accéder à la décision | |||||
MED-2020-040 | LAPI Commune X | 24/11/2020 | 2020 | France | CNIL (ou équivalent) | Responsable de traitement | Administration | Responsabilités du traitement - Concession de service public - Qualification du concessionnaire - Qualification de l’autorité publique concédante | La qualification de responsable de traitement est reconnue au concessionnaire dès lors qu’il agit pour son propre compte avec une autonomie certaine sur les traitements des données d’usagers qu’il met en œuvre dans l’exécution de ses missions, en déterminant les finalités et les moyens essentiels du traitement. - Cependant, l’autorité publique concédante est également qualifiée de responsable des traitements des données à caractère personnel des usagers mis en œuvre par le concessionnaire dans le cadre de l’exécution du service, dès lors que le traitement de ces données est nécessaire à la satisfaction des finalités poursuivies par la collectivité et que cette dernière a substantiellement défini les traitements de données en cause et leurs conditions de réalisation par le concessionnaire, notamment à travers des clauses contractuelles ou des instructions précises quant à leur mise en œuvre durant l’exécution du contrat. | 4, 24, 26 | a33beb1398d687ce56ea092654850e76f54bebb2, 788235c7a7839ac7e834e0a5a9a15b95657a9271, 8ce5af29fdc1bba6fa462556f98ce0fb61c67e64 | Non publié. Source: CNIL, Tables Informatique et Libertés | |||||
433311 | Sergic | 04/11/2020 | 2020 | France | Conseil d'Etat | A classer | Faculté, pour la CNIL, de sanctionner sans mise en demeure préalable - Existence | 3. Il résulte clairement [des] dispositions [de l'article 83] que le prononcé d'une sanction par la formation restreinte de la CNIL n'est pas subordonné à l'intervention préalable d'une mise en demeure du responsable du traitement ou de son sous-traitant par le président de la CNIL. | 83, 84 | 13f3089206d6a7af14309e3188901bac86bb8db9, 68136ec0621ef3fe8935bf9fa91f0f6e4a202509 | Cliquer pour accéder à la décision | ||||||
432656 | La Quadrature du Net | 04/11/2020 | 2020 | France | Conseil d'Etat | Liberté | Technologie | Système d’identification électronique - Reconnaissance faciale - Conditions de liberté du consentement - Recours au traitement exigé par sa finalité et absence de préjudice en cas de refus de consentement | 8. D'une part, il ne ressort pas des pièces du dossier que, pour la création d'identifiants électroniques, il existait à la date du décret attaqué d'autres moyens d'authentifier l'identité de l'usager de manière entièrement dématérialisée en présentant le même niveau de garantie que le système de reconnaissance faciale. Il s'ensuit que le recours au traitement de données biométriques autorisé par le décret attaqué doit être regardé comme exigé par la finalité de ce traitement. - 9. [...] Dès lors que les usagers qui ne consentiraient pas au traitement prévu dans le cadre de la création d'un compte Alicem peuvent accéder en ligne, grâce à un identifiant unique, à l'ensemble des téléservices proposés, ils ne sauraient être regardés comme subissant un préjudice au sens du règlement général sur la protection des données précité. Il s'ensuit que l'association requérante n'est pas fondée à soutenir que le consentement des utilisateurs de l'application Alicem ne serait pas librement recueilli ni, par suite, que le décret attaqué méconnaîtrait pour ce motif les dispositions du règlement général sur la protection des données et de la loi du 6 janvier 1978. | 6, 7, 9 | 5e56ceb6a3ee0eeaba07ec39a491a470a34c31f7 | Cliquer pour accéder à la décision | |||||
424440 | Office public de l’habitat de Rennes Métropole-Archipel Habitat | 05/10/2020 | 2020 | France | Conseil d'Etat | Limitation des finalités | Marketing et prospection | Courrier méconnaissant la finalité informative du traitement pour laquelle il a été autorisé - Incompatibilité | 5. En premier lieu, l'office public de l'habitat est autorisé à utiliser les données à caractère personnel qu'il a collectées et qui font l'objet d'un traitement pour plusieurs finalités, en particulier la gestion du parc social immobilier de son ressort, mais également l'information de ses locataires, conformément à la délibération à caractère général de la CNIL n° 2006-138 du 9 mai 2006 [...]. - 6. [...] La formation restreinte de la CNIL, qui n'a pas, contrairement à ce qui est soutenu, qualifié le courrier de " communication politique ", a pu estimer que le contenu du courrier n'était " pas de nature purement informative " et qu'un manquement à l'obligation de respecter les finalités pour lesquelles le traitement avait été autorisé, de nature à justifier une sanction, était caractérisé. | 5 | 743da23f34ee7adc1bc280808926e060c096910e | Cliquer pour accéder à la décision | |||||
C-311/18 | Facebook Ireland et Schrems | 16/07/2020 | 2020 | Irlande | Cour de Justice de l'UE | Sécurité nationale | Economie et fiscalité | Champ d'application du RGPD - Transferts de données à caractère personnel effectués à des fins commerciales par un opérateur économique établi dans un État membre vers un autre opérateur établi dans un pays tiers - Inclusion - Données susceptibles d’être traitées par les autorités du pays tiers concerné à des fins de sécurité nationale - Absence d’incidence | 89. Partant, il y a lieu de répondre à la première question que l’article 2, paragraphes 1 et 2, du RGPD doit être interprété en ce sens que relève du champ d’application de ce règlement un transfert de données à caractère personnel effectué à des fins commerciales par un opérateur économique établi dans un État membre vers un autre opérateur économique établi dans un pays tiers, nonobstant le fait que, au cours ou à la suite de ce transfert, ces données sont susceptibles d’être traitées par les autorités du pays tiers concerné à des fins de sécurité publique, de défense et de sûreté de l’État. | 2 | 70142f66475ae2fb33722d8d4750f386ecfefe7b | Cliquer pour accéder à la décision | |||||
C-272/19 | Land Hessen | 09/07/2020 | 2020 | Allemagne | Cour de Justice de l'UE | Sécurité nationale | Police-Justice | Activité visant à préserver la sécurité nationale ou activité relevant de cette catégorie de nature à exclure l'application du RGPD - Traitement propre à l’État ou à une autorité publique - Absence de qualification automatique | 69. Certes, la Cour a, en substance, souligné que les activités mentionnées à titre d’exemples à l’article 3, paragraphe 2, premier tiret, de la directive 95/46 (à savoir les activités prévues aux titres V et VI du traité sur l’Union européenne ainsi que les traitements ayant pour objet la sécurité publique, la défense, la sûreté de l’État et les activités relatives à des domaines du droit pénal) sont, dans tous les cas, des activités propres aux États ou aux autorités étatiques et que ces activités sont destinées à définir la portée de l’exception y prévue, de telle sorte que cette exception ne s’applique qu’aux activités qui y sont ainsi expressément mentionnées ou qui peuvent être rangées dans la même catégorie (ejusdem generis) (arrêt du 6 novembre 2003, Lindqvist, C-101/01, EU:C:2003:596, points 43 et 44). - 70. Cela étant, le fait qu’une activité soit propre à l’État ou à une autorité publique ne suffit pas pour que cette exception soit automatiquement applicable à une telle activité. Il est, en effet, nécessaire que cette activité figure au nombre de celles qui sont expressément mentionnées par ladite disposition ou qu’elle puisse être rangée dans la même catégorie que celles-ci. | 2 | 70142f66475ae2fb33722d8d4750f386ecfefe7b | Cliquer pour accéder à la décision | |||||
C-272/19 | Land Hessen | 09/07/2020 | 2020 | Allemagne | Cour de Justice de l'UE | Responsable de traitement | Administration | Responsable du traitement - Commission des pétitions du parlement d’un État fédéré d’un État membre - Inclusion - Article 15 - Droit d’accès de la personne concernée - Application | 72. En quatrième et dernier lieu, aucune exception n’est prévue dans le règlement 2016/679, notamment au considérant 20 et à l’article 23 de celui-ci, en ce qui concerne les activités parlementaires. - 74. Il résulte de l’ensemble des considérations qui précèdent que l’article 4, point 7, du règlement 2016/679 doit être interprété en ce sens que, dans la mesure où une commission des pétitions du parlement d’un État fédéré d’un État membre détermine, seule ou avec d’autres, les finalités et les moyens du traitement, cette commission doit être qualifiée de « responsable du traitement », au sens de cette disposition, de telle sorte que le traitement de données à caractère personnel effectué par une telle commission relève du champ d’application de ce règlement, notamment de l’article 15 de celui-ci. | 4, 15, 24 | a33beb1398d687ce56ea092654850e76f54bebb2 | Cliquer pour accéder à la décision | |||||
C-272/19 | Land Hessen | 09/07/2020 | 2020 | Allemagne | Cour de Justice de l'UE | A classer | Administration | Responsable du traitement - Commission des pétitions du parlement d’un État fédéré d’un État membre - Inclusion - Article 15 - Droit d’accès de la personne concernée - Application | 72. En quatrième et dernier lieu, aucune exception n’est prévue dans le règlement 2016/679, notamment au considérant 20 et à l’article 23 de celui-ci, en ce qui concerne les activités parlementaires. - 74. Il résulte de l’ensemble des considérations qui précèdent que l’article 4, point 7, du règlement 2016/679 doit être interprété en ce sens que, dans la mesure où une commission des pétitions du parlement d’un État fédéré d’un État membre détermine, seule ou avec d’autres, les finalités et les moyens du traitement, cette commission doit être qualifiée de « responsable du traitement », au sens de cette disposition, de telle sorte que le traitement de données à caractère personnel effectué par une telle commission relève du champ d’application de ce règlement, notamment de l’article 15 de celui-ci. | 4, 15, 24 | 4c7a18c8baa891976ae8102b846b3aa8143fe90d, 788235c7a7839ac7e834e0a5a9a15b95657a9271 | Cliquer pour accéder à la décision | |||||
434684 | Association des agences-conseils en communication et autres | 19/06/2020 | 2020 | France | Conseil d'Etat | Liberté | Cookies et autres traceurs, Technologie | Cookie wall - Exclusion de facto de la possibilité de recueillir le consentement - Rejet | 10. D’autre part, la CNIL affirme, à ce même article 2, que la validité du consentement est soumise à la condition que la personne concernée ne subisse pas d’inconvénient majeur en cas d’absence ou de retrait de son consentement, un tel inconvénient majeur pouvant consister, selon elle, dans l’impossibilité d’accéder à un site Internet, en raison de la pratique des « cookies walls ». En déduisant pareille interdiction générale et absolue de la seule exigence d’un consentement libre, posé par le règlement du 27 avril 2016, la CNIL a excédé ce qu’elle peut légalement faire, dans le cadre d’un instrument de droit souple, édicté sur le fondement du 2° du I de l’article 8 de la loi du 6 janvier 1978 cité au point 3. Il s’ensuit que la délibération attaquée est, dans cette mesure, entachée d’illégalité. | 7 | 5e56ceb6a3ee0eeaba07ec39a491a470a34c31f7 | 82 | Cliquer pour accéder à la décision | ||||
430810 | Google LLC | 19/06/2020 | 2020 | France | Conseil d'Etat | Univoque, Spécificité | Technologie | Consentement au moyen d'une case cochée par défaut et/ou dans le cadre de l'acceptation globale de conditions générales - Absence de validité - Exigence d'une présentation claire et distincte de l'ensemble des finalités poursuivies par le traitement | 21. [...] Un consentement donné au moyen d'une case cochée par défaut n'implique pas un comportement actif de la part de l'utilisateur et ne peut dès lors être considéré comme procédant d'un acte positif clair permettant valablement le recueil du consentement. En outre, un consentement recueilli dans le cadre de l'acceptation globale de conditions générales d'utilisation d'un service ne revêt pas un caractère spécifique au sens du RGPD. Enfin, indépendamment des modalités dans lesquelles il est recueilli, le consentement n'est valide que s'il est précédé d'une présentation claire et distincte de l'ensemble des finalités poursuivies par le traitement. | 7 | 5e56ceb6a3ee0eeaba07ec39a491a470a34c31f7 | Cliquer pour accéder à la décision | |||||
430810 | Google LLC | 19/06/2020 | 2020 | France | Conseil d'Etat | A classer | Information et transparence - Accessibilité des informations pertinentes relatives aux différentes finalités et à l'ampleur du traitement | 20. Dans ces conditions, l’arborescence choisie par Google apparaît de nature, par l’éparpillement de l’information qu’elle organise, à nuire à l’accessibilité et à la clarté de celle-ci pour les utilisateurs, alors même que les traitements en cause sont particulièrement intrusifs eu égard au nombre et à la nature des données collectées. | 12, 13 | 4fde6b87a266eece4b77ee2df16db81507c218b0, f7475b81fdc4723ec189ed2fbacb5f50b84b6a92 | Cliquer pour accéder à la décision | ||||||
2020-062 | Avis sur projet de décret | 11/06/2020 | 2020 | France | CNIL (ou équivalent) | Anonymisation | Anonymisation et pseudonymisation - Distinction - Sens restrictif du terme "anonymisation" au sens du RGPD | Il y a lieu, lorsque des dispositions législatives ou réglementaires font référence à la notion d’anonymisation, de rechercher quelle est l’intention de l’auteur du texte pour comprendre la portée de ses exigences, et notamment si les dispositions en cause exigent une anonymisation au sens du RGPD ou une pseudonymisation, par occultation des données directement identifiantes. La Commission invite le législateur et le pouvoir réglementaire à tenir systématiquement compte de la distinction posée par le RGPD et à employer le mot d’anonymisation dans le seul sens restrictif que lui donne le RGPD. | 4 | a33beb1398d687ce56ea092654850e76f54bebb2 | Non publié. Source: CNIL, Tables Informatique et Libertés | ||||||
2020-800 QC | Loi autorisant la prorogation de l'état d'urgence sanitaire et portant diverses mesures de gestion de la crise sanitaire | 11/05/2020 | 2020 | France | Conseil constitutionnel | Confidentialité | Extension de l’accès aux données des personnes atteintes de la COVID-19 - Respect du droit à la vie privée - Conditions : strict respect du besoin d'en connaitre | 69. Si le champ des personnes susceptibles d'avoir accès à ces données à caractère personnel, sans le consentement de l'intéressé, est particulièrement étendu, cette extension est rendue nécessaire par la masse des démarches à entreprendre pour organiser la collecte des informations nécessaires à la lutte contre le développement de l'épidémie. - 70. En revanche, sont également inclus dans ce champ, pour le partage des données, les organismes qui assurent l'accompagnement social des intéressés. Or, s'agissant d'un accompagnement social, qui ne relève donc pas directement de la lutte contre l'épidémie, rien ne justifie que la communication des données à caractère personnel traitées dans le système d'information ne soit pas subordonnée au recueil du consentement des intéressés. Dès lors, la deuxième phrase du paragraphe III de l'article 11, qui méconnaît le droit au respect de la vie privée, est contraire à la Constitution. - 71. En outre, conformément au paragraphe III de l'article 11, chaque organisme n'est appelé à participer au système d'information mis en place que pour la part de ses missions susceptibles de répondre à l'une ou l'autre des finalités propres à ce système d'information et n'a accès qu'aux seules données nécessaires à son intervention. Il résulte également du paragraphe V du même article qu'un décret en Conseil d'État précisera, au sein de ces organismes, les services et personnels dont les interventions seraient, dans ce cadre, nécessaires, les catégories de données auxquelles ils auront accès, la durée de leurs accès ainsi que les règles de conservation de ces données. | 5 | 743da23f34ee7adc1bc280808926e060c096910e | Cliquer pour accéder à la décision | ||||||
