• sûreté de l'État
• accès aux informations

CE6 novembre 2002CE, Section, 6 novembre 2002, M.X, n° 194295, Rec., point 5(source)

Fichier intéressant la sûreté de l'État, la défense et la sécurité publique (article 39) – 1) Divisibilité des informations contenues dans ces fichiers – Existence – 2) Possibilité d'accéder directement aux informations contenues dans les fichiers – Existence – Informations ne remettant pas en cause les fins assignées au traitement

1) Un fichier intéressant la sûreté de l'État, la défense et la sécurité publique au sens de l'article 39 de la loi n°78‑17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dite loi Informatique et Libertés, peut comprendre, d'une part, des informations dont la communication à l'intéressé serait susceptible de mettre en cause les fins assignées à ce traitement et, d'autre part, des informations dont la communication ne mettrait pas en cause ces mêmes fins.

2) Pour l'accès aux informations susceptibles de mettre en cause les fins assignées au traitement, il incombe, en application de l'article 39 de la loi Informatique et Libertés, à la Commission nationale de l'informatique et des libertés, saisie par la personne visée par ces informations, de l'informer qu'il a été procédé aux vérifications nécessaires. Pour l'accès aux informations qui ne sont pas susceptibles de mettre en cause les fins assignées au traitement, il appartient au gestionnaire du traitement ou à la Commission nationale de l'informatique et des libertés, saisie par la personne visée, de lui donner communication avec, pour la commission, l'accord du gestionnaire du traitement.

• droit d'accès
• limitation des droits d'autrui

CE24 février 2022CE, 10 chambre, 24 février 2022, M. A... B..., n° 447495, Inédit, point 7(source)

Article 15, paragraphe 4, RGPD – Droit d'obtenir copie de ses données à caractère personnel – Limite

Il résulte clairement des dispositions du paragraphe 4 de l'article 15 du RGPD que le droit d’obtenir copie de ses données à caractère personnel ne doit pas porter atteinte aux droits et libertés d’« autrui », c’est‑à‑dire d’autres personnes que le demandeur. En particulier, aucune disposition de ce règlement n’exclut de cette catégorie les destinataires des données qui ont eux‑mêmes la qualité de personne concernée à l’égard des données demandées.

• droit d'accès
• exercice du droit d'accès
• contexte litigieux
• procédure judiciaire

CNIL1 juillet 2021CNIL, P, 1 juillet 2021, Mise en demeure, Pharmacie de X, n°MED-2021-042, non publié

Contexte d'exercice du droit d’accès – Litige – Procédure judiciaire

Le droit d’accès peut être exercé dans un contexte litigieux ou en parallèle d’une procédure judiciaire, sous réserve, notamment, des limites prévues par le RGPD et le code de la santé publique.

• droit d'accès
• exercice du droit d'accès

CNIL25 février 2021CNIL, SP, 25 février 2021, Avis sur projet d'arrêté, FICOVIE, n° 2021-025, publié, points 10-12(source)

La confirmation de la présence ou non dans un traitement ne porte en principe pas atteinte aux droits et libertés d'autrui – Application dans le cadre d'un contrat d'assurance-vie

Le droit d'accès de la personne concernée comprend plusieurs composantes : la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées, l'accès auxdites données le cas échéant et la fourniture d'informations sur le traitement concerné. Les limitations à l'exercice du droit d'accès rendues nécessaires par les dispositions de l'article 15.4 du RGPD, qui prévoient que le droit d'obtenir une copie des données ne porte pas atteinte aux droits et libertés d'autrui, ne peuvent pas en principe concerner la confirmation que des données font ou non l'objet d'un traitement.

Il s'ensuit que le bénéficiaire non acceptant ou n'étant pas en mesure d'apporter la preuve de son acceptation du bénéfice du contrat d'assurance-vie doit pouvoir recevoir confirmation ou non de sa présence dans le traitement de gestion du fichier des contrats de capitalisation et d'assurance vie dénommé FICOVIE, quand bien même des restrictions concernant l'accès aux données enregistrées dans ce traitement peuvent être appliquées à ces catégories de personnes en application de l'article 15.4 du RGPD.

