Tables CNIL

Cette application facilite et enrichit la navigation dans les Tables Informatique et Libertés publiées par la CNIL. Elles assemblent l’essentiel de la jurisprudence française et européenne et des décisions pertinentes de l'autorité administrative en matière de protection des données à caractère personnel, et constituent à cet égard un outil précieux pour les DPO et les avocats

Dernière mise à jour : Version du 20/02/2026 – V 2.3 [PDF]

669 décisions

Décisions de jurisprudence

Juridiction
Toutes les juridictions

CC11 juin 2021CC, 2021-917 QPC, 11 juin 2021, Union nationale des syndicats autonomes de la fonction publique, points 5-10(source)

Contrôle administratif des congés d'invalidité Transmission d'informations médicales – A tteinte disproportionnée au droit au respect de la vie priv é e en l'espèce

Des dispositions légales encadrant la transmission, aux services administratifs compétents et aux fins de vérification des conditions encadrant le congé pour invalidité temporaire imputable au service, de données de nature médicale relatives à des agents publics, portent une atteinte disproportionnée au droit au respect de la vie privée dès lors qu'elles répondent aux conditions suivantes : la transmission de ces données intervient sans recueillir préalablement le consentement des agents intéressés et sans que le secret médical puisse être opposé aux services administratifs qui en font la demande ; cette communication peut concerner un très grand nombre d'agents au sein des services administratifs concernés, dont la désignation n'est subordonnée à aucune habilitation spécifique et dont les demandes de communication ne sont soumises à aucun contrôle particulier ; les renseignements en cause peuvent être obtenus auprès de toute personne ou organisme.

Cass30 octobre 2001Cass, crim., 30 octobre 2001, n° 99-82.136, Inédit., points 3-4(source)

Médecins et secrétaires médicaux, tenus au secret professionnel, ayant accès aux données médicales de patients enregistrées par d’autres médecins dans le cadre d’un système d’information commun Absence de qualification de tiers non autorisés

Attendu qu’il est notamment reproché aux prévenus, du chef du délit prévu par les articles 42 ancien de la loi n°78‑17 du 6 janvier 1978, et 226‑17 du code pénal, d’avoir, jusqu’en 1994, mis en place un système permettant à chacun des médecins utilisateurs et à leurs secrétaires médicaux d’accéder aux informations d’ordre médical figurant dans les fichiers créés par les autres médecins; Attendu que, pour relaxer les prévenus à raison de ces faits, la cour d’appel retient à raison que les médecins appartenant au syndicat interprofessionnel des médecins du travail du pays d’Aix (SIMTPA) et leurs secrétaires médicales, tenus au secret professionnel, ne peuvent être considérés comme des tiers non autorisés au sens des articles 29 de la loi Informatique et Libertés et 226‑17 du code pénal.

CE25 novembre 2020CE, 1‑4 chambres réunies, 25 novembre 2020, Conseil national de l'ordre des médecins, n° 428451, T., points 10, 13(source)

Secret médical (art. L. 1110 - 4 du CSP) Accès aux données du dossier médical des patients – 1) Accès des commissaires aux comptes – Méconnaissance, en tant que ne sont pas prévues des mesures techniques et organisationnelles propres à garantir le respect du secret médical – 2) Accès des prestataires extérieurs – Illégalité, en tant qu'il n'est pas assorti de garanties suffisantes pour assurer que l'accès n'excède pas celui strictement nécessaire à l'exercice de leur mission

Décret n° 2018‑1254 du 26 décembre 2018 prévoyant l’accès des commissaires aux comptes, dans le cadre de leur mission légale de certification des comptes des établissements publics de santé, et des prestataires extérieurs, aux fins de traitement des données, aux données du dossier médical des patients, lesquelles portent sur l’identité du patient, son lieu de résidence, ses pathologies et les actes de diagnostic et de soins réalisés au cours de son séjour dans l’établissement.

1) Il résulte de l’article L. 823‑9 du code de commerce que les commissaires aux comptes doivent seulement, pour l’accomplissement de leur mission légale de certification des comptes des établissements publics de santé, être en mesure de justifier que les comptes annuels de ces établissements sont réguliers et sincères et donnent une image fidèle du résultat des opérations de l’exercice écoulé ainsi que de leur situation financière et de leur patrimoine.

Il ressort des pièces du dossier, notamment des observations de caractère général présentées par le Haut Conseil du commissariat aux comptes (H3C) en application de l’article R. 625‑3 du code de justice administrative, que l’accès à l’ensemble des données de santé, issues du dossier médical des patients, mentionnées à l’article R. 6113‑1 du code de la santé publique (CSP), est nécessaire à l’accomplissement de cette mission, pour un échantillon de dossiers permettant de vérifier par sondage la fiabilité et la traçabilité des données utilisées pour le calcul des recettes de l’établissement, depuis l’admission du patient jusqu’à la facturation.

