CC26 janvier 2017CC, 2016-745 DC, 26 janvier 2017, Loi relative à l'égalité et à la citoyenneté, points 22-23, 26-29(source)
Transmission du NIR p our un répertoire des logements locatifs sociaux et de leurs habitants – Mise en œuvre de la p olitique d'attribution des logements – Objectif d'intérêt général – Modalités de collecte, d'enregistrement, de conservation, et de communication adéquates et pro portionnées – Conformité
L'article L. 411 - 10 du c ode de la construction et de l'habitation prévoit que le ministère chargé du logement tient un répertoire des logements locatifs sociaux et de leurs habitants, pour permettre l'élaboration et la mise en œuv re des politiques publiques de l'habitat.
Le c du 1° du paragraphe I de l'article 78 de la loi relative à l'égalité et à la citoyenneté complète cet article L. 411 - 10. Il prévoit que, pour alimenter ce répertoire, les bailleurs sociaux transmettent au min istère chargé du logement le numéro d'immatriculation au répertoire national d'identification des personnes physiques de chaque occupant majeur d'un logement locatif social.
En adoptant les dispositions contestées, le législateur a entendu que le ministère chargé du logement soit en mesure d'établir une cartographie de l'occupation socio - économique du parc de logements sociaux, afin d'améliorer la mise en œuvre de la politique en matière d'attribution de ces logements. Il a ainsi poursuivi un objectif d'int érêt général.
Si les collectivités territoriales et certains de leurs établissements publics peuvent obtenir du représentant de l'État dans la région les informations relatives aux logements situés sur leur territoire contenues dans le répertoire, c'est, e n vertu du huitième alinéa de l'article L. 411 - 10, à la condition que ces informations aient été préalablement rendues anonymes.
Par ailleurs, le législateur a prévu au 4° du paragraphe I de l'article 78 que l'exploitation des données du répertoire par le groupement d'intérêt public mentionné à l'article L. 441 - 2 - 1 du c ode de la construction et de l'habitation est réalisée de manière à rendre impossible l'identification des intéressés.
Il en résulte que le législateur a retenu des modalités de collecte, d' enregistrement, de conservation, et de communication du numéro d'immatriculation au répertoire national d'identification des personnes physiques adéquates et proportionnées à l'objectif poursuivi. Par conséquent, le grief tiré de la méconnaissance du droit au respect de la vie privée doit être écarté.
CE18 novembre 2015CE, 10ème/9ème SSR, 18 novembre 2015, M. A … C… et Mme B … D…, n° 384869, Rec., point 5(source)
« Base nationale des id entifiants élèves » – Identifiant de portée générale – Exclusion
En raison de son champ sectoriel, la « Base nationale des identifiants élèves » ne peut être regardée comme un identifiant de portée générale au sens de l’article 8 de la directive du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des données.
CEDH13 février 2024CEDH, 13 février 2024, Podchasov c. Russie, n° 33696/19, points 70, 73 et 79(source)
1) Législation nationale prévoyant une obligation extrêmement large de conservation de toutes les communications Internet de tous les utilisateurs – Violation de l'article 8 CEDH – 2) Accès direct aux communications sans présentation d'une autorisation d'interception aux fournisseurs de services – Absence de garanties adéquates et suffisantes contre les abus liés à l'accès des autorités répressives aux communications Internet et aux données de communication connexes stockées – 3) Obligation légale de déchiffrer les communications cryptées de bout en bout – Disproportion
1) La législation contestée exige la conservation et le stockage automatiques et continus du contenu de toutes les communications Internet (communications vocales, textuelles, visuelles, sonores, vidéo ou d'autres communications électroniques) pendant une durée de six mois et des données de connexion correspondantes pendant une durée d'un an. Elle concerne tous les utilisateurs, même en l'absence de soupçon raisonnable de participation à des activités criminelles ou à des activités mettant en danger la sécurité nationale, ou de toute autre raison de penser que la conservation des données peut contribuer à la lutte contre les formes graves de criminalité ou à la protection de la sécurité nationale. Il n'y a aucune limitation du champ d'application de la mesure en termes d'application territoriale ou temporelle ou de catégories de personnes susceptibles de voir leurs données à caractère personnel conservées. La Cour conclut que l'ingérence est exceptionnellement étendue et grave. La législation ne peut être considérée comme nécessaire dans une société démocratique et porte atteinte à l'essence même du droit au respect de la vie privée garanti par le article 8 CEDH. L'État défendeur a donc outrepassé toute marge d'appréciation acceptable à cet égard.
