CE6 décembre 2019CE, 6 décembre 2019, Mme X, n° 395335, Rec., points 11, 15‑16 Voir aussi: CE, 6 décembre 2019, Mme A, n° 403868, 403869, T.; CE, 6 décembre 2019, M. A, n° 405910, T.; CE, 6 décembre 2019, M. A, n° 409212, T.; CE, 6 décembre 2019, M. A, n° 393769, T.(source)
Droit au déréférencement – CNIL saisie d'une plainte formée à la suite d'une décision de refus de déréférencement opposée par l'exploitant d'un moteur de recherche – Méthode d'appréciation – Données ne relevant pas de catégories particulières 1) a) Principe – Déréférencement, sauf intérêt prépondérant du public à accéder à l'information – b) Éléments à prendre en compte – c) Illustration – 2) Données sensibles (art. 9 du RGPD) – a) Principe – Déréférencement, sauf si l'accès à ces données par le nom de l'intéressé est strictement nécessaire à l'information du public – b) Éléments à prendre en compte – c) Cas où les données ont été manifestement rendues publiques par l'intéressé – d) Illustration
1) a) Il appartient, en principe, à la Commission nationale de l'informatique et des libertés (CNIL), saisie par une personne d'une demande tendant à ce qu'elle mette l'exploitant d'un moteur de recherche en demeure de procéder au déréférencement de liens vers des pages web publiées par des tiers et contenant des données personnelles ne relevant pas de catégories particulières la concernant, d'y faire droit. Toutefois, il revient à la CNIL d'apprécier, compte tenu du droit à la liberté d'information, s'il existe un intérêt prépondérant du public à avoir accès à une telle information à partir d'une recherche portant sur le nom de cette personne de nature à faire obstacle au déréférencement.
b) Pour procéder ainsi à une mise en balance entre le droit au respect de la vie privée et à la protection des données à caractère personnel et le droit à la liberté d'information, et apprécier s'il peut être légalement fait échec au droit au déréférencement, il lui incombe de tenir notamment compte, d'une part, de la nature des données en cause, de leur contenu, de leur caractère plus ou moins objectif, de leur exactitude, de leur source, des conditions et de la date de leur mise en ligne et des répercussions que leur référencement est susceptible d'avoir pour la personne concernée ; d'autre part, de la notoriété de cette personne, de son rôle dans la vie publique et de sa fonction dans la société. Il lui incombe également de prendre en compte la possibilité d'accéder aux mêmes informations à partir d'une recherche portant sur des mots‑clés ne mentionnant pas le nom de la personne concernée ainsi que le rôle qu'a, le cas échéant, joué cette dernière dans la publicité conférée aux données la concernant.
2) a) Lorsque des liens mènent vers des pages web contenant des données à caractère personnel relevant des catégories particulières visées à l'article 8 paragraphe 1 de la directive 95/46/CE du 24 octobre 1995, abrogée et remplacée par l'article 9 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD), l'ingérence dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel de la personne concernée est susceptible d'être particulièrement grave en raison de la sensibilité de ces données. Il s'ensuit qu'il appartient, en principe, à la CNIL, saisie par une personne d'une demande tendant à ce qu'elle mette l'exploitant d'un moteur de recherche en demeure de procéder au déréférencement de liens vers des pages web publiées par des tiers et contenant des données personnelles relevant de catégories particulières la concernant, de faire droit à cette demande. Il n'en va autrement que s'il apparaît, compte tenu du droit à la liberté d'information, que l'accès à une telle information à partir d'une recherche portant sur le nom de cette personne est strictement nécessaire à l'information du public.
b) Pour apprécier s'il peut être légalement fait échec au droit au déréférencement au motif que l'accès à des données à caractère personnel relevant de catégories particulières à partir d'une recherche portant sur le nom de la personne concernée est strictement nécessaire à l'information du public, il lui incombe de tenir notamment compte, d'une part, de la nature des données en cause, de leur contenu, de leur caractère plus ou moins objectif, de leur exactitude, de leur source, des conditions et de la date de leur mise en ligne et des répercussions que leur référencement est susceptible d'avoir pour la personne concernée ; d'autre part, de la notoriété de cette personne, de son rôle dans la vie publique et de sa fonction dans la société. Il lui incombe également de prendre en compte la possibilité d'accéder aux mêmes informations à partir d'une recherche portant sur des mots‑clés ne mentionnant pas le nom de la personne concernée.