En revanche, il n’en ressort pas que cette mission ne puisse être accomplie à partir de données faisant l’objet de mesures de protection techniques et organisationnelles adéquates, telles que – à défaut du recours, à titre d’expériment, à un médecin responsable de l’information médicale dans un autre établissement – la pseudonymisation des données, dont l’article 25 du règlement (UE) n° 2016/679 du 27 avril 2016 (RGPD) prévoit la mise en œuvre pour protéger les droits de la personne concernée et garantir, à cette fin, que les personnes dont les données sont traitées ne puissent être identifiées.

Par suite, si le décret attaqué a pu, sans méconnaître la portée de l’article L. 6113‑7 du CSP, pour encadrer les conditions dans lesquelles les commissaires aux comptes ont accès à ces données, se borner, d’une part, à prévoir qu’ils peuvent seulement les consulter, dans le cadre de leur mission légale, sans création ni modification de données, avec une information adaptée des patients, en limitant la conservation à la durée strictement nécessaire à cette mission et en rappelant l’obligation de secret à laquelle ils sont soumis, et d’autre part, à limiter leur accès aux seules données « nécessaires… » dans la stricte limite de ce qui est nécessaire à leurs missions, sans exclure par principe leur accès à aucune de ces données, il est en revanche entaché d’illégalité en tant qu’il ne prévoit pas de mesures techniques et organisationnelles propres à garantir la protection du droit de la personne concernée au respect du secret médical rappelé par l’article L. 1110‑4 du CSP.

2) En se bornant à prévoir que les prestataires extérieurs qui contribuent au traitement des données à caractère personnel mentionnées à l’article R. 6113‑1 du CSP sont placés sous la responsabilité du médecin responsable de l’information médicale, qu’ils interviennent dans le cadre de leur contrat de sous‑traitance, qu’ils sont soumis à l’obligation de secret, dont la méconnaissance est punie conformément aux articles 226‑13 et 226‑14 du code pénal, qu’ils peuvent accéder « aux seules données à caractère personnel nécessaires… » dans la stricte limite de ce qui est nécessaire à leurs missions et qu’ils ne peuvent conserver les données mises à disposition par l’établissement au-delà de la durée strictement nécessaire aux activités qui leur ont été confiées par contrat, sans prévoir de mesures techniques et organisationnelles propres à assurer que seules sont traitées, avec des garanties suffisantes, les données identifiables qui sont nécessaires au regard des finalités du traitement ni de dispositions destinées à garantir qu’ils accomplissent effectivement ces activités sous l’autorité du praticien responsable de l’information médicale, quel qu’en soit le lieu, le décret attaqué n’a pas prévu de garanties suffisantes pour assurer que l’accès aux données n’excède pas celui qui est strictement nécessaire à l’exercice de la mission qui leur est reconnue par la loi.

Secret médical, Accès aux données du dossier médical des patients, commissaires aux comptes, mesures techniques et organisationnelles, prestataires extérieurs, garanties suffisantes, exercice de leur mission

CJUE21 mars 2024CJUE, 21 mars 2024, Landhauptstadt Wiesbaden, C-61/22(source)

Règlement (UE) 2019/1157 Renforcement de la sécurité des cartes d’identité des citoyens de l’Union européenne – Validité – Absence – Maintien des effets d’un règlement déclaré invalide dans le temps

Le Règlement (UE) 2019/1157, relatif au renforcement de la sécurité des cartes d'identité des citoyens de l'Union, est invalide en ce qu'il a été adopté sur une base juridique erronée. Toutefois, l'insertion obligatoire dans les cartes d'identité de deux empreintes digitales, prévue par ce règlement, est compatible notamment avec les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel. Les effets sont donc maintenus jusqu'à l'entrée en vigueur d'un nouveau règlement, fondé sur la base juridique spécifique appropriée, appelé à le remplacer.

CJUE30 janvier 2024CJUE, 30 janvier 2024, NG c./ Direktor na Glavna direktsia « Natsio nalna politsia » pri Ministerstvo na vatreshnite raboti – Sofia, C-118/22(source)

Législation nationale prévoyant la conservation par les autorités de police, à des fins de prévention et de détection des infractions pénales de données à caractère personnel, y compris biométriques et génétiques, concernant des personnes ayant fait l'objet d'une condamnation pénale définitive jusqu'au décès de ces personnes - Inconventionnalité

L'article 4, paragraphe 1, sous c) et e), de la directive (UE) 2016/680 du Parlement européen et du Conseil, du 27 avril 2016, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil, lu en combinaison avec les articles 5 et 10, l'article 13, paragraphe 2, sous b), ainsi que l'article 16, paragraphes 2 et 3, de celle‑ci, et à la lumière des articles 7 et 8 de la Charte des droits fondamentaux de l'Union européenne doit être interprété en ce sens qu'il s'oppose à une législation nationale qui prévoit la conservation, par les autorités de police, à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, de données à caractère personnel, notamment de données biométriques et génétiques, concernant des personnes ayant fait l'objet d'une condamnation pénale définitive pour une infraction pénale intentionnelle relevant de l'action publique, et ce jusqu'au décès de la personne concernée, y compris en cas de réhabilitation de celle‑ci, sans mettre à la charge du responsable du traitement l'obligation de vérifier régulièrement si cette conservation est toujours nécessaire, ni reconnaître à ladite personne le droit à l'effacement de ces données, dès lors que leur conservation n'est plus nécessaire au regard des finalités pour lesquelles elles ont été traitées, ou, le cas échéant, à la limitation du traitement de celles‑ci.

