1) L'article 38, paragraphe 3, deuxième phrase, du RGPD doit être interprété en ce sens qu'il ne s'oppose pas à une Réglementation nationale prévoyant qu'un responsable du traitement ou un sous-traitant ne peut révoquer un délégué à la protection des données qui est membre de son personnel que pour un motif grave, même si la révocation n'est pas liée à l'exercice des missions de ce délégué, pour autant qu'une telle réglementation ne compromette pas la réalisation des objectifs de ce règlement.

2) Un « conflit d'intérêts », au sens de l'article 38, paragraphe 6 du RGPD est susceptible d'exister lorsqu'un délégué à la protection des données se voit confier d'autres missions ou tâches, qui conduiraient ce dernier à déterminer les finalités et les moyens du traitement de données à caractère personnel auprès du responsable du traitement ou de son sous-traitant, ce qu'il incombe au juge national de déterminer au cas par cas, sur la base d'une appréciation de l'ensemble des circonstances pertinentes, notamment de la structure organisationnelle du responsable du traitement ou de son sous-traitant et à la lumière de l'ensemble de la réglementation applicable, y compris des éventuelles règles internes de ces derniers.

1) a) Il résulte du paragraphe 3 de l’article 38 du RGPD, éclairé par la Cour de justice de l’Union européenne (CJUE) dans son arrêt du 22 juin 2022 (C‑534/20), Leistritz AG c/ LH, qu’en protégeant le délegué à la protection des données contre toute décision défavorable qui mettrait en péril ses fonctions, on lui ferait subir un désavantage ou une sanction lorsqu’une telle décision serait liée à l’exercice de ses missions, ces dispositions visent essentiellement à préserver son indépendance fonctionnelle et, par conséquent, à garantir l’effectivité du RGPD.

b) En revanche, elles ne font pas obstacle au licenciement d'un délégué qui ne posséderait plus les qualités professionnelles requises pour exercer ses missions ou qui ne s’acquitterait pas de celles‑ci conformément au RGPD.

c) Il ressort également de cet arrêt que ces dispositions n’ont pas pour objet de régir globalement les relations de travail entre un responsable du traitement ou un sous‑traitant et des membres de son personnel, lesquelles ne sont susceptibles d’être affectées que de manière accessoire, dans la mesure strictement nécessaire à la réalisation des objectifs du RGPD.

2) Il en résulte clairement que l’article 38 du RGPD ne fait pas obstacle à ce que le salarié exerçant les fonctions de délegué au sein de l’entreprise fasse l’objet d’une sanction ou d’un licenciement à raison de manquements aux règles internes à l’entreprise applicables à tous ses salariés, sous réserve que ces dernières ne soient pas incompatibles avec son indépendance fonctionnelle qui lui est garantie par le RGPD.

Le caractère erroné des adresses électroniques communiquées sur le site web d’un responsable de traitement destinées à recueillir les demandes relatives à l'exercice des droits conférés à la personne en vertu des articles 15 à 22 du RGPD, lorsqu’il n’a été pleinement réparé qu’à l’issue d’un délai de plus de six mois et postérieurement à un contrôle diligenté par les services de la CNIL, ainsi que la procédure d'exercice de ces mêmes droits effectuée par voie postale par un prestataire du responsable de traitement ne permettant pas de faciliter les démarches des personnes concernées, en l’absence de transmission directe des demandes de droit d’accès du responsable de traitement à son prestataire, sont de nature à caractériser un manquement aux dispositions de l’article 12 du RGPD.

1) Il ressort du considérant 41 du RGPD, que la référence, dans ce règlement, à une « mesure législative » n’implique pas nécessairement que l’adoption d’un acte législatif par un parlement est exigée.

Toute mesure adoptée en vertu de l’article 23 du RGPD doit, ainsi que le législateur de l’Union l’a souligné au considérant 41 de ce règlement, être claire et précise, et son application prévisible pour les justiciables. En particulier, ces derniers doivent pouvoir identifier les circonstances et conditions dans lesquelles la portée des droits qu’ils confère ledit règlement est susceptible d’être limitée.

Il découle des considérations qui précèdent que l’administration fiscale d’un État‑membre ne saurait déroger aux dispositions de l’article 5, paragraphe 1, du RGPD en l’absence d’une base juridique claire et précise du droit de l’Union ou du droit national, dont l’application est prévisible pour les justiciables, prévoyant les circonstances et conditions dans lesquelles la portée des obligations et des droits prévues à cet article 5 peut être limitée.