2) Contrairement à la législation en cause qui prévoit un accès direct aux communications Internet et par les services de sécurité sans autorisation judiciaire préalable, la Cour recommande une obligation de présenter une autorisation d'interception au fournisseur de services de communication avant d'obtenir l'accès aux communications d'une personne en ce qu'elle constitue une garantie importante contre les abus des autorités répressives, en veillant à ce qu'une autorisation en bonne et due forme soit obtenue dans tous les cas de surveillance secrète.
3) L'obligation légale de déchiffrer les communications chiffrées de bout en bout risque d'équivaloir à une obligation pour les fournisseurs de tels services d'affaiblir le mécanisme de chiffrement pour tous les utilisateurs et n'est donc pas proportionnée aux buts légitimes poursuivis.
CJUE2 mars 2021CJUE, grande chambre, 2 mars 2021, Prokuratuur, C-746/18(source)
Article 15, paragraphe 1, directive 2002/58/CE – 1) Législation permettant l'accès d'autorités publiques aux données de trafic et de localisation – Prévention, recherche, détection, poursuite d'infractions pénales – Illicéité en l'absence de limitation à certaines procédures – 2) Réglementation donnant compétence au ministère public pour autoriser l'accès d'une autorité publique aux données de trafic et de localisation – Illicéité
L'article 15, paragraphe 1, de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002 (directive vie privée et communications électroniques), lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la Charte des droits fondamentaux de l'Union européenne, doit être interprété en ce sens :
1) qu’il s’oppose à une réglementation nationale permettant l'accès d'autorités publiques à un ensemble de données de trafic ou de données de localisation, susceptibles de fournir des informations sur les communications effectuées par un utilisateur d'un moyen de communication électronique ou sur la localisation des équipements terminaux qu'il utilise et de permettre de tirer des conclusions précises sur sa vie privée, à des fins de prévention, recherche, détection et poursuite d'infractions pénales, sans que cet accès soit circonscrit à des procédures visant à la lutte contre la criminalité grave ou à la prévention de menaces graves contre la sécurité publique, ce indépendamment de la durée de la période pour laquelle l'accès auxdites données est sollicité et de la quantité ou de la nature des données disponibles pour une telle période ;
2) qu’il s’oppose à une réglementation nationale donnant compétence au ministère public, dont la mission est de diriger la procédure d’instruction pénale et d’exercer, le cas échéant, l’action publique lors d’une procédure ultérieure, pour autoriser l'accès d'une autorité publique aux données relatives au trafic et aux données de localisation aux fins d’une instruction pénale.
CJUE6 octobre 2020CJUE, grande chambre, 6 octobre 2020, Privacy International, C-623/17(source)
Directive 2002/58 – 1) Champ d'application – Réglementation nationale imposant aux fournisseurs de services de communications électroniques de transmettre des données relatives au trafic et à la localisation aux services de sécurité et de renseignement – Objectif de protection de la sécurité nationale – Inclusion – 2) Faculté pour les États membres de limiter la portée de certains droits et obligations – Réglementation nationale imposant aux fournisseurs de services de communications électroniques la transmission généralisée et indifférenciée des données relatives au trafic et à la localisation aux services de sécurité et de renseignement – Objectif de protection de la sécurité nationale – Inadmissibilité
1) L'article 1er, paragraphe 3, l'article 3 et l'article 15, paragraphe 1, de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques), telle que modifiée par la directive 2009/136/CE du Parlement européen et du Conseil, du 25 novembre 2009, lus à la lumière de l'article 4, paragraphe 2, TUE, doivent être interprétés en ce sens que relève du Champ d'application de cette directive une Réglementation nationale permettant à une autorité étatique d'imposer aux fournisseurs de services de communications électroniques de transmettre aux services de sécurité et de renseignement des données relatives au trafic et des données de localisation aux fins de la sauvegarde de la sécurité nationale.
2) L'article 15, paragraphe 1, de la directive 2002/58, telle que modifiée par la directive 2009/136, lu à la lumière de l'article 4, paragraphe 2, TUE ainsi que des articles 7, 8 et 11 et de l'article 52, paragraphe 1, de la Charte des droits fondamentaux de l'Union européenne, doit être interprété en ce sens qu'il s'oppose à une Réglementation nationale permettant à une autorité étatique d'imposer, aux fins de la sauvegarde de la sécurité nationale, aux fournisseurs de services de communications électroniques la transmission généralisée et indifférenciée des données relatives au trafic et des données de localisation aux services de sécurité et de renseignement.