CJUE26 janvier 2023CJUE, 26 janvier 2023, Ministerstvo na vatreshnite raboti, C-205/21(source)

Directive (UE) 2016/680 Police - justice 1) Article 6, sous a) (Distinction claire entre les données à caractère personnel de différentes catégories de personnes) Procédure d'exécution forcée de la collecte de données biométriques – Admissibilité - Conditions – 2) Article 4, paragraphe 1, sous a) à c) (Traitement de données biométriques et de données génétiques) - Notion de « nécessité absolue » - Caractère systématique de la collecte – Illicéité

1) L’Directive (UE) 2016/680, Article 6, sous a) (Distinction claire entre les données à caractère personnel de différentes catégories de personnes) du Parlement européen et du Conseil, du 27 avril 2016, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, ainsi que les articles 47 et 48 de la Charte des droits fondamentaux de l’Union européenne doivent être interprétés en ce sens qu’ils ne s’opposent pas à une législation nationale qui prévoit que, en cas de refus de la personne mise en examen pour une infraction intentionnelle poursuivie d’office, de coopérer spontanément à la collecte des données biométriques et génétiques la concernant aux fins de leur enregistrement, la juridiction pénale compétente est tenue d’autoriser une mesure d’exécution forcée de cette collecte, sans disposer du pouvoir d’apprécier s’il existe des motifs sérieux de considérer que la personne concernée a commis l’infraction pour laquelle elle est mise en examen, pour autant que le droit national garantisse ultérieurement le contrôle juridictionnel effectif des conditions de cette mise en examen, dont découle l’autorisation de procéder à ladite collecte.

2) L’Article 4, paragraphe 1, sous a) à c) (Traitement de données biométriques et de données génétiques) ainsi que les articles 8, paragraphes 1 et 2, de cette directive doivent être interprétés en ce sens qu’ils s’opposent à une législation nationale qui prévoit la collecte systématique des données biométriques et génétiques de toute personne mise en examen pour une infraction intentionnelle poursuivie d’office aux fins de leur enregistrement, sans prévoir l’obligation, pour l’autorité compétente, de vérifier et de démontrer, d’une part, si cette collecte est absolument nécessaire à la réalisation des objectifs concrets poursuivis et, d’autre part, si ces objectifs ne peuvent pas être atteints par des mesures constituant une ingérence de moindre gravité pour les droits et les libertés de la personne concernée.

CJUE16 avril 2015CJUE, 16 avril 2015, Willems e.a, C-446/12 à C-449/12, point 53(source)

Garantir dans la législation que les données biométriques ne seront pas utilisées ou conservées à des fins autres que la délivrance du passeport ou du document de voyage Absence d'obligation pesant sur les États membres

L'article 4, paragraphe 3, du règlement nº 2252/2004 établissant des normes pour les éléments de sécurité et les éléments biométriques intégrés dans les passeports et les documents de voyage délivrés par les états membres n'oblige pas ces derniers à garantir, dans leur législation, que les données biométriques rassemblées et conservées conformément à ce règlement ne seront pas utilisées ou conservées à des fins autres que la délivrance du passeport ou du document de voyage ; un tel aspect relève d'absence d'obligation pesant sur les états membres.

CJUE17 octobre 2013CJUE, 17 octobre 2013, Schwarz, C‑291/12, point 53(source)

Prélèvement d'empreintes digitales Protection des passeports contre une utilisation frauduleuse – Proportionnalité

Il n'a pas été porté à la connaissance de la Cour l'existence de mesures susceptibles de contribuer, de manière suffisamment efficace, au but tenant à la protection des passeports contre leur utilisation frauduleuse, tout en portant des atteintes moins importantes aux droits reconnus par les articles 7 et 8 de la Charte que celles entraînées par la méthode fondée sur les empreintes digitales. Ce recueil est donc proportionné.

CEDH4 octobre 2023CEDH, 4 octobre 2023, Glukhin c. Russie, n° 11519/20(source)

Recours à la reconnaissance faciale en temps réel à des fins de prévention des infractions pénales Mesures particulièrement intrusives en l'espèce et traitement de données sensibles – Manifestation d'opini ons politiques – Inconventionnalité

Dans une jurisprudence constante, la Cour EDH juge que la conservation de photographies par la police, combinée à la possibilité de leur appliquer des techniques de reconnaissance faciale, constitue une ingérence dans l 'exercice du droit à la vie privée. La Cour rappelle également qu'il est essentiel, dans le cadre de la mise en œuvre de la technologie de reconnaissance faciale, de disposer de règles détaillées régissant la portée et l'application des mesures ainsi que d e garanties solides contre le risque d'abus et d'arbitraire. La nécessité de disposer de garanties est d'autant plus grande lorsque la technologie de reconnaissance faciale est utilisée en temps réel.