431350 | Cercle de réflexion et de proposition d’actions sur la psychiatrie et autres | 27/03/2020 | 2020 | France | Conseil d'Etat | Traitement | Traitement de données à caractère personnel - Mise en relation de traitements existants en vue de leur utilisation au regard de la finalité poursuivie par l'un d'entre eux ou d'une finalité propre - 1) Inclusion - 2) Cadre juridique applicable dépendant de la finalité poursuivie | 9. [...] Une mise en relation de deux traitements existants qui consiste à rapprocher des données conservées dans l'un et l'autre en vue de leur utilisation au regard de la finalité poursuivie par l'un d'entre eux ou d'une finalité propre constitue en elle-même un traitement au sens de ces dispositions. Le cadre juridique applicable à un tel traitement dépend de la finalité ainsi poursuivie. | 4 | a33beb1398d687ce56ea092654850e76f54bebb2 | Cliquer pour accéder à la décision | ||||||
431350 | Cercle de réflexion et de proposition d’actions sur la psychiatrie et autres | 27/03/2020 | 2020 | France | Conseil d'Etat | Sécurité nationale | Police-Justice | 1) Traitement mettant en relation les traitements HOPSYWEB et FSPRT - Finalité - Prévention de la radicalisation à caractère terroriste - 2) Conséquences - a) Application des dispositions relatives aux traitements intéressant la sûreté de l'État et la défense - Existence - b) Application du RGPD - Absence | 10. Il ressort des pièces du dossier que le traitement créé par le décret attaqué, qui met partiellement en relation les traitements HOPSYWEB et le traitement FSPRT, a pour finalité la prévention de la radicalisation à caractère terroriste. Il s'ensuit qu'il relève, au même titre que le traitement FSPRT, des seules dispositions applicables aux traitements intéressant la sûreté de l'Etat et la défense, aujourd'hui regroupées au sein du titre IV de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ainsi que des dispositions communes à l'ensemble des traitements figurant aujourd'hui au titre I. Il ne relève dès lors pas du champ d'application du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD), ni du titre II de la loi du 6 janvier 1978 relatif aux traitements relevant du régime de protection prévu par ce règlement désormais applicable. Les moyens tirés de la méconnaissance des dispositions de ce règlement, en particulier le moyen tiré de l'insuffisance de l'analyse d'impact, ne peuvent donc qu'être écartés comme inopérants, sans qu'il soit besoin de surseoir à statuer jusqu'à ce que la Cour de justice de l'Union européenne se soit prononcée sur l'interprétation qu'il convient de retenir des articles 9, 12, 13, 14, 16 et 17 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016. | 2 | 70142f66475ae2fb33722d8d4750f386ecfefe7b | 115 | Cliquer pour accéder à la décision | ||||
C-708/18 | Asociaţia de Proprietari bloc M5A-ScaraA | 11/12/2019 | 2019 | Roumanie | Cour de Justice de l'UE | Intérêt légitime | Intérêt légitime - Mise en place d’un système de vidéosurveillance dans les parties communes d’un immeuble à usage d’habitation - Existence - Condition de mise en balance des intérêts | 60. Eu égard à ce qui précède, il y a lieu de répondre aux questions posées que l’article 6, paragraphe 1, sous c), et l’article 7, sous f), de la directive 95/46 [article 6 du RGPD], lus à la lumière des articles 7 et 8 de la Charte, doivent être interprétés en ce sens qu’ils ne s’opposent pas à des dispositions nationales qui autorisent la mise en place d’un système de vidéosurveillance, tel que le système en cause au principal installé dans les parties communes d’un immeuble à usage d’habitation, aux fins de poursuivre des intérêts légitimes consistant à assurer la garde et la protection des personnes et des biens, sans le consentement des personnes concernées, si le traitement de données à caractère personnel opéré au moyen du système de vidéosurveillance en cause répond aux conditions posées audit article 7, sous f), ce qu’il incombe à la juridiction de renvoi de vérifier. | 6 | 2ce6ddc84d93a3a1dcd84238cd67260bd7272e08 | Cliquer pour accéder à la décision | ||||||
420917 | M. B… A… | 02/12/2019 | 2019 | France | Conseil d'Etat | Personne concernée | Personne concernée - Ayant droit d’une personne décédée à laquelle se rapportent des données à caractère personnel - Exclusion par principe | 4. La loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés n'ouvre la possibilité de demander la communication de données à caractère personnel figurant dans un traitement automatisé ou de solliciter un accès indirect à de telles données qu'à la personne concernée par celles-ci. La seule qualité d'ayant droit de son père décédé dont se prévaut M. A... ne lui confère pas la qualité de personne concernée par les données susceptibles de concerner son père dans un fichier intéressant la sûreté de l'Etat ou la défense. | 4 | a33beb1398d687ce56ea092654850e76f54bebb2 | Cliquer pour accéder à la décision | ||||||
DI 191260 | Lycées de la région X | 25/10/2019 | 2019 | France | CNIL (ou équivalent) | Minimisation | Jeunesse et éducation | Systèmes d’identification par reconnaissance faciale de mineurs - Objectifs pouvant être atteints par des moyens aussi efficaces et moins intrusifs | Les principes de nécessité d’un traitement fondé sur l’intérêt public et de minimisation des données s’opposent à la mise en œuvre de systèmes d’identification par reconnaissance faciale d’enfants à des fins de contrôle d’accès à des établissements scolaires, dès lors que les objectifs de sécurisation et la fluidification des entrées dans de tels établissements peuvent être atteints par des moyens aussi efficaces et moins intrusifs et compte tenu de la protection particulière dont doivent bénéficier les enfants, quand bien même ces systèmes seraient mis en œuvre à titre expérimental et reposeraient sur le consentement des élèves concernés. | 5 | 743da23f34ee7adc1bc280808926e060c096910e | Non publié. Source: CNIL, Tables Informatique et Libertés | |||||
C-673/17 | Planet49 | 01/10/2019 | 2019 | Allemagne | Cour de Justice de l'UE | Univoque | Technologie | Consentement à l'utilisation de cookies au moyen d’une case pré-cochée par défaut - Exclusion | 54. En particulier, l’article 7, sous a), de la directive 95/46 prévoit que le consentement de la personne concernée peut rendre un tel traitement licite pour autant que ce consentement est « indubitablement » donné par la personne concernée. Or, seul un comportement actif de la part de cette personne en vue de manifester son consentement est de nature à remplir cette exigence. - 55. À cet égard, il apparaît pratiquement impossible de déterminer de manière objective si l’utilisateur d’un site Internet a effectivement donné son consentement au traitement de ses données personnelles en ne décochant pas une case cochée par défaut ainsi que, en tout état de cause, si ce consentement a été donné de manière informée. En effet, il ne peut être exclu que ledit utilisateur n’ait pas lu l’information accompagnant la case cochée par défaut, voire qu’il n’ait pas aperçu cette case, avant de poursuivre son activité sur le site Internet qu’il visite. [...] 59. En l’occurrence, contrairement à ce qu’a fait valoir Planet49, le fait pour un utilisateur d’activer le bouton de participation au jeu promotionnel organisé par cette société ne saurait dès lors suffire pour considérer que l’utilisateur a valablement donné son consentement au placement de cookies. | 7 | 5e56ceb6a3ee0eeaba07ec39a491a470a34c31f7 | Cliquer pour accéder à la décision | |||||
C-673/17 | Planet49 | 01/10/2019 | 2019 | Allemagne | Cour de Justice de l'UE | A classer | Technologie | Information claire et complète devant être donnée par le fournisseur de services - Durée de fonctionnement des cookies - Inclusion - Possibilité ou non pour des tiers d’avoir accès aux cookies - Inclusion | 81. Eu égard aux considérations qui précèdent, il convient de répondre à la seconde question que l’article 5, paragraphe 3, de la directive 2002/58 doit être interprété en ce sens que les informations que le fournisseur de services doit donner à l’utilisateur d’un site Internet incluent la durée de fonctionnement des cookies ainsi que la possibilité ou non pour des tiers d’avoir accès à ces cookies. | 12, 13 | 4fde6b87a266eece4b77ee2df16db81507c218b0, f7475b81fdc4723ec189ed2fbacb5f50b84b6a92 | Cliquer pour accéder à la décision | |||||
C-673/17 | Planet49 | 01/10/2019 | 2019 | Allemagne | Cour de Justice de l'UE | A classer | Technologie | Exhaustivité de la liste des informations que doit fournir le responsable du traitement à la personne auprès de laquelle il collecte des données la concernant - Absence | 78. Si la durée du traitement des données ne figure pas parmi ces informations, il ressort toutefois de l’expression « au moins » figurant à l’article 10 de la directive 95/46 que celles-ci ne sont pas énumérées de manière exhaustive. Or, l’information sur la durée de fonctionnement des cookies doit être considérée comme répondant à l’exigence d’un traitement loyal des données prévue par ledit article, en ce que, dans une situation telle que celle en cause au principal, une durée longue, voire illimitée, implique la collecte de nombreuses informations sur les habitudes de navigation et la fréquence des visites éventuelles de l’utilisateur sur les sites des partenaires publicitaires de l’organisateur du jeu promotionnel | 12, 13 | 4fde6b87a266eece4b77ee2df16db81507c218b0, f7475b81fdc4723ec189ed2fbacb5f50b84b6a92 | Cliquer pour accéder à la décision | |||||
C-136/17 | GC e.a. | 24/09/2019 | 2019 | France | Cour de Justice de l'UE | Droits des personnes | Technologie | Déréférencement de données sensibles - Principe - Conditions de rejet de la demande - 1) Respect du RGPD ET 2) Mise en balance entre la gravité de l’ingérence dans les droits fondamentaux de la personne concernée et le droit à l’information des internautes - OU - Traitement portant sur des données manifestement rendues publiques par la personne concernée ou nécessaires à la constatation, à l'exercice ou à la défense d'un droit en justice. | 69. Les dispositions de l’article 8, paragraphes 1 et 5, de la directive 95/46 doivent être interprétées en ce sens que, en vertu de celles-ci, l’exploitant d’un moteur de recherche est en principe obligé, sous réserve des exceptions prévues par cette directive, de faire droit aux demandes de déréférencement portant sur des liens menant vers des pages web sur lesquelles figurent des données à caractère personnel qui relèvent des catégories particulières visées par ces dispositions. - L’article 8, paragraphe 2, sous e), de la directive 95/46 doit être interprété en ce sens que, en application de celui-ci, un tel exploitant peut refuser de faire droit à une demande de déréférencement lorsqu’il constate que les liens en cause mènent vers des contenus comportant des données à caractère personnel qui relèvent des catégories particulières visées à cet article 8, paragraphe 1, mais dont le traitement est couvert par l’exception prévue audit article 8, paragraphe 2, sous e), à condition que ce traitement réponde à l’ensemble des autres conditions de licéité posées par cette directive et à moins que la personne concernée n’ait, en vertu de l’article 14, premier alinéa, sous a), de ladite directive, le droit de s’opposer audit traitement pour des raisons prépondérantes et légitimes tenant à sa situation particulière. - Les dispositions de la directive 95/46 doivent être interprétées en ce sens que, lorsque l’exploitant d’un moteur de recherche est saisi d’une demande de déréférencement portant sur un lien vers une page web sur laquelle des données à caractère personnel relevant des catégories particulières visées à l’article 8, paragraphe 1 ou 5, de cette directive sont publiées, cet exploitant doit, sur la base de tous les éléments pertinents du cas d’espèce et compte tenu de la gravité de l’ingérence dans les droits fondamentaux de la personne concernée au respect de la vie privée et à la protection des données à caractère personnel, consacrés aux articles 7 et 8 de la Charte, vérifier, au titre des motifs d’intérêt public important visés à l’article 8, paragraphe 4, de ladite directive et dans le respect des conditions prévues à cette dernière disposition, si l’inclusion de ce lien dans la liste de résultats, qui est affichée à la suite d’une recherche effectuée à partir du nom de cette personne, s’avère strictement nécessaire pour protéger la liberté d’information des internautes potentiellement intéressés à avoir accès à cette page web au moyen d’une telle recherche, consacrée à l’article 11 de la Charte. | 9, 10, 17 | b85ab32eaa572c8016edf68011078dceed8149e5, c23f7da7070511444ebc75875fd9d202b5dd13cf | Cliquer pour accéder à la décision | |||||
C-136/17 | GC e.a. | 24/09/2019 | 2019 | France | Cour de Justice de l'UE | A classer | Technologie | Déréférencement de données sensibles - Principe - Conditions de rejet de la demande - 1) Respect du RGPD ET 2) Mise en balance entre la gravité de l’ingérence dans les droits fondamentaux de la personne concernée et le droit à l’information des internautes - OU - Traitement portant sur des données manifestement rendues publiques par la personne concernée ou nécessaires à la constatation, à l'exercice ou à la défense d'un droit en justice. | 69. Les dispositions de l’article 8, paragraphes 1 et 5, de la directive 95/46 doivent être interprétées en ce sens que, en vertu de celles-ci, l’exploitant d’un moteur de recherche est en principe obligé, sous réserve des exceptions prévues par cette directive, de faire droit aux demandes de déréférencement portant sur des liens menant vers des pages web sur lesquelles figurent des données à caractère personnel qui relèvent des catégories particulières visées par ces dispositions. - L’article 8, paragraphe 2, sous e), de la directive 95/46 doit être interprété en ce sens que, en application de celui-ci, un tel exploitant peut refuser de faire droit à une demande de déréférencement lorsqu’il constate que les liens en cause mènent vers des contenus comportant des données à caractère personnel qui relèvent des catégories particulières visées à cet article 8, paragraphe 1, mais dont le traitement est couvert par l’exception prévue audit article 8, paragraphe 2, sous e), à condition que ce traitement réponde à l’ensemble des autres conditions de licéité posées par cette directive et à moins que la personne concernée n’ait, en vertu de l’article 14, premier alinéa, sous a), de ladite directive, le droit de s’opposer audit traitement pour des raisons prépondérantes et légitimes tenant à sa situation particulière. - Les dispositions de la directive 95/46 doivent être interprétées en ce sens que, lorsque l’exploitant d’un moteur de recherche est saisi d’une demande de déréférencement portant sur un lien vers une page web sur laquelle des données à caractère personnel relevant des catégories particulières visées à l’article 8, paragraphe 1 ou 5, de cette directive sont publiées, cet exploitant doit, sur la base de tous les éléments pertinents du cas d’espèce et compte tenu de la gravité de l’ingérence dans les droits fondamentaux de la personne concernée au respect de la vie privée et à la protection des données à caractère personnel, consacrés aux articles 7 et 8 de la Charte, vérifier, au titre des motifs d’intérêt public important visés à l’article 8, paragraphe 4, de ladite directive et dans le respect des conditions prévues à cette dernière disposition, si l’inclusion de ce lien dans la liste de résultats, qui est affichée à la suite d’une recherche effectuée à partir du nom de cette personne, s’avère strictement nécessaire pour protéger la liberté d’information des internautes potentiellement intéressés à avoir accès à cette page web au moyen d’une telle recherche, consacrée à l’article 11 de la Charte. | 9, 10, 17 | 1e8656ea42e419dc857d077aca14615f16874373 | Cliquer pour accéder à la décision | |||||