• données sensibles
• transfert vers prestataire

CJUE7 mars 2024CJUE, 7 mars 2024, Endemol Shine Finland, C-740/22, point 59(source)

Possibilité de communication orale à toute personne de données relatives à des condamnations pénales d'une personne physique figurant dans un fichier – 1) Illicéité – 2) Nature du demandeur de société commerciale ou un particulier – Indifférence

1) Les dispositions du règlement 2016/679, notamment l’article 6, paragraphe 1, sous‑e), et l’article 10 de celui‑ci, doivent être interprétées en ce sens qu’elles s’opposent à ce que des données relatives à des condamnations pénales d’une personne physique figurant dans un fichier tenu par une juridiction puissent être communiquées oralement à toute personne aux fins de garantir un accès du public à des documents officiels, sans que la personne demandant la communication ait à justifier d’un intérêt spécifique pour obtenir lesdites données.

2) La circonstance que cette personne soit une société commerciale ou un particulier n’ayant pas d’incidence à cet égard.

• information préalable
• obligations d'information

CJUE4 mai 2017CJUE, 4 mai 2017, Rïgas satiksme, C‑13/16(source)

Directive 95/46/CE – Demande de communication des données personnelles d'une personne responsable d'un accident de la circulation afin d'exercer un droit en justice – Obligation du responsable du traitement de faire droit à une telle demande – Absence

L'article 7, sous f), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995 doit être interprété en ce sens qu'il n'impose pas l'obligation de communiquer des données à caractère personnel à un tiers afin de lui permettre d'introduire un recours en indemnisation devant une juridiction civile pour un dommage causé par la personne concernée par la protection de ces données. Toutefois, l'article 7, sous f), de cette directive 95/46/CE ne s'oppose pas à une telle communication sur la base du droit national.

• droit d'accès
• limitation des finalités
• finalités du traitement

CJUE9 mars 2017CJUE, 9 mars 2017, Manni, C-398/15(source)

Directive 95/46/CE – Article 6, paragraphe 1, sous e) – Données soumises à la publicité au registre des sociétés – Première directive 68/151/CEE – Article 3 – Dissolution de la société concernée – Limitation de l'accès des tiers à ces données – Exception – Compétence des États membres

L'ingérence dans le droit à la vie privée et à la protection des données à caractère personnel qu'emporte la publicité des données nominatives contenues dans le registre des sociétés n'est pas disproportionnée, étant donné le nombre de données concernées et le fait qu'elle vise à assurer la sécurité juridique dans les rapports entre les sociétés et les tiers ainsi qu'à protéger les intérêts des tiers par rapport aux sociétés par actions et aux sociétés à responsabilité limitée. Il ne peut donc être garanti aux personnes physiques dont les données sont inscrites dans le registre des sociétés le droit d'obtenir, après un certain délai à compter de la dissolution de la société, l'effacement des données à caractère personnel les concernant. En revanche, les États membres peuvent exceptionnellement déroger à cette exigence de publicité. Il leur appartient de déterminer si les personnes physiques visées à l'article 2, paragraphe 1, sous d) et j) de la directive 68/151/CEE, à savoir, d'une part, les personnes qui ont le pouvoir d'engager une société à l'égard des tiers et de la représenter en justice et celles qui participent à l'administration, à la surveillance ou au contrôle de la société et, d'autre part, les liquidateurs d'une société, peuvent demander à l'autorité chargée de la tenue du registre central, du registre du commerce ou du registre des sociétés de vérifier, sur la base d'une appréciation au cas par cas, s'il est exceptionnellement justifié, pour des raisons prépondérantes et légitimes tenant à leur situation particulière, de limiter, à l'expiration d'un délai suffisamment long après la dissolution de la société concernée, l'accès aux données à caractère personnel les concernant, inscrites dans ce registre, aux tiers justifiant d'un intérêt spécifique à la consultation de ces données.

