Cas d’un annuaire ayant enrichi ses données en collectant les données publiquement accessibles sur des réseaux sociaux. La circonstance que, dans le cadre de leur politique de confidentialité, certains réseaux sociaux auraient averti leurs membres de la possible indexation de données à caractère personnel par des moteurs de recherche ne saurait les faire considérer comme déjà informés, au sens de la loi du 6 janvier 1978, de la possible agrégation de leurs données à caractère personnel à un service d’annuaire. Eu égard à l’intérêt qui s’attache au respect des libertés et droits fondamentaux des vingt‑cinq millions de personnes touchées par le traitement litigieux, et notamment au respect de leur vie privée, la société responsable du traitement n’est pas fondée à soutenir que l’information de ces personnes, dont elle avait les coordonnées dans son annuaire, exigeait des efforts disproportionnés par rapport à l’intérêt de la démarche au sens des dispositions du III de l’article 32 de la loi du 6 janvier 1978.

Il résulte des articles 13 et 15 du RGPD, des dispositions des titres II et III de la loi informatique et libertés relatives aux obligations d'information et au droit d'accès, et des dispositions du code de la sécurité intérieure régissant spécifiquement la vidéoprotection, notamment l'article R. 253‑6, que le responsable de traitement, s’il est tenu d’informer, d’une façon adaptée au contexte et aux objectifs poursuivis, sur l’existence de la vidéoprotection d’un territoire, d’une zone ou d’un bâtiment, et de fournir l’ensemble des mentions et informations prévues par ces textes, n’est pas tenu à ce titre de communiquer l’emplacement exact de chaque caméra. Ainsi, en l’espèce, la commune n’était pas tenue de fournir à la personne concernée une carte avec l'emplacement des caméras et des zones surveillées.

Le droit d’accès au dossier médical du mineur, fondé sur l’article L. 1111‑7 du code de la santé publique, peut être exercé par chacun des titulaires de l’autorité parentale, dans les conditions précisées par ce texte et après occultation des éventuelles mentions relatives à la vie privée de l’autre titulaire, aux données médicales. Le parent ne perd ce droit d’accès qu’en cas de retrait de la qualité de titulaire de l’autorité parentale prévue aux articles 378 et suivants du code civil.

Dans le cadre d'une collecte indirecte de données à caractère personnel, la CNIL considère, conformément à la délibération n°2024-041 du 25 janvier 2024 portant adoption de deux recommandations relatives à la réutilisation de données publiées sur internet, que ce n'est que dans des hypothèses limitées que les éditeurs doivent pouvoir se prévaloir des dispositions de l'article 14.5.b du RGPD, autorisant les organismes ne collectant pas les données directement auprès des personnes concernées à ne pas informer celles-ci lorsqu'une telle information exigerait des « efforts disproportionnés ». En particulier, dès lors qu'une information individuelle peut être effectuée au moyen de l'envoi automatisé de courriels à chacune des adresses présentes dans la base de données, la Commission considère que l'effort à fournir pour y procéder n'est en principe pas « effort disproportionné » et ce même lorsque les risques associés à la mise en œuvre du traitement sont faibles.

Lorsque des données à caractère personnel sont collectées par un responsable de traitement de manière indirecte à partir de sources publiques, il résulte de l'article 14 du RGPD que le responsable de traitement est tenu d'en informer individuellement les personnes concernées, sauf notamment si la fourniture de cette information est impossible en pratique ou requiert des efforts disproportionnés.

Pour apprécier le caractère proportionné des efforts requis pour la fourniture de l'information, il y a lieu d'apprécier notamment les ressources financières et humaines dont dispose le responsable du traitement, les moyens et renseignements dont dispose déjà le responsable du traitement pour procéder à cette information, ainsi que l'intérêt pour les personnes concernées de disposer de cette information, en prenant en compte le volume de données traitées, les usages qui peuvent en être faits et les éventuelles atteintes à la vie privée qui pourraient en résulter.

1) L'article 12, paragraphe 5, et l'article 15, paragraphes 1 et 3, du RGPD doivent être interprétés en ce sens que l'obligation de fournir à la personne concernée, à titre gratuit, une première copie de ses données à caractère personnel faisant l'objet d'un traitement s'impose au responsable de traitement, même lorsque cette demande est motivée dans un but étranger à ceux visés au considérant 63 RGPD, première phrase, dudit règlement.