C-507/17 | 24/09/2019 | 2019 | France | Cour de Justice de l'UE | A classer | Technologie | Droit à l'oubli et déréférencement - Portée territoriale - Ensemble des Etats membres | 73. Au vu de tout ce qui précède, il y a lieu de répondre aux questions posées que l’article 12, sous b), et l’article 14, premier alinéa, sous a), de la directive 95/46 ainsi que l’article 17, paragraphe 1, du règlement 2016/679 doivent être interprétés en ce sens que, lorsque l’exploitant d’un moteur de recherche fait droit à une demande de déréférencement en application de ces dispositions, il est tenu d’opérer ce déréférencement non pas sur l’ensemble des versions de son moteur, mais sur les versions de celui-ci correspondant à l’ensemble des États membres, et ce, si nécessaire, en combinaison avec des mesures qui, tout en satisfaisant aux exigences légales, permettent effectivement d’empêcher ou, à tout le moins, de sérieusement décourager les internautes effectuant une recherche sur la base du nom de la personne concernée à partir de l’un des États membres d’avoir, par la liste de résultats affichée à la suite de cette recherche, accès aux liens qui font l’objet de cette demande. | 17 | 1e8656ea42e419dc857d077aca14615f16874373 | Cliquer pour accéder à la décision | ||||||
C-40/17 | Fashion ID | 29/07/2019 | 2019 | Allemagne | Cour de Justice de l'UE | A classer | Technologie | Gestionnaire d’un site internet équipé du bouton « j’aime » de Facebook - Responsabilité conjointe entre le gestionnaire du site et Facebook - Admission | 75. En l’occurrence, sous réserve des vérifications qu’il appartient à la juridiction de renvoi d’effectuer, il ressort du dossier dont dispose la Cour que, en ayant inséré sur son site Internet le bouton « j’aime » de Facebook, Fashion ID semble avoir offert la possibilité à Facebook Ireland d’obtenir des données à caractère personnel des visiteurs de son site Internet, une telle possibilité étant déclenchée dès le moment de la consultation d’un tel site, et ce indépendamment du fait que ces visiteurs soient membres du réseau social Facebook ou qu’ils aient cliqué sur le bouton « j’aime » de Facebook ou encore qu’ils aient connaissance d’une telle opération. - 76. Compte tenu de ces informations, il convient de constater que les opérations de traitement de données à caractère personnel dont Fashion ID est susceptible de déterminer, conjointement avec Facebook Ireland, les finalités et les moyens sont, au regard de la définition de la notion de « traitement à caractère personnel » figurant à l’article 2, sous b), de la directive 95/46, la collecte et la communication par transmission des données à caractère personnel des visiteurs de son site Internet. | 24, 26 | 788235c7a7839ac7e834e0a5a9a15b95657a9271, 8ce5af29fdc1bba6fa462556f98ce0fb61c67e64 | Cliquer pour accéder à la décision | |||||
C-40/17 | Fashion ID | 29/07/2019 | 2019 | Allemagne | Cour de Justice de l'UE | Intérêt légitime | Technologie | Responsabilité conjointe entre le gestionnaire d’un site internet équipé du bouton « j’aime » et Facebook - Nécessité que les responsables poursuivent chacun un intérêt légitime | 97. Eu égard aux considérations qui précèdent, il y a lieu de répondre à la quatrième question que, dans une situation telle que celle en cause au principal, dans laquelle le gestionnaire d’un site Internet insère sur ledit site un module social permettant au navigateur du visiteur de ce site de solliciter des contenus du fournisseur dudit module et de transmettre à cet effet audit fournisseur des données à caractère personnel du visiteur, il est nécessaire que ce gestionnaire et ce fournisseur poursuivent chacun, avec ces opérations de traitement, un intérêt légitime, au sens de l’article 7, sous f), de la directive 95/46, [article 6 du RGPD] afin que celles-ci soient justifiées dans son chef. | 6 | 2ce6ddc84d93a3a1dcd84238cd67260bd7272e08 | Cliquer pour accéder à la décision | |||||
2019-797 QPC | Unicef France et autres | 26/07/2019 | 2019 | France | Conseil constitutionnel | Limitation des finalités | Traitement de données à caractère personnel poursuivant plusieurs finalités - Admission | 8. [...] Ce faisant, et alors qu'aucune norme constitutionnelle ne s'oppose par principe à ce qu'un traitement automatisé poursuive plusieurs finalités, le législateur a, en adoptant les dispositions contestées, entendu mettre en œuvre l'exigence constitutionnelle de protection de l'intérêt supérieur de l'enfant et poursuivi l'objectif de valeur constitutionnelle de lutte contre l'immigration irrégulière. | 5 | 743da23f34ee7adc1bc280808926e060c096910e | Cliquer pour accéder à la décision | ||||||
424216 | Association des américains accidentels | 19/07/2019 | 2019 | France | Conseil d'Etat | Droit applicable | Police-Justice | Distinction entre objet pénal et finalité pénale | 8. [...] Si le traitement créé par l'arrêté du 5 octobre 2015 a pour finalité de lutter contre la fraude et l'évasion fiscales, il doit être regardé comme ayant parmi ses objets la prévention, la recherche, la constatation ou la poursuite des infractions pénales. Il s'ensuit, eu égard à cet objet, qu'il est au nombre des traitements visés à l'article 31 précité qui constitue l'exacte reprise de l'article 26 de cette même loi, dans sa version en vigueur à la date d'édiction des arrêtés du 5 octobre 2015 et du 25 juillet 2017. - 18. [...] Alors même qu'ainsi qu'il a été dit au point 8, le traitement litigieux a plusieurs objets, au nombre desquels figurent la prévention, la détection et la répression des infractions pénales, sa finalité est de permettre, en luttant contre la fraude et l'évasion fiscales, l'amélioration du respect de leurs obligations fiscales par les contribuables français et américains. Il s'ensuit qu'il relève du champ d'application du règlement du 27 avril 2016 et non de celui de la directive du même jour. | 2, 10 | 70142f66475ae2fb33722d8d4750f386ecfefe7b, c23f7da7070511444ebc75875fd9d202b5dd13cf | 31, 87 | Cliquer pour accéder à la décision | ||||
397073 | Avis sur le projet de décret "ALICEM" | 02/04/2019 | 2019 | France | Conseil d'Etat | Consentement, Biométrie | Consentement au traitement de données biométriques - Condition de liberté - Possibilité de refuser ou de retirer le consentement sans préjudice | Le Conseil d’État considère que ces dispositions ne sont pas méconnues par le projet dès lors que le recours à ALICEM pour s'authentifier auprès d'organismes publics ou privés est une faculté, les usagers ou clients ayant la possibilité de recourir à d'autres dispositifs d'authentification électronique ou d'entrer en contact avec ces organismes par des voies autres qu'électroniques. Le projet prévoit également la possibilité pour l'intéressé de désinstaller l'application de son équipement terminal de communications électroniques à tout moment. Les données biométriques sont elles-mêmes supprimées du traitement sitôt l'enrôlement dans le traitement terminé. | 7, 9 | b85ab32eaa572c8016edf68011078dceed8149e5 | Non publié en intégralité. | ||||||
397073 | Avis sur le projet de décret "ALICEM" | 02/04/2019 | 2019 | France | Conseil d'Etat | Liberté | Consentement au traitement de données biométriques - Condition de liberté - Possibilité de refuser ou de retirer le consentement sans préjudice | Le Conseil d’État considère que ces dispositions ne sont pas méconnues par le projet dès lors que le recours à ALICEM pour s'authentifier auprès d'organismes publics ou privés est une faculté, les usagers ou clients ayant la possibilité de recourir à d'autres dispositifs d'authentification électronique ou d'entrer en contact avec ces organismes par des voies autres qu'électroniques. Le projet prévoit également la possibilité pour l'intéressé de désinstaller l'application de son équipement terminal de communications électroniques à tout moment. Les données biométriques sont elles-mêmes supprimées du traitement sitôt l'enrôlement dans le traitement terminé. | 7, 9 | 5e56ceb6a3ee0eeaba07ec39a491a470a34c31f7 | Non publié en intégralité. | ||||||
C-345/17 | Buivids | 14/02/2019 | 2019 | Lettonie | Cour de Justice de l'UE | Donnée à caractère personnel | Donnée à caractère personnel - Image d’une personne enregistrée par une caméra - Inclusion | 31. Selon la jurisprudence de la Cour, l’image d’une personne enregistrée par une caméra constitue une « donnée à caractère personnel », au sens de l’article 2, sous a), de la directive 95/46, dans la mesure où elle permet d’identifier la personne concernée (voir, en ce sens, arrêt du 11 décembre 2014, Ryneš, C‑212/13, EU:C:2014:2428, point 22). | 4 | a33beb1398d687ce56ea092654850e76f54bebb2 | Cliquer pour accéder à la décision | ||||||
C-345/17 | Buivids | 14/02/2019 | 2019 | Lettonie | Cour de Justice de l'UE | Traitement | Technologie | Traitement de données à caractère personnel - Enregistrement vidéo publié sur internet et que les utilisateurs peuvent envoyer, regarder et partager - Inclusion | 47. Eu égard à ce qui précède, il y a lieu de répondre à la première question que l’article 3 de la directive 95/46 doit être interprété en ce sens que relèvent du champ d’application de cette directive l’enregistrement vidéo de membres de la police dans un commissariat, lors d’une prise de déposition, et la publication de la vidéo ainsi enregistrée sur un site Internet de vidéos sur lequel les utilisateurs peuvent envoyer, regarder et partager celles-ci. | 4 | a33beb1398d687ce56ea092654850e76f54bebb2 | Cliquer pour accéder à la décision | |||||
C-496/17 | Deutsche Post | 16/01/2019 | 2019 | Allemagne | Cour de Justice de l'UE | Minimisation | Economie et fiscalité, Administration | Demandeur du statut d’opérateur économique agréé - Licéité d’une demande de communication des numéros d’identification fiscale des personnes physiques par les autorités douanières - Admission sous condition que les données ne servent qu'à la recherche infractions graves ou répétées à la législation pertinente | 70. Eu égard aux considérations qui précèdent, il y a lieu de répondre à la question posée que l’article 24, paragraphe 1, second alinéa, du règlement d’exécution 2015/2447, lu à la lumière de la directive 95/46 et du règlement 2016/679, doit être interprété en ce sens que les autorités douanières peuvent exiger du demandeur du statut d’OEA qu’il communique les numéros d’identification fiscale, attribués aux fins du prélèvement de l’impôt sur le revenu, concernant uniquement les personnes physiques qui sont responsables du demandeur ou exercent le contrôle sur la gestion de celui-ci et celles qui sont responsables des questions douanières en son sein, ainsi que les coordonnées des centres des impôts compétents à l’égard de l’ensemble de ces personnes, pour autant que ces données permettent à ces autorités d’obtenir des informations relatives aux infractions graves ou répétées à la législation douanière ou aux dispositions fiscales ou aux infractions pénales graves commises par ces personnes physiques en lien avec leur activité économique. | 5 | 743da23f34ee7adc1bc280808926e060c096910e | Cliquer pour accéder à la décision | |||||
396340 | Avis sur le projet de décret relatif à la mise en œuvre de traitements provenant des caméras individuelles des agents de la police municipale | 08/01/2019 | 2019 | France | Conseil d'Etat | Responsable de traitement | Administration, Police-Justice | Responsable de traitement mis en oeuvre pour le compte de l'Etat (art. 31 LIL) - Caméras individuelles des agents de la police municipale - Responsabilité de traitement du ministre de l’intérieur - Exclusion | À l’occasion de l’examen d’un projet de décret relatif à la mise en œuvre de traitements de données à caractère personnel provenant des caméras individuelles des agents de la police municipale, le Conseil d’État (section de l’intérieur) estime qu’il résulte tant des finalités poursuivies par les dispositifs en cause que des missions confiées aux agents de police municipale, que les traitements projetés relèvent des dispositions de la directive (UE) n° 2016/680 du 27 avril 2016 telle que transposée aux articles 70-1 et suivants de la loi du 6 janvier 1978 modifiée. Compte tenu de leurs finalités ils doivent être regardés comme mis en œuvre pour le compte de l'État. Le traitement étant mis en œuvre au niveau des collectivités locales ou des établissements de coopérations intercommunales, le ministre de l'intérieur ne peut être regardé comme le responsable du traitement au sens du premier alinéa de l'article 70-4, alors même que cette mise en œuvre est faite pour le compte de l'État. | 4 | a33beb1398d687ce56ea092654850e76f54bebb2 | 31, 87 | Non publié en intégralité. | ||||
396212 | Projet de décret relatif à la validation du visa long séjour valant titre de séjour | 27/11/2018 | 2018 | France | Conseil d'Etat | Droit applicable | Police-Justice | Application de gestion des dossiers des ressortissants étrangers en France - Adoption d’un téléservice visant à recenser les données relatives au droit au séjour de l’étranger titulaire d’un visa de long séjour valant titre de séjour - RGPD | Le Conseil d’État (section de l’intérieur) estime que cette nouvelle fonctionnalité du traitement de données, dont l’objet est de recenser les données relatives au droit au séjour de l’étranger titulaire d’un visa de long séjour valant titre de séjour, n’a pas pour finalité première la prévention et la détection d’infractions pénales, la conduite d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et ne relève pas de la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 mais du règlement 2016/679 du Parlement européen et du Conseil (règlement général sur la protection des données). | 2 | 70142f66475ae2fb33722d8d4750f386ecfefe7b | Cliquer pour accéder à la décision | |||||
C-25/17 | Jehovan todistajat | 10/07/2018 | 2018 | Finlande | Cour de Justice de l'UE | A classer | Responsabilité conjointe - Obligation que chaque responsable de traitement participe de manière équivalente et/ou ait accès aux données et/ou ait donné des consignes écrites relatives aux traitements - Absence | 66. L’objectif de cette disposition étant d’assurer, par une définition large de la notion de « responsable », une protection efficace et complète des personnes concernées, l’existence d’une responsabilité conjointe ne se traduit pas nécessairement par une responsabilité équivalente, pour un même traitement de données à caractère personnel, des différents acteurs. Au contraire, ces acteurs peuvent être impliqués à différents stades de ce traitement et selon différents degrés, de telle sorte que le niveau de responsabilité de chacun d’entre eux doit être évalué en tenant compte de toutes les circonstances pertinentes du cas d’espèce (voir, en ce sens, arrêt du 5 juin 2018, Wirtschaftsakademie Schleswig-Holstein, C-210/16, EU:C:2018:388, points 28, 43 et 44). [...] 75. Eu égard aux considérations qui précèdent, il convient de répondre aux troisième et quatrième questions que l’article 2, sous d), de la directive 95/46, lu à la lumière de l’article 10, paragraphe 1, de la Charte, doit être interprété en ce sens qu’il permet de considérer une communauté religieuse comme étant responsable, conjointement avec ses membres prédicateurs, des traitements de données à caractère personnel effectués par ces derniers dans le cadre d’une activité de prédication de porte-à-porte organisée, coordonnée et encouragée par cette communauté, sans qu’il soit nécessaire que ladite communauté ait accès aux données ni qu’il doive être établi qu’elle a donné à ses membres des lignes directrices écrites ou des consignes relativement à ces traitements. | 24, 26 | 788235c7a7839ac7e834e0a5a9a15b95657a9271, 8ce5af29fdc1bba6fa462556f98ce0fb61c67e64 | Cliquer pour accéder à la décision | ||||||