2) a) Les dispositions du RGPD doivent être interprétées en ce sens que l’administration fiscale d’un État‑membre ne saurait déroger aux dispositions de l’article 5, paragraphe 1, de ce règlement, qui fixe les principes à respecter par tout traitement, alors qu’un tel droit ne lui a pas été octroyé par le droit national, au sens de l’article 23, paragraphe 1, de ce même texte.

b) Les dispositions du RGPD doivent être interprétées en ce sens qu’elles ne s’opposent pas à ce que l’administration fiscale d’un État‑membre impose à un prestataire de services d’annonces publiées sur internet de lui communiquer des informations relatives aux contribuables ayant publié des annonces dans l’une des rubriques de son portail en ligne, dès lors que cela est nécessaire à la mission d’intérêt public poursuivie par cette administration. Néanmoins, les données demandées doivent être nécessaires au regard des finalités spécifiques pour lesquelles elles sont collectées et la période sur laquelle porte leur collecte ne saurait excéder la durée strictement nécessaire pour atteindre l’objectif d’intérêt général visé.

1) Le traitement de données à caractère personnel mis en œuvre par la administration fiscale aux fins d'obtenir l'autorisation de procéder à des opérations de visite et saisies sur le fondement de l'article L. 16 B du livre des procédures fiscales, qui a pour finalité d'obtenir le droit de procéder à une mesure d'enquête pouvant donner lieu à la constatation d'une infraction ou d'un manquement à la législation fiscale, dans le but de percevoir l'impôt et de lutter contre la fraude fiscale, entre dans le champ d'application matériel du RGPD.

2) Dès lors, le juge doit notamment vérifier si, dans le litige qui lui est soumis, le responsable du traitement est tenu de fournir à la personne concernée les informations prévues à son article 14 ou si sont réunies les conditions des exemptions ou limitations à cette obligation d'information qu'il prévoit. En effet, si l'article 14 du RGPD soumet le responsable du traitement à l'obligation de fournir un certain nombre d'informations à la personne concernée lorsque les données à caractère personnel n'ont pas été collectées auprès d'elle, il résulte du paragraphe 5 de ce texte que cette obligation ne s'applique pas dans la mesure où elle est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement.

3) En outre, l'article 23 du RGPD prévoit que le droit de l'État membre auquel le responsable du traitement est soumis peut, par la voie de mesures législatives, limiter la portée de l'obligation d'informer la personne concernée par le traitement de données à caractère personnel prévue à l'article 14 du RGPD lorsqu'une telle limitation respecte l'essence des libertés et droits fondamentaux et qu'elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir la prévention et la détection d'infractions pénales, les enquêtes et les poursuites en la matière et d'autres objectifs importants d'intérêt public général d'un État membre, notamment un intérêt économique ou financier important, y compris dans les domaines monétaire, budgétaire et fiscal.

Ainsi, l'administration fiscale n'a pas l'obligation de fournir à la personne concernée les informations prévues à l'article 14 de ce règlement si sont réunies les conditions de l'exception prévue au paragraphe 5 de ce texte ou des limitations prévues à l'article 23.

Le Premier ministre est compétent pour l'adoption d'un décret se bornant à autoriser la collecte de données nécessaires au développement d’un algorithme en matière d’indemnisation du préjudice corporel, sans déroger à la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Cette loi n’a ni pour objet, ni pour effet de fixer des règles relatives aux garanties fondamentales accordées aux citoyens pour l’exercice des libertés publiques, y compris en ce qu’elle exclut l’exercice des droits d’information et d’opposition des personnes dont les données personnelles sont collectées.

L’article 23 du RGPD selon lequel le droit de l’Union ou le droit d’un État membre peut apporter des limitations aux droits prévus par le règlement « par la voie de mesures législatives », ne saurait être entendu comme imposant l’intervention du législateur, le droit de l’Union européenne ne régissant pas la répartition des compétences au sein des États membres.