CJUE2 octobre 2018CJUE, grande chambre, 2 octobre 2018, Ministerio Fiscal, C-207/16(source)
Accès aux données visant à l'identification des titulaires des cartes SIM – Finalité de lutte contre tout type d'infraction – Atteinte proportionnée à la vie privée
L'accès d'autorités publiques aux données visant à l'identification des titulaires des cartes SIM activées avec un téléphone mobile volé, telles que les nom, prénom et, le cas échéant, adresse de ces titulaires, comporte une ingérence dans les droits fondamentaux de ces derniers qui ne présente pas une gravité telle que cet accès devrait être limité, en matière de prévention, de recherche, de détection et de poursuite d'infractions pénales, à la lutte contre la criminalité grave.
CJUE21 décembre 2016CJUE, grande chambre, 21 décembre 2016, Tele2 Sverige, C-203/15 et C-698/15(source)
Réglementation nationale prévoyant l'accès des autorités nationales aux données relatives au trafic et des données de localisation – Accès aux données non limités à des fins précises – Absence de contrôle préalable par une juridiction ou une autorité administrative indépendante – Absence d'exigence de conservation des données sur le territoire de l'Union – Incompatibilité avec le droit de l'Union
L'article 15, paragraphe 1, de la directive 2002/58/CE du 12 juillet 2002 s'oppose à une réglementation nationale régissant la protection et la sécurité des données relatives au trafic et des données de localisation, en particulier l'accès des autorités nationales compétentes aux données conservées, sans limiter, dans le cadre de la lutte contre la criminalité, cet accès aux seules fins de lutte contre la criminalité grave, sans soumettre ledit accès à un contrôle préalable par une juridiction ou une autorité administrative indépendante, et sans exiger que les données en cause soient conservées sur le territoire de l'Union.
CC17 juin 2022CC, 2022-1000 QPC, 17 juin 2022, M. Ibrahim K., points 10-17(source)
Accès aux données de connexion dans le cadre de la procédure pénale – Réquisition de données de connexion à l'initiative du juge d'instruction ou d'un officier de police judiciaire autorisé par une commission rogatoire délivrée par ce magistrat – Information judiciaire – Conciliation équilibrée entre l'objectif de valeur constitutionnelle de recherche des auteurs d'infractions et le droit au respect de la vie privée
Dans le cadre d'une instruction, les dispositions contestées autorisent le juge d'instruction ainsi que l'officier de police judiciaire à se faire communiquer des données de connexion ou à y avoir accès. Les données de connexion comportent notamment les informations relatives à l'identification des personnes, à leur localisation et à leurs contacts téléphoniques et numériques ainsi qu’aux services de communication au public en ligne qu’elles consultent. Compte tenu de leur nature, de leur diversité et des traitements dont elles peuvent faire l'objet, les données de connexion fournissent sur les personnes en cause ainsi que, le cas échéant, sur des tiers, des informations nombreuses et précises, particulièrement attentatoires à leur vie privée. Toutefois, en premier lieu, en adoptant les dispositions contestées, le législateur a poursuivi l'objectif de valeur constitutionnelle de recherche des auteurs d'infractions. En second lieu, la réquisition de données de connexion intervient à l'initiative du juge d'instruction, magistrat du siège dont l'indépendance est garantie par la Constitution, ou d'un officier de police judiciaire qui y a été autorisé par une commission rogatoire délivrée par ce magistrat. D'une part, ces dispositions ne permettent la réquisition de données de connexion que dans le cadre d’une information judiciaire, dont l'ouverture n'est obligatoire qu'en matière criminelle et pour certains délits. Si une information peut également être ouverte pour les autres infractions, le juge d'instruction ne peut informer, en tout état de cause, qu’en vertu d’un réquisitoire du procureur de la République ou, en matière délictuelle et dans les conditions prévues aux articles 85 et suivants du code de procédure pénale, à la suite d’une plainte avec constitution de partie civile. D'autre part, dans le cas où la réquisition de données de connexion est mise en œuvre par un officier de police judiciaire en exécution d'une commission rogatoire, cette commission rogatoire, datée et signée par le magistrat, précise la nature de l'infraction, objet des poursuites, et fixe le délai dans lequel elle doit être retournée avec les procès‑verbaux dressés pour son exécution par l'officier de police judiciaire. Ces réquisitions doivent se rattacher directement à la répression de cette infraction et sont, conformément à l'article 152 du code de procédure pénale, mises en œuvre sous la direction et le contrôle du juge d'instruction. En outre, conformément aux articles 175‑2 et 221‑1 du code de procédure pénale, la durée de l'information ne doit pas, sous le contrôle de la chambre de l'instruction, excéder un délai raisonnable au regard de la gravité des faits reprochés à la personne mise en examen, de la complexité des investigations nécessaires à la manifestation de la vérité et de l'exercice des droits de la défense. Dès lors, les dispositions contestées opèrent une conciliation équilibrée entre l'objectif de valeur constitutionnelle de recherche des auteurs d'infractions et le droit au respect de la vie privée.