C-25/17 | Jehovan todistajat | 10/07/2018 | 2018 | Finlande | Cour de Justice de l'UE | Fichier | Fichier - Activité de prédication de porte-à-porte comportant des noms et des adresses - Données structurées selon des critères déterminés - Inclusion | 62. Il convient donc de répondre à la deuxième question que l’article 2, sous c), de la directive 95/46 doit être interprété en ce sens que la notion de « fichier », visée par cette disposition, couvre un ensemble de données à caractère personnel collectées dans le cadre d’une activité de prédication de porte-à-porte, comportant des noms et des adresses ainsi que d’autres informations concernant les personnes démarchées, dès lors que ces données sont structurées selon des critères déterminés permettant, en pratique, de les retrouver aisément aux fins d’une utilisation ultérieure. Pour qu’un tel ensemble relève de cette notion, il n’est pas nécessaire qu’il comprenne des fiches, des listes spécifiques ou d’autres systèmes de recherche. | 4 | a33beb1398d687ce56ea092654850e76f54bebb2 | Cliquer pour accéder à la décision | ||||||
C-25/17 | Jehovan todistajat | 10/07/2018 | 2018 | Finlande | Cour de Justice de l'UE | Exception domestique | Exception domestique - Collecte de données à caractère personnel effectuée par des membres d’une communauté religieuse dans le cadre d’une activité de prédication de porte-à-porte et traitements ultérieurs de ces données - Exclusion | 51. Eu égard aux considérations qui précèdent, il y a lieu de répondre à la première question que l’article 3, paragraphe 2, de la directive 95/46, lu à la lumière de l’article 10, paragraphe 1, de la Charte, doit être interprété en ce sens que la collecte de données à caractère personnel par des membres d’une communauté religieuse dans le cadre d’une activité de prédication de porte-à-porte et les traitements ultérieurs de ces données ne constituent ni des traitements de données à caractère personnel mis en œuvre pour l’exercice d’activités visées à l’article 3, paragraphe 2, premier tiret, de cette directive ni des traitements de données à caractère personnel effectués par des personnes physiques pour l’exercice d’activités exclusivement personnelles ou domestiques, au sens de l’article 3, paragraphe 2, second tiret, de ladite directive. | 2 | 70142f66475ae2fb33722d8d4750f386ecfefe7b | Cliquer pour accéder à la décision | ||||||
412589 | Société Editions Croque Futur | 06/06/2018 | 2018 | France | Conseil d'Etat | Traitement | Technologie | Traitement de données à caractère personnel - Utilisation de témoins de connexion (« cookies ») répondant aux caractéristiques définies au II de l’article 32 de la loi du 6 janvier 1978 - Inclusion | 11. L'utilisation de " cookies " répondant aux caractéristiques définies au II de l'article 32 de la loi du 6 janvier 1978 [désormais 82] constitue un traitement de données qui doit respecter les prescriptions de l'article 6 précité. Lorsque des " cookies " sont déposés par l'éditeur du site, il doit être considéré comme responsable de traitement au sens de la loi. Il en va de même lorsque l'éditeur sous-traite à des tiers la gestion de " cookies " mis en place pour son compte. | 4 | a33beb1398d687ce56ea092654850e76f54bebb2 | 82 | Cliquer pour accéder à la décision | ||||
C-210/16 | Wirtschaftsakademie Schleswig-Holstein | 05/06/2018 | 2018 | Allemagne | Cour de Justice de l'UE | A classer | Technologie | Responsabilité conjointe - Obligation que chaque responsable de traitement ait accès aux données et/ou participe de manière équivalente - Absence | 38. S’il est vrai que les statistiques d’audience établies par Facebook sont uniquement transmises à l’administrateur de la page fan sous une forme anonymisée, il n’en demeure pas moins que l’établissement de ces statistiques repose sur la collecte préalable, au moyen de cookies installés par Facebook sur l’ordinateur ou sur tout autre appareil des personnes ayant visité cette page, et le traitement des données personnelles de ces visiteurs à de telles fins statistiques. En tout état de cause, la directive 95/46 n’exige pas, lorsqu’il y a une responsabilité conjointe de plusieurs opérateurs pour un même traitement, que chacun ait accès aux données à caractère personnel concernées. [...] 43. Cela étant, il y a lieu de préciser, ainsi que l’a relevé M. l’avocat général aux points 75 et 76 de ses conclusions, que l’existence d’une responsabilité conjointe ne se traduit pas nécessairement par une responsabilité équivalente des différents opérateurs concernés par un traitement de données à caractère personnel. Au contraire, ces opérateurs peuvent être impliqués à différents stades de ce traitement et selon différents degrés, de telle sorte que le niveau de responsabilité de chacun d’entre eux doit être évalué en tenant compte de toutes les circonstances pertinentes du cas d’espèce. | 24, 26 | 788235c7a7839ac7e834e0a5a9a15b95657a9271, 8ce5af29fdc1bba6fa462556f98ce0fb61c67e64 | Cliquer pour accéder à la décision | |||||
C-210/16 | Wirtschaftsakademie Schleswig-Holstein | 05/06/2018 | 2018 | Allemagne | Cour de Justice de l'UE | A classer | Technologie | Gestionnaire d’une page hébergée sur un réseau social (Facebook) - Responsabilité conjointe entre le gestionnaire et le fournisseur du service - Admission | 39. Dans ces circonstances, il y a lieu de considérer que l’administrateur d’une page fan hébergée sur Facebook, tel que Wirtschaftsakademie, participe, par son action de paramétrage, en fonction, notamment, de son audience cible ainsi que d’objectifs de gestion ou de promotion de ses activités, à la détermination des finalités et des moyens du traitement des données personnelles des visiteurs de sa page fan. De ce fait, cet administrateur doit être, en l’occurrence, qualifié de responsable au sein de l’Union, conjointement avec Facebook Ireland, de ce traitement, au sens de l’article 2, sous d), de la directive 95/46. | 24, 26 | 788235c7a7839ac7e834e0a5a9a15b95657a9271, 8ce5af29fdc1bba6fa462556f98ce0fb61c67e64 | Cliquer pour accéder à la décision | |||||
406664 | Association française des sociétés financières | 06/04/2018 | 2018 | France | Conseil d'Etat | Licéité | Enregistrement dans un traitement de données à caractère personnel en l’absence de procédure contradictoire préalable - Admission | 4. D'une part, ni l'article précité ni aucune disposition législative ou réglementaire ni aucun principe n'impose que l'enregistrement, dans un traitement, de données à caractère personnel soit précédé d'une procédure contradictoire menée avec la personne dont les données sont recueillies. | 6 | 2ce6ddc84d93a3a1dcd84238cd67260bd7272e08 | Cliquer pour accéder à la décision | ||||||
406664 | Association française des sociétés financières | 06/04/2018 | 2018 | France | Conseil d'Etat | Infraction pénale | Police-Justice | Données relatives aux infractions de nature pénale - Données collectées dans le seul but d’assurer la sécurité des manifestations sportives - Exclusion | 6. [...] Les données susceptibles de figurer dans les traitements en cause qui sont, ainsi que le prévoit le 2° de l'article R. 332-15 créé par le décret attaqué, relatives à des manquements " aux dispositions des conditions générales de vente ou du règlement intérieur concernant la sécurité des manifestations sportives " sont collectées dans le seul but d'assurer la sécurité des manifestations sportives en permettant aux organisateurs de telles manifestations d'empêcher certaines personnes d'accéder à leurs enceintes sportives, en raison de comportements dangereux correspondant à des manquements à des obligations de nature contractuelle. Il s'ensuit qu'alors même que certains faits ou comportements susceptibles d'être enregistrés dans ces traitements sont pénalement réprimés, les données ayant vocation à figurer dans les traitements en cause ne sont pas relatives à des infractions au sens de l'article 25 dès lors qu'elles ne sont pas collectées dans le but d'établir l'existence ou de prévenir la commission d'infractions, et ne sauraient d'ailleurs être mobilisées au soutien d'une plainte déposée devant le juge pénal. Il s'ensuit que le moyen tiré de ce que les traitements en cause auraient dû être soumis au régime d'autorisation par l'article R. 332-20 du code du sport créé par le décret attaqué doit être écarté. | 10 | c23f7da7070511444ebc75875fd9d202b5dd13cf | 31 | Cliquer pour accéder à la décision | ||||
C-434/16 | Nowak | 21/12/2017 | 2017 | Angleterre | Cour de Justice de l'UE | A classer | Donnée à caractère personnel et droit d'accès - Réponses écrites fournies par le candidat à un examen professionnel - Annotations de l’examinateur relatives à ces réponses - Inclusion | 42. S’agissant des annotations de l’examinateur relatives aux réponses du candidat, il convient de constater que celles-ci constituent, tout comme les réponses fournies par le candidat lors de l’examen, des informations concernant ce candidat. | 15 | 4c7a18c8baa891976ae8102b846b3aa8143fe90d | Cliquer pour accéder à la décision | ||||||
C-434/16 | Nowak | 20/12/2017 | 2017 | Angleterre | Cour de Justice de l'UE | Donnée à caractère personnel | Donnée à caractère personnel - Absence d'obligation que toutes les informations soient dans les mains de la même personne | 31. En effet, pour qu’une donnée puisse être qualifiée de « donnée à caractère personnel », au sens de l’article 2, sous a), de la directive 95/46, il n’est pas requis que toutes les informations permettant d’identifier la personne concernée se trouvent entre les mains d’une seule personne (arrêt du 19 octobre 2016, Breyer, C-582/14, EU:C:2016:779, point 43). Il est par ailleurs constant que, dans l’hypothèse où l’examinateur ne connaît pas l’identité du candidat lors de la notation des réponses fournies par celui-ci dans le cadre d’un examen, l’entité organisant l’examen, en l’occurrence l’ordre des experts-comptables, dispose, en revanche, des informations nécessaires lui permettant d’identifier sans difficultés ou doutes ce candidat à partir de son numéro d’identification, apposé sur la copie d’examen ou le feuillet de couverture de cette copie, et ainsi de lui attribuer ses réponses. | 4 | a33beb1398d687ce56ea092654850e76f54bebb2 | Cliquer pour accéder à la décision | ||||||
403776 | Société Odeolis | 15/12/2017 | 2017 | France | Conseil d'Etat | Minimisation | Travail | Géolocalisation pour le contrôle de la durée du travail de ses salariés - Caractère excessif sauf lorsque ce contrôle ne peut pas être fait par un autre moyen, même moins efficace | 7. [...] Aux termes de l'article L. 1121-1 du code du travail : " Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché ". Il résulte de ces dispositions que l'utilisation par un employeur d'un système de géolocalisation pour assurer le contrôle de la durée du travail de ses salariés n'est licite que lorsque ce contrôle ne peut pas être fait par un autre moyen, fût-il moins efficace que la géolocalisation. En dehors de cette hypothèse, la collecte et le traitement de telles données à des fins de contrôle du temps de travail doivent être regardés comme excessifs au sens du 3° de l'article 6 de la loi du 6 janvier 1978 précité [prévoyant le principe de minimisation]. | 5 | 743da23f34ee7adc1bc280808926e060c096910e | Cliquer pour accéder à la décision | |||||
393336 | Avis sur un projet de décret portant création d’un traitement automatisé dénommé « Automatisation de la consultation centralisée de renseignements et de données » | 04/07/2017 | 2017 | France | Conseil d'Etat | Conservation limitée | Administration, Police-Justice | Durée de conservation - Traitements automatisés de données à caractère personnel intéressant la sûreté de l'État ou la sécurité publique - Obligation de préciser cette durée dans l’acte autorisant le traitement - Absence - Cas des mineurs âgés de moins de 13 ans - Exception | En application des dispositions du 5° de l’article 6 de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, les responsables de tout traitement doivent veiller à ne conserver les données du traitement que pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées. La fixation, par ces responsables, d’une durée de conservation des données est donc obligatoire, même si, comme c’est possible pour ceux des traitements intéressant la sûreté de l’État ou la sécurité publique mentionnés à l’article 1er du décret du 15 mai 2007, cette durée peut ne pas être mentionnée dans l’acte réglementaire autorisant le traitement. Mais le Conseil d’État considère que la collecte, dans le cadre de ces mêmes traitements, de données relatives à des personnes âgées de moins de 13 ans, doit s’accompagner de la fixation, par l’acte réglementaire autorisant ce traitement, d’une durée de conservation de ces données. | 5 | 743da23f34ee7adc1bc280808926e060c096910e | Non publié. Source: CNIL, Tables Informatique et Libertés | |||||
399446 | M.X | 07/06/2017 | 2017 | France | Conseil d'Etat | Personne concernée | Personne concernée - Ayant droit d’une personne décédée à laquelle se rapportent des données à caractère personnel - Exclusion par principe - Héritiers de la victime d'un dommage ayant engagé une action en réparation avant son décès ou ayant eux-mêmes engagé ultérieurement une telle action - Admission par exception | 2. [...] Il résulte de ces dispositions que la communication de données à caractère personnel n'est possible qu'à la personne concernée par ces données. Par suite, la seule qualité d'ayant droit d'une personne à laquelle se rapportent des données ne confère pas la qualité de " personne concernée " par leur traitement au sens des articles 2 et 39 de la loi du 6 janvier 1978. - 3. Toutefois, lorsque la victime d'un dommage décède, son droit à la réparation de ce dommage, entré dans son patrimoine, est transmis à ses héritiers, saisis de plein droit des biens, droits et actions du défunt en application du premier alinéa de l'article 724 du code civil. Par suite, lorsque la victime a engagé une action en réparation avant son décès ou lorsque ses héritiers ont ultérieurement eux-mêmes engagé une telle action, ces derniers doivent être regardés comme des " personnes concernées " au sens des articles 2 et 39 de la loi du 6 janvier 1978 pour l'exercice de leur droit d'accès aux données à caractère personnel concernant le défunt, dans la mesure nécessaire à l'établissement du préjudice que ce dernier a subi en vue de sa réparation et pour les seuls besoins de l'instance engagée. | 4 | a33beb1398d687ce56ea092654850e76f54bebb2 | Cliquer pour accéder à la décision | ||||||