c) Dans l'hypothèse particulière où les données litigieuses ont manifestement été rendues publiques par la personne qu'elles concernent, il appartient à la CNIL de procéder comme s'il s'agissait de données non sensibles afin d'apprécier s'il existe ou non un intérêt prépondérant du public de nature à faire obstacle au déréférencement. Une telle circonstance n'empêche pas l'intéressé de faire valoir, à l'appui de sa demande de déréférencement, des « raisons tenant à sa situation particulière », ainsi que l'a relevé la Cour de justice de l'Union européenne dans son arrêt AF, BH et ED contre CNIL (C – 136/17) du 24 septembre 2019.
d) Requête demandant à la CNIL d'ordonner à un exploitant de moteur de recherche de procéder au déréférencement de liens renvoyant vers des articles de blogs, un forum de discussion et une vidéo disponible sur une plateforme faisant état d'une relation extraconjugale qu'elle aurait entretenue avec l'ancien président d'un pays étranger et mentionnant l'existence alléguée d'une vidéo intime en témoignant.
Eu égard à la nature et au contenu des informations litigieuses, qui touchent à l'intimité de la requérante et qui proviennent de rumeurs et au fait que, à la date de la présente décision, il est possible d'accéder par d'autres liens à des informations faisant état des relations amicales entre l'intéressée et cet ancien président, la CNIL n'a pu, en dépit du rôle que joue la requérante dans la vie économique et sociale du pays, légalement estimer que le maintien des liens permettant d'avoir accès à ces informations à partir d'une recherche effectuée sur le nom de la requérante était strictement nécessaire à l'information du public.
CE6 décembre 2019CE, 6 décembre 2019, M. A, n° 401258, Rec., points 12-13 Voir aussi: CE, 6 décembre 2019, Mme X, n° 429154T.; CE, 6 décembre 2019, M. A, n° 405464, T.(source)
Droit au déréférencement – CNIL saisie d'une plainte formée à la suite d'une décision de refus de déréférencement opposée par l'exploitant d'un moteur de recherche – Méthode d'appréciation – 1) Données personnelles relatives à des procédures pénales ( art. 10 du RGPD) – a) Principe – Déréférencement, sauf si l'accès à ces données par le nom de l'intéressé est strictement nécessaire à l'information du public – b) Éléments à prendre en compte – 2) Cas où les données ne sont plus à jour – 3) Illustration
1 ) a) Lorsque des liens mènent vers des pages web contenant des données à caractère personnel relatives à des procédures pénales visées à l'article 8, paragraphe 5 de la directive 95/46/CE du 24 octobre 1995 abrogée et remplacée par l'article 10 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD), l'ingérence dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel de la personne concernée est susceptible d'être particulièrement grave en raison de la sensibilité de ces données. Il s'ensuit qu'il appartient, en principe, à la CNIL, saisie d'une demande tendant à ce qu'elle mette l'exploitant d'un moteur de recherche en demeure de procéder au déréférencement des liens vers des pages web publiées par des tiers et contenant de telles données, de faire droit à cette demande. Il n'en va autrement que s'il apparaît, compte tenu du droit à la liberté d'information, que l'accès à une telle information à partir d'une recherche portant sur le nom de la personne concernée est strictement nécessaire à l'information du public.
b) Pour apprécier s'il peut être légalement fait échec au déréférencement au motif que l'accès à des données à caractère personnel relatives à une procédure pénale à partir d'une recherche portant sur le nom de la personne concernée est strictement nécessaire à l'information du public, il lui incombe de tenir notamment compte, d'une part, de la nature des données en cause, de leur contenu, de leur caractère plus ou moins objectif, de leur exactitude, de leur source, des conditions et de la date de leur mise en ligne et des répercussions que leur référencement est susceptible d'avoir pour la personne concernée et, d'autre part, de la notoriété de cette personne, de son rôle dans la vie publique et de sa fonction dans la société. Il lui incombe également de prendre en compte la possibilité d'accéder aux mêmes informations à partir d'une recherche portant sur des mots‑clés ne mentionnant pas le nom de la personne concernée.