CC20 mai 2022CC, 2022-993 QPC, 20 mai 2022, M. Lofti H, points 10-14(source)
Accès aux données de connexion dans le cadre de la procédure pénale – Cas des enquêtes de flagrance, limitée s dans le temps – Encadrement des réquisitions – Conformité au droit au respect de la vie privée
Sont déclarées conformes à la Constitution et ne méconnaissent pas le droit au respect de la vie privée des dispositions permettant au procureur de la République ou à l'officier de police judiciaire, ou, sous le contrôle de ce dernier, à l'agent de police judiciaire, par tout moyen, de requérir de toute personne, de tout établissement ou organisme privé ou public, ou de toute administration publique qui sont susceptibles de détenir des informations intéressantes pour l'enquête, y compris celles issues d'un système informatique ou d'un traitement de données nominatives, de lui remettre ces informations, notamment sous forme numérique, le cas échéant selon des normes fixées par voie réglementaire, sans que puisse lui être opposée une obligation au secret professionnel lorsqu'elles poursuivent l'objectif de valeur constitutionnelle de recherche des auteurs d'infraction et dès lors que d'une part, ces dispositions ne permettent les réquisitions de données que dans le cadre d'une enquête de police portant sur un crime flagrant ou un délit flagrant puni d'une peine d'emprisonnement, et, d'autre part, la durée de cette enquête est limitée à huit jours. Celle-ci ne peut être prolongée, pour une nouvelle durée maximale de huit jours, sur décision du procureur de la République, que si l'enquête porte sur un crime ou un délit puni d'une peine d'emprisonnement égale ou supérieure à cinq ans et si les investigations ne peuvent être différées.
Ces réquisitions ne peuvent intervenir qu'à l'initiative du procureur de la République, d'un officier de police judiciaire ou, sous le contrôle de ce dernier, d'un agent de police judiciaire. Ces officiers et agents sont placés sous la direction du procureur de la République ; les réquisitions sont mises en œuvre sous le contrôle d'un magistrat de l'ordre judiciaire auquel il revient, en application de l'article 39-3 du code de procédure pénale, de contrôler la proportionnalité des actes d'investigation au regard de la nature et de la gravité des faits.
CC0 mai 2020CC, 2020-841 QPC, 20 mai 2020, La Quadrature du Net et autre s, points 9-10, 14-18 Voir aussi: CC, 2018-764 QPC, 15 février 2019, M. Paulo M., point 8; CC, 2017-753 DC, 8 septembre 2017, Loi organique pour la confiance dans la vie politique, points 57-59; CC, 2017-646/647 QP C, 21 juillet 2017, M. Alexis K. et autre, points 8-9; CC, 2015-715 DC, 5 août 2015(source)
Droit d'obtenir communication des données de connexion conféré aux agents de la Hadopi – Objectif de sauvegarde de la propriété intellectuelle – Informations particulièrement attentatoires à la vie privée – Absence de lien direct avec le manquement – Absence de garanties propres à assurer une conciliation entre le droit au respect de la vie privée et l'objectif de sauvegarde de la propriété intellectuelle – Non-conformité
Dispositions conférant aux agents de la Haute autorité pour la diffusion des œuvres et la protection des droits sur internet (Hadopi) le droit d'obtenir communication des données de connexion détenues par les opérateurs de communication électronique.
En adoptant ces dispositions, le législateur a voulu renforcer la lutte contre les pratiques de contrefaçon sur internet, qui répond à l'objectif de sauvegarde de la propriété intellectuelle. En outre, ce droit de communication, qui n'est pas assorti d'un pouvoir d'exécution forcée, n'est ouvert qu'aux agents publics de la Haute autorité, dûment habilités et assurés, qui sont soumis, dans l'utilisation de ces données, au secret professionnel. Enfin, le troisième alinéa de l'article L. 331‑21 du code de la propriété intellectuelle subordonne son exercice aux nécessités de la procédure mise en œuvre par la commission de protection des droits.
Toutefois, ce droit de communication peut s'exercer sur toutes les données de connexion détenues par les opérateurs de communication électronique. Or, compte tenu de leur nature et des traitements dont elles peuvent faire l'objet, de telles données fournissent sur les personnes en cause des informations nombreuses et précises, particulièrement attentatoires à leur vie privée. Elles ne présentent pas non plus nécessairement de lien direct avec le manquement à l'obligation de respect du droit d'auteur et des droits voisins énoncée à l'article L. 336‑3.
Il résulte de ce qui précède que, dans ces conditions, le législateur n'a pas entouré la procédure prévue par les dispositions contestées de garanties propres à assurer une conciliation qui ne soit pas manifestement déséquilibrée entre le droit au respect de la vie privée et l'objectif de sauvegarde de la propriété intellectuelle.