C-13/16 | Rïgas satiksme | 04/05/2017 | 2017 | Lettonie | Cour de Justice de l'UE | A classer | Intérêt légitime - Demande par un particulier de communication des données personnelles d’une personne responsable d’un accident de la circulation afin d’exercer un droit en justice - Possibilité pour le responsable du traitement de faire droit à une telle demande - Admission - Obligation d'y faire droit - Absence | 34. Il résulte de l’ensemble des considérations qui précèdent que l’article 7, sous f), de la directive 95/46 [article 6 du RGPD] doit être interprété en ce sens qu’il n’impose pas l’obligation de communiquer des données à caractère personnel à un tiers afin de lui permettre d’introduire un recours en indemnisation devant une juridiction civile pour un dommage causé par la personne concernée par la protection de ces données. Toutefois, l’article 7, sous f), de cette directive ne s’oppose pas à une telle communication sur la base du droit national. | 6, 14 | 4c346b79544cb7d893c9dac5883512c2b8b3ebd2 | Cliquer pour accéder à la décision | ||||||
C-13/16 | Rïgas satiksme | 04/05/2017 | 2017 | Lettonie | Cour de Justice de l'UE | Intérêt légitime | Intérêt légitime - Demande par un particulier de communication des données personnelles d’une personne responsable d’un accident de la circulation afin d’exercer un droit en justice - Possibilité pour le responsable du traitement de faire droit à une telle demande - Admission - Obligation d'y faire droit - Absence | 34. Il résulte de l’ensemble des considérations qui précèdent que l’article 7, sous f), de la directive 95/46 [article 6 du RGPD] doit être interprété en ce sens qu’il n’impose pas l’obligation de communiquer des données à caractère personnel à un tiers afin de lui permettre d’introduire un recours en indemnisation devant une juridiction civile pour un dommage causé par la personne concernée par la protection de ces données. Toutefois, l’article 7, sous f), de cette directive ne s’oppose pas à une telle communication sur la base du droit national. | 6, 14 | 2ce6ddc84d93a3a1dcd84238cd67260bd7272e08 | Cliquer pour accéder à la décision | ||||||
C-398/15 | Manni | 09/03/2017 | 2017 | Italie | Cour de Justice de l'UE | Traitement | Economie et fiscalité | Traitement de données à caractère personnel - Registre des sociétés - Inclusion | 35. Par ailleurs, en transcrivant et en conservant lesdites informations dans le registre et en communiquant celles-ci, le cas échéant, sur demande à des tiers, l’autorité chargée de la tenue de ce registre effectue un « traitement de données à caractère personnel », pour lequel elle est le « responsable », au sens des définitions fournies à l’article 2, sous b) et d), de la directive 95/46. | 4 | a33beb1398d687ce56ea092654850e76f54bebb2 | Cliquer pour accéder à la décision | |||||
393714 | Société JC Decaux France | 08/02/2017 | 2017 | France | Conseil d'Etat | Anonymisation | Anonymisation - Conditions d’anonymisation d’une donnée à caractère personnel | 7. En second lieu, il résulte de la définition de la donnée personnelle donnée par les dispositions, citées au point 2 ci-dessus, de l'article 2 de la loi du 6 janvier 1978, qu'une telle donnée ne peut être regardée comme rendue anonyme que lorsque l'identification de la personne concernée, directement ou indirectement, devient impossible que ce soit par le responsable du traitement ou par un tiers. Tel n'est pas le cas lorsqu'il demeure possible d'individualiser une personne ou de relier entre elles des données résultant de deux enregistrements qui la concernent. | 4 | a33beb1398d687ce56ea092654850e76f54bebb2 | Cliquer pour accéder à la décision | ||||||
15-22.595 | B. | 03/11/2016 | 2016 | France | Cour de cassation | Donnée à caractère personnel | Technologie | Donnée à caractère personnel - Adresse IP - Inclusion | (5.) Qu'en statuant ainsi, alors que les adresses IP, qui permettent d'identifier indirectement une personne physique, sont des données à caractère personnel, de sorte que leur collecte constitue un traitement de données à caractère personnel et doit faire l'objet d'une déclaration préalable auprès de la CNIL, la cour d'appel a violé les textes susvisés ; | 4 | a33beb1398d687ce56ea092654850e76f54bebb2 | Cliquer pour accéder à la décision | |||||
C-582/14 | Breyer | 19/10/2016 | 2016 | Allemagne | Cour de Justice de l'UE | Donnée à caractère personnel | Technologie | Donnée à caractère personnel - Limites : Moyen légal et raisonnable d'identifier - Exemple des adresses IP - Admission | 44. Le fait que les informations supplémentaires nécessaires pour identifier l’utilisateur d’un site Internet sont détenues non pas par le fournisseur de services de médias en ligne, mais par le fournisseur d’accès à Internet de cet utilisateur, n’apparaît ainsi pas de nature à exclure que les adresses IP dynamiques enregistrées par le fournisseur de services de médias en ligne constituent, pour celui-ci, des données à caractère personnel au sens de l’article 2, sous a), de la directive 95/46. - 45. Il convient cependant de déterminer si la possibilité de combiner une adresse IP dynamique avec lesdites informations supplémentaires détenues par ce fournisseur d’accès à Internet constitue un moyen susceptible d’être raisonnablement mis en œuvre pour identifier la personne concernée. - 46. Ainsi que l’a relevé en substance M. l’avocat général au point 68 de ses conclusions, tel ne serait pas le cas si l’identification de la personne concernée était interdite par la loi ou irréalisable en pratique, par exemple en raison du fait qu’elle impliquerait un effort démesuré en termes de temps, de coût et de main-d’œuvre, de sorte que le risque d’une identification paraît en réalité insignifiant. | 4 | a33beb1398d687ce56ea092654850e76f54bebb2 | Cliquer pour accéder à la décision | |||||
C-582/14 | Breyer | 19/10/2016 | 2016 | Allemagne | Cour de Justice de l'UE | Intérêt légitime | Technologie | Intérêt légitime - Restriction au moyen d’une règlementation nationale [visant à transposer la directive 95/46] empêchant la collecte et l’utilisation des données à caractère personnel par un fournisseur de service de médias en ligne sauf pour garantir le fonctionnement du service et sa facturation - Inconventionalité | 64. Il résulte de l’ensemble des considérations qui précèdent qu’il convient de répondre à la seconde question que l’article 7, sous f), de la directive 95/46 [article 6 du RGPD] doit être interprété en ce sens qu’il s’oppose à une réglementation d’un État membre en vertu de laquelle un fournisseur de services de médias en ligne ne peut collecter et utiliser des données à caractère personnel afférentes à un utilisateur de ces services, en l’absence du consentement de celui-ci, que dans la mesure où cette collecte et cette utilisation sont nécessaires pour permettre et facturer l’utilisation concrète desdits services par cet utilisateur, sans que l’objectif visant à garantir la capacité générale de fonctionnement des mêmes services puisse justifier l’utilisation desdites données après une session de consultation de ceux-ci. - Elements de compréhension: 28. Selon la juridiction de renvoi, si et dans la mesure où il est nécessaire que le fournisseur de services de médias en ligne prenne des mesures pour lutter contre [des attaques informatiques], ces mesures pourraient être considérées comme nécessaires pour « permettre […] l’utilisation des médias électroniques » en vertu de l’article 15 [de la réglementation en cause]. Cependant, la doctrine défendrait majoritairement le point de vue selon lequel, d’une part, la collecte et l’utilisation des données à caractère personnel d’un utilisateur d’un site Internet n’est autorisée que pour permettre une utilisation concrète de ce site et, d’autre part, ces données doivent être effacées à la fin de la session de consultation considérée si elles ne sont pas requises à des fins de facturation. Or, une telle lecture restrictive de l’article 15, paragraphe 1, du TMG s’opposerait à ce que la conservation des adresses IP soit autorisée pour garantir, de manière générale, la sécurité et la continuité du bon fonctionnement des médias en ligne. | 6 | 2ce6ddc84d93a3a1dcd84238cd67260bd7272e08 | Cliquer pour accéder à la décision | |||||
389448 | Théâtre national de Bretagne | 28/09/2016 | 2016 | France | Conseil d'Etat | A classer | Publicité d'une sanction - Absence de limitation dans le temps - Exclusion | 10. Considérant qu'en l'espèce, eu égard au retentissement causé par le courriel litigieux dans le débat politique local, la sanction complémentaire contestée, qui vise à renforcer le caractère dissuasif de la sanction principale en lui assurant une publicité à l'égard tant des destinataires du courriel que d'un public plus large, est justifiée, dans son principe, au regard de la gravité des manquements aux dispositions du 2° de l'article 6 de la loi du 6 janvier 1978 ; que, toutefois, si la délibération attaquée prévoit que cette publication est effectuée sur le site internet de la CNIL et sur le site Légifrance, elle ne précise pas la durée de son maintien en ligne sur ces deux sites ; qu'en omettant de fixer la durée pendant laquelle la publication de l'avertissement resterait accessible de manière non anonyme sur ces deux sites, la formation restreinte de la CNIL doit être regardée comme ayant infligé une sanction sans borne temporelle ; que, dans ces conditions, la sanction complémentaire est, dans cette mesure, excessive ; qu'il suit de là qu'elle doit être annulée seulement en tant qu'elle n'a pas fixé la durée de son maintien en ligne de manière non anonyme ; | 84 | 68136ec0621ef3fe8935bf9fa91f0f6e4a202509 | Cliquer pour accéder à la décision | ||||||
377194 | SASP Paris-Saint-Germain Football | 13/06/2016 | 2016 | France | Conseil d'Etat | Conservation limitée | Economie et fiscalité | Données relatives aux impayés - Conservation au-delà du règlement de la somme due - Admission | 8. Considérant que [...], tout en estimant dans sa délibération attaquée, qu'en règle générale, une durée de conservation de trois ans des données collectées " n'excède pas celle qui est nécessaire à l'accomplissement de la finalité poursuivie ", la Commission nationale de l'informatique et des libertés a entendu excepter le cas où, " lorsque l'exclusion est justifiée par l'existence d'un impayé, une mesure de suspension ou d'exclusion doit cesser à compter du complet paiement de la somme due par le débiteur " ; que, cependant, les conséquences ou les risques résultant de la commission d'un impayé ne peuvent être réputés avoir disparu dès le règlement de la dette et qu'il n'est dès lors pas disproportionné de prévoir une conservation des données relatives aux incidents de cette nature pendant une durée suffisante, au-delà du règlement de la somme due, pour prévenir le renouvellement de tels incidents ; que, par suite, la dernière phrase citée ci-dessus de la partie de la délibération attaquée, portant sur les durées de conservation, doit être annulée ; | 5 | 743da23f34ee7adc1bc280808926e060c096910e | Cliquer pour accéder à la décision | |||||
372111 | Mme X et Mme Y | 18/11/2015 | 2015 | France | Conseil d'Etat | Automatisation | Administration | Champ d'application du RGPD - Traitements non automatisés de données à caractère personnel soumis à la loi du 6 janvier 1978 - Collecte, conservation et consultation des empreintes digitales relevées lors d'une demande de carte nationale d'identité - Inclusion | l3. [...] Que, par suite, la collecte, la conservation et la consultation des empreintes digitales effectuées sur le fondement de l'article 5 du décret du 22 octobre 1955, sous la responsabilité du ministre de l'intérieur, entrent dans le champ d'application de la loi du 6 janvier 1978, nonobstant la circonstance que ces fichiers ne sont pas numérisés et qu'ils ne sont constitués et conservés qu'au seul niveau des préfectures, pour l'arrondissement du chef lieu d'un département, ou des sous-préfectures, et des consulats ; | 2 | 70142f66475ae2fb33722d8d4750f386ecfefe7b | Cliquer pour accéder à la décision | |||||
372111 | Mme X et Mme Y | 18/11/2015 | 2015 | France | Conseil d'Etat | Conservation limitée | Administration | Carte nationale d'identité - Empreintes digitales - Durée de conservation illimitée faute de dispositions expresses la régissant - Illicéité | 6. Considérant que, faute de dispositions expresses la régissant, la durée de conservation des empreintes digitales relevées sur le fondement de l'article 5 du décret du 22 octobre 1955 est illimitée ; qu'une telle durée de conservation ne peut être regardée comme nécessaire aux finalités du fichier, eu égard à la durée de validité de la carte nationale d'identité et au délai dans lequel tout détenteur d'une carte nationale d'identité périmée peut en solliciter le renouvellement ; que, dès lors, Mmes D...et C...sont fondées à demander l'annulation des décisions rejetant leurs demandes tendant à l'abrogation de l'article 5 du décret du 22 octobre 1955, sans qu'il soit besoin d'examiner les autres moyens de leurs requêtes ; | 5 | 743da23f34ee7adc1bc280808926e060c096910e | Cliquer pour accéder à la décision | |||||
383313 | Cons. national de l’ordre des médecins | 09/11/2015 | 2015 | France | Conseil d'Etat | Licéité | Administration, Police-Justice | Traitement public encadré par décret - Conservation des données pour une finalité non prévue par l’acte réglementaire - Conséquence : Illicéité et annulation de l'acte réglementaire créant le traitement | 8. Considérant [...] que la durée de conservation de deux années à compter de la date de la levée d'écrou n'excède pas ce qui est nécessaire, compte tenu de la finalité de gestion des contentieux entre l'administration pénitentiaire et les personnes placées sous main de justice ou leurs ayants droits, pour lesquelles les données sont collectées et traitées dans le traitement GENESIS, dès lors que l'accès aux données ainsi conservées doit nécessairement être entendu comme étant réservé, dans la limite du besoin d'en connaître, aux catégories de personnes limitativement énumérées à l'article susvisé ; qu'en revanche, si la garde des sceaux a, devant la Commission nationale de l'informatique et des libertés, soutenu que la conservation ultérieure des données durant huit ans était justifiée par la conduite éventuelle de contentieux, cette finalité n'est pas explicitée par les dispositions attaquées, qui ne comportent, par suite, pas de fondement légal à la limitation de l'accès à ces données, par les personnes qu'il désigne, au seul besoin d'en connaître au regard de cette finalité ; qu'ainsi, faute de comporter aucune garantie quant aux finalités et aux limitations d'accès à ces données, la durée de conservation de huit ans que fixent ces dispositions doit être regardée comme disproportionnée ; que le Conseil national de l'ordre des médecins est fondé, pour ce motif, à en demander l'annulation, sans qu'il soit besoin d'examiner l'autre moyen soutenu à l'encontre de ces dispositions ; | 5 | 743da23f34ee7adc1bc280808926e060c096910e | Cliquer pour accéder à la décision | |||||
C-201/14 | Bara e.a | 01/10/2015 | 2015 | Roumanie | Cour de Justice de l'UE | Licéité, Transparence | Economie et fiscalité, Administration | Transfert par une administration publique d’un État membre de données fiscales à caractère personnel en vue de leur traitement par une autre administration publique sans information - Illicéité | Les articles 10, 11 et 13 de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doivent être interprétés en ce sens qu’ils s’opposent à des mesures nationales, telles que celles en cause au principal, qui permettent à une administration publique d’un État membre de transmettre des données personnelles à une autre administration publique et leur traitement subséquent, sans que les personnes concernées n’aient été informées de cette transmission ou de ce traitement. | 5 | 743da23f34ee7adc1bc280808926e060c096910e | Cliquer pour accéder à la décision | |||||