2) Dans l'hypothèse particulière où le lien mène vers une page web faisant état d'une étape d'une procédure judiciaire ne correspondant plus à la situation judiciaire actuelle de la personne concernée mais qu'il apparaît, au terme de la mise en balance effectuée dans les conditions énoncées au point précédent, que le maintien de son référencement est strictement nécessaire à l'information du public, l'exploitant d'un moteur de recherche est tenu, au plus tard à l'occasion de la demande de déréférencement, d'aménager la liste de résultats de telle sorte que les liens litigieux soient précédés sur cette liste de résultats d'au moins un lien menant vers une ou des pages web comportant des informations à jour afin que l'image qui en résulte reflète exactement la situation judiciaire actuelle de la personne concernée.
3) Requérant ayant exercé, de 2003 à 2008, les fonctions de surveillant et d'animateur scolaire. À la suite d'attouchements sexuels sur mineurs, il a été mis en examen puis condamné par un jugement du tribunal correctionnel du 2 juin 2010 à une peine de sept ans d'emprisonnement, qui a été exécutée, assortie d'un suivi socio‑judiciaire de dix ans et d'une interdiction d'exercer une activité impliquant un contact avec des enfants. Eu égard à la nature et au contenu des informations litigieuses, qui donnent au public un accès direct et permanent à la condamnation dont a fait l'objet le requérant alors même que, en application du code de procédure pénale, l'accès à des données relatives aux condamnations pénales d'un individu n'est en principe possible que dans des conditions restrictives et pour des catégories limitées de personnes, à l'absence de notoriété de la personne qu'elles concernent, à l'ancienneté des faits et de la condamnation pénale ainsi qu'aux répercussions qu'il est susceptible d'avoir sur la réinsertion du requérant, qui allègue avoir perdu deux emplois du fait du référencement en cause, le maintien des liens permettant d'y avoir accès à partir d'une recherche effectuée sur son nom, la CNIL n'a pu légalement estimer, alors même que ces informations proviennent d'articles de presse dont l'exactitude n'est pas contestée, que le maintien des liens litigieux était strictement nécessaire à l'information du public au motif que les chroniques judiciaires permettent d'exercer un droit de regard sur le fonctionnement de la justice pénale, sans qu'il ait d'incidence la circonstance que la mesure de suivi socio‑judiciaire dont fait l'objet l'intéressé est, à la date de la présente décision, toujours en cours.
CE24 février 2017CE, Assemblée, 24 février 2017, Mme G…C, n° 391000, Rec., point 9(source)
Droit au déréférencement – 1) Compétence de la CNIL pour connaître des plaintes formées à la suite d'une décision de refus de déréférencement opposée par l'exploitant d'un moteur de recherche – Existence, sans préjudice des voies de recours ouvertes devant le juge judiciaire – 2) Contrôle du juge administratif de l'excès de pouvoir – Contrôle entier
1) Il résulte des dispositions de l'article 11 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés que, sans préjudice des voies de recours ouvertes devant le juge judiciaire s'agissant des litiges opposant des particuliers aux exploitants d'un moteur de recherche, la CNIL est compétente pour connaître des plaintes formées sur le fondement de l'article 51 de la loi n°78‑17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés dans sa rédaction actuellement en vigueur à la suite d'une décision de refus de déréférencement opposée par l'exploitant d'un moteur de recherche et, le cas échéant, pour mettre en demeure celui‑ci de faire droit à la demande de déréférencement.
2) Ce pouvoir s'exerce, eu égard à la nature des droits individuels en cause, sous l'entier contrôle du juge administratif de l'excès de pouvoir.
CJUE4 mai 2023CJUE, 4 mai 2023, Bundesrepublik Deutschland, C-60/22(source)
Absence d'accord déterminant la responsabilité conjointe du traitement et de la tenue du registre des activités de traitement – Conséquences – Droit à la limitation du traitement
L'article 17, paragraphe 1, sous d), et l'article 18, paragraphe 1, sous b), du RGPD doivent être interprétés en ce sens que la méconnaissance, par le responsable du traitement, des obligations prévues aux articles 26 et 30 de ce règlement, relatives, respectivement, à la conclusion d'un accord déterminant la responsabilité conjointe du traitement et à la tenue d'un registre des activités de traitement, ne constitue pas un traitement illicite conférant à la personne concernée un droit à la limitation du traitement, dès lors qu'une telle méconnaissance n'implique pas, en tant que telle, une violation par le responsable du traitement du principe de « responsabilité » tel qu'énoncé à l'article 5, paragraphe 2, dudit règlement, lu conjointement avec l'article 5, paragraphe 1, sous a), et l'article 6, paragraphe 1, premier alinéa, de ce dernier.
