CJUE9 novembre 2010CJUE, grande chambre, 9 novembre 2010, Volker und Markus Schecke et Eifert, C-92/09, C-93/09, points 80-83(source)
Publication du nom des bénéficiaires et du montant des bénéficiaires de la Politique Agricole Commune (PAC) – Ingérence excessive dans la vie privée
La publication du nom de l'ensemble des bénéficiaires des aides de la Politique Agricole Commune (PAC) et du montant perçu constitue une ingérence excessive dans la vie privée. Il est possible, en revanche, une publication limitée en fonction de la durée, de la fréquence et de l'importance des aides perçues – par exemple, une publication de la liste des principaux bénéficiaires de la PAC.
CEDH24 juin 2004CEDH, grande chambre, 24 juin 2004, Affaire Von Hannover c/Allemagne, n° 59320/00(source)
Photographies d'une personnalité publique prises à son insu et montrant sa vie quotidienne – Activités relevant purement de la vie privée d'une personnalité non politique, sans fonction officielle – Absence de contribution à un débat d'intérêt général pour la société – « Espérance légitime » de protection et de respect de sa vie privée – Violation de l'article 8 CEDH
La requérante, fille aînée du prince Rainier III de Monaco, souhaite faire interdire toute nouvelle publication dans des magazines allemands de presse à sensation de photographies prises à son insu et montrant sa vie quotidienne en dehors de son domicile, seule ou accompagnée. La Cour EDH affirme que la publication de photographies montrant la requérante seule ou accompagnée d'un adulte dans des activités purement privées relève de sa vie privée. Ces photos et les commentaires qui l'accompagnent ont été publiés dans le cadre d'un reportage destiné à satisfaire la curiosité d'un certain public sur les détails de la vie privée de la princesse, qui n'est pas une personnalité non politique et ne remplit aucune fonction officielle pour le compte de l'État monégasque. Les publications litigieuses ne contribuaient donc pas à un débat d'intérêt général pour la société, malgré la notoriété de la requérante. Par ailleurs, la Cour souligne que toute personne, même connue du grand public, doit pouvoir bénéficier d'une Espérance légitime de protection et de respect de sa vie privée, laquelle comporte une dimension sociale. Or les photos critiquées – qui se rapportent exclusivement aux détails de la vie privée de la requérante – ont été prises à son insu et sans son consentement, dans un contexte de harcèlement quotidien par les photographes. De plus, une protection accrue de la vie privée s'impose face aux progrès techniques qui permettent notamment la réalisation systématique de photos et leur diffusion auprès d'un large public. Les juridictions allemandes, en qualifiant la requérante de personnalité « absolue » de l'histoire contemporaine, n'ont permis à celle‑ci de se prévaloir d'une protection de sa vie privée que si elle se trouve en dehors de son domicile dans un endroit isolé, à l'abri du public, et de surcroît si elle parvient à le prouver, ce qui peut s'avérer difficile. Selon la Cour, ce critère de l'isolement spatial est en pratique trop vague et difficile à déterminer à l'avance pour la personne concernée. L'État, tenu de remplir son obligation positive de protection de la vie privée et du droit à l'image à l'égard de la Convention, n'a pas assuré une protection effective de la vie privée de la requérante. La Cour EDH conclut donc à une violation de l'article 8.
CEDH28 janvier 2003CEDH, 28 janvier 2003, Affaire Peck c/ Royaume Uni, n° 44647/98(source)
Diffusion dans les médias d'images d'une personne tentant de mettre fin à ses jours – Ingérence grave dans le droit au respect de la vie privée – Base légale et poursuite de buts légitimes – Absence de raisons pertinentes et suffisantes propres à justifier l'ingérence – Violation de l'article 8 CEDH
Le requérant a tenté de mettre fin à ses jours en se tailladant les poignets, sans savoir qu'une caméra de surveillance avait filmé toute la scène. Après le sauvetage du requérant par la police, avertie par l'opérateur qui regardait les caméras de surveillance, la séquence a été diffusion dans les médias, sans masquer le visage du requérant.