En l'espèce, le requérant russe qui a manifesté pacifiq uement dans le métro moscovite, et dont des photographies et une vidéo ont été publiées sur un canal public de Telegram, a été identifié à partir de ces éléments, localisé puis interpellé, au moyen d'une technologie de reconnaissance faciale en temps réel.

Partant du principe selon lequel les mesures litigieuses poursuivaient le but légitime de la prévention des infractions pénales, la Cour estime que les mesures prises contre le requérant ont été particulièrement intrusives, surtout le recours à la techno logie de reconnaissance faciale en temps réel. Un niveau élevé de justification est donc nécessaire pour qu'elles puissent être considérées comme « nécessaires dans une société démocratique », le niveau de justification le plus élevé étant requis pour l'ut ilisation de cette technologie. De plus, les données à caractère personnel qui ont été traitées renfermant des informations sur la participation du requérant à une manifestation pacifique, elles ont par conséquent révélé les opinions politiques de l'intére ssé. Elles appartenaient donc aux catégories particulières de données sensibles qui appellent un niveau de protection accru.

Le droit interne russe autorisait le traitement des données biométriques à caractère personnel dans le cadre de l'enquête et des po ursuites engagées pour toute infraction, quelles qu'en fussent la nature et la gravité.

Le requérant a été poursuivi pour une infraction administrative mineure qui n'a représenté aucun risque pour l'ordre public ou la sécurité des transports. Il n'a pas é té accusé d'avoir commis un acte répréhensible au cours de sa manifestation. L'utilisation d'une technologie de reconnaissance faciale très intrusive pour identifier et arrêter les participants à des actions de protestation pacifiques pourrait produire un effet dissuasif dans le domaine des droits à la liberté d'expression et de réunion.

Dans ces conditions, le traitement des données à caractère personnel du requérant au moyen de la technologie de reconnaissance faciale dans le cadre de la procédure adminis trative, ne répondait pas à un « besoin social impérieux » et ne pouvait être considéré comme « nécessaire dans une société démocratique ». La Cour EDH conclut donc à une violation de l'article 8.

CEDH11 juin 2020CEDH, 11 juin 2020, Affaire P.N c'Allemagne, n° 74440/17(source)

Conservation pendant cinq ans des photographies, du signalement et des empreintes digitales et palmaires d'un récidiviste subordonnée à des garanties et à un contrôle individualisé Absence de violation de l'article 8 CEDH

Le recueil et la conservation de divers types de données personnelles s'analysent comme une ingérence dans le droit du requérant au respect de sa vie privée. La prise d'empreintes palmaires, en particulier, constitue une mesure qui, sur le plan de son intensité et de l'utilisation future éventuelle des données recueillies, est très similaire à celle de la prise d'empreintes digitales. Par conséquent, les mêmes considérations doivent s'appliquer. Il y a lieu de considérer que le signalement du requérant et son enregistrement dans les fichiers de la police aux fins d'une identification future sont comparables à la prise d'une photographie, quoique moins intrusifs. L'article 8 est donc applicable à cette mesure. L'ingérence litigieuse était conforme à la loi et avait pour objectif la prévention du crime ainsi que la protection des droits d'autrui en facilitant les enquêtes relatives à de futures infractions.

La mesure litigieuse ménageait un juste équilibre entre des intérêts publics et privés concurrents et relève donc de la marge d'appréciation de l'État défendeur.

Pour apprécier la proportionnalité de l'ingérence, il est important que le recueil et la conservation des données d'identification dont il est question en l'espèce – photographies, empreintes digitales et palmaires et signalement – aient constitué une ingérence moins intrusive que le recueil d'échantillons cellulaires et la conservation de profils ADN, qui contiennent des informations beaucoup plus sensibles.

En ce qui concerne la durée de la conservation des données d'identification en question, le droit interne pertinent prévoit des délais précis au terme desquels la nécessité de conserver les données doit être réexaminée. L'objet de la conservation ainsi que le type et l'importance du motif de la conservation doivent être pris en compte dans cette appréciation. Dans une affaire comme celle du requérant – un délinquant adulte dont les infractions ne sont ni mineures ni particulièrement graves selon la définition de la directive applicable – la règle veut que les données personnelles soient supprimées au bout de cinq ans en l'absence d'ouverture d'une nouvelle enquête pénale visant le requérant dans ce délai. Le requérant peut donc obtenir la suppression de ses données dans les fichiers de police si son comportement démontre que les données ne sont plus nécessaires au travail de la police. La présente affaire se distingue par conséquent d'affaires telles que S. et Marper et Gaughran c. Royaume‑Uni, qui concernaient la conservation de données pour une durée indéterminée, ou M.K. c. France, dans laquelle il avait été constaté qu'en pratique, les données étaient conservées pendant vingt‑cinq ans.