Cass28 septembre 2004Cass, crim., 28 septembre 2004, n° 03-86.604, B., points 14-15(source)
Opposition au traitement d'une donnée relative aux opinions politique, philosophique ou religieuse – Légitimité sans avoir à justifier d'un motif spécifique
Justifie sa décision l'arrêt qui, pour déclarer l'Association spirituelle de l'église de scientologie d'Ile-de-France et son président coupables de traitement d'informations nominatives malgré opposition légitime, retient que l'opposition peut être transmise à l'association par la Commission nationale de l'informatique et des libertés (CNIL), aucun formalisme n'étant prévu par la loi et qu'en matière politique, philosophique ou religieuse, la Légitimité de l'opposition est remplie par le seul exercice de cette faculté.
CE18 mars 2019CE, 10 – 9 chambres réunies, 18 mars 2019, Mme B., n° 406313, T., points 10, 4(source)
Droit subordonné à l'existence de raisons légitimes – Espèce – Recours en excès de pouvoir contre la décision refusant de faire droit à l'opposition à un traitement de données à caractère personnel – Données ayant cessé d'être conservées dans ce traitement – Non lieu, sans qu'ait d'incidence le fait que les données en cause aient pu être transférées vers d'autres traitements vis-à-vis desquels s'exerce le droit d'opposition
1) Il résulte des dispositions de l’article 38 de la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés dans sa rédaction applicable que le droit qu’elles ouvrent à toute personne physique d’opposer pour des motifs légitimes à ce que des données à caractère personnel la concernant fassent l’objet d’un traitement est subordonné à l’existence de raisons légitimes tenant de manière prépondérante à sa situation particulière. Ne commet pas d’erreur de droit la cour administrative d’appel qui relève que, pour faire opposition au traitement des données concernant ses enfants, la requérante se bornait à invoquer des craintes d’ordre général concernant notamment la sécurité du fonctionnement de la base, sans faire état de considérations qui lui seraient propres ou seraient propres à ses enfants, pour en déduire qu’elle ne justifiait pas de motifs légitimes de nature à justifier cette opposition. 2) La circonstance que les données à caractère personnel aient cessé d’être conservées dans le traitement litigieux prive d’objet les conclusions à fin d’annulation pour excès de pouvoir de la décision qui avait refusé de faire droit à l’opposition à ce traitement, sans qu’ait d’incidence le fait que les données en cause aient pu être transférées vers d’autres traitements vis‑à‑vis desquels s’exerce le droit d’opposition.
CE27 juin 2016CE, 10-9 chambres réunies, 27 juin 2016, Ministre de l'éducation nationale, de l'enseignement supérieur et de la recherche contre Mme B… - A…, n° 392145, T., points 3, 7(source)
Personne auprès de qui s'exerce le droit d'opposition – 1) Principe – Responsable du traitement – Possibilité de déléguer cette compétence – Existence – 2) Application à des traitements de l'éducation nationale (BE1D et BNIE) – Compétence exercée à l'échelon départemental
1) Si la personne responsable du traitement, au sens des dispositions du I de l'article 3 de la loi n°78‑17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, est, en principe, celle auprès de laquelle s'exerce le droit d'opposition (prévu par l'article 38 de la loi), ni cette loi, ni le décret n°2005‑1309 du 20 octobre 2005 pris pour son application ne font obstacle à ce qu'elle délègue sa compétence en la matière. 2) La « base élève premier degré » (BE1D) a pour finalités d'assurer la gestion administrative et pédagogique des élèves du premier degré, la gestion et le pilotage de l'enseignement du premier degré dans les circonscriptions scolaires du premier degré et les inspections académiques et le pilotage académique et national, et la « base nationale identifiant élève » (BNIE) a la finalité d'attribuer un identifiant unique à chaque élève, afin de permettre le suivi de toute sa scolarité. Ces bases concourent aux missions relatives à l'action éducatrice et à son organisation, au sens des dispositions des articles R.222‑25 et R.222‑26 du code de l'éducation et, dès lors, en application de ces dispositions, la compétence en matière d'exercice du droit d'opposition doit être regardée comme étant exercée à l’échelon départemental des services de l’éducation nationale.
CE9 novembre 2015CE, 10ème/9ème SSR, 9 novembre 2015, Société les Éditions Nér Essis, n° 384673, T., point 6(source)
Le droit d’opposition peut être exprimé de façon générale.