• finalités du traitement
• minimisation des données
• obligations d'information

CassDate non renseignéeCass, soc., 8 mars 2023, n° 21-12.492, points 5-10(source)

Mesure de communication de bulletins de salaire par le juge sur le fondement des articles 6 et 8 de la CESDH, de l’article 9 du code civil et de l’article 9 du code de procédure civile – Communication nécessaire à l’exercice ou à la défense d’un droit en justice – Licéité – Conditions

Il résulte du point (4) de l’introduction du RGPD que le droit à la protection des données à caractère personnel n’est pas un droit absolu et doit être considéré par rapport à sa fonction dans la société et mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité, notamment le droit à un recours effectif et à accéder à un tribunal impartial. Selon l’article 145 du code de procédure civile, s’il existe un motif légitime de conserver ou d’établir avant tout procès la preuve de faits dont pourrait dépendre la solution d’un litige, les mesures d’instruction légalement admissibles peuvent être ordonnées à la demande de tout intéressé. Il résulte par ailleurs des articles 6 et 8 de la Convention européenne des droits de l’homme et des libertés fondamentales, de l’article 9 du code civil et de l’article 9 du code de procédure civile que le droit à la preuve peut justifier la production d’éléments portant atteinte à la vie privée à condition que cette production soit indispensable à l’exercice de ce droit et que l’atteinte soit proportionnée au but poursuivi. Il faut donc approuver l’arrêt qui ordonne à l’employeur de communiquer à une salariée les bulletins de salaire d’autres salariés occupant des postes de niveau comparable au sien, avec occultation des données personnelles à l’exception des noms et prénoms, de la classification conventionnelle et de la rémunération, après avoir relevé que cette communication d’éléments portant atteinte à la vie privée d’autres salariés était indispensable à l’exercice du droit à la preuve et proportionnée au but poursuivi, soit la défense de l’intérêt légitime de la salariée à l’égalité de traitement entre hommes et femmes en matière d’emploi et de travail.

CJUE4 octobre 2024CJUE, 4 octobre 2024, Mirin, C-4/23(source)

Droit de libre circulation et de libre séjour sur le territoire des États membres – Obligation de reconnaissance du changement d prénom et d'identité de genre dans un autre État membre – Rectification de l'acte d'état civil

L’article 20 et l’article 21, paragraphe 1, TFUE, lus à la lumière des articles 7 et 45 de la Charte des droits fondamentaux de l’Union européenne doivent être interprétés en ce sens qu’ils s’opposent à une réglementation d’un État membre qui ne permet pas de reconnaître et d’inscrire dans l’acte de naissance d’un ressortissant de cet État membre le changement de prénom et la identité de genre légalement acquis dans un autre État membre lors de l’exercice de sa liberté de circulation et de séjour, avec pour conséquence de le contraindre à engager une nouvelle procédure, de type juridictionnel, de changement d’identité de genre dans ce premier État membre, laquelle fait abstraction de ce changement déjà légalement acquis dans cet autre État membre.

• fichiers de police
• refus de rectification
• justification exactitude des mentions
• responsabilité de l'État

CE13 mai 1987CE, Section, 13 mai 1987, M. X, n° 51779, T., point 3(source)

Fichiers de police – Refus de rectification – Absence de justification de l'exactitude des mentions – Faute susceptible d'engager la responsabilité de l'État

Le refus de l'administration de rectifier des fiches de police communiquées à d'autres services constitue, en l'absence de justification de l'exactitude des mentions figurant dans ces fiches, une faute susceptible d'engager la responsabilité de l'État.