L'article 15, paragraphe 3, première phrase, du RGPD doit être interprété en ce sens que, dans le cadre d'une relation médecin/patient, le droit d'obtenir une copie des données à caractère personnel faisant l'objet d'un traitement implique qu'il soit remis à la personne concernée une reproduction fidèle et intelligible de l'ensemble de ces données. Ce droit suppose celui d'obtenir la copie intégrale des documents figurant dans son dossier médical, qui contiennent, entre autres, lesdites données, si la fourniture d'une telle copie est nécessaire pour permettre à la personne concernée d'en vérifier l'exactitude et l'exhaustivité ainsi que pour garantir leur intelligibilité. S'agissant de données relatives à la santé de la personne concernée, ce droit inclut en tout état de cause celui d'obtenir une copie des données de son dossier médical contenant des informations telles que des diagnostics, des résultats d'examens, des avis de médecins traitants et tout traitement ou intervention administrés à celle‑ci.

2) L'article 23, paragraphe 1, sous i), du règlement 2016/679 doit être interprété en ce sens qu'une législation nationale adoptée avant l'entrée en vigueur de ce règlement peut relever du champ d'application de cette disposition. Toutefois, une telle faculté ne permet pas d'adopter une législation nationale qui, en vue de protéger les intérêts économiques du responsable de traitement, met à la charge de la personne concernée les frais d'une première copie de ses données à caractère personnel faisant l'objet de ce traitement.

L'article 15 du RGPD doit être interprété comme suit :

1) Il s'applique à une demande d'accès aux informations visées par cette disposition lorsque les opérations de traitement concernées ont été effectuées avant la date d'entrée en application du RGPD, mais que la demande a été présentée après cette date.

2) Le droit d'accès prévu à l'article 15 doit permettre à la personne concernée de s'assurer que les données à caractère personnel la concernant sont exactes et qu'elles sont traitées de manière licite. Pour ce faire, la copie que le responsable du traitement est tenu de fournir doit contenir toutes les données à caractère personnel faisant l'objet d'un traitement, présenter l'ensemble des caractéristiques lui permettant d'exercer effectivement ses droits au titre du règlement et reproduire intégralement ces données. Afin de garantir que les informations ainsi fournies soient faciles à comprendre, la reproduction d'extraits de documents, voire de documents entiers ou d'extraits de bases de données contenant, entre autres, les données à caractère personnel peut s'avérer indispensable lorsque la contextualisation des données est nécessaire pour en assurer l'intelligibilité. Les opérations de consultation des données par les salariés du responsable de traitement constituent un traitement ; la personne dont les données personnelles sont consultées a droit à l'accès à ses données ainsi qu'aux informations liées à ces opérations, telles que mentionnées à l'article 15 du RGPD. La date des consultations permet à la personne concernée d'obtenir confirmation que ses données ont effectivement fait l'objet d'un traitement à un moment donné et constitue un élément permettant de vérifier leur licéité à cette date. En outre, l'article 15 prévoit la possibilité d'accéder à la finalité du traitement de consultation et aux éventuels destinataires des données consultées.

Il en résulte que la cour considère que les informations relatives aux opérations de consultation des données à caractère personnel d'une personne, portant sur les dates et les finalités de ces opérations, constituent des informations que cette personne a le droit d'obtenir du responsable du traitement en vertu de cette disposition. En revanche, ladite disposition ne consacre pas un tel droit concernant l'identité des salariés du responsable ayant procédé à ces opérations sous son autorité et conformément à ses instructions, sauf si ces informations sont indispensables pour permettre à la personne concernée d'exercer effectivement les droits qui lui sont conférés par le règlement et à condition de tenir compte des droits et libertés de ces salariés.

3) La circonstance que le responsable du traitement exerce une activité bancaire dans le cadre d'une mission réglementée et que la personne dont les données à caractère personnel ont été traitées en tant que cliente du responsable a également été employée par ce dernier est, en principe, sans incidence sur l'étendue du droit dont bénéficie cette personne en vertu de cette disposition.