389815 | Association de défense et d’assistance juridique des intérêts des supporters | 21/09/2015 | 2015 | France | Conseil d'Etat | Minimisation | Minimisation - Transmission de données - Condition de limitation des données transmises à celles strictement nécessaires aux destinataires pour poursuivre les finalités du traitement (principe du besoin d'en connaître) | 16. Considérant [...] qu'il résulte de [la loi du 6 janvier 1978] que, pour être compatible avec les finalités d'un traitement, la transmission des données à caractère personnel doit être strictement limitée à celles qui permettent aux destinataires de poursuivre les finalités du traitement ; - 17. Considérant qu'aux termes de l'article 5 de l'arrêté attaqué : " peuvent être destinataires de tout ou partie des données et des informations mentionnées à l'article 2 : (...) / 5° Les associations et sociétés sportives, ainsi que les fédérations sportives agréées " ; qu'il est constant que tous ces destinataires n'exercent pas une mission relative aux finalités poursuivies par le " fichier STADE " et qu'au demeurant, en leur sein, tous les personnels ne sont pas chargés de les mettre en oeuvre ; que, par suite, la transmission de données ainsi prévue méconnaît les dispositions de la loi du 6 janvier 1978 citées au point précédent ; | 5 | 743da23f34ee7adc1bc280808926e060c096910e | 6 | Cliquer pour accéder à la décision | |||||
C-615/13 | ClientEarth et PAN Europe /EFSA | 16/07/2015 | 2015 | Angleterre | Cour de Justice de l'UE | Donnée à caractère personnel | Donnée à caractère personnel - Donnée relative à la vie privée - Absence de confusion | 32. Par ailleurs, ainsi que l’ont fait valoir l’EFSA, la Commission et le CEPD, les notions de «données à caractère personnel», au sens de l’article 2, sous a), du règlement no 45/2001, et de «données relatives à la vie privée» ne se confondent pas. Est, partant, inopérante en l’espèce l’allégation de ClientEarth et de PAN Europe selon laquelle l’information litigieuse ne relève pas de la vie privée des experts concernés. | 4 | a33beb1398d687ce56ea092654850e76f54bebb2 | Cliquer pour accéder à la décision | ||||||
C-615/13 | ClientEarth et PAN Europe /EFSA | 16/07/2015 | 2015 | Angleterre | Cour de Justice de l'UE | Donnée à caractère personnel | Donnée à caractère personnel - Opinions exprimées par des experts à titre professionnel dans le cadre des travaux d’une agence de l’Union - Inclusion | 28. En l’occurrence, ainsi qu’il est rappelé au point 43 de l’arrêt attaqué, ClientEarth et PAN Europe visent, en sollicitant la divulgation de l’information litigieuse, à connaître, pour chacune des observations formulées par les experts externes, lequel d’entre eux en est l’auteur. - 29. En ce que cette information permettrait de rattacher à tel ou tel expert déterminé une observation donnée, elle concerne des personnes physiques identifiées et, partant, constitue un ensemble de données à caractère personnel, au sens de l’article 2, sous a), du règlement no 45/2001. | 4 | a33beb1398d687ce56ea092654850e76f54bebb2 | Cliquer pour accéder à la décision | ||||||
375669 | Société Renault Trucks | 11/05/2015 | 2015 | France | Conseil d'Etat | Infraction pénale | Police-Justice | Données relatives aux infractions de nature pénale - 1) Données collectées dans le but d'établir ou de prévenir une infraction - Inclusion - 2) Possibilité pour les victimes d'infractions de traiter ces données - Existence | 6. [...] que ces dispositions ne font, en outre, pas obstacle à la mise en oeuvre de traitements de données à caractère personnel relatives à des infractions par les personnes qui en ont été victimes ou sont susceptibles de l'être ; que doivent être regardées comme entrant dans le champ d'application de cet article, non seulement les données relatives aux infractions, condamnations ou mesures de sûreté elles-mêmes, mais également les données qui, en raison des finalités du traitement automatisé, ne sont collectées que dans le but d'établir l'existence ou de prévenir la commission d'infractions, y compris par des tiers ; qu'en vertu du 3° de l'article 25 [désormais abrogé] de la [Loi Informatique et Libertés], les traitements, automatisés ou non, portant sur des données relatives aux infractions, condamnations ou mesures de sûreté, sauf ceux qui sont mis en oeuvre par des auxiliaires de justice pour les besoins de leurs missions de défense des personnes concernées, doivent être autorisés par la Commission nationale de l'informatique et des libertés ; | 10 | c23f7da7070511444ebc75875fd9d202b5dd13cf | Cliquer pour accéder à la décision | |||||
C-212/13 | Ryneš | 11/12/2014 | 2014 | République Tchèque | Cour de Justice de l'UE | Traitement | Traitement de données à caractère personnel - Surveillance par enregistrement vidéo stocké dans un disque dur - Inclusion | 25. Or, une surveillance effectuée par un enregistrement vidéo des personnes, comme dans l’affaire au principal, stocké dans un dispositif d’enregistrement continu, à savoir le disque dur, constitue, conformément à l’article 3, paragraphe 1, de la directive 95/46, un traitement de données à caractère personnel automatisé. | 4 | a33beb1398d687ce56ea092654850e76f54bebb2 | Cliquer pour accéder à la décision | ||||||
C-212/13 | Ryneš | 11/12/2014 | 2014 | République Tchèque | Cour de Justice de l'UE | Exception domestique | Exception domestique - 1) Conditions - Activités exclusivement personnelles ou domestiques - 2) Cas de la caméra de surveillance à l’intérieur d’une maison familiale surveillant partiellement l’espace public - Exclusion | 30. Cette interprétation stricte trouve son fondement également dans le libellé même de cette disposition qui soustrait à l’application de la directive 95/46 le traitement des données effectué pour l’exercice d’activités non pas simplement personnelles ou domestiques, mais «exclusivement» personnelles ou domestiques. [...] 33. Dans la mesure où une vidéosurveillance telle que celle en cause au principal s’étend, même partiellement, à l’espace public et, de ce fait, est dirigée vers l’extérieur de la sphère privée de celui qui procède au traitement des données par ce moyen, elle ne saurait être considérée comme une activité exclusivement «personnelle ou domestique», au sens de l’article 3, paragraphe 2, second tiret, de la directive 95/46. | 2 | 70142f66475ae2fb33722d8d4750f386ecfefe7b | Cliquer pour accéder à la décision | ||||||
C-141/12, C-372/12 | YS e.a. | 17/07/2014 | 2014 | Pays-Bas | Cour de Justice de l'UE | Donnée à caractère personnel | Administration | Donnée à caractère personnel - Données figurant dans l'analyse juridique de la décision - Inclusion - Analyse en tant que telle - Exclusion | 48. Il résulte de l’ensemble des considérations qui précèdent qu’il convient de répondre aux première et deuxième questions dans l’affaire C-141/12 ainsi qu’à la cinquième question dans l’affaire C-372/12 que l’article 2, sous a), de la directive 95/46 doit être interprété en ce sens que les données relatives au demandeur du titre de séjour figurant dans la minute et, le cas échéant, celles figurant dans l’analyse juridique contenue dans celle-ci constituent des «données à caractère personnel», au sens de cette disposition, ladite analyse ne pouvant en revanche pas recevoir, en tant que telle, la même qualification. | 4 | a33beb1398d687ce56ea092654850e76f54bebb2 | Cliquer pour accéder à la décision | |||||
C-131/12 | Google Spain | 13/05/2014 | 2014 | Espagne | Cour de Justice de l'UE | A classer | Qualification de l'exploitant du moteur de recherche de responsable de traitement - Admission - Droit à l'oubli - Application territoriale : intégralité de l'UE | 60. L’article 4, paragraphe 1, sous a), de la directive 95/46 doit être interprété en ce sens qu’un traitement de données à caractère personnel est effectué dans le cadre des activités d’un établissement du responsable de ce traitement sur le territoire d’un État membre, au sens de cette disposition, lorsque l’exploitant d’un moteur de recherche crée dans un État membre une succursale ou une filiale destinée à assurer la promotion et la vente des espaces publicitaires proposés par ce moteur et dont l’activité vise les habitants de cet État membre. - 88. Les articles 12, sous b), et 14, premier alinéa, sous a), de la directive 95/46 doivent être interprétés en ce sens que, afin de respecter les droits prévus à ces dispositions et pour autant que les conditions prévues par celles-ci sont effectivement satisfaites, l’exploitant d’un moteur de recherche est obligé de supprimer de la liste de résultats, affichée à la suite d’une recherche effectuée à partir du nom d’une personne, des liens vers des pages web, publiées par des tiers et contenant des informations relatives à cette personne, également dans l’hypothèse où ce nom ou ces informations ne sont pas effacés préalablement ou simultanément de ces pages web, et ce, le cas échéant, même lorsque leur publication en elle-même sur lesdites pages est licite. | 3, 17 | bdc1408a91f161dab5a9893d23db3c7095200e1d, 1e8656ea42e419dc857d077aca14615f16874373 | Cliquer pour accéder à la décision | ||||||
C-131/12 | Google Spain | 13/05/2014 | 2014 | Espagne | Cour de Justice de l'UE | Traitement | Traitement de données à caractère personnel - Activité d’un moteur de recherche consistant à trouver des informations publiées ou placées sur Internet par des tiers, à les indexer de manière automatique, à les stocker temporairement et à les mettre à disposition des internautes selon un ordre de préférence donné - Inclusion | 41. Il découle de l’ensemble des considérations qui précèdent qu’il convient de répondre à la deuxième question, sous a) et b), que l’article 2, sous b) et d), de la directive 95/46 doit être interprété en ce sens que, d’une part, l’activité d’un moteur de recherche consistant à trouver des informations publiées ou placées sur Internet par des tiers, à les indexer de manière automatique, à les stocker temporairement et, enfin, à les mettre à la disposition des internautes selon un ordre de préférence donné doit être qualifiée de «traitement de données à caractère personnel», au sens de cet article 2, sous b), lorsque ces informations contiennent des données à caractère personnel et, d’autre part, l’exploitant de ce moteur de recherche doit être considéré comme le «responsable» dudit traitement, au sens dudit article 2, sous d). | 4 | a33beb1398d687ce56ea092654850e76f54bebb2 | Cliquer pour accéder à la décision | ||||||
361042 | Syndicat National des Enseignements de Second Degré (SNES) | 28/03/2014 | 2014 | France | Conseil d'Etat | Données de santé | Santé | Donnée de santé - Donnée faisant état d’un handicap sans donner d’information sur sa nature - Exclusion | 15. Considérant, d'une part, que la mention du taux d'incapacité permanente ou du taux d'invalidité du " conjoint ou partenaire " et des personnes à la charge de l'agent n'est pas une donnée " relative à la santé " au sens des dispositions précitées de l'article 8 la loi du 6 janvier 1978, dès lors qu'il n'est pas même allégué qu'elle donnerait une information sur la nature du handicap ; | 9 | b85ab32eaa572c8016edf68011078dceed8149e5 | Cliquer pour accéder à la décision | |||||
354629 | Foncia | 12/03/2014 | 2014 | France | Conseil d'Etat | A classer | Décision de publier une sanction - Motivation spécifique obligatoire - Rejet | 8. Considérant, en troisième lieu, que si la décision par laquelle la CNIL rend publique la sanction prononcée a le caractère d'une sanction complémentaire, aucune disposition non plus qu'aucun principe n'impose qu'elle fasse l'objet d'une motivation spécifique, distincte de la motivation d'ensemble de la sanction principale qu'elle complète ; que, dès lors, le moyen tiré de ce que cette sanction complémentaire aurait été infligée irrégulièrement faute d'être motivée par l'intérêt général est sans incidence sur la légalité de la décision attaquée ; | 84 | 68136ec0621ef3fe8935bf9fa91f0f6e4a202509 | Cliquer pour accéder à la décision | ||||||
354629 | Société Foncia Groupe | 12/03/2014 | 2014 | France | Conseil d'Etat | Responsable de traitement | Responsable de traitement - 1) Société déterminant la nature des données collectées, les droits d’accès des entités qui lui sont liées ainsi que la durée de conservation des données - Inclusion - 2) Entités liées ayant désigné un correspondant à la protection des données - Exclusion | 5. [...] Il résulte de l'instruction que la société Foncia Groupe, qui a mis à disposition des entités qui lui sont liées le traitement " Totalimmo ", a décidé de la nature des données collectées et déterminé les droits d'accès à celles-ci, puis, après le contrôle de la CNIL, a fixé la durée de conservation des données et apporté des correctifs à leur traitement ; qu'ainsi, la société Foncia Groupe détermine les finalités et les moyens du traitement " Totalimmo " ; que la société ne peut être regardée comme sous-traitant au sens des dispositions de l'article 35 de la loi du 6 janvier 1978 ; que la désignation d'un correspondant à la protection des données par les entités n'a pas, par elle-même, pour effet de rendre celles-ci responsables des traitements ; que, par suite, en estimant que la société Foncia Groupe pouvait faire l'objet d'une sanction en tant que responsable de ce traitement, la CNIL a fait une exacte application des dispositions précitées ; | 4 | a33beb1398d687ce56ea092654850e76f54bebb2 | Cliquer pour accéder à la décision | ||||||
C-291/12 | Schwarz | 17/10/2013 | 2013 | Allemagne | Cour de Justice de l'UE | Biométrie | Administration | Passeport biométrique - Empreintes digitales - Incapicité du requérant à apporter la preuve de l'existence d'une méthode aussi efficace et moins intrusive pour prévenir les fraudes - Conséquence : proportionnalité de la méthode | 53. Dans ces conditions, il y a lieu de constater qu’il n’a pas été porté à la connaissance de la Cour l’existence de mesures susceptibles de contribuer, de manière suffisamment efficace, au but tenant à la protection des passeports contre leur utilisation frauduleuse, tout en portant des atteintes moins importantes aux droits reconnus par les articles 7 et 8 de la Charte que celles entraînées par la méthode fondée sur les empreintes digitales. | 9 | b85ab32eaa572c8016edf68011078dceed8149e5 | Cliquer pour accéder à la décision | |||||
C-342/12 | Worten | 30/05/2013 | 2013 | Portugal | Cour de Justice de l'UE | Donnée à caractère personnel | Travail | Donnée à caractère personnel - Registre de temps de travail - Conditions - Inclusion | 22. Il convient dès lors de répondre à la première question que l’article 2, sous a), de la directive 95/46 doit être interprété en ce sens qu’un registre du temps de travail, tel que celui en cause au principal, qui comporte l’indication, pour chaque travailleur, des heures de début et de fin du travail, ainsi que des interruptions ou des pauses correspondantes, relève de la notion de «données à caractère personnel», au sens de cette disposition. | 4 | a33beb1398d687ce56ea092654850e76f54bebb2 | Cliquer pour accéder à la décision | |||||