• responsabilité conjointe
• registre des traitements
• droit à l'effacement

CJUE4 mai 2023CJUE, 4 mai 2023, Bundesrepublik Deutschland, C-60/22(source)

Absence d'accord déterminant la responsabilité conjointe du traitement et de la tenue du registre des activ ités de traitement – Conséquences – Droit à l'effacement – Absence

L'article 17, paragraphe 1, sous d), et l'article 18, paragraphe 1, sous b), du RGPD doivent être interprétés en ce sens que la méconnaissance, par le responsable du traitement, des obligations prévues aux articles 26 et 30 de ce règlement, relatives, respectivement, à la conclusion d'un accord déterminant la responsabilité conjointe du traitement et à la tenue d'un registre des activités de traitement, ne constitue pas un traitement illicite conférant à la personne concernée un droit à l'effacement ou à la limitation du traitement, dès lors qu'une telle méconnaissance n'implique pas, en tant que telle, une violation par le responsable du traitement du principe de « responsabilité » tel qu'énoncé à l'article 5, paragraphe 2, dudit règlement, lu conjointement avec l'article 5, paragraphe 1, sous a), et l'article 6, paragraphe 1, premier alinéa, de ce dernier.

• droit à l'oubli
• transparence

CJUE8 décembre 2022CJUE, grande chambre, 8 décembre 2022, Google, C‑460/20(source)

Recherche effectuée à partir du nom d'une personne sur un moteur de recherche – 1) Affichage d'un lien menant vers des articles contenant des informations prétendument inexactes dans la liste de résultats – Demande de déréférencement – Conditions – 2) Résultats d'une recherche d'images de cette personne – Demande de déréférencement – Conditions

1) L'article 17, paragraphe 3, sous a), du RGPD doit être interprété en ce sens que dans le cadre de la mise en balance qu'il convient d'opérer entre les droits visés aux articles 7 et 8 de la Charte des droits fondamentaux de l'Union européenne, d'une part, et ceux visés à l'article 11 de la Charte des droits fondamentaux, d'autre part, aux fins de l'examen d'une demande de déréférencement adressée à l'exploitant d'un moteur de recherche et tendant à ce que soit supprimé de la liste de résultats d'une recherche le lien menant vers un contenu contenant des allégations que la personne ayant introduit la demande estime inexactes, ce déréférencement n'est pas soumis à la condition que la question de l'exactitude du contenu référencé ait été résolue, au moins à titre provisoire, dans le cadre d'un recours intenté par cette personne contre le fournisseur de contenu.

2) L'article 17, paragraphe 3, sous a), du RGPD doit être interprété en ce sens que dans le cadre de la mise en balance qu'il convient d'opérer entre les droits visés aux articles 7 et 8 de la Charte des droits fondamentaux, d'une part, et ceux visés à l'article 11 de la Charte des droits fondamentaux, d'autre part, aux fins de l'examen d'une demande de déréférencement adressée à l'exploitant d'un moteur de recherche et tendant à ce que soient supprimées des résultats d'une recherche d'images effectuée à partir du nom d'une personne physique les photographies affichées sous la forme de vignettes qui représentent cette personne, il y a lieu de tenir compte de la valeur informative de ces photographies indépendamment du contexte de leur publication sur la page internet d'où elles sont extraites, mais en prenant en considération tout élément textuel qui accompagne directement l'affichage de ces photographies dans les résultats de recherche et qui est susceptible d'apporter un éclairage sur la valeur informative de celles-ci.

• catégories particulières
• droit d'opposition
• finalités du traitement

CJUE24 septembre 2019CJUE, Grande Chambre, 24 septembre 2019, GC et al., C‑136/17(source)

Moteurs de recherche sur Internet – Traitement des données contenues dans des sites web – Catégories de données spécifiques visées à l'article 8 de cette directive et aux articles 9 et 10 de ce règlement – Applicabilité de ces articles à l'exploitant du moteur de recherche – 1) Portée des obligations de cet exploitant au regard desdits articles – 2) Publication des données sur des sites web aux seules fins de journalisme ou d'expression artistique ou littéraire – 3) Incidence sur le traitement d'une demande de déréférencement

1) Les dispositions de l'article 8, paragraphes 1 et 5, de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doivent être interprétées en ce sens que l’interdiction ou les restrictions relatives au traitement des catégories particulières de données à caractère personnel, visées par ces dispositions, s’appliquent, sous réserve des exceptions prévues par cette directive, également à l’exploitant d’un moteur de recherche dans le cadre de ses responsabilités, de ses compétences et de ses possibilités en tant que responsable du traitement effectué lors de l’activité de ce moteur, à l’occasion d’une vérification opérée par cet exploitant, sous le contrôle des autorités nationales compétentes, à la suite d’une demande introduite par la personne concernée.