La Cour EDH estime que la divulgation de la séquence litigieuse constitue une ingérence grave dans le droit du requérant au respect de sa vie privée. Sa diffusion dans plusieurs médias, à l'échelle à la fois locale et nationale, excède largement ce qu'un passant aurait pu voir ou ce qui aurait été observé à des fins de sécurité.
La Cour considère que la divulgation avait bien une base légale et poursuivait des buts légitimes que constituent la sûreté publique, la défense de l'ordre, la prévention des infractions pénales et la protection des droits d'autrui.
Cependant, eu égard aux circonstances de l'espèce, la Cour estime qu'il n'y avait pas de raisons pertinentes et suffisantes propres à justifier que la divulgation directement au public, d'une part, de photographies tirées de la séquence, sans avoir au préalable obtenu le consentement du requérant ou caché son identité, et d'autre part, d'images aux médias sans avoir pris des mesures pour s'assurer autant que possible qu'un tel masquage serait effectué par eux. L'objectif que constitue la prévention de la criminalité et le contexte de la divulgation exigeaient en l'espèce une vigilance et un contrôle particuliers sur ces points.
CC21 octobre 2016CC, 2016-591 QPC, 21 octobre 2016, Mme Helen S, point 6(source)
Mention des noms du constituant, des bénéficiaires et de l'administrateur d'un trust – Absence de mention précisant la qualité et les motifs justifiant la consultation du registre – Atteinte disproportionnée au droit au respect de la vie privée
La mention, dans un registre accessible au public, des noms du constituant, des bénéficiaires et de l’administrateur d'un trust fournit des informations sur la manière dont une personne entend disposer de son patrimoine. Il en résulte une atteinte au droit au respect de la vie privée. Or, le législateur, qui n'a pas précisé la qualité ni les motifs justifiant la consultation du registre, n'a pas limité le cercle des personnes ayant accès aux données de ce registre, placé sous la responsabilité de l'administration fiscale. Dès lors, les dispositions contestées portent au droit au respect de la vie privée une atteinte manifestement disproportionnée au regard de l'objectif poursuivi.
CC21 janvier 2016CC, 2015-727 DC, 21 janvier 2016, Loi de modernisation de notre système de santé, point 92(source)
Dispositif imposant de rendre publics certaines données à caractère personnel aux fins de prévenir les conflits d'intérêts – Conformité à la Constitution
L'obligation de rendre publics, sur un site internet public unique, l'objet précis, la date, l'identité du bénéficiaire direct, l'identité du bénéficiaire final, le montant, y compris les rémunérations et les avantages en nature ou en espèces, des conventions conclues par les entreprises produisant ou commercialisant des produits à finalité sanitaire destinés à l'homme ou assurant des prestations associées à ces produits avec les autres acteurs du secteur de la santé porte atteinte au données à caractère personnel. Cette publication est destinée à garantir l'exhaustivité des informations relatives à l'existence et à la nature des liens d'intérêt entre les professionnels de santé et ces entreprises. Cette atteinte est justifiée par l'exigence constitutionnelle de protection de la santé et par l'objectif d'intérêt général de prévention des conflits d'intérêts. Eu égard aux exigences particulières qui pèsent sur les acteurs du secteur de la santé et à la gravité des conséquences des conflits d'intérêts dans ce secteur, le législateur a opéré une conciliation qui n'est pas manifestement déséquilibrée entre les principes constitutionnels en cause. Par suite, le grief tiré de la méconnaissance du droit au respect de la vie privée doit être écarté.