1) L’article 23 du RGPD permet de limiter ou d’écarter le droit d’opposition à un traitement, à certaines conditions, par une mesure législative. Le considérant 41 du RGPD précise que cette mesure législative n’est pas nécessairement un acte adopté par le Parlement, mais doit être déterminée par le droit national de chaque État membre. En France, il peut en particulier s’agir d’un acte réglementaire. La CNIL estime que, s’agissant des traitements participant à l’exécution d’une mission d’intérêt public, tant l’État que les collectivités territoriales ou les établissements publics peuvent, dans leurs domaines de compétence respectifs et s’ils disposent d’un pouvoir réglementaire, limiter ou exclure le droit d’opposition.

2) Cependant, l’exercice de cette faculté est soumis à une double limite : d’une part, s’agissant de la compétence, il convient de ne pas empiéter sur le domaine réservé à la loi en application de l’article 34 de la Constitution; d’autre part, de veiller à ce que les conditions prévues à l’art. 23 RGPD soient respectées. Dans ses lignes directrices 10/2020 du 13 octobre 2021 sur l’article 23, le Comité européen pour la protection des données a notamment rappelé l’obligation pour le responsable de traitement de veiller au caractère strictement nécessaire et proportionné de la limitation envisagée au regard de l’objectif poursuivi. Il a également souligné que l’acte écartant l’opposition doit faire l’objet d’une publicité suffisante et être accessible.

Les dispositions du dernier alinéa du paragraphe I de l'article L. 612-3 du code de l'éducation ne sauraient, sans méconnaître le droit d'accès aux documents administratifs garanti par l'article 15 de la Déclaration de 1789, être interprétées comme dispensant chaque établissement d'enseignement supérieur de publier, à l'issue de la procédure nationale de préinscription à l'entrée en premier cycle et dans le respect de la vie privée des candidats, le cas échéant sous la forme d'un rapport, les critères d'examen des candidatures en fonction desquels les candidatures ont été examinées et précisant, le cas échéant, dans quelle mesure traitements algorithmiques ont été utilisés pour procéder à cet examen.

Dans le cadre de rapports employeur/employés, le fait d'effectuer des recherches sur des personnes portant sur des données à caractère personnel telles qu'antécédents judiciaires, renseignements bancaires et téléphoniques, véhicules, propriétés, qualité de locataire ou de propriétaire, situation matrimoniale, santé, déplacement à l'étranger est susceptible de constituer un moyen de collecte déloyal dès lors que, issues de la capture et du recoupement d'informations diffusées sur des sites publics tels que sites web, annuaires, forums de discussion, réseaux sociaux, sites de presse régionale, ces données ont fait l'objet d'une utilisation sans rapport avec l'objet de leur mise en ligne et ont été recueillies à l'insu des personnes concernées, ainsi privées du droit d'opposition institué par la loi informatique et libertés.

En effet, le fait que les données à caractère personnel collectées en l'espèce par le prévenu aient été pour partie en accès libre sur internet ne retire rien au caractère déloyal de cette collecte, dès lors qu'une telle collecte, de surcroît réalisée à des fins dévoyées de profilage des personnes concernées et d'investigation dans leur vie privée, à l'insu de celles-ci, ne pouvait s'effectuer sans qu'elles en soient informées.

L'article R. 221‑15‑8 du code de l'action sociale et des familles, créé par le décret attaqué, dispose que, préalablement à la collecte de ses données, la personne se déclarant mineure et privée temporairement ou définitivement de la protection de sa famille est informée de la nature des données et informations collectées ainsi que des conséquences d'un refus de les communiquer ou d'une évaluation concluant à sa majorité. Elle reçoit également des informations relatives à la protection des données personnelles. Cette information est assurée par un formulaire dédié, rédigé dans une langue qu'elle comprend ou dont il est raisonnable de supposer qu’elle la comprend. À défaut, notamment lorsque l'intéressé ne sait pas lire, l'information est donnée sous forme orale. Le décret attaqué a ainsi prévu une information effective et adaptée des personnes sollicitant une protection en qualité de mineur, qui doit en outre satisfaire, sans que le pouvoir réglementaire ait eu à le rappeler, à l'exigence de clarté prévue par l'article 12 du RGPD.

1) L’article 5, paragraphe 3, de la directive 2002/58 doit être interprété en ce sens que les informations que le fournisseur de services doit donner à l’utilisateur d’un site internet incluent la durée de fonctionnement des cookies ainsi que la possibilité ou non pour des tiers d’avoir accès aux cookies.