En outre, en l'espèce, la nécessité de conserver les données en question peut faire l'objet d'un réexamen – par la police, susceptible de contrôle juridictionnel. Rien n'indique que les données d'identification sont insuffisamment protégées contre des abus tels qu'un accès ou une diffusion non autorisés.

Au vu du degré relativement limité de l'intrusion et de la durée du recueil des données d'identification en question, de l'effet limité sur la vie quotidienne du requérant de la conservation des données dans une base de données interne de la police et de la présence de garanties, la mesure litigieuse constituait une ingérence proportionnée dans le droit du requérant au respect de sa vie privée.

CEDH13 février 2020CEDH, 13 février 2020, Affaire Gaughran c. Royaume-Uni, n° 45245/15(source)

Conservation, sans limitation de durée et sans possibilité de réexamen de la situation, du profil ADN, des empreintes digitales et de la photographie d'une personne reconnue coupable d'une infraction mineure Caractère disproportionné – Violation de l'article 8 CEDH

Etaient conservés, sans limitation de durée et sans possibilité de réexamen, le profil ADN, les empreintes digitales et la photographie du requérant qui avait été reconnu coupable de conduite en état d'ivresse en Irlande du Nord et dont la condamnation avait été rayée de son casier judiciaire à l'expiration du délai prévu par la loi.

La Cour EDH a conclu à la violation de l'article 8 de la Convention.

La conservation du profil ADN et des empreintes digitales du requérant s'analyse en une atteinte à son droit au respect de sa vie privée. La conservation des données biométriques et des photographies poursuivait un but légitime, à savoir la prévention des infractions pénales.

Les États jouissent d'une marge d'appréciation réduite lorsqu'ils sont appelés à fixer des limites concernant la conservation des données biométriques de personnes ayant été condamnées. Néanmoins, la durée de conservation de ces données ne constitue pas nécessairement un critère déterminant lorsqu'il s'agit de rechercher si un État a outrepassé sa marge d'appréciation en la matière. La question de savoir si les règles mises en place tiennent compte de la gravité de l'infraction commise et de la nécessité de conserver les données en question, et si des garanties effectives ont été mises en place revêt également de l'importance. Lorsqu'un État se place aux confins de sa marge d'appréciation en s'attribuant le pouvoir le plus étendu en matière de conservation des données, c'est‑à‑dire le pouvoir de conserver des données sans limitation de durée, l'existence de certaines garanties effectives devient déterminante.

Les autorités ont conservé les données biométriques et la photographie du requérant sans prendre en considération ni la gravité de l'infraction commise ni la nécessité de conserver ces données sans limitation de durée. En outre, la police n'avait le pouvoir d'effacer les données biométriques et les photographies de personnes reconnues coupables que dans des cas exceptionnels. Par ailleurs, aucune disposition ne permettait au requérant de présenter une demande d'effacement si la conservation des données le concernant n'apparaissait plus pertinente compte tenu de la finalité du fichier, au regard de la nature de l'infraction qu'il avait commise, de son âge lors de sa commission, du temps écoulé depuis lors et de sa personnalité actuelle. En conséquence, il apparaît que les possibilités de réexamen étaient tellement restreintes qu'elles en devenaient presque hypothétiques.

Le caractère indifférencié des pouvoirs de conservation du profil ADN, des empreintes digitales et de la photographie du requérant au motif qu'il avait été reconnu coupable d'une infraction, entre‑temps radiée de son casier judiciaire, sans examen de la gravité de l'infraction commise ni de la nécessité de conserver indéfiniment les données en question, et sans possibilité réelle de réexamen de la mesure litigieuse, n'a pas ménagé un juste équilibre entre les intérêts publics et privés concurrents en jeu. L'État jouissait d'une marge d'appréciation légèrement plus ample en ce qui concerne la conservation des empreintes digitales et des photographies. Néanmoins, cette marge d'appréciation n'était pas suffisamment ample pour que la conservation des données concernées puisse être considérée comme proportionnée compte tenu des circonstances de la cause, notamment de l'absence de garanties suffisantes, et plus particulièrement de l'absence de possibilité réelle de réexamen de la mesure litigieuse.

L'État défendeur a donc outrepassé la marge d'appréciation acceptable à cet égard. Partant, la conservation litigieuse s'analyse en une atteinte disproportionnée au droit du requérant au respect de sa vie privée et ne peut passer pour nécessaire dans une société démocratique.