Cass8 juin 2021Cass, crim., 8 juin 2021, n° 20-85.853, B., points 7-13(source)
1) Modifications ou suppressions de données dans un système de traitement automatisé de données – Illégalité – Conditions – 2) Maintien ou accès en sachant ne pas y être autorisé dans un système de traitement automatisé de données – Infraction
1) Des Modifications ou suppressions de données contenues dans un système de traitement automatisé de données, en violation de la réglementation en vigueur, sont frauduleuses au sens de l'article 323‑3 du code pénal, y compris si elles sont opérées par une personne ayant un droit d'accès au système, lorsqu'elles ont été sciemment dissimulées à au moins un autre utilisateur d'un tel système, même s'il n'est pas titulaire de droits de modification.
2) Se rend coupable de l'infraction prévue à l'article 323‑1 du code pénal la personne qui, sachant qu'elle n'y est pas autorisée, pénètre ou se maintient dans un système de traitement automatisé de données.
Cass7 janvier 2020Cass, crim., 7 janvier 2020, n° 18-84.755, B., points 13-16(source)
Suppression de données dans un système de traitement automatisé de donnée – Légalité – Conditions
Les atteintes aux systèmes de traitement automatisé de données prévues à l'article 323-1 à 323-3 du code pénal ne sauraient être reprochées à la personne qui, bénéficiant des droits d'accès et de modification des données, procède à des suppressions de données, sans les dissimuler à d'éventuels autres utilisateurs du système, lorsqu'en l'espèce la personne mise en cause, seule utilisatrice du système, avait procédé à des saisies de données, puis à leur effacement, afin qu'elles n'apparaissent pas dans un journal de comptabilité.
CJUE16 janvier 2024CJUE, 16 janvier 2024, Österreichische Datenschutzbehörde, C‑33/22(source)
Législation nationale prévoyant une unique autorité de contrôle en application de l'article 51 du RGPD - Compétence de cette autorité pour connaître des réclamations relatives à des traitements de données à caractère personnel par la commission mise en place par le parlement de cet État membre dans l'exercice de son pouvoir de contrôle du pouvoir exécutif
L'article 77, paragraphe 1, et l'article 55, paragraphe 1, du RGPD doivent être interprétés en ce sens que lorsqu'un État membre a fait le choix, conformément à l'article 51, paragraphe 1, de ce règlement, d'instituer une seule autorité de contrôle, sans toutefois lui attribuer la compétence pour surveiller l'application dudit règlement par une commission d'enquête mise en place par le parlement de cet État membre dans l'exercice de son pouvoir de contrôle du pouvoir exécutif, ces dispositions confèrent directement à cette autorité la compétence pour connaître des réclamations relatives à des traitements de données à caractère personnel effectués par ladite commission d'enquête.
CJUE24 mars 2022CJUE, 24 mars 2022, Autoriteit Persoonsgegevens, C-245/20, points 38-39(source)
Mise à disposition temporaire par une juridiction de pièces issues d'une procédure juridictionnelle à des journalistes – Traitements effectué s dans l'exercice de sa fonction juridictionnelle – Contrôle par une autorité extérieure – Absence
L'article 55, paragraphe 3, du règlement (UE) 2016/679 doit être interprété en ce sens que le fait pour une juridiction de mise à disposition temporaire de journalistes des pièces issues d'une procédure juridictionnelle, contenant des données à caractère personnel, afin de leur permettre de mieux rendre compte du déroulement de cette procédure relève de l'exercice, par cette juridiction, de sa « fonction juridique », au sens de cette disposition.
La détermination, eu égard à l'objet et au contexte d'une affaire donnée, des informations issues d'un dossier de procédure juridictionnelle pouvant être fournies à des journalistes dans le but de leur permettre de rendre compte du déroulement de la procédure juridictionnelle ou d'éclairer tel ou tel aspect d'une décision rendue se rattache clairement à l'exercice, par ces juridictions, de leur « fonction juridique », dont le contrôle par une autorité extérieure serait susceptible de porter atteinte, de manière générale, à l'indépendance du pouvoir judiciaire.