2) Les dispositions de l’article 8, paragraphes 1 et 5, de la directive 95/46 doivent être interprétées en ce sens que, en vertu de celles‑ci, l’exploitant d’un moteur de recherche est en principe obligé, sous réserve des exceptions prévues par cette directive, de faire droit aux demandes de déréférencement portant sur des liens menant vers des pages web sur lesquelles figurent des données à caractère personnel qui relèvent des catégories particulières visées par ces dispositions.

L’article 8, paragraphe 2, sous e), de la directive 95/46 doit être interprété en ce sens que, en application de celui‑ci, un tel exploitant peut refuser de faire droit à une demande de déréférencement lorsqu’il constate que les liens en cause mènent vers des contenus comportant des données à caractère personnel qui relèvent des catégories particulières visées à cet article 8, paragraphe 1, mais dont le traitement est couvert par l’exception prévue audit article 8, paragraphe 2, sous e), à condition que ce traitement réponde à l’ensemble des autres conditions dlicéité posées par cette directive et à moins que la personne concernée n’ait, en vertu de l’article 14, premier alinéa, sous a), de ladite directive, le droit de s’opposer audit traitement pour des raisons prépondérantes et légitimes tenant à sa situation particulière.

Les dispositions de la directive 95/46 doivent être interprétées en ce sens que, lorsque l’exploitant d’un moteur de recherche est saisi d’une demande de déréférencement portant sur un lien vers une page web sur laquelle des données à caractère personnel relevant des catégories particulières visées à l’article 8, paragraphe 1 ou 5, de cette directive sont publiées, cet exploitant doit, sur la base de tous les éléments pertinents du cas d’espèce et compte tenu de la gravité de l’ingérence dans les droits fondamentaux de la personne concernée au respect de la vie privée et à la protection des données à caractère personnel, consacrés aux articles 7 et 8 de la charte des droits fondamentaux de l’Union européenne, vérifier, au titre des motifs d’intérêt public important visés à l’article 8, paragraphe 4, de ladite directive et dans le respect des conditions prévues à cette dernière disposition, si l’inclusion de ce lien dans la liste de résultats, qui est affichée à la suite d’une recherche effectuée à partir du nom de cette personne, s’avère strictement nécessaire pour protéger la liberté d’information des internautes potentiellement intéressés à avoir accès à cette page web au moyen d’une telle recherche, consacrée à l’article 11 de cette charte.

3) Les dispositions de la directive 95/46 doivent être interprétées en ce sens que,
a) d’une part, les informations relatives à une procédure judiciaire dont une personne physique a été l’objet ainsi que, le cas échéant, celles relatives à la condamnation qui en a découlé constituent des données relatives aux « infractions » et aux « condamnations pénales », au sens de l’article 8, paragraphe 5, de cette directive, et
b) d’autre part, l’exploitant d’un moteur de recherche est tenu de faire droit à une demande de déréférencement portant sur des liens vers des pages web, sur lesquelles figurent de telles informations, lorsque ces informations se rapportent à une étape antérieure de la procédure judiciaire en cause et ne correspondent plus, compte tenu du dérolement de celle‑ci, à la situation actuelle, dans la mesure où il est constaté, dans le cadre de la vérification des motifs d’intérêt public important visés à l’article 8, paragraphe 4, de ladite directive, que, eu égard à l’ensemble des circonstances de l’espèce, les droits fondamentaux de la personne concernée, garantis par les articles 7 et 8 de la charte des droits fondamentaux de l’Union européenne, prévalent sur ceux des internautes potentiellement intéressés, protégés par l’article 11 de cette charte.