C-342/12 | Worten | 30/05/2013 | 2013 | Portugal | Cour de Justice de l'UE | Licéité | Réglementation nationale imposant à l’employeur de mettre à la disposition de l’autorité nationale compétente le registre du temps de travail - Licéité sous conditions | 45. Dans ces conditions, il convient de répondre aux deuxième et troisième questions que les articles 6, paragraphe 1, sous b) et c), ainsi que 7, sous c) et e), de la directive 95/46 [article 6 du RGPD] doivent être interprétés en ce sens qu’ils ne s’opposent pas à une réglementation nationale, telle que celle en cause au principal, qui impose à l’employeur l’obligation de mettre à la disposition de l’autorité nationale compétente en matière de surveillance des conditions de travail le registre du temps de travail afin d’en permettre la consultation immédiate, pour autant que cette obligation est nécessaire aux fins de l’exercice par cette autorité de ses missions de surveillance de l’application de la réglementation en matière de conditions de travail, notamment, en ce qui concerne le temps de travail. | 5 | 743da23f34ee7adc1bc280808926e060c096910e | Cliquer pour accéder à la décision | ||||||
340026 | Société AIS 2 | 27/07/2012 | 2012 | France | Conseil d'Etat | Responsable de traitement | Responsable de traitement - Identification par la méthode du faisceau d'indices - Application | 7. [...] Il résulte de l'instruction que, si la société requérante est une filiale de la société Acadomia groupe SA, qu'elle exerce son activité sous la marque Acadomia et indique, sous le timbre de cette société, qu'après la sanction, des instructions correctives ont été données, elle exploite cependant elle-même les fichiers en cause, dont elle ne conteste pas être la propriétaire, pour l'exercice de sa propre activité commerciale, détermine effectivement le champ des données renseignées, la circonstance que d'autres filiales ou franchises les utilisent étant à cet égard sans incidence, et a en outre, d'une part, au cours de la procédure devant la CNIL, indiqué à la commission qu'elle entendait renoncer à la collecte de différentes données, d'autre part, devant le juge, soutenu qu'elle avait accompli les formalités nécessaires à la régularisation de l'exploitation des fichiers au regard des dispositions de la loi ; | 4 | a33beb1398d687ce56ea092654850e76f54bebb2 | Cliquer pour accéder à la décision | ||||||
C-468/10, C-469/10 | ASNEF (C-468/10), FECEMD (C-469/10) | 24/11/2011 | 2011 | Espagne | Cour de Justice de l'UE | Intérêt légitime | Intérêt légitime - Restriction au moyen d'une réglementation nationale [visant à transposer la directive 95/46] conditionnant l'utilisation de cette base légale au caractère public de la donnée - Inconventionnalité | 49. Au vu de ces considérations, il convient de répondre à la première question que l’article 7, sous f), de la directive 95/46 [article 6 du RGPD] doit être interprété en ce sens qu’il s’oppose à une réglementation nationale qui, en l’absence du consentement de la personne concernée et pour autoriser le traitement de ses données à caractère personnel nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable de ce traitement ou par le ou les tiers auxquels ces données sont communiquées, exige, outre le respect des droits et libertés fondamentaux de cette dernière, que lesdites données figurent dans des sources accessibles au public, excluant ainsi de façon catégorique et généralisée tout traitement de données ne figurant pas dans de telles sources. | 6 | 2ce6ddc84d93a3a1dcd84238cd67260bd7272e08 | Cliquer pour accéder à la décision | ||||||
2011-173 QPC | M. Louis C et autres | 30/09/2011 | 2011 | France | Conseil constitutionnel | A classer | Santé | Respect de la vie privée - Condition de réalisation des expertises génétiques sur une personne décédée à des fins d'actions en matière de filiation - Accord durant le vivant | 6. Considérant qu'en disposant que les personnes décédées sont présumées ne pas avoir consenti à une identification par empreintes génétiques, le législateur a entendu faire obstacle aux exhumations afin d'assurer le respect dû aux morts ; qu'il n'appartient pas au Conseil constitutionnel de substituer son appréciation à celle du législateur sur la prise en compte, en cette matière, du respect dû au corps humain ; que, par suite, les griefs tirés de la méconnaissance du respect dû à la vie privée et au droit de mener une vie familiale normale doivent être écartés ; | 84, 85 | Cliquer pour accéder à la décision | ||||||
334014 | M. F et Mme C | 19/07/2010 | 2010 | France | Conseil d'Etat | Données de santé | Santé | Donnée de santé - Critères - 1) Nature - 2) Durée - 3) Gravité de la pathologie | (10.) Considérant que parmi les données enregistrées au sein du traitement automatisé BNIE figurent les codes d'identification propres aux établissements dans lesquels sont scolarisés les enfants, y compris dans les cas où l'enfant est scolarisé dans une structure hospitalière ou dans un établissement spécialisé ; que cependant, la mention d'un code de référence des établissements de soins, si elle permet de savoir que l'élève a été souffrant, ne fournit, par elle-même aucune information sur la nature, la durée, ou la gravité de l'affection de l'élève, information qui ne peut être obtenue qu'en accédant à un autre fichier mettant en correspondance les codes et la dénomination de l'établissement, qui n'est que très rarement explicite quant à la nature des pathologies qu'il soigne ; qu'en conséquence, les décisions attaquées ne peuvent pas être regardées comme portant sur des données relatives à la santé en méconnaissance des dispositions de l'article 8 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ; que, par suite, ce moyen doit être écarté ; | 9 | b85ab32eaa572c8016edf68011078dceed8149e5 | Cliquer pour accéder à la décision | |||||
334014 | M. F et Mme C | 19/07/2010 | 2010 | France | Conseil d'Etat | Données de santé | Santé | Donnée de santé - Code d’identification d’un établissement scolaire accueillant des enfants handicapés - Absence | (10.) Considérant que parmi les données enregistrées au sein du traitement automatisé BNIE figurent les codes d'identification propres aux établissements dans lesquels sont scolarisés les enfants, y compris dans les cas où l'enfant est scolarisé dans une structure hospitalière ou dans un établissement spécialisé ; que cependant, la mention d'un code de référence des établissements de soins, si elle permet de savoir que l'élève a été souffrant, ne fournit, par elle-même aucune information sur la nature, la durée, ou la gravité de l'affection de l'élève, information qui ne peut être obtenue qu'en accédant à un autre fichier mettant en correspondance les codes et la dénomination de l'établissement, qui n'est que très rarement explicite quant à la nature des pathologies qu'il soigne ; qu'en conséquence, les décisions attaquées ne peuvent pas être regardées comme portant sur des données relatives à la santé en méconnaissance des dispositions de l'article 8 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ; que, par suite, ce moyen doit être écarté ; | 9 | b85ab32eaa572c8016edf68011078dceed8149e5 | Cliquer pour accéder à la décision | |||||
334014 | M. F et Mme C | 19/07/2010 | 2010 | France | Conseil d'Etat | Conservation limitée | Administration | Durée de conservation - Données relatives à l’identification des élèves scolarisés : 35 ans - Durée excessive - Conséquence : annulation totale de la décision mettant en œuvre le traitement | (13.) Considérant [...] que si le ministre établit que la conservation des données collectées pendant toute la durée théorique maximale de présence d'un élève dans le premier cycle du système éducatif, serait nécessaire et légitime au regard des finalités du traitement qui vise à donner un identifiant unique aux élèves scolarisés dans les écoles maternelles et primaires, et s'il soutient à bon droit que la généralisation envisagée de l'utilisation de l'identifiant à l'enseignement secondaire et à l'enseignement supérieur justifierait une durée de conservation égale à la durée du cycle complet d'étude d'un élève donné, il n'apporte aucun élément de justification de nature à faire regarder un délai total de conservation de 35 ans comme nécessaire aux finalités du traitement ; que dès lors M. A est fondé à demander l'annulation des décisions attaquées ; que ces décisions doivent être annulées ; | 5 | 743da23f34ee7adc1bc280808926e060c096910e | Cliquer pour accéder à la décision | |||||
317182 | M. X et Mme Y | 19/07/2010 | 2010 | France | Conseil d'Etat | Données de santé | Santé | Donnée de santé - Catégorie de classe d'intégration scolaire (CLIS) - Inclusion - Structure de soins accueillant des élèves - Exclusion | (18.) Considérant que le requérant soutient sans être sérieusement contesté pour ce qui concerne la période allant jusqu'au 20 octobre 2008 que le traitement litigieux comportait, dans le cas où l'enfant est inscrit au sein d'une école primaire non spécialisée, la mention exacte de la catégorie de classe d'intégration scolaire (CLIS) identifiée par l'un des quatre chiffres codant le type de handicap ou de déficience des élèves en bénéficiant, dont la seule mention permet par suite d'identifier immédiatement la nature de l'affection ou du handicap propre à l'élève concerné, contrairement aux mentions de la structure de soins concernée, qui ne permet que dans de très rares cas, où sa dénomination est explicite, d'identifier directement la pathologie de l'élève concerné ; que la mention de la CLIS doit donc être regardée comme une donnée personnelle relative à la santé ; | 9 | b85ab32eaa572c8016edf68011078dceed8149e5 | Cliquer pour accéder à la décision | |||||
317182 | M. X et Mme Y | 19/07/2010 | 2010 | France | Conseil d'Etat | Minimisation | Jeunesse et éducation | Minimisation - Données pertinentes à l'atteinte des finalités - Cas de la gestion d'une école de premier cycle | (27.) Considérant que [pour l'application de l'article 6 de la loi n°78-17 du 6 janvier 1978] les données pertinentes au regard de la finalité d'un traitement automatisé de données à caractère personnel sont celles qui sont en adéquation avec la finalité du traitement et qui sont proportionnées à cette finalité; que l'arrêté litigieux se borne à prévoir l'enregistrement des seules données nécessaires, d'une part, à l'identification de l'élève, de ses responsables légaux et des autres personnes à contacter en cas d'urgence ou autorisées à le prendre en charge à la sortie de l'école, d'autre part, à la gestion des établissements, de la scolarité des élèves et de leurs activités parascolaires et périscolaires ; que de telles données, dont aucune n'excède les finalités [de gestion de l'enseignement scolaire de premier cycle] poursuivies par le traitement automatisé, doivent être regardées comme en adéquation avec la finalité du traitement et sont proportionnées à cette finalité ; | 5 | 743da23f34ee7adc1bc280808926e060c096910e | Cliquer pour accéder à la décision | |||||
312051 | Association SOS Racisme et GISTI | 30/12/2009 | 2009 | France | Conseil d'Etat | Conservation limitée | Police-Justice | Durée de conservation - Création d'un traitement destiné à faciliter la mise en œuvre des mesures d'éloignement des étrangers - Durée étendue à 3 ans pour certaines d'entre elles - Stricte nécessité : absence - Conséquence : illicéité et annulation de l'acte règlementaire créant le traitement | (21.) Considérant que [...] la circonstance que la conservation de certaines données essentielles pourrait permettre de faciliter une nouvelle mesure d'éloignement, qui s'avérerait nécessaire à l'encontre d'un étranger ayant déjà fait l'objet d'une telle mesure dans l'hypothèse où il viendrait à nouveau à séjourner irrégulièrement sur le territoire national, ne suffit pas à justifier la conservation de ces données, relatives à l'ensemble des étrangers faisant l'objet d'une mesure d'éloignement, pendant une durée de trois ans après la date de l'éloignement effectif ; que, d'autre part, il n'est pas établi, ni même sérieusement allégué, que l'élaboration de statistiques relatives à l'ensemble des mesures d'éloignement et à leur taux d'exécution serait rendue impossible en l'absence d'une conservation des données susmentionnées pendant une durée de trois ans ; que, par suite, faute pour le ministre de justifier de l'intérêt que pourrait présenter la conservation de ces données pendant une durée supérieure à trois mois, au regard notamment de la durée potentielle d'exécution de certaines des mesures d'éloignement mises en oeuvre, le décret attaqué doit être annulé en tant qu'il prévoit une durée dérogatoire de trois ans pour la conservation des données mentionnées ci-dessus ; | 5 | 743da23f34ee7adc1bc280808926e060c096910e | Cliquer pour accéder à la décision | |||||
C-553/07 | Rijkeboer | 07/05/2009 | 2009 | Pays-Bas | Cour de Justice de l'UE | A classer | Directive 95/46/CE - Droit d’accès à l’information sur les destinataires et les catégories de destinataires des données - Durée de conservation de l’information sur les destinataires ou les catégories de destinataires | 70. Il y a lieu, dès lors, de répondre à la question posée de la manière suivante: - L’article 12, sous a), de la directive impose aux États membres de prévoir un droit d’accès à l’information sur les destinataires ou les catégories de destinataires des données ainsi qu’au contenu de l’information communiquée non seulement pour le présent, mais aussi pour le passé. Il appartient aux États membres de fixer un délai de conservation de cette information ainsi qu’un accès corrélatif à celle-ci qui constituent un juste équilibre entre, d’une part, l’intérêt de la personne concernée à protéger sa vie privée, notamment au moyen des voies d’intervention et de recours prévus par la directive et, d’autre part, la charge que l’obligation de conserver cette information représente pour le responsable du traitement. | 15 | 4c7a18c8baa891976ae8102b846b3aa8143fe90d | Cliquer pour accéder à la décision | ||||||
C-73/07 | Satakunnan Markkinapörssi et Satamedia | 16/12/2008 | 2008 | Finlande | Cour de Justice de l'UE | Traitement | Administration, Marketing et prospection | Traitement de données à caractère personnel - Collecte, publication, cession ou traitement dans un service de SMS des documents publics d’une administration fiscale contenant des données relatives aux revenus du travail et du capital et au patrimoine de personne physiques - Inclusion | 37. Par conséquent, il y a lieu de répondre à la première question que l’article 3, paragraphe 1, de la directive doit être interprété en ce sens qu’une activité qui consiste à: — collecter dans les documents publics de l’administration fiscale des données relatives aux revenus du travail et du capital ainsi qu’au patrimoine de personnes physiques et à les traiter en vue de leur publication, — les publier dans l’ordre alphabétique et par classe de revenus, sous la forme de listes détaillées établies commune par commune, — les céder sous la forme de disques CD-ROM, pour qu’elles soient utilisées à des fins commerciales, — les traiter dans un service de SMS qui permet aux utilisateurs de téléphones mobiles, en envoyant le nom et la commune de résidence d’une personne, de recevoir des informations concernant les revenus du travail et du capital ainsi que le patrimoine de cette personne doit être considérée comme un «traitement de données à caractère personnel» ausens de cette disposition. | 4 | a33beb1398d687ce56ea092654850e76f54bebb2 | Cliquer pour accéder à la décision | |||||