CJUE8 avril 2014CJUE, grande chambre, 8 avril 2014, Commission / Hongrie, C-288/12, points 53-55(source)
Risque d'influence politique des autorités de tutelle de l'État – Entrave à l'exercice ind épendant des missions de l'autorité de contrôle – Obligation de respecter la durée du mandat
Le seul risque d'influence politique que les autorités de tutelle de l'État puissent exercer une influence politique sur les décisions des autorités de contrôle suffit pour entraver l'exercice indépendant des missions de l'autorité de contrôle. En effet, d'une part, il pourrait en résulter une « obéissance anticipée » de ces autorités eu égard à la pratique décisionnelle de l'autorité de tutelle et, d'autre part, « considérant le rôle de gardiennes du droit à la vie privée qu'assument les autorités de contrôle », leurs décisions comme elles-mêmes doivent être au-dessus de tout soupçon de partialité.
En outre, mettre fin au mandat d'une autorité de contrôle avant son terme sans respecter les règles et les garanties préétablies à cette fin par la législation applicable constituerait une menace potentielle qui « planerait alors sur cette autorité tout au long de l'exercice de son mandat » et pourrait conduire à une forme d'obéissance de celle-ci au pouvoir politique, incompatible avec l'exigence d'indépendance. Peu importe la circonstance que la fin anticipée du mandat résulte d'une restructuration ou d'un changement de modèle.
Il s'ensuit que l'exigence d'indépendance mentionnée par la directive 95/46/01 doit « nécessairement être interprétée comme incluant l'obligation de respecter la durée du mandat des autorités de contrôle jusqu'à son échéance et de n'y mettre fin de manière anticipée que dans le respect des règles et des garanties de la législation applicable ».
CJUE16 octobre 2012CJUE, grande chambre, 16 octobre 2012, Commission / Autriche, C-614/10(source)
Régime institutionnel méconnaissant l'exigence d'indépendance
Méconnaît l'exigence d'indépendance prévue à l'article 28, paragraphe 1, second alinéa, de la directive 95/46 un régime institutionnel où : le membre administrateur de l'autorité de contrôle est un fonctionnaire fédéral assujetti à une tutelle de service; le bureau de l'autorité est intégré aux services de la chancellerie fédérale; le chancelier fédéral dispose d'un droit inconditionnel à l'information sur tous les aspects de la gestion de la Datenschutzkommission.
CJUE9 mars 2010CJUE, grande chambre, 9 mars 2010, Commission / Allemagne, C‑518/07(source)
Régime institutionnel méconnaissant l'exigence d'indépendance
Méconnaît l'exigence d'indépendance prévue à l'article 28, paragraphe 1, second alinéa, de la directive 95/46 un régime institutionnel où sont soumises à une tutelle administrative de l'État ou Länder les autorités de contrôle compétentes pour la surveillance du traitement des données à caractère personnel, quelles que soient les modalités d'exercice de ladite tutelle, dès lors qu'elle permet en principe au gouvernement du Land concerné ou à un organe de l'administration soumise à ce gouvernement d'influer directement ou indirectement sur les décisions des autorités de contrôle ou, le cas échéant, d'annuler et de remplacer ces décisions.
CJUE2 décembre 2025CJUE, 2 décembre 2025, Russmedia Digital et Inform Media Press, aff. C‑492/23(source)
Responsabilité de l'exploitant d'une place de marché en ligne pour la publication des données à caractère personnel contenues dans des annonces placées par des utilisateurs annonceurs – 1) Responsabilité conjointe avec ces utilisateur s annonceurs – Existence - 2) Obligations du responsable du traitement avant la publication des annonces – a) Identification préalable des annonces contenant des données sensibles – b) Vérification préalable de l'identité de l'utilisateur annonceur – c) R efus de la publication d'annonces illicites – 3) Obligations du responsable de traitement en termes de mesures de sécurité de nature à empêcher la copie des annonces et leur publication sur d'autres sites Internet – 4) Possibilité pour l'exploitant de se p révaloir, à l'égard d'une violation de ces obligations, de l'exonération de responsabilité des prestataires intermédiaires - Absence
1) L'article 5, paragraphe 2, ainsi que les articles 24 à 26 du [RGPD] doivent être interprétés en ce sens que l'exploitant d'une place de marché en ligne est coresponsable d u traitement, au sens de l'article 4, point 7, de ce règlement, des données à caractère personnel contenues dans des annonces publiées sur sa place de marché en ligne.