2) L’article 10 de la directive 95/46, à laquelle fait référence l’article 5, paragraphe 3, de la directive 2002/58, ainsi que l’article 13 du RGPD énoncent les informations que le responsable du traitement doit fournir à la personne auprès de laquelle il collecte des données la concernant. Ces informations comprennent notamment, en vertu de l'article 10 de la directive, outre l’identité du responsable du traitement et les finalités du traitement auquel les données sont destinées, toute information supplémentaire telle que les destinataires ou les catégories de destinataires des données, dans la mesure où, compte tenu des circonstances particulières dans lesquelles les données sont collectées, ces informations supplémentaires sont nécessaires pour assurer à l’égard de la personne concernée un traitement loyal des données.

Si la durée du traitement des données ne figure pas parmi ces informations, il ressort toutefois de l’expression « au moins » figurant à l’article 10 de la directive 95/46 que celles‑ci ne sont pas énumérées de manière exhaustive. Or, la durée de fonctionnement des cookies doit être considérée comme répondant à l’exigence d’un traitement loyal des données prévue par ledit article, en ce que, dans une situation telle que celle en cause au principal, une durée longue, voire illimitée, implique la collecte de nombreuses informations sur les habitudes de navigation et la fréquence des visites éventuelles de l’utilisateur sur les sites des partenaires publicitaires de l’organisateur du jeu promotionnel.

Cette interprétation est corroborée par l’article 13, paragraphe 2, sous a), du règlement 2016/679, qui prévoit que le responsable du traitement doit fournir à la personne concernée, pour garantir un traitement équitable et transparent, une information portant notamment sur la durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée.

Quant à la possibilité ou non pour des tiers d’avoir accès aux cookies, il s’agit d’une information comprise dans les informations mentionnées à l’article 10, sous c), de la directive 95/46, ainsi qu’à l’article 13, paragraphe 1, sous e), du règlement 2016/679, dès lors que ces dispositions mentionnent explicitement les destinataires ou les catégories de destinataires des données.

L'article 13, paragraphe 1, de la directive 95/46/CE du 24 octobre 1995 doit être interprété en ce sens que les États membres n'ont pas l'obligation, mais la faculté de transposer dans leur droit national une ou plusieurs des exceptions qu'il prévoit à l'obligation d'informer les personnes concernées du traitement de leurs données à caractère personnel.

L’information fournie au moyen d’une politique de confidentialité disponible uniquement en anglais, relative à des traitements de données ciblant majoritairement un public francophone, ne permet pas aux personnes concernées d’apprécier à l’avance la portée et les conséquences des traitements et n’est par conséquent pas conforme aux exigences de transparence de l’information posées par l’article 12 du RGPD. Il en va de même du renvoi opéré vers une politique de confidentialité uniquement en anglais depuis un formulaire de création de compte.

1) Il résulte de l'article 14 du RGPD que, lorsqu'un prospecteur récupère un numéro de téléphone d'un tiers, par exemple un fournisseur d'accès à internet (FAI), à des fins de prospection téléphonique, il doit informer la personne prospectée du traitement de ces données pour cette finalité, au plus tard lors de l'appel téléphonique.

2) Lorsqu'une information prévue par le RGPD est fournie dans le cadre d'échanges téléphoniques, il est admis que cette information puisse se limiter aux éléments les plus importants pour l'interlocuteur, afin de rester brève, à condition d'indiquer un moyen d'obtenir les informations complètes (exemples : touche à activer sur le téléphone, courriel reçu par l'interlocuteur, renvoi vers une page web). L'information sur le traitement des données transmises par les FAI, notamment les coordonnées téléphoniques des personnes, à des fins de prospection téléphonique en application de l'article 14 du RGPD, et celle relative à l'enregistrement de la conversation, en application de l'article 13 du RGPD, peuvent par ailleurs être fusionnées.

Un courrier de prospection commerciale doit être suffisamment précis dans l'indication de la source des données dont proviennent les prospects, cette information étant de nature à garantir un traitement équitable et transparent à son égard, en particulier dans un contexte de reventes successives de données entre multiples acteurs et dans l'hypothèse où le prospect souhaiterait exercer ses droits auprès du courtier en données dont il ignore l'identité. La seule mention que les données ont été collectées auprès d'un « organisme spécialisé dans l'enrichissement de données » n'est pas suffisamment précise et est susceptible de caractériser un manquement à l'information des personnes, au sens de l'article 14 du RGPD.