C‑524/06 | Huber | 16/12/2008 | 2008 | Allemagne | Cour de Justice de l'UE | Licéité | Police-Justice | Mission d'intérêt public - Traitement de données à caractère personnel relatives aux citoyens de l’Union non-ressortissants de l’État membre ayant pour objectif le soutien des autorités nationales en charge de l’application de la réglementation sur le droit de séjour - Conditions de licéité | 66. Il résulte de l’ensemble des considérations qui précèdent qu’un système de traitement de données à caractère personnel relatives aux citoyens de l’Union non-ressortissants de l’État membre visé ayant pour objectif le soutien des autorités nationales en charge de l’application de la réglementation sur le droit de séjour ne répond à l’exigence de nécessité prévue à l’article 7, sous e), de la directive 95/46/CE du 24 octobre 1995 interprété à la lumière de l’interdiction de toute discrimination exercée en raison de la nationalité, que : - s’il contient uniquement les données nécessaires à l’application par lesdites autorités de cette réglementation, et - si son caractère centralisé permet une application plus efficace de cette réglementation en ce qui concerne le droit de séjour des citoyens de l’Union non-ressortissants de cet État membre. | 5, 6 | 743da23f34ee7adc1bc280808926e060c096910e | Cliquer pour accéder à la décision | |||||
C‑524/06 | Huber | 16/12/2008 | 2008 | Allemagne | Cour de Justice de l'UE | Mission d'intérêt public | Police-Justice | Mission d'intérêt public - Traitement de données à caractère personnel relatives aux citoyens de l’Union non-ressortissants de l’État membre ayant pour objectif le soutien des autorités nationales en charge de l’application de la réglementation sur le droit de séjour - Conditions de licéité | 66. Il résulte de l’ensemble des considérations qui précèdent qu’un système de traitement de données à caractère personnel relatives aux citoyens de l’Union non-ressortissants de l’État membre visé ayant pour objectif le soutien des autorités nationales en charge de l’application de la réglementation sur le droit de séjour ne répond à l’exigence de nécessité prévue à l’article 7, sous e), de la directive 95/46/CE du 24 octobre 1995 interprété à la lumière de l’interdiction de toute discrimination exercée en raison de la nationalité, que : - s’il contient uniquement les données nécessaires à l’application par lesdites autorités de cette réglementation, et - si son caractère centralisé permet une application plus efficace de cette réglementation en ce qui concerne le droit de séjour des citoyens de l’Union non-ressortissants de cet État membre. | 5, 6 | 2ce6ddc84d93a3a1dcd84238cd67260bd7272e08 | Cliquer pour accéder à la décision | |||||
263081 | Association Comité télévision et libertés et autres | 17/05/2006 | 2006 | France | Conseil d'Etat | Vie et orientation sexuelles | Santé | Données concernant la vie sexuelle - Données relatives au choix d’un abonné d’un service de télévision de recevoir certains programmes - Exclusion | (9.) Considérant que, à supposer que les dispositions des recommandations du Conseil supérieur de l'audiovisuel du 21 octobre 2003 et du 15 décembre 2004 aient nécessairement, en tant qu'elles imposent aux abonnés d'un service offrant des programmes de catégorie V d'exprimer explicitement leur choix de recevoir ces programmes, pour effet d'imposer la collecte et la conservation de données se rapportant à ceux des abonnés qui ont souhaité recevoir des programmes de catégorie V, de telles données ne peuvent être regardées comme étant relatives à la vie sexuelle des personnes concernées ou comme étant de nature à faire apparaître, même indirectement, leurs moeurs au sens des dispositions précitées de la loi du 6 janvier 1978 ; que, dès lors, les moyens tiré d'une violation des dispositions de cette loi par les dispositions critiquées des recommandations attaquées doivent être écartés ; | 9 | b85ab32eaa572c8016edf68011078dceed8149e5 | Cliquer pour accéder à la décision | |||||
05-83.423 | B. | 14/03/2006 | 2006 | France | Cour de cassation | Traitement | Marketing et prospection, Technologie | Caractère déloyal de la collecte d’adresses électroniques personnelles de personnes physiques, à leur insu, sur l’espace public d’internet - Existence | Constitue une collecte de données nominatives le fait d'identifier des adresses électroniques et de les utiliser, même sans les enregistrer dans un fichier, pour adresser à leurs titulaires des messages électroniques ; Est déloyal le fait de recueillir, à leur insu, des adresses électroniques personnelles de personnes physiques sur l'espace public d'internet, ce procédé faisant obstacle à leur droit d'opposition ; | 4, 5 | a33beb1398d687ce56ea092654850e76f54bebb2 | Cliquer pour accéder à la décision | |||||
05-83.423 | B. | 14/03/2006 | 2006 | France | Cour de cassation | Loyauté | Marketing et prospection, Technologie | Caractère déloyal de la collecte d’adresses électroniques personnelles de personnes physiques, à leur insu, sur l’espace public d’internet - Existence | Constitue une collecte de données nominatives le fait d'identifier des adresses électroniques et de les utiliser, même sans les enregistrer dans un fichier, pour adresser à leurs titulaires des messages électroniques ; Est déloyal le fait de recueillir, à leur insu, des adresses électroniques personnelles de personnes physiques sur l'espace public d'internet, ce procédé faisant obstacle à leur droit d'opposition ; | 4, 5 | 743da23f34ee7adc1bc280808926e060c096910e | Constitue une collecte de données nominatives le fait d'identifier des adresses électroniques et de les utiliser, même sans les enregistrer dans un fichier, pour adresser à leurs titulaires des messages électroniques ; Est déloyal le fait de recueillir, à leur insu, des adresses électroniques personnelles de personnes physiques sur l'espace public d'internet, ce procédé faisant obstacle à leur droit d'opposition ; | |||||
252691 | M.C | 10/03/2004 | 2004 | France | Conseil d'Etat | Opinions politiques | Donnée sensible et donnée de nature à faire apparaître les opinions politiques - Données relatives à l’abstention électorale - Exclusion | (3.) Considérant qu'il ressort des pièces du dossier que le ministre a, par un arrêté en date du 10 avril 2002, décidé la création d'un traitement automatisé d'informations individuelles relatif à une étude statistique sur la participation électorale et l'abstention entre 2002 et 2005 portant sur un échantillon de 40 000 personnes à partir des listes d'émargement des différents scrutins ; que les informations détenues par l'Institut national de la statistique et des études économiques (INSEE) pour mener à bien cette étude ne peuvent être regardées comme étant de nature à faire apparaître, même indirectement, les opinions politiques ou philosophiques au sens de l'article 31 précité [désormais abrogé] de la loi du 6 janvier 1978 ; que par suite, M. X n'est pas fondé à soutenir que le ministre de l'économie, des finances et de l'industrie n'était pas compétent pour créer le système de traitement automatisé dont s'agit ; | 9 | b85ab32eaa572c8016edf68011078dceed8149e5 | Cliquer pour accéder à la décision | ||||||
C-101/01 | Bodil Lindqvist | 06/11/2003 | 2003 | Suède | Cour de Justice de l'UE | Exception domestique | Champ d'application du RGPD - Exception domestique - Interprétation stricte - Nombre de destinataires indéterminé - Exclusion | 46. S'agissant de l'exception prévue à l'article 3, paragraphe 2, second tiret, de la directive 95/46, le douzième considérant de celle-ci, relatif à cette exception, mentionne en tant qu'exemples de traitement de données effectué par une personne physique dans l'exercice d'activités exclusivement personnelles ou domestiques la correspondance et la tenue de répertoires d'adresses. - 47. Cette exception doit donc être interprétée comme visant uniquement les activités qui s'insèrent dans le cadre de la vie privée ou familiale des particuliers, ce qui n'est manifestement pas le cas du traitement de données à caractère personnel consistant dans leur publication sur Internet de sorte que ces données sont rendues accessibles à un nombre indéfini de personnes. | 2 | 70142f66475ae2fb33722d8d4750f386ecfefe7b | Cliquer pour accéder à la décision | ||||||
C-101/01 | Bodil Lindqvist | 06/11/2003 | 2003 | Suède | Cour de Justice de l'UE | Traitement | Technologie | Traitement de données à caractère personnel - Référence, sur une page Internet, à diverses personnes identifiées par leur nom ou d’autres moyens - Inclusion | 27. Il convient donc de répondre à la première question que l'opération consistant à faire référence, sur une page Internet, à diverses personnes et à les identifier soit par leur nom, soit par d'autres moyens, par exemple leur numéro de téléphone ou des informations relatives à leurs conditions de travail et à leurs passe-temps, constitue un «traitement de données à caractère personnel, automatisé en tout ou en partie,» au sens de l'article 3, paragraphe 1, de la directive 95/46. | 4 | a33beb1398d687ce56ea092654850e76f54bebb2 | Cliquer pour accéder à la décision | |||||
C-101/01 | Bodil Lindqvist | 06/11/2003 | 2003 | Suède | Cour de Justice de l'UE | Sécurité nationale | Administration | Exception au champ d'application du droit de l'Union - Traitement de données ayant pour objet la sécurité publique, la défense, la sûreté de l’État et les activités de l’État relatives à des domaines du droit pénal - Interprétation stricte | 43. Les activités mentionnées à titre d'exemples à l'article 3, paragraphe 2, premier tiret, de la directive 95/46 (à savoir les activités prévues aux titres V et VI du traité sur l'Union européenne ainsi que les traitements ayant pour objet la sécurité publique, la défense, la sûreté de l'État et les activités relatives à des domaines du droit pénal) sont, dans tous les cas, des activités propres aux États ou aux autorités étatiques et étrangères aux domaines d'activité des particuliers. - 44. Il y a donc lieu de considérer que les activités mentionnées en tant qu'exemples à l'article 3, paragraphe 2, premier tiret, de la directive 95/46 sont destinées à définir la portée de l'exception y prévue, de sorte que cette exception ne s'applique qu'aux activités qui y sont ainsi expressément mentionnées ou qui peuvent être rangées dans la même catégorie (ejusdem generis). | 2 | 70142f66475ae2fb33722d8d4750f386ecfefe7b | Cliquer pour accéder à la décision | |||||
241325 | M. X | 05/03/2003 | 2003 | France | Conseil d'Etat | Exactitude | Police-Justice | Exactitude des données - Effets de l'amnistie et de la réhabilitation - Interdiction de rappeler l'existence de condamnations, de sanctions, d'interdictions, de déchéances ou d'incapacités - Conséquence - 1) Obligation de prévoir l'effacement des données correspondantes sur les fichiers permettant dans les tribunaux la gestion automatisée des procédures - 2) Annulation partielle de l'arrêté ne le prévoyant pas | (4.) Considérant que [...] si le ministre de la justice, a prévu, au troisième alinéa de l'article 6 de l'arrêté du 18 juin 1986 et de l'arrêté du 13 avril 1993, tel que modifié par les arrêtés du 22 octobre 2001, que les fichiers informatiques institués par ces textes, dans le but d'automatiser la gestion des procédures, seraient mis à jour en cas d'amnistie et de réhabilitation « par mention et en conformité avec les dispositions [...] des articles 133-9 à 11 pour l'amnistie et 133-16 pour la réhabilitation », ce dispositif, qui ne prévoit aucun effacement des données, ne suffit pas à garantir que les principes posés par le code pénal qui interdisent « rappeler l'existence » de condamnations, de sanctions, d'interdictions, de déchéances ou d'incapacités, seront respectés; [...] que ces dispositions doivent être annulées. | 5 | 743da23f34ee7adc1bc280808926e060c096910e | Cliquer pour accéder à la décision | |||||
157402 | Ministre de l’équipement, des transports et du tourisme | 03/07/2002 | 2002 | France | Conseil d'Etat | Donnée à caractère personnel, Personne physique, Personne concernée | Economie et fiscalité | Donnée à caractère personnel - Personne physique - Entrepreneur individuel pris en cette qualité - Exclusion | (2.) [...] Qu'il résulte des termes de ces dispositions législatives, éclairées au surplus par leurs travaux préparatoires, que les informations nominatives qu'elles mentionnent sont celles qui permettent d'identifier des personnes physiques ; que les entrepreneurs individuels, pris en cette qualité, ne sont pas des personnes physiques pour l'application de ces dispositions ; | 4 | a33beb1398d687ce56ea092654850e76f54bebb2 | Cliquer pour accéder à la décision | |||||
204909 | Association française des sociétés financières | 30/10/2001 | 2001 | France | Conseil d'Etat | Licéité | Economie et fiscalité | Pertinence du traitement de la nationalité d'un demandeur de prêt bancaire - Admission | La référence à la nationalité comme l'un des éléments de pur fait d'un calcul automatisé du risque, dont la mise en oeuvre n'entraîne pas le rejet d'une demande sans l'examen individuel de celle-ci, ne constitue pas une discrimination [...]. | 5 | 743da23f34ee7adc1bc280808926e060c096910e | Cliquer pour accéder à la décision | |||||
96-85.900 | B. | 12/05/1998 | 1998 | France | Cour de cassation | Donnée à caractère personnel | Donnée à caractère personnel - Résultats d’un sondage portant sur une personne représentant l’état statistique de l’opinion de la population à un moment donné - Exclusion | (5.) Qu'en effet les résultats d'un sondage portant sur une personne, qui représentent l'état statistique, à un moment donné, de l'opinion de la population sur celle-ci, ne constituent pas une information nominative au sens de l'article 4 de la loi du 6 janvier 1978 ; qu'il s'en déduit que, dès lors que les résultats ne lui sont pas opposés, cette personne ne saurait bénéficier du droit d'accès et des prérogatives qui en découlent, prévus par les articles 34 et suivants de ladite loi, ni exiger la communication du nom du commanditaire de l'opération ; | 4 | a33beb1398d687ce56ea092654850e76f54bebb2 | Cliquer pour accéder à la décision | ||||||
148975 | Chambre syndicale Syntec Conseil | 09/07/1997 | 1997 | France | Conseil d'Etat | Donnée à caractère personnel | Donnée à caractère personnel - Résultats d’un sondage portant sur l’image d’une personnalité - Exclusion | (5.) Considérant qu'un sondage, comportant des questions qui demandent aux personnes interrogées ce qu'elles pensent d'une personnalité, ne contient pas des informations qui s'appliquent à celle-ci au sens de l'article 4 précité de la loi du 6 janvier 1978 ; qu'un tel sondage n'a d'autre objet que de chercher à obtenir, par une méthode d'échantillonnage, l'état, à un moment donné, de l'opinion de la population, au sens statistique de ce terme, sur la personnalité qui fait l'objet du sondage ; que, dans ces conditions, il ne résulte ni des dispositions des articles 4 et 34 de la loi, ni d'aucune autre disposition, que les résultats, obtenus à partir du dépouillement des réponses aux questions, constitueraient des informations nominatives concernant cette personnalité ; que celle-ci ne saurait, par suite, être titulaire du droit d'accès organisé par l'article 34, ni des droits de communication, de rectification et d'effacement qui en découlent ; qu'elle ne peut, dès lors, ni avoir accès à ce sondage sur le fondement de la loi du 6 janvier 1978, ni exiger de savoir qui a commandé ledit sondage à l'institut qui l'a réalisé ; | 4 | a33beb1398d687ce56ea092654850e76f54bebb2 | Cliquer pour accéder à la décision |
Actualités
Profitez de nos actualités en lien avec cet article !Comité européen sur la protection des données (EDPB)
05 novembre 2024
Le CEPD adopte son premier rapport dans le cadre Data Privacy Framework (DPF) Lors de sa dernière session plénière, le comité européen de la protection des données (CEPD) a adopté un rapport sur le premier réexamen du cadre de protection des données UE-États-Unis, ainsi qu’une déclaration sur les recommandations du groupe de haut niveau (co-présidé […]
Disponible sur: veille.portail-rgpd.com