CC14 juin 2019CC, 2019-789 QPC, 14 juin 2019, Mme Hanen S., point 15(source)
Sécurité sociale – Droit de communication des données de connexion des assurés sociaux reconnu aux agents des organismes de la sécurité sociale – Absence de garanties propres à assurer une conciliation entre droit au respect de la vie privée et la lut te contre la fraude en matière de protection sociale – Non - conformité
Compte tenu de leur nature et des traitements dont elles peuvent faire l'objet, les données de connexion fournissent sur les personnes en cause des informations nombreuses et précises, particulièrement attentatoires à leur vie privée. Par ailleurs, elles ne présentent pas de lien direct avec l'évaluation de la situation de l'intéressé au regard du droit à prestation ou de l'obligation de cotisation. Dans ces conditions, en instaurant un tel droit de communication de données de connexion, le législateur n'a pas entouré la procédure prévue par les dispositions contestées de garanties propres à assurer une conciliation équilibrée entre le droit au respect de la vie privée et la lutte contre la fraude en matière de protection sociale.
CC4 août 2017CC, 2017-648 QPC, 4 août 2017, La Quadrature du Net et autres, points 5, 7-11(source)
Accès en temps réel aux données de trafic et de localisation – Prévention du terrorisme – Conformité partielle
Les dispositions contestées permettent à l'autorité administrative, pour la prévention du terrorisme, d'obtenir le recueil en temps réel des données de connexion relatives, d'une part, à une personne préalablement identifiée susceptible d'être en lien avec une menace et, d'autre part, aux personnes appartenant à l'entourage de la personne concernée par l'autorisation lorsqu'il y a des raisons sérieuses de penser qu'elles sont susceptibles de fournir des informations à titre de la finalité qui motive l'autorisation. Cette technique de recueil de renseignement est autorisée pour une durée de quatre mois renouvelable, conformément à l'article L. 821‑4 du code de la sécurité intérieure.
D'une part, le recueil des données de connexion en temps réel ne peut être mis en œuvre que pour les besoins de la prévention du terrorisme. Ne peuvent, par ailleurs, être recueillis que les informations ou documents traités ou conservés par les opérateurs de télécommunication, les fournisseurs d'accès à un service de communication au public en ligne ou les hébergeurs de contenu sur un tel service.
D'autre part, cette technique de recueil de renseignement s'exerce dans les conditions prévues au premier chapitre I du titre II du livre VIII du code de la sécurité intérieure. En vertu de l'article L. 821‑4 de ce code, elle est autorisée par le Premier ministre ou les collaborateurs directs auxquels il a délégué cette compétence, sur demande écrite et motivée du ministre de la défense, du ministre de l'intérieur ou des ministres chargés de l'économie, du budget ou des douanes, après avis préalable de la Commission nationale de contrôle des techniques de renseignement. Elle est autorisée pour une durée de quatre mois renouvelable. En vertu du paragraphe II de l'article L. 851‑2, la procédure d'urgence absolue prévue à l'article L. 821‑5 de ce code n'est pas applicable. En application de l'article L. 871‑6 du même code, les opérations matérielles nécessaires à la mise en place de la technique mentionnée à l'article L. 851‑2 ne peuvent être exécutées, dans leurs réseaux respectifs, que par des agents qualifiés des services ou organismes placés sous l'autorité ou la tutelle du ministre chargé des communications électroniques ou des exploitants de réseaux ou fournisseurs de services de télécommunications.
Enfin, cette technique de renseignement est réalisée sous le contrôle de la Commission nationale de contrôle des techniques de renseignement. La composition et l'organisation de cette autorité administrative indépendante sont définies aux articles L. 831‑1 à L. 832‑5 du code de la sécurité intérieure dans des conditions qui assurent son indépendance. Ses missions sont définies aux articles L. 833‑1 à L. 833‑11 du même code dans des conditions qui assurent l'efficacité de son contrôle. Conformément aux dispositions de l'article L. 841‑1 du même code, le Conseil d'État peut être saisi par toute personne souhaitant vérifier qu'aucune technique de recueil de renseignement n'est irrégulièrement mise en œuvre à son égard ou par la Commission nationale de contrôle des techniques de renseignement.
Il résulte de ce qui précède que le législateur a assorti la procédure de réquisition des données de connexion, lorsqu'elle s'applique à une personne préalablement identifiée susceptible d'être en lien avec une menace, de garanties propres à assurer une conciliation qui n'est pas manifestement déséquilibrée entre, d'une part, la prévention des atteintes à l'ordre public et celle des infractions et, d'autre part, le droit au respect de la vie privée.