Dans la symbolique couramment utilisée en informatique, le fait de cliquer sur « X » en haut à droite de la dernière fenêtre visible d’une application permet généralement de la quitter. En l’espèce, le fait de cliquer sur « X » ne fait en réalité que mettre l’application en arrière‑plan et non la quitter. Eu égard au fait que des données à caractère personnel de l’utilisateur peuvent être communiquées à des tiers sans qu’il en ait nécessairement conscience, soit l’utilisateur doit se voir délivrer une information spécifique sur ce point, soit le comportement de réduction en arrière‑plan ne doit pas être activé par défaut et c’est à l’utilisateur de le paramétrer manuellement. Tout autre fonctionnement ne saurait correspondre aux attentes de l'utilisateur.

L’information aux personnes concernées ne figurant pas sur un support distinct des mentions légales et conditions générales, mais étant uniquement accessible via des liens intitulés « Conditions générales » ou « Mentions légales », insérés au pied de formulaires de collecte des données à caractère personnel mis en ligne sur un site internet, ne permet pas à l’utilisateur de bénéficier d’une information suffisamment claire et accessible sur le traitement de ses données.

Une telle modalité de délivrance de l'information aux personnes concernées ne répond pas aux exigences de transparence et d'accessibilité prévues par le RGPD.

L'article 14, paragraphe 5, sous‑c), du règlement général sur la protection des données doit être interprété en ce sens que l'exception à l'obligation d'information de la personne concernée par le responsable du traitement, prévue à cette disposition, concerne indistinctement toutes les données à caractère personnel que le responsable du traitement n'a pas collectées directement auprès de la personne concernée, que ces données aient été obtenues par le responsable du traitement auprès d'une personne autre que la personne concernée ou qu'elles aient été générées par le responsable du traitement lui‑même, même dans le cadre de l'exercice de ses missions.

Les articles 10, 11 et 13 de la directive 95/46/CE du 24 octobre 1995 doivent être interprétés en ce sens qu'ils s'opposent à des mesures nationales qui permettent à une administration publique d'un État membre de transmettre des données à caractère personnel à une autre administration publique et leur traitement subséquent, sans que les personnes concernées n'aient été informées de cette transmission ou de ce traitement.

1) Le traitement de données à caractère personnel mis en œuvre par l’administration fiscale aux fins d'obtenir l'autorisation de procéder à des opérations de visite et saisies sur le fondement de l'article L. 16‑B du livre des procédures fiscales, qui a pour finalité d'obtenir le droit de procéder à une mesure d'enquête pouvant donner lieu à la constatation d'une infraction ou d'un manquement à la législation fiscale, dans le but de percevoir l'impôt et de lutter contre la fraude fiscale, entre dans le champ d'application matériel du RGPD.

2) Dès lors, le juge doit notamment vérifier si, dans le litige qui lui est soumis, le responsable du traitement est tenu de fournir à la personne concernée les informations prévues à son article 14 ou s'il sont réunies les conditions des exceptions ou limitations à cette obligation d'information qu'il prévoit. En effet, si l'article 14 du RGPD soumet le responsable du traitement à l'obligation de fournir un certain nombre d'informations à la personne concernée lorsque les données à caractère personnel n'ont pas été collectées auprès d'elle, il résulte du paragraphe 5 de ce texte que cette obligation ne s'applique pas dans la mesure où elle est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement.

3) En outre, l'article 23 du RGPD prévoit que le droit de l'État membre auquel le responsable du traitement est soumis peut, par la voie de mesures législatives, limiter la portée de l'obligation d'informer la personne concernée par le traitement de données à caractère personnel prévue à l'article 14 du RGPD lorsqu'une telle limitation respecte l'essence des libertés et droits fondamentaux et qu'elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir la prévention et la détection d'infractions pénales, les enquêtes et les poursuites en matière et d'autres objectifs importants d'intérêt public général d'un État membre, notamment un intérêt économique ou financier important, y compris dans les domaines monétaire, budgétaire et fiscal.

Ainsi, l’administration fiscale n'a pas l'obligation de fournir à la personne concernée les informations prévues à l'article 14 de ce règlement si sont réunies les conditions de l'exception prévue au paragraphe 5 de ce texte ou des limitations prévues à l'article 23.