CJUE24 septembre 2019CJUE, grande chambre, 24 septembre 2019, Google, C‑507/17(source)

Portée territoriale du déréférencement – Exploitant d'un moteur de recherche faisant droit à une demande de déréférencement – Obligation d'opérer le déréférencement sur ses versions correspondant à l'ensemble des États membres – Mesures complémentaires en cas de nécessité

L'article 12, sous b), et l'article 14, premier alinéa, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, ainsi que l'article 17, paragraphe 1, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46 (règlement général sur la protection des données), doivent être interprétés en ce sens que, lorsque exploitant d'un moteur de recherche fait droit à une demande de déréférencement en application de ces dispositions, il est tenu d'opérer ce déréférencement non pas sur l'ensemble des versions de son moteur, mais sur les versions de celui-ci correspondant à l'ensemble des États membres, et ce, si nécessaire, en combinaison avec des mesures qui, tout en satisfaisant aux exigences légales, permettent effectivement d'empêcher ou, à tout le moins, de sérieusement décourager les internautes effectuant une recherche sur la base du nom de la personne concernée à partir de l'un des États membres d'avoir, par la liste de résultats affichée à la suite de cette recherche, accès aux liens qui font l'objet de cette demande.

• déréférencement
• préservation intérêt public
• sensibilité données personnelles
• gravité ingérence droits

Cass27 novembre 2019Cass, 1 civ., 27 novembre 2019, n° 18-14.675, B., points 9, 11(source)

Données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté – Demande de déréférencement – Conditions d'appréciation du bien-fondé de la demande – Application

Il résulte des articles 9, 38 et 40 de la loi n°78‑17 du 6 janvier 1978, dite loi informatique et libertés, qui doivent être interprétés à la lumière de la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données, et de l’arrêt rendu le 24 septembre 2019 par la Cour de justice de l’Union européenne (G.C.e.a. contre Commission nationale de l’informatique et des libertés, C‑136/17) que, lorsqu’une juridiction est saisie d’une demande de déréférencement portant sur un lien vers une page internet sur laquelle des données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté sont publiées, elle doit, pour porter une appréciation sur son bien‑fondé, vérifier, de façon concrète, si l’inclusion du lien litigieux dans la liste des résultats, affichée à la suite d’une recherche effectuée à partir du nom d’une personne, répond à un motif d’intérêt public important, tel que le droit à l’information du public, et si elle est strictement nécessaire pour assurer la préservation de cet intérêt.

Dès lors, ne donne pas de base légale à sa décision une cour d’appel qui rejette une demande de déréférencement portant sur des liens permettant d’accéder à des comptes‑rendus d’audience relatant une condamnation pénale, publiés sur le site internet d’un journal, sans rechercher, comme il le lui incombait, si, compte tenu de la sensibilité des données en cause et, par suite, de la particulière gravité de l’ingérence dans les droits de l’intéressé au respect de sa vie privée et à la protection de ses données à caractère personnel, l’inclusion des liens litigieux dans la liste des résultats était strictement nécessaire pour protéger la liberté d’information des internautes potentiellement intéressés à avoir accès aux pages internet concernées.

• déréférencement
• mise en balance des intérêts
• illégalité d'une injonction d'ordre général

Cass14 février 2018Cass, 1 civ., 14 février 2018, n°17-10.499, B., points 6, 9(source)

Appréciation du bien - fondé d'une demande de déréférencement – Mise en balance des intérêts – Illégalité d'une injonction d'ordre général

La juridiction saisie d'une demande de déréférencement est tenue de porter une appréciation sur son bien - fondé et de procéder, de façon concrète, à la mise en balance des intérêts en présence, de sorte qu'elle ne peut ordonner une mesure d'injonction d'ordre général conférant un caractère automatique à la suppression de la liste de résultats affichée à la suite d'une recherche effectuée à partir du nom d'une personne, des liens vers des pages internet contenant des informations relatives à cette personne. Dès lors, elle viole les articles 38 et 40 de la loi n°78‑17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, le second dans sa rédaction applicable au litige issu de la loi n°2004‑801 du 6 août 2004, ainsi que l'article 5 du code civil. Une cour d'appel qui, saisie d'une telle demande, prononce une injonction d'ordre général sans procéder, comme il lui incombait, à la mise en balance des intérêts en présence, commet une illégalité d'une injonction d'ordre général.