2) Il est à ce titre tenu, avant la p ublication des annonces et au moyen de mesures techniques et organisationnelles appropriées:
a) d'identifier les annonces qui contiennent des données sensibles, au sens de l'article 9, paragraphe 1, dudit règlement,
b) de vérifier si l'utilisateur annonce ur s'apprêtant à placer une telle annonce est la personne dont les données sensibles figurent dans cette annonce,
c) si tel n'est pas le cas, de refuser la publication de ladite annonce, à moins que cet utilisateur annonceur ne puisse démontrer que la pe rsonne concernée a donné son consentement explicite à ce que les données en question soient publiées sur cette place de marché en ligne, au sens de cet article 9, paragraphe 2, sous a), ou que l'une des autres exceptions prévues audit article 9, paragraphe 2, sous b) à j), est remplie.
3 ) L'article 32 du [RGPD] doit être interprété en ce sens que l'exploitant d'une place de marché en ligne, en tant que responsable du traitement des données à caractère personnel contenues dans des annonces publiées sur sa p lace de marché en ligne, est tenu de mettre en œuvre des mesures de sécurité techniques et organisationnelles appropriées afin d'empêcher que des annonces y étant publiées et contenant des données sensibles soient copiées et illicitement publiées sur d'aut res sites Internet.
4 ) L'article 1, paragraphe 5, sous b), de la directive 2000/31/CE sur le commerce électronique, et l'article 2, paragraphe 4, du RGPD doivent être interprétés en ce sens que l'exploitant d'une place de marché en ligne, en tant qu e responsable du traitement, au sens de l'article 4, point 7, du RGPD, des données à caractère personnel contenues dans des annonces publiées sur sa place de marché en ligne, ne peut pas se prévaloir, à l'égard d'une violation des obligations découlant de l'article 5, paragraphe 2, ainsi que des articles 24 à 26 et 32 de ce règlement, des articles 12 à 15 de cette directive, relatifs à la responsabilité des prestataires intermédiaires.
CNILDate non renseignéeCNIL, FR, 15 juin 2023, Sanction, Société X, n° SAN-2023-009, publié, points 52, 61, 74(source)
Accord de responsabilité conjointe – Collecte du consentement pour le compte de sociétés partenaires – Obligation du responsable de traitement ne collectant pas le consentement d'être en mesure de démontrer que la personne concernée a donné son consentement
En cas de responsabilité conjointe, l'article 26 du RGPD oblige les responsables de traitement conjoints à s'assurer, par le biais d'un accord, qu'ils respectent mutuellement le RGPD et notamment qu'ils organisent entre eux la meilleure façon de répondre aux droits des personnes concernées, en fonction de la nature du traitement et de leur responsabilité respective vis-à-vis de ce traitement. En l'espèce, le fait que la collecte du consentement des internautes pour la mise en œuvre du traitement en cause revenait aux partenaires de la société mise en cause n'exonérait pas cette dernière de son obligation, en application de l'article 7 du RGPD, d'être en mesure de démontrer que la personne concernée** avait donné son consentement et de procéder à certaines vérifications à cette fin. En effet, la seule clause issue de conditions générales d'utilisation aux termes desquelles la société exigeait de ses partenaires, « lorsque la loi le prévoit », que la politique de confidentialité de leur site inclue « des mentions et des mécanismes de choix conformes aux lois et réglementations applicables » ne permettait pas de garantir l'existence d'un consentement valide et il convenait à tout le moins qu'elle soit complétée pour préciser que l'organisme qui recueille le consentement doit mettre à disposition de l'autre partie la preuve du consentement.