L'article 15, paragraphe 3, première phrase, du RGPD doit être interprété en ce sens que le droit d'obtenir de la part du responsable du traitement une copie des données à caractère personnel faisant l'objet d'un traitement implique qu'il soit remis à la personne concernée une reproduction fidèle et intelligible de l'ensemble de ces données. Ce droit suppose celui d'obtenir la copie d'extraits de documents voire de documents entiers ou encore d'extraits de bases de données qui contiennent, entre autres, lesdites données, si la fourniture d'une copie est indispensable pour permettre à la personne concernée d'exercer effectivement les droits qui lui sont conférés par ce règlement, étant souligné qu'il doit être tenu compte, à cet égard, des droits et libertés d'autrui.

L'article 15, paragraphe 3, troisième phrase, du RGPD doit être interprété en ce sens que la notion d'« informations » qu'il vise se rapporte exclusivement aux données à caractère personnel dont le responsable du traitement doit fournir une copie en application de la première phrase de ce paragraphe.

Le droit d'accès de la personne concernée aux données à caractère personnel la concernant, prévu par l’article 15, paragraphe 1, sous c) du RGPD, implique que lorsque ces données ont été ou seront communiquées à des destinataires, le responsable du traitement doit fournir à cette personne l’identité même des destinataires, sauf s’il est impossible de les identifier ou si le responsable démontre que la demande d’accès est manifestement infondée ou excessive, au sens de l’article 12, paragraphe 5, du RGPD. Dans ce cas, il peut indiquer à cette personne uniquement les catégories de destinataires concernées.

Les réponses écrites fournies par un candidat lors d'un examen professionnel et les éventuelles annotations de l'examinateur relatives à ces réponses constituent des données à caractère personnel. Le candidat a, en principe, un droit d'accès à ces données.

L'article 12, sous a), de la directive 95/46/CE du 24 octobre 1995 (relatif au droit d'accès) ne s'oppose pas à la perception de frais à l'occasion de la communication par une autorité publique de données à caractère personnel.

En revanche, afin de garantir que les frais perçus à l'occasion de l'exercice du droit d'accès ne soient pas excessifs, leur montant ne doit pas excéder le coût de la communication de ces données. Il appartient à la juridiction nationale d'effectuer, au regard des circonstances de l'affaire principale, les vérifications nécessaires.

L'article 12, sous a), de la directive 95/46/CE du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, impose aux États membres de prévoir un Droit d'accès à la information sur les destinataires ou les catégories de destinataires des données ainsi qu'au contenu de la information communiquée non seulement pour le présent, mais aussi pour le passé. Il appartient aux États membres dans la transposition de la directive 95/46/CE de fixer un délai de conservation de cette information ainsi qu'un accès corrélatif à celle‑ci qui constituent un juste équilibre entre, d'une part, l'intérêt de la personne concernée à protéger sa vie privée, notamment au moyen des voies d'intervention et de recours prévus par la directive 95/46, et, d'autre part, la charge que l'obligation de conserver cette information représente pour le responsable du traitement.

Une réglementation limitant la conservation de la information sur les destinataires ou les catégories de destinataires des données et le contenu des données transmises à une durée d'un an et limitant corrélativement l'accès à cette information, alors que les données de base sont conservées bien plus longtemps, ne saurait constituer un juste équilibre des intérêts et obligations en cause, à moins qu'il ne soit démontré qu'une conservation plus longue de cette information constituerait une charge excessive pour le responsable du traitement. Il appartient à la juridiction nationale d'effectuer les vérifications nécessaires.

La contravention d’opposition à l’exercice du droit d'accès à une information nominative, prévue et réprimée par les articles 35 de la loi n°78‑17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dans sa rédaction antérieure à la loi du 6 août 2004, 1 3° du décret du 23 décembre 1981, et consistant dans la fourniture de données présentées sous une forme non directement lisible, constitue une infraction instantanée, consommée à la date d’envoi de l’information à la personne titulaire du droit d’accès. Ne caractérisent pas la réitération de cette infraction les réponses faites ultérieurement aux réclamations du titulaire du droit d'accès se plaignant de l’absence de clarté des informations données.

Justifie, dès lors, sa décision : la cour d’appel constate l’extinction de l’action publique par la prescription après avoir retenu qu’il s’était écoulé plus d’une année entre l’envoi des informations au titulaire du droit d’accès et la plainte adressée par lui au procureur de la République.