• déréférencement
• portée territoriale
• mise en balance droits

CE27 mars 2020CE, 10-9 chambres réunies, 27 mars 2020, Société Google Inc, n° 399922, Rec., points 7-10(source)

Droit au déréférencement – Portée territoriale – 1) Portée des obligations pesant sur l'exploitant d'un moteur de recherche en vertu du droit de l'UE – Obligation de déréférencement à l'échelle de l'UE – Existence – Obligation de déréférencement mondial – Absence – 2) Faculté de la CNIL d'imposer un déréférencement mondial – a) Absence, faute de disposition législative prévoyant un déréférencement excédant le champ couvert par le droit de l'UE – b) En tout état de cause, exercice d'une telle faculté subordonné par la CJUE à une mise en balance entre le droit au respect de la vie privée et à la protection des données à caractère personnel et le droit à la liberté d'information

Exploitant d'un moteur de recherche demandant l'annulation de la délibération de la formation restreinte de la CNIL le sanctionnant pour ne s'être pas conformé à la mise en demeure qui lui avait été dressée de faire droit aux demandes de déréférencement de personnes physiques en supprimant de la liste des résultats affichés l'ensemble des liens menant vers les pages web litigieuses sur toutes les extensions de nom de domaine de son moteur de recherche.

1) Par un arrêt du 24 septembre 2019, Google LLC contre CNIL (C‑507/17), la CJUE a dit pour droit que l'article 17, paragraphe 1, du règlement (UE) 2016/679 du 27 avril 2016 doit être interprété en ce sens que, lorsque l'exploitant d'un moteur de recherche fait droit à une demande de déréférencement en application de ces dispositions, il est tenu d'opérer ce déréférencement non pas sur l'ensemble des versions de son moteur, mais sur les versions correspondant à l'ensemble des États membres et ce, si nécessaire, en combinaison avec des mesures qui, tout en satisfaisant aux exigences légales, permettent effectivement d'empêcher ou, à tout le moins, de sérieusement décourager les internautes effectuant une recherche sur la base du nom de la personne concernée à partir de l'un des États membres d'avoir, par la liste de résultats affichée à la suite de cette recherche, accès aux liens qui font l'objet de cette demande.

Il en résulte que la formation restreinte de la CNIL a entaché sa délibération d'erreur de droit en sanctionnant l'exploitant au motif que seule une mesure de déréférencement s'appliquant à l'intégralité du traitement lié au moteur de recherche, sans considération des extensions interrogées et de l'origine géographique de l'internaute effectuant une recherche, est à même de répondre à l'exigence de protection telle qu'elle a été consacrée par la CJUE.

2) a) Si la CNIL soutient en défense que la sanction contestée trouve son fondement dans la faculté que la Cour de justice a reconnue aux autorités de contrôle d'ordonner de procéder à un déréférencement portant sur l'ensemble des versions d'un moteur de recherche, il ne résulte, en l'état du droit applicable, d'aucune disposition législative qu'un tel déréférencement pourrait excéder le champ couvert par le droit de l'Union européenne pour s'appliquer hors du territoire des États membres de l'Union européenne.

b) Au surplus, il résulte en tout état de cause des énonciations du point 72 de l'arrêt de la CJUE du 24 septembre 2019 qu'une telle faculté ne peut être ouverte qu'au terme d'une mise en balance entre, d'une part, le droit de la personne concernée au respect de sa vie privée et à la protection des données à caractère personnel la concernant et, d'autre part, le droit à la liberté d'information. Or, il ressort des termes mêmes de la délibération attaquée que, pour constater l'existence de manquements persistants et reprocher à la société requérante d'avoir méconnu l'obligation de principe de procéder au déréférencement portant sur l'ensemble des versions d'un moteur de recherche, la formation restreinte de la CNIL n'a pas effectué une telle mise en balance.