En revanche, en application des dispositions contestées, cette procédure de réquisition s'applique également aux personnes appartenant à l'entourage de la personne concernée par l'autorisation, dont il existe des raisons sérieuses de penser qu'elles sont susceptibles de fournir des informations au titre de la finalité qui motive l'autorisation. Ce faisant, le législateur a permis que fasse l'objet de cette technique de renseignement un nombre élevé de personnes, sans que leur lien avec la menace soit nécessairement étroit. Ainsi, faute d'avoir prévu que le nombre d'autorisations simultanément en vigueur doive être limité, le législateur n'a pas opéré une conciliation équilibrée entre, d'une part, la prévention des atteintes à l'ordre public et des infractions et, d'autre part, le droit au respect de la vie privée.
Cass4 avril 2012Cass, soc., 4 avril 2012, n°10-20.845, B., points 3-4(source)
Salariés protégés – Exclusion de l'interception des communications téléphoniques et l'identification des correspondants – Examen par l'employeur des relevés de communications – Illégalité
Pour l'accomplissement de leur mission légale et la préservation de la confidentialité qui s'y attache, les salariés protégés, au nombre desquels se trouvent les membres du conseil et les administrateurs des caisses de sécurité sociale, doivent pouvoir disposer sur leur lieu de travail d'un matériel ou procédé excluant l'interception des communications téléphoniques par l'employeur et l'identification des correspondants. Viole dès lors l'article L. 2411‑1 13° du code du travail, ainsi que les articles 6, 17 et 21 de la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, et l’article 7 de la délibération n°2005‑019 du 3 février 2005 de la Commission nationale de l'informatique et des libertés. La cour d’appel, qui, pour débouter un salarié administrateur de l’URSSAF, de sa demande de résiliation judiciaire de son contrat de travail, retient que l’employeur s’était contenté d’examiner les relevés des communications téléphoniques du téléphone mobile mis à disposition du salarié par l’entreprise, alors qu’il résultait de ses constatations que l’examen par l’employeur des relevés litigieux permettait l’identification des correspondants du salarié.
CE21 avril 2021CE, Assemblée, 21 avril 2021, French Data Network et autres, n° 393099, Rec., points 44-46(source)
Annulation du refus d'abroger les dispositions réglementaires en tant qu'elles ne prévoient pas un réexamen périodique de l'existence d'une menace pour la sécurité nationale justifiant l'obligation pour les opérateurs de conserver de manière généralisée et indifférenciée les données de trafic et de localisation – 1) Injonction de compléter ces dispositions dans un délai de six mois – 2) Opérateurs pouvant se soustraire à cette obligation avant l'expiration de ce délai – Absence dans la mesure où une telle menace a été constatée par le juge
Par son arrêt du 6 octobre 2020 La Quadrature du Net et autres (C‑511/18, C‑512/18, C‑520/18), la Cour de justice de l'Union européenne (CJUE) a dit pour droit que la directive 2002/58/CE du 12 juillet 2002 ne s'opposait pas à ce que des mesures législatives permettent, aux fins de sauvegarde de la sécurité nationale, d'imposer aux opérateurs la conservation généralisée et indifférenciée des données de trafic et des données de localisation, sous réserve qu'une décision soumise à un contrôle effectif constate l'existence d'une menace grave pour la sécurité nationale qui s'avère réelle et actuelle ou prévisible, pour une durée limitée au strict nécessaire, mais renouvelable en cas de persistance de la menace. Il ressort en outre du point 135 de cet arrêt que la responsabilité des États membres en matière de sécurité nationale, au sens du droit de l'Union, correspond à l'intérêt primordial de protéger les fonctions essentielles de l'État et les intérêts fondamentaux de la société, et inclut la prévention et la répression d'activités de nature à déstabiliser gravement les structures constitutionnelles, politiques, économiques ou sociales fondamentales d'un pays, et en particulier à menacer directement la société, la population ou l'État en tant que tel, telles que notamment des activités de terrorisme.
1) Ni l'article L. 34‑1 du code des postes et des communications électroniques (CPCE) ni l'article 6 de la loi n° 2004‑575 du 21 juin 2004 ne prévoient un réexamen périodique, au regard des risques pour la sécurité nationale, de la nécessité de maintenir l'obligation faite aux personnes concernées de conserver les données de connexion. Ces articles, ainsi, par suite, que l'article R. 10‑13 du CPCE et le décret n° 2011‑219 du 25 février 2011, en tant qu'ils ne subordonnent pas le maintien en vigueur de cette obligation au constat, à échéance régulière, qui ne saurait raisonnablement excéder un an, de la persistance d'une menace grave, réelle et actuelle ou prévisible, pour la sécurité nationale sont, dans cette mesure, contraires au droit de l'Union européenne. Il résulte de ce qui précède que, s'agissant de l'objectif de sauvegarde de la sécurité nationale, le refus d'abroger l'article R. 10‑13 du CPCE et l'article 1er du décret du 25 février 2011 doit être annulé en tant que leurs dispositions ne prévoient pas un réexamen périodique de l'existence d'une menace grave, réelle et actuelle ou prévisible pour la sécurité nationale, s'agissant des données qu'elles mentionnent autres que celles afférentes à l'identité civile, aux comptes et aux paiements des utilisateurs et aux adresses IP. Il y a lieu d'enjoindre au gouvernement de compléter ces dispositions dans un délai de six mois à compter de la présente décision.