CNIL26 avril 2022CNIL, FR, 11 mai 2023, Sanction, Société X, n° SAN-2023-006, publié, point 33 Voir aussi: CE, 10 ème chambre, 26 avril 2022, Optical Center, n° 449284, Inédit; CNIL, FR, 24 novembre 2022, Sanction, Société X, n° SAN-2022-021, publié(source)
Suivi des instructions contractuelles par le sous-traitant – Contrôle par le responsable de traitement
Si le responsable de traitement peut décider de recourir à un prestataire spécialisé, en particulier en lui confiant une mission de sous-traitance des données à caractère personnel, au sens du RGPD, il reste tenu de veiller, par des diligences raisonnables, à ce que le respect de la protection des données à caractère personnel soit effectivement assuré. Le caractère suffisant de ces diligences dépend notamment des compétences et des moyens du responsable de traitement. La responsabilité du responsable de traitement peut être retenue du fait de l’absence de mise en œuvre par celui‑ci d’un contrôle régulier sur les mesures techniques et organisationnelles prises par un sous-traitant.
CE23 mai 2019CE, Section de l'administration (section de l'intérieur), 23 mai 2019, Avis, n° 396435, Projet de décret portant création d'un traitement automatisé relatif à la gestion des ressources humaines de certains agents de l'État(source)
Décret créant un traitement relatif à la gestion des ressources humaines d'agents de l'État – Traitement établissant des profils de personnes physiques – 1) Analyse d'impact relative à la protection des données – 2) Ouverture du traiteme nt à d'autres services ou institutions – Élaboration de l'étude d'impact pendant la préparation du décret – 3) Caractère suffisant de l'analyse d'impact préexistante – Conditions – Obligation de compléter l'analyse d'impact en cas d'adaptation de la mise e n œuvre
Saisi d'un projet de décret portant création d'un traitement au tomatisé de données à caractère personnel relatif à la gestion des ressources humaines d certains agents de l'État, le Conseil d'État constate que ce traitement a fait l'objet, comme il le devait, d'une analyse d’impact relative à la protection des données.
1) Il considère en premier lieu que la réalisation préalable de cette analyse d'impact est exigée par les dispositions du paragraphe 1 de l'article 35 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (dit RGPD) dans la mesure où ce traitement permet de procéder à une « évaluation systématique et approfondie d'aspects personnels fondée sur un traitement automatisé et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l'égard d'une personne physique ou l'affectant de manière significative de façon similaire » au sens du a) du paragraphe 3 du même article.
Il relève à cet égard que les traitements établissant des profil(s) de personnes physiques à des fins de gestion des ressources humaines figurent sur la liste des types d'opérations de traitement pour lesquelles une analyse d'impact relative à la protection des données est requise, annexée à la délibération n° 2018‑327 du 11 octobre 2018 de la CNIL portant adoption de cette liste.
2) En deuxième lieu, dans la mesure où le projet de décret ouvre à des services ou institutions distincts la possibilité de recourir à ce traitement dans des conditions similaires, la dernière phrase du paragraphe 1 de l'article 35 du RGPD, selon laquelle « une seule et même analyse peut porter sur un ensemble d'opérations de traitement similaires qui présentent des risques élevés similaires », a logiquement conduit à élaborer cette analyse d'impact lors de la préparation du projet de décret.