CC20 janvier 2022CC, 2021-834 DC, 20 janvier 2022, Loi relative à la responsabilité pénale et à la sécurité intérieure, point 30(source)

Drones Interdiction législative de procéder à de la reconnaissance faciale sur les images – Portée

En application du deuxième alinéa de l'article L. 242-4 du code de la sécurité intérieure, les dispositifs aéroportés ne peuvent procéder à la captation du son, ni comporter de traitements automatisés reconnaissance faciale. Ces dispositifs aéroportés ne peuvent procéder à aucun rapprochement, interconnexion ou mise en relation automatisée avec d'autres traitements de données à caractère personnel. Toutefois, ces dispositions ne sauraient, sans méconnaître le droit au respect de la vie privée, être interprétées comme autorisant les services compétents à procéder à l'analyse des images au moyen d'autres systèmes automatisés reconnaissance faciale qui ne seraient pas placés sur ces dispositifs aéroportés.

CC2 mars 2012CC, 2012-652 DC, 22 mars 2012, Loi relative à la protection de l'identité, points 8-11(source)

Traitement destiné à préserver l'intégrité des données nécessaires à la délivrance des titres d'identité et de voyage Disproportionnalité au regard de l'objet, de la sensibilité des données, de sa possible interrogation à d'autres fins – Inconstitutionnalité

La création d'un traitement de données à caractère personnel destiné à préserver l'intégrité des données nécessaires à la délivrance des titres d'identité et de voyage permet de sécuriser la délivrance de ces titres et d'améliorer l'efficacité de la lutte contre la fraude. Elle est ainsi justifiée par un motif d'intérêt général.

Toutefois, compte tenu de son objet, ce traitement de données à caractère personnel est destiné à recueillir les données relatives à la quasi-totalité de la population de nationalité française. Les données biométriques enregistrées dans ce fichier, notamment les empreintes digitales, étant par elles-mêmes susceptibles d'être rapprochées de traces physiques laissées involontairement par la personne ou collectées à son insu, sont particulièrement sensibles. Les caractéristiques techniques de ce fichier définies par les dispositions contestées permettent son interrogation à d'autres fins que la vérification de l'identité d'une personne. Les dispositions de la loi relative à la protection de l'identité autorisent la consultation ou l'interrogation de ce fichier non seulement aux fins de délivrance ou de renouvellement des titres d'identité et de voyage et de vérification de l'identité du possesseur d'un tel titre, mais également à d'autres fins de police administrative ou judiciaire.

Il résulte de ce qui précède qu'en égard à la nature des données enregistrées, à l'ampleur de ce traitement, à ses caractéristiques techniques et aux conditions de sa consultation, les dispositions de l'article 5 portent au droit au respect de la vie privée une atteinte qui ne peut être regardée comme proportionnée au but poursuivi. Par suite, les articles 5 et 10 de la loi relative à la protection de l'identité doivent être déclarés contraires à la Constitution.

CE26 avril 2022CE, 10 chambre, 26 avril 2022, La Quadrature du Net, n° 442364, inédit, point 5(source)

Nécessité absolue d'un dispositif de reconnaissance faciale déployé à des fins policières Conditions

L'enregistrement dans un traitement automatisé de données à caractère personnel d'une photographie de personnes mises en cause comportant les données biométriques nécessaires à la mise en œuvre d'un dispositif de reconnaissance faciale et permettant aux agents habilités d'identifier une personne à partir de l'image de son visage via une recherche automatisée pour les finalités mentionnées à l'article 230‑6 du code de procédure pénale tel que le prévoit l'article R. 40‑26 alinéa 16 de ce code répond à la condition de nécessité absolue posée par l'article 88 de la loi n°78‑17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. Une telle identification et le rapprochement avec les données enregistrées dans le traitement pouvant s'avérer absolument nécessaires à la recherche des auteurs d'infractions et à la prévention des atteintes à l'ordre public.

CNIL9 mars 2023CNIL, SP, 9 mars 2023, Avis sur deux projets de décret, Loi, n°2022-030 du 2 mars 2022 visant à renforcer le contrôle par entité sur les moyens d'accès à internet, n°2023-023, publié, points 4, 5, 24(source)

Protection des mineurs sur internet 1) Objectif d'intérêt général pouvant justifier des dispositifs de contrôle automatisé – Exigence de proportionnalité – 2) Cas des dispositifs de contrôle parental – a) Proportionnalité en principe – Protection des données dès la conception et par défaut – b) Recommandation de fonctionnement uniquement en local sur les terminaux du ménage

1) La Protection des mineurs sur internet, eu égard aux risques spécifiques auxquels ils sont exposés (pédophilie, harcèlement, arnaques…) et à la facilité d'accès à des contenus inadaptés, constitue un objectif d'intérêt général. Cette protection passe par de nombreux canaux, au premier rang desquels figure l'éducation au numérique, à laquelle diverses autorités publiques, dont la CNIL, contribuent.