Le droit d’opposition au traitement de données personnelles, contrairement à l’acceptation d’un tel usage, doit être spécifique, informé et dénué de toute ambiguïté. Il est considéré comme valablement exprimé même s’il l’est de façon générale. La circonstance, d’une part, que le droit d’opposition soit manifesté par un acte d’abstention plutôt que par un acte positif, d’autre part, qu’il soit exprimé d’une manière large en visant « tout démarchage commercial », est sans incidence sur la validité de l’expression du refus de prospection ultérieure.
CE23 mars 2015CE, 10ème/9ème SSR, 23 mars 2015, Association Lexeek pour l'accès au droit, n° 353717, T., point 8(source)
Inclusion – Mise en ligne sur internet d'une base de données de jurisprudence non totalement anonymisées – Conséquence – Applicabilité du droit d'opposition
Il résulte des dispositions des articles 2 et 38 de la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dite loi Informatique et Libertés, que la mise en ligne sur le réseau internet d’une base de données de jurisprudence non totalement anonymisée doit être regardée comme un traitement automatisé de données à caractère personnel au sens de la loi Informatique et Libertés, auquel s’applique le droit d’opposition qu’elle ouvre aux personnes concernées.
CNIL16 février 2023CNIL, SP, 16 février 2023, A vis sur un projet de décision, C création d'un fichier central des titres permanents du permis de chasser, n° 2023-015, publié, point 16(source)
Exclusion du droit d’opposition (art. 23 RGPD) – 1) Autorités pouvan t écarter le droit d'opposition – Collectivités territoriales et établissements publics – Inclusion – 2) Conditions et garanties
1) L’article 23 du RGPD permet de limiter ou d’écarter le droit d’opposition à un traitement, à certaines conditions, par une « mesure législative ». Le considérant 41 du RGPD précise que cette « mesure législative » n’est pas nécessairement un acte adopté par le Parlement, mais doit être déterminée par le droit national de chaque État membre. En France, il peut en particulier s’agir d’un acte réglementaire. La CNIL estime que, s’agissant des traitements participant à l’exécution d’une mission d’intérêt public, tant l’État que les collectivités territoriales ou les établissements publics peuvent, dans leurs domaines de compétence respectifs et s’ils disposent d’un pouvoir réglementaire, limiter ou exclure le droit d’opposition.
2) Cependant, l’exercice de cette faculté est soumis à une double limite : d’une part, s’agissant de la compétence, ne pas empiéter sur le domaine réservé à la loi en application de l’article 34 de la Constitution ; d’autre part, veiller à ce que les conditions prévues à l’article 23 soient respectées. Dans ses lignes directrices 10/2020 du 13 octobre 2021 sur l’article 23, le Comité européen pour la protection des données a notamment rappelé l’obligation pour le responsable de traitement de veiller au caractère strictement nécessaire et proportionné de la limitation envisagée au regard de l’objectif poursuivi. Il a également souligné que l’acte écartant l’opposition doit faire l’objet d’une publicité suffisante et être accessible.
CNIL17 décembre 2020CNIL, SP, 17 décembre 2020, Avis sur projet de décret, Vidéo-port du masque, n° 2020-136, publié, point 19(source)
Notion d'acte « instaurant le traitement » permettant d'écarter le droit d'opposition au sens de l'article 56 de la loi Informatique et Libertés
La notion d'acte « instaurant le traitement » peut renvoyer, s'agissant de traitements mis en œuvre par les autorités publiques, à des normes contenant l'ensemble de la réglementation d'un traitement, notamment en application de l'article 35 de la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. S'agissant de traitements décidés et mis en place par des opérateurs privés, la limitation du droit d'opposition doit être prévue dans un acte législatif ou réglementaire autorisant la mise en œuvre des traitements par ces opérateurs, qui doit comporter les dispositions spécifiques prescrites par l'article 23.2 du RGPD.
CE23 mars 2015CE, 10ème/9ème SSR, 23 mars 2015, Société Groupe DSE France, n° 357556, T., point 15(source)
Prospection commer ciale par SMS – Information sur l'opposition gratuite – Illégalité d'un dispositif d’opposition payant
Un SMS de prospection doit informer la personne de ce qu’elle peut s’opposer gratuitement au traitement de ses données.
Est-il illégal un dispositif qui informe la personne qu’il est possible de s’opposer au traitement en adressant un SMS ou un appel téléphonique payants dans le message de prospection reçu par SMS, ou en remplissant un formulaire sur internet, sans que cette faculté ait été mentionnée dans le SMS de prospection ?