3) En troisième lieu, lorsque des services ou institutions décideront d'y recourir sans adapter les modalités de mise en œuvre de ce traitement, l'analyse d'impact réalisée lors de la préparation du projet de décret pourra être regardée comme suffisante. Toutefois, compte tenu de la diversité de ses caractéristiques et des modes d'organisation des services ou institutions susceptibles de recourir au traitement en cause et des adaptations qu'ils décident de lui apporter en fonction de leurs besoins, il appartiendra à chaque responsable, préalablement à la mise en œuvre du traitement, de compléter le cas échéant l'analyse d'impact produite initialement par l'autorité compétente, en fonction des spécificités propres à cette mise en œuvre.
CE19 mars 2019CE, Section de l'intérieur, 19 mars 2019, Avis, n° 396817, Projet de décret portant transposition des principes du code mondial antidopage et diverses modifications relatives à la procédure disciplinaire(source)
L'analyse d'impact n'est pas une modalité de la procédure consultative et ne conditionne pas la légalité d'un décret. Elle est en revanche une obligation de fond s'imposant au responsable de traitement.
Le Conseil d'État (section de l'intérieur) saisi d'un projet de décret portant transposition en droit interne des principes du code mondial antidopage et de diverses modifications relatives à la procédure disciplinaire lui donne un avis favorable. Ce projet modifie les dispositions réglementaires du code du sport relatives au traitement automatisé de données à caractère personnel visant à mettre en œuvre l'établissement du profil biologique des sportifs, ainsi que celles relatives aux modalités d'utilisation d'un algorithme prédictif pour les besoins de l'établissement de ce même profil biologique.
Le Conseil d'État considère, eu égard au caractère sensible des données médicales qui font l'objet d'un traitement pour l'établissement du profil biologique des sportifs, au grand nombre de sportifs concernés, ainsi qu'aux modalités de réalisation de ce traitement, au moyen d'un algorithme prédictif, et à ses finalités, notamment de sanction, que le traitement permettant l'établissement du profil biologique des sportifs impose de conduire l'analyse d'impact prévue par l'article 35 du règlement général sur la protection des données.
Si la réalisation de cette dernière n'est pas une modalité de la procédure consultative de la CNIL et ne conditionne pas la légalité du décret modifiant les dispositions réglementaires relatives à ce traitement, elle n'en est pourtant pas moins une obligation de fond s'imposant au responsable dudit traitement. Aussi le Conseil d'État attire-t-il l'attention du Gouvernement sur la nécessité pour le responsable du traitement de réaliser l'analyse d'impact dans les plus brefs délais.
CE3 juillet 2018CE, Section des travaux publics, 3 juillet 2018, Avis, n° 395077, Projet de décret comportant la mise en œuvre de traitement relevant de la procédure prévue au b) du règlement (UE) n°2016/679 du 27 avril 2016 (RGPD)(source)
Traitement nécessaire à l'organisation d'un vote électronique – Traitement à grande échelle de données sensibles – Obligation pour le responsable du traitement d'effectuer une analyse d’impact qui doit être achevée pour la mise en œuvre du traitement
Un traitement nécessaire à l'organisation d’un vote électronique pour l’élection des membres des chambres d’agriculture, eu égard, d’une part, à la nature des données collectées et analysées et, d’autre part, au fait que ces données portent sur un électorat d’environ trois millions de personnes, remplit les critères posés par le point b) du paragraphe 3 de l’article 35 du règlement (UE) n° 2016/679 du 27 avril 2016 (RGPD) pour caractériser les traitements à grande échelle de données sensibles.
Par suite, sa mise en œuvre doit être précédée d’une analyse d’impact prévue par ces stipulations. Cette obligation d’effectuer une analyse d’impact est d’application immédiate et directe. Le paragraphe 4 du même article 35 dispose que : « L’autorité de contrôle établit et publie une liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise conformément au paragraphe 1. L’autorité de contrôle communique ces listes au comité visé à l’article 68 ». Toutefois, cette liste ne saurait être regardée comme une mesure nationale d’application nécessaire à l’entrée en vigueur de l’obligation faite au responsable du traitement d’effectuer une analyse d’impact qui découle directement du point b) du paragraphe 3 de l’article 35 du règlement.