La mise en place de dispositifs de contrôle automatisé constitue un moyen pertinent pour assurer cette protection. Cependant, la CNIL souligne, d'une part, qu'ils doivent s'inscrire dans le cadre d'une action plus globale de sensibilisation, d'éducation et de protection de la jeunesse dans ses usages numériques ; d'autre part, que ces dispositifs peuvent impliquer la collecte de données personnelles et une forme de surveillance des mineurs, et qu'un équilibre doit donc être trouvé entre ce contrôle et le respect de la vie privée et de leur autonomie. Parmi les dispositifs de contrôle automatisé, la CNIL a recommandé, à de nombreuses reprises, de favoriser l'usage de dispositifs à la main des utilisateurs plutôt que de solutions centralisées ou qui leur soient imposées.

2) a) Le développement de dispositifs de contrôle parental, qui conduit à une responsabilisation du ménage pour limiter l'accès à des contenus sensibles par les mineurs, semble particulièrement respectueux des droits des individus. Ces outils doivent être développés dans le respect d'une approche de protection des données dès la conception et par défaut, consacrée par le RGPD.

b) La CNIL recommande de configurer les dispositifs de contrôle parental de sorte que, par défaut, pour les fonctionnalités de base, ils fonctionnent sans entraîner de remontée de données à caractère personnel vers des serveurs ou sans qu'il soit nécessaire de créer un compte sur un serveur. Une telle configuration est distincte des opérations d'authentification ou de création de comptes utilisateurs pouvant être requises afin d'utiliser le terminal et qui peuvent nécessiter une liaison avec un serveur distant.

CNILDate non renseignéeCNIL, P, 15 juillet 2021, A vis sur projet de décret, L'ivret de parcours inclusif (LPI), n° 2021-082, publié, point 29(source)

Traitement visant à améliorer la prise en charge et le parcours scolaire des élèves à besoins éducatifs particuliers Contrat de sous-traitance – Interdiction de transférer les données en dehors de l'Union européenne

Dans le cadre d'un projet de décret autorisant la mise en œuvre par le ministère de l'éducation nationale d'un traitement ayant pour finalité d'améliorer la prise en charge et le parcours scolaire des élèves à besoins éducatifs particuliers, dont des élèves handicapés, compte tenu des données traitées, de la minorité d'un grand nombre de personnes concernées par le traitement, du cadre dans lequel elles sont recueillies et du considérant 38 du RGPD qui indique que « les enfants méritent une protection spécifique en ce qui concerne leurs données à caractère personnel parce qu'ils peuvent être moins conscients des risques, des conséquences et des garanties concernées et de leurs droits liés au traitement des données à caractère personnel », la CNIL considère que le contrat de sous-traitance devrait prévoir l'interdiction de transférer les données en dehors de l'Union européenne.

CC12 juin 2018CC, 2018-765 DC, 12 juin 2018, Loi relative à la protection des données personnelles, points 41-42, 47-53(source)

Traitements de données à caractère personnel relativ es aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes Loi adaptant la législation nationale au RGPD – 1) Poursuite d'objectifs d'intérêt général – 2) Champ des personnes autorisées suffisamment restreint – Mise en œuvre encadrée – Conformité

Les dispositions contestées modifient l'article 9 de la loi n°78‑17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés afin de fixer le régime des traitements de données à caractère personnel relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes, lorsque ces traitements ne sont pas mis en œuvre par les autorités compétentes à des fins pénales au sens de la directive européenne du 27 avril 2016.

1) En premier lieu, d'une part, en adoptant ces dispositions, le législateur a entendu permettre la mise en œuvre de traitements de données à caractère personnel relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes par des personnes collaborant au service public de la justice, telles que des associations d'aide aux victimes ou d'accompagnement de personnes placées sous main de justice. Il a également entendu ouvrir cette faculté aux personnes victimes ou mises en cause dans une procédure pénale, afin de leur permettre de préparer ou de mettre en œuvre un recours en justice. Ce faisant, le législateur a poursuivi des objectifs d'intérêt général.

2) En second lieu, d'une part, en prévoyant qu'elles s'appliquent aux personnes morales de droit privé collaborant au service public de la justice appartenant à des catégories dont la liste est fixée par décret en Conseil d'État, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés, ainsi qu'aux personnes agissant soit en tant que victimes ou mises en cause soit pour le compte de ces dernières, les dispositions contestées circonscrivent suffisamment le champ des personnes ainsi autorisées à mettre en œuvre un traitement de données à caractère personnel en matière pénale. D'autre part, la mise en œuvre de ces traitements ne peut être effectuée, dans le premier cas, que dans la mesure strictement nécessaire à la mission exercée par la personne collaborant au service public de la justice et, dans le second, que pour une durée strictement proportionnée aux finalités poursuivies par les personnes victimes ou mises en cause. Dans ce dernier cas, la communication à un tiers n'est possible que sous les mêmes conditions et dans la mesure strictement nécessaire à la poursuite des mêmes finalités. Enfin, la mise en œuvre de ces traitements de données est subordonnée au respect des garanties prévues par le règlement européen du 27 avril 2016, en particulier les conditions posées à ses articles 5 et 6, et à celles prévues par la loi n°78‑17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. Le législateur, qui n'était pas tenu de prévoir un dispositif d'autorisation préalable des traitements de données en cause, n'a donc pas méconnu le droit au respect de la vie privée.