Il résulte, d’une part, des dispositions du RGPD, telles qu’elles sont en particulier commentées notamment par les § 62 et 63 du préambule de ce règlement ou par les lignes directrices du Comité européen de la protection des données personnelles, que des restrictions à l’accès peuvent être prononcées lorsqu’en particulier, les demandes présentées de manière non précise sont soumises compte tenu de la quantité de données personnelles traitées par un fichier. D’autre part, les articles 49 et 107 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés indiquent que d’autres restrictions peuvent être apportées à ce droit d’accès compte tenu notamment des caractéristiques des données en cause, afin de préserver la licéité et les conditions de traitement.

Aux termes de l'article 39 de la loi n°78‑17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dite loi Informatique et Libertés, toute personne physique ne peut à tout moment avoir accès aux données à caractère personnel la concernant contenues dans un fichier. Cet article fait obligation au responsable du traitement de transmettre au demandeur les données dont il sollicite la communication, sauf si la demande présente un caractère abusif. La circonstance que le responsable du traitement a auparavant répondu favorablement à une demande de l'avocat de l'intéressé, formulée dans le cadre d'un litige avec son employeur, est sans influence sur l'existence de l'obligation.

Le requérant qui demandait l'accès à une information nominative le concernant dans l'exercice de sa profession était en droit d'adresser cette demande soit auprès de la société qui l'employait, soit à la société à laquelle la mise en œuvre du traitement automatisé avait été confiée, en vertu d'un contrat de prestation de service passé entre les deux sociétés, sans que la clause de confidentialité figurant dans la convention entre ces deux sociétés puisse lui être opposée.

Il résulte des articles 13 et 15 du RGPD, des dispositions des titres II et III de la loi informatique et libertés relatives aux obligations d'information et au droit d'accès, ainsi que des dispositions du code de la sécurité intérieure régissant spécifiquement la vidéoprotection, notamment l'article R. 253‑6, que le responsable de traitement, s'il est tenu d'informer d'une façon adaptée au contexte et aux objectifs poursuivis sur l'existence de la vidéoprotection d'un territoire, d'une zone ou d'un bâtiment, et de fournir l'ensemble des mentions et informations prévues par ces textes, n'est pas tenu à ce titre de communiquer l'emplacement exact de chaque caméra. Ainsi, en l'espèce, la commune n'était pas tenue de fournir à la personne concernée une carte avec l'emplacement des caméras et des zones surveillées.

Le droit d'accès au dossier médical du mineur, fondé sur l'article L. 1111-7 du code de la santé publique, peut être exercé par chacun des titulaires de l'autorité parentale, dans les conditions précisées par ce texte et après occultation des éventuelles mentions relatives à la vie privée de l'autre titulaire, aux données médicales. Le parent ne perd ce droit d'accès qu'en cas de retrait de la qualité de titulaire de l'autorité parentale prévue aux articles 378 et suivants du code civil.

La loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés n'ouvre la possibilité de demander la communication de données à caractère personnel figurant dans un traitement automatisé ou de solliciter un accès indirect à de telles données qu'à la personne concernée par celles‑ci. La seule qualité d’ayant droit de son père décédé dont se prévaut une personne ne lui confère pas la qualité de personne concernée par les données susceptibles de concerner son père dans un fichier intéressant la sûreté de l'État ou la défense.

Il ressort des articles 41 de la loi n° 78‑17 du 6 janvier 1978 et 88 du décret n° 2005‑1309 du 20 octobre 2005, dans leur rédaction applicable au litige, que, dans le cadre du droit d'accès indirect aux données à caractère personnel contenues dans l'un des fichiers intéressant la sûreté de l'État, la défense ou la sécurité publique, le responsable du traitement communique les informations sollicitées à la personne concernée selon les modalités qu'il définit.

Le ministre de l'intérieur, qui n'était pas tenu de remettre au requérant une copie des documents consultés, a pu valablement exécuter l'injonction qui lui était faite en s'assurant que le requérant puisse consulter les données sollicitées en préfecture. Il s'ensuit qu'en jugeant que le ministre de l'intérieur n'avait pas complètement exécuté l'injonction qui lui était faite en ne délivrant pas au requérant une copie des documents consultés, une cour administrative d'appel entache son arrêt d'erreur de droit.