2) Il ressort des pièces du dossier que la France est, à la date de la présente décision, confrontée à une menace grave, réelle et non seulement prévisible mais actuelle pour sa sécurité nationale, appréciée au regard de l'ensemble des intérêts fondamentaux de la Nation listés à l'article L. 811‑3 du code de la sécurité intérieure (CSI) qui, par son intensité, revêt un caractère grave et réel. Cette menace est, à la date de la présente décision, non seulement prévisible mais aussi actuelle. Cette menace procède d'abord de la persistance d'un risque terroriste élevé, ainsi qu'en témoigne notamment le fait que sont survenues sur le sol national au cours de l'année 2020 six attaques abouties ayant causé sept morts et onze blessés. Par ailleurs, la France est particulièrement exposée au risque d'espionnage et d'ingérence étrangère, en raison notamment de ses capacités et de ses engagements militaires et de son potentiel technologique et économique. La France est également confrontée à des menaces graves pour la paix publique, liées à une augmentation de l'activité de groupes radicaux et extrémistes. Dans la mesure où il résulte de la présente décision que la réalité et la gravité de la menace pesant sur la sécurité nationale justifient l'obligation de conserver généralisée et indifférenciée de l'ensemble des données de connexion à cette fin, les opérateurs ne sauraient, avant l'expiration du délai de six mois laissé au gouvernement pour compléter les dispositions litigieuses, se soustraire à cette obligation et aux sanctions dont sa méconnaissance est assortie au motif que la durée de l'injonction qui leur est faite n'a pas été limitée dans le temps par le pouvoir réglementaire.
CJUE7 décembre 2023CJUE, 7 décembre 2023, SCHUFA Holding, C‑634/21(source)
Notion de décision informatisée – Calcul automatisé d'une valeur de probabilité de la solvabilité d'une personne – Inclusion – Conditions
L'article 22, paragraphe 1, du RGPD doit être interprété en ce sens que l'établissement automatisé, par une société fournissant des informations commerciales, d'une valeur de probabilité fondée sur des données à caractère personnel relatives à une personne et concevant la capacité de celle‑ci à honorer des engagements de paiement à l'avenir constitue une « décision individuelle automatisée », au sens de cette disposition, lorsque dépend de manière déterminante de cette valeur de probabilité le fait qu'une tierce partie, à laquelle ladite valeur de probabilité est communiquée, établisse, exécute ou mette fin à une relation contractuelle avec cette personne.
CC3 avril 2020CC, 2020-834 QPC, 3 avril 2020, UNEF, point 17(source)
Droit constitutionnel d'accès aux documents administratifs – Procédure de préinscription à l'entrée en premier cycle Par coursup – Publication obligatoire à l'issue de la procédure des critères d'examen des candidatures indiquant dans quelle mesure des traitements algorithmiques ont été utilisés
Les dispositions du dernier alinéa du paragraphe I de l'article L. 612-3 du code de l'éducation ne sauraient, sans méconnaître le droit d'accès aux documents administratifs garanti par l'article 15 de la Déclaration de 1789, être interprétées comme dispensant chaque établissement d'enseignement supérieur de publier, à l'issue de la procédure nationale de préinscription à l'entrée en premier cycle et dans le respect de la vie privée des candidats, le cas échéant sous la forme d'un rapport, les critères en fonction desquels les candidatures ont été examinées et précisant, le cas échéant, dans quelle mesure des traitements algorithmiques ont été utilisés pour procéder à cet examen.
CE4 février 2004CE, 4ème/5ème SSR, 4 février 2004, Caisse primaire d'assurance maladie de la Gironde, n° 240023, Rec., point 1(source)
Résultats d'un traitement algorithmique – Prise en compte par une juridiction parmi d'autres éléments d'appréciation – Admission
Si les dispositions de l'article 2 de la loi n°78‑17 du 6 janvier 1978 font obstacle à ce qu'une juridiction saisie d'un litige dont la solution suppose l'appréciation d'un comportement humain fonde sa décision sur les seuls résultats d'un traitement automatisé d'informations, elles n'ont en revanche ni pour objet ni pour effet de lui interdire de prendre en compte, parmi d'autres éléments d'appréciation, les résultats d'un tel traitement.