CC10 juin 2009CC, 2009-580 DC, 10 juin 2009, Loi favorisant la diffusion et la protection de la création sur internet, points 24-29(source)

Autorisation donnée à des personnes privées de traiter des données à caractère personnel relatives à des infractions pour repérer des contrefaçons en ligne Licéité – Condition – Limitation à la protection des droits des victimes

Les dispositions combinées de l’article L. 34‑1 du code des postes et des communications électroniques, tel qu’il est modifié par l’article 14 de la loi favorisant la diffusion et la protection de la création sur internet et les troisième et cinquième alinéas de l’article L. 331‑21 du code de la propriété intellectuelle ainsi que son article L. 331‑24, tels qu’ils résultent de l’article 5 de cette loi, ont pour effet de modifier les finalités en vue desquelles les personnes privées peuvent mettre en œuvre des traitements portant sur des données à caractère personnel relatives à des infractions. Elles permettent en effet que, désormais, les données recueillies relatives aux infractions de contrefaçon commises sur internet acquièrent un caractère nominatif non seulement dans le cadre d’une procédure judiciaire, mais également dans le cadre de la procédure conduite devant la commission de protection des droits de la haute autorité pour la diffusion des œuvres et la protection des droits sur internet.

À l’issue de la censure résultant des considérants 19 et 20 de sa décision, le Conseil constate que la commission de protection des droits ne peut prononcer les sanctions prévues par la loi déférée : seul un rôle préalable à une procédure judiciaire lui est confié. Une telle intervention est justifiée par l’ampleur des contrefaçons commises au moyen d’internet et l’utilité, dans l’intérêt d’une bonne administration de la justice, de limiter le nombre d’infractions dont l’autorité judiciaire sera saisie. Il en résulte que les traitements de données à caractère personnel mis en œuvre par les sociétés et organismes précités ainsi que la transmission de ces données à la commission de protection des droits pour l’exercice de ses missions s’inscrivent dans un processus de saisine des juridictions compétentes.

En outre, ces traitements seront soumis aux exigences prévues par la loi n° 78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Les données ne pourront être transmises qu’à cette autorité administrative ou aux autorités judiciaires. Il appartiendra à la Commission nationale de l’informatique et des libertés, saisie pour autoriser de tels traitements, de s’assurer que les modalités de leur mise en œuvre, notamment les conditions de conservation des données, seront strictement proportionnées à cette finalité.

Cass23 juin 2021Cass, 2 civ., 23 juin 2021, n° 18-18.824, Inédit., points 8-9(source)

Mesure d'identification d'une adresse IP par le juge sur le fondement de l'article 145 du code de procédure civile Communication nécessaire à l'exercice ou à la défense d'un droit en justice – Licéité – Conditions

Hors des conditions prévues par le code des postes et des communications électroniques (saisie d'adresse IP pour la recherche, la constatation et la poursuite d'infractions pénales) et la loi pour la confiance dans l'économie numérique (qui ne s'applique pas aux correspondances privées que sont les courriels anonymes adressés à des personnes identifiées), une mesure d'identification à fin d'identifier une adresse IP peut être ordonnée par un juge, sur le fondement de l'article 145 du code de procédure civile, selon lequel s'il existe un motif légitime de conserver ou d'établir avant tout procès la preuve de faits dont pourrait dépendre la solution d'un litige, les mesures d'instruction légalement admissibles peuvent être ordonnées à la demande de tout intéressé, sur requête ou en référé.

Une telle mesure peut être regardée comme légalement admissible lorsque la communication nécessaire à l'exercice ou à la défense d'un droit en justice à un tiers d'une adresse IP est nécessaire à l'exercice ou à la défense d'un droit en justice, qu'elle ne porte pas une atteinte disproportionnée au droit à la vie privée de la personne dont les données sont ainsi communiquées à un tiers et qu'enfin, ce tiers fasse de ces données un usage licite.

Cass13 janvier 2009Cass, crim., 13 janvier 2009, n° 08-84.088, B., point 6(source)

Constatations visuelles effectuées sur internet et renseignements Propriété intellectuelle – Contrefaçons – Exclus ion

Ne constituent pas un traitement de données à caractère personnel relatives à des infractions, au sens des articles 2, 9 et 25 de la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, les constatations visuelles effectuées sur internet et les renseignements recueillis en exécution de l’article L. 331‑2 du code de la propriété intellectuelle par un agent assermenté qui, sans recourir à un traitement préalable de surveillance automatisé, utilise un appareillage informatique et un logiciel de pair à pair pour accéder manuellement aux fins de téléchargement à la liste des œuvres protégées irrégulièrement proposées sur la toile par un internaute, dont il se contente de relever l’adresse IP pour pouvoir localiser son fournisseur d’accès en vue de la découverte ultérieure de l’auteur des contrefaçons.