La circonstance que le responsable du traitement (le ministre de l’agriculture) n’ait pas, au moment où le Conseil d’État (section des travaux publics) a examiné un projet de décret comportant la mise en œuvre de traitements relevant de la procédure prévue au b) du paragraphe 3 de l’article 35 du règlement (UE) n° 2016/679 du 27 avril 2016 (RGPD), achevé l’analyse d’impact qui lui incombe ne faisait obstacle ni à cet examen, ni à ce que le Conseil d’État lui donnât un avis favorable, dès lors qu’en vertu du paragraphe 1 de cet article, cette analyse doit être effectuée « avant le traitement », c’est‑à‑dire avant la mise en œuvre concrète de celui‑ci.
CE8 janvier 2019CE, Section de l'intérieur, 8 janvier 2019, Avis, n° 396340, Projet de décret relatif à la mise en œuvre de traitements provenant des caméras individuelles des agents de la police municipale(source)
Directive 2016/680 – Possibilité de mener une unique analyse d’impact sur « un ensemble d’opérations de traitement similaires qui présentent des risques élevés similaires » – Existence même si aucune disposition de la directive ne le prévoit
À l’occasion de l’examen d’un projet de décret relatif à la mise en œuvre de traitements de données à caractère personnel provenant des caméras individuelles des agents de la police municipale, le Conseil d’État (section de l’intérieur) estime qu’il résulte tant des finalités poursuivies par les dispositifs en cause que des missions confiées aux agents de police municipale que les traitements projetés relèvent des dispositions de la Directive 2016/680 du 27 avril 2016 telle que transposée aux articles 70‑1 et suivants de la loi du 6 janvier 1978 modifiée.
Compte tenu de leurs finalités, ils doivent être regardés comme mis en œuvre pour le compte de l’État. Le traitement étant mis en œuvre au niveau des collectivités locales ou des établissements de coopération intercommunale, le ministre de l’intérieur ne peut être regardé comme le responsable du traitement au sens du premier alinéa de l’article 70‑4, même si cette mise en œuvre est faite pour le compte de l’État.
Le Conseil d’État (section de l’intérieur) estime cependant possible que, dans le cadre de l’élaboration du texte régissant les caractéristiques essentielles du traitement, le ministre réalise une unique analyse d’impact d’ensemble, bien que la directive ne prévoie pas qu’une seule et même analyse puisse « porter sur un ensemble d’opérations de traitement similaires qui présentent des risques élevés similaires », à l’instar de l’article 35 du règlement (UE) 2016/679.
CE24 décembre 2021CE, 10ème – 9 chambres réunies, 24 décembre 2021, Ligue des droits de l'homme et autres, n° 447513, T., point 12ème Voir aussi: CE, 10ème – 9 chambres réunies, 24 décembre 2021, Ligue des droits de l'homme et(source)
Traitement relevant de la directive « Police - Justice » susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques et mis en œuvre pour le compte de l'État – Analyse d'impact devant être réalisée et transmise à la CNIL avant l'édiction de l'acte définissant le traitement
Il résulte de l'article 90 de la loi n° 78‑17 du 6 janvier 1978, applicable aux traitements de données à caractère personnel relevant de la directive « Police - Justice » mis en œuvre à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces. Lorsque l'analyse d'impact est exigée préalablement à la création ou à la modification d'un tel traitement mis en œuvre pour le compte de l'État, il appartient à l'administration, à peine d'irrégularité de l'acte instituant ou modifiant ce traitement, de la réaliser et de la transmettre à la Commission nationale de l'informatique et des libertés (CNIL) dans le cadre de la demande d'avis prévue à l'article 33 de la loi du 6 janvier 1978. Cette analyse doit porter sur les risques élevés pour les droits et libertés des personnes physiques.