CNIL24 juillet 2024CNIL, P, 24 juillet 2024, mise en demeure, Commune de X, décision n° MED 2024-109, non publié
Déploiement de dispositifs de caméras augmentées dans l'espace public poursuivant une finalité dite « police-justice » – Interdiction en l'absence de cadre légal spécifique
L’article 4, paragraphe 1, de la loi n°78‑17 du 6 janvier 1978 dispose que les données à caractère personnel doivent être traitées de manière licite et loyale. Par leur fonctionnement même, reposant sur la détection et l’analyse en continu et en temps réel des attributs ou des comportements des individus, les dispositifs de caméras augmentées présentent, par nature, des risques pour les personnes concernées. En outre, ces dispositifs mis en œuvre dans l’espace public à des fins de police administrative générale ou de police judiciaire sont susceptibles d’affecter les garanties fondamentales apportées aux citoyens pour l’exercice des libertés publiques, raison pour laquelle un encadrement législatif apparaît nécessaire, en application de l’article 34 de la Constitution du 4 octobre 1958. Dès lors, les dispositifs de caméras augmentées qui poursuivent une finalité dite de « police‑justice » dans l’espace public sont interdits en l’absence de cadre légal spécifique. En l’espèce, la commune utilisait de tels dispositifs en l’absence de cadre légal, notamment afin d’alerter les forces de l’ordre suite à la détection de véhicules roulant à contre‑sens sur la chaussée et de détecter des attroupements lorsque le nombre de personnes détectées dans une zone définie dépassait un seuil préfixé.
CJUE7 mars 2024CJUE, 7 mars 2024, Endemol Shine Finland, C-740/22, point 59(source)
Possibilité de communication orale à toute personne de données relatives à des condamnations pénales d'une personne physique figurant dans un fichier – 1) Illicéité – 2) Nature du demandeur de société commerciale ou un particulier – Indifférence
1) Les dispositions du règlement 2016/679, notamment l'article 6, paragraphe 1, sous‑e), et l'article 10 de celui-ci, doivent être interprétées en ce sens qu’elles s’opposent à ce que des données relatives à des condamnations pénales d’une personne physique figurant dans un fichier tenu par une juridiction puissent être communiquées oralement à toute personne aux fins de garantir un accès du public à des documents officiels, sans que la personne demandant la communication ait à justifier d’un intérêt spécifique à obtenir lesdites données. 2) La circonstance que cette personne soit une société commerciale ou un particulier n’ayant pas d’incidence à cet égard.
CJUE9 mars 2017CJUE, 9 mars 2017, Manni, C-398/15(source)
Directive 95/46/CE – Article 6, paragraph 1, sub e) (duration of retention) – Data subject to publicity in company register – First directive 68/151/CEE – Article 3 – Dissolution of the concerned company – Limitation of third parties' access to these data
L'ingérence dans le droit à la vie privée et à la protection des données personnelles qu'emporte la publicité des données nominatives contenues dans le registre des sociétés n'est pas disproportionnée eu égard :
au nombre de données concernées ; au fait qu'elle vise à assurer la sécurité juridique dans les rapports entre les sociétés et les tiers ainsi qu'à protéger les intérêts des tiers par rapport aux sociétés par actions et aux sociétés à responsabilité limitée.
Il ne peut donc être garanti aux personnes physiques dont les données sont inscrites dans le registre des sociétés le droit d'obtenir, après un certain délai à compter de la dissolution de la société, l'effacement des données à caractère personnel les concernant.
En revanche, les États membres peuvent exceptionnellement déroger à cette exigence de publicité. Il leur appartient de déterminer si les personnes physiques visées à l'Article 2, paragraphe 1, sous d) et j) de la Directive 68/151/CEE, à savoir, d'une part, les personnes qui ont le pouvoir d'engager une société à l'égard des tiers et de la représenter en justice et celles qui participent à l'administration, à la surveillance ou au contrôle de la société et, d'autre part, les liquidateurs d'une société, peuvent demander à l'autorité chargée de la tenue, respectivement, du registre central, du registre du commerce ou du registre des sociétés de vérifier, sur la base d'une appréciation au cas par cas, s'il est exceptionnellement justifié, pour des raisons prépondérantes et légitimes tenant à leur situation particulière, de limiter, à l'expiration d'un délai suffisamment long après la dissolution de la société concernée, l'accès aux données à caractère personnel les concernant, inscrites dans ce registre, aux tiers justifiant d'un intérêt spécifique à la consultation de ces données.