• finalités du traitement
• purge automatique

CE18 décembre 2018CE, Section de l'intérieur, 18 décembre 2018, Avis, n° 396168, Projet de décret relatif aux modalités d'évaluation des personnes se déclarant mineures et privées temporairement ou définitivement de la protection de leur famille et autorisant la création d'un traitement de données à caractère personnel relatif à ces personnes(source)

Évaluation de la minorité de personnes étrangères – Dispositif d'effacement des données du traitement en cas d'établissement de la nationalité française

À l'occasion de l'examen d'un projet de création relatif aux modalités d'évaluation des personnes se déclarant mineures et privées temporairement ou définitivement de la protection de leur famille, et autorisant la création d'un traitement de données à caractère personnel relatif à ces personnes, le Conseil d'État (section de l'intérieur) introduit, à l'article R. 221‑15‑5 du code de l'action sociale et des familles, une disposition visant à effacer les données à caractère personnel relatives à des personnes dont il serait établi au cours de la procédure d'évaluation de la minorité qu'elles sont de nationalité française.

En effet dès qu'il est établi que l'intéressé est français, l'effacement du traitement, au regard de ses finalités, s'impose en tant que vocation du traitement est l'aide à l'évaluation de la minorité de personnes étrangères.

• effacement
• anonymisation
• balance des droits et intérêts

CNIL22 janvier 2024CNIL, P, 22 janvier 2024, mise en demeure, Société X, décision n° MED-2024-016, non publié

Décision de justice publiée sur internet – 1) Possibilité d'anonymiser la décision sans la rendre incompréhensible ou diminuer sa valeur doctrinale pour le public – Effacement en principe de droit – 2) Autres cas - Mise en balance des droits et intérêts en présence

1) Dans le cas particulier d'une demande d'effacement, fondée sur une opposition au traitement, relative à certains éléments figurant dans une décision de justice publiée sur internet, il y a lieu de tenir compte de la possibilité d'anonymiser la décision sans la rendre incompréhensible ou diminuer sa valeur doctrinale pour le public. Si tel est le cas et si la publication porte atteinte à la vie privée du demandeur, il doit en principe être procédé à l'effacement des données à caractère personnel publiées.

2) Dans les autres cas, il y a lieu de mettre en balance l'atteinte que cette publication porte à la vie privée du demandeur avec les droits et intérêts du responsable de traitement, ainsi que l'intérêt du public à connaître cette décision, au regard notamment de son apport jurisprudentiel.

• droit d'effacement
• traitement illicite
• autorité de contrôle
• mesures correctrices

CJUE14 mars 2024CJEU, 14 mars 2024, Újpesti Polgármesteri Hivatal, C-46/23(source)

Effacement des données à caractère personnel ayant fait l'objet d'un traitement illicite – Pouvoir de l'autorité nationale de contrôle d'ordonner au responsable du traitement ou au sous‑traitant d'effacer ces données 1) sans demande préalable de la personne concernée 2) que les données aient été collectées auprès de la personne concernée ou qu'elles proviennent d'une autre source

1) L'article 58, paragraphe 2, sous d) et g), du règlement général sur la protection des données doit être interprété en ce sens que l'autorité de contrôle d'un État membre est habilitée, dans l'exercice de son pouvoir d'adoption des mesures correctrices prévues à ces dispositions, à ordonner au responsable du traitement ou au sous‑traitant d'effacer des données à caractère personnel ayant fait l'objet d'un traitement illicite, et ce alors qu'aucune demande n'a été présentée à cet effet par la personne concernée en vue d'exercer ses droits en application de l'article 17, paragraphe 1, de ce règlement.

2) L'article 58, paragraphe 2, du règlement 2016/679 doit être interprété en ce sens que le pouvoir de l'autorité de contrôle d'un État membre d'ordonner l'effacement de données à caractère personnel ayant fait l'objet d'un traitement illicite peut viser tant des données collectées auprès de la personne concernée que des données provenant d'une autre source.