CNIL4 mars 2020CNIL, P, 4 mars 2020, Mise en demeure, Société X, n° MED-2020-004, non publié
Effectivité du droit d'opposition dans le temps – Liste repo ussoir ou système équivalent
Il revient à la société traitant des données à caractère personnel à des fins de prospection commerciale de mettre en place un mécanisme permettant une prise en compte effective du droit d'opposition exprimé par les personnes faisant l'objet de prospection téléphonique en application de l'article 21 du RGPD. Elle doit, à ce titre, être en mesure de s'assurer, dans le temps, que l'opposition exprimée par les intéressés est respectée et que les personnes ayant fait part de leur opposition ne reçoivent plus d'appels de prospection. Un tel mécanisme peut prendre la forme d'une liste repoussoir ou d'un système équivalent.
CJUE7 décembre 2023CJUE, 7 décembre 2023, SCHUFA Holding, C‑634/21(source)
Notion de d écision informatisée – Calcul automatisé d'une valeur de probabilité de la solvabilité d'une personne – Inclusion – Conditions
L'article 22, paragraphe 1, du RGPD doit être interprété en ce sens que l'établissement automatisé, par une société fournissant des informations commerciales, d'une valeur de probabilité fondée sur des données à caractère personnel relatives à une personne et concernant la capacité de celle‑ci à honorer des engagements de paiement à l'avenir constitue une « décision individuelle automatisée », au sens de cette disposition, lorsque dépend de manière déterminante de cette valeur de probabilité le fait qu'une tierce partie, à laquelle ladite valeur de probabilité est communiquée, établisse, exécute ou mette fin à une relation contractuelle avec cette personne.
CC13 mars 2003CC, 2003-467 DC, 13 mars 2003, Loi pour la sécurité intérieure, point 34(source)
Consultation de traitements automatisés d'informations nominatives des services de police et de gendarmerie – Application de l'article 2 de la loi Informatique et Libertés – Données recueillies dans les fichiers – Élément de la décision administrative prise sous le contrôle du juge par l'autorité administrative
Est applicable à la consultation des traitements automatisés d'informations nominatives des services de police et de gendarmerie, prévue par l'article 25 de la loi pour la sécurité intérieure dans le cadre de certaines enquêtes administratives, l'article 2 de la loi n°78‑17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, en vertu duquel une décision administrative « impliquant une appréciation sur un comportement humain » ne peut être exclusivement fondée sur un traitement automatisé « donnant une définition du profil ou de la personnalité de l'intéressé ». Les données recueillies dans les fichiers ne constitueront donc, dans chaque cas, qu'un élément de la décision prise, sous le contrôle du juge, par l'autorité administrative.
CE5 février 2019CE, Section de l'intérieur, 5 février 2019, Avis, n° 396472, Projet de décret relatif à la création d'un traitement de données biométriques pour la production des certificats de membres d'équipage sécurisés biométriques(source)
Traitement automatisé de données à caractère personnel pour la production des certificats de membre d'équipage sécurisés biométriques – Droit d'opposition – Absence – Objectif d'intérêt public de sécurité publique – Fondement juridique de l'absence de droit d'opposition : article 23(1.c) du RGPD
Saisi d'un projet de décret relatif à la création d’un Traitement automatisé de données à caractère personnel pour la production des certificats de membre d'équipage sécurisés biométriques, le Conseil d'État (section de l'intérieur) estime que le projet peut prévoir la non‑application du Droit d'opposition au traitement des données pour des raisons tenant à l’Objectif d'intérêt public de sécurité publique dans un lieu aussi sensible qu’un aéroport et que le fondement juridique de cette disposition doit être, non pas l’article 38 de la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés mais directement l’article 23(1.c) du RGPD relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
CE24 septembre 2021CE, 10ème – 9 chambres réunies, 24 septembre 2021, Médecins du Monde et autres, n° 441317, I nédit., point 8(source)
Radars routiers – Limitation du droit à l’effacement pour les classements sans suite – Atteinte disproportionnée en l’espèce
En regard des finalités du système de contrôle automatisé, qui a pour objet de centraliser les opérations d'identification, de gestion et de suivi des infractions routières et non routières faisant l'objet d'une amende forfaitaire, la Limitation du droit à l’effacement aux seules personnes ayant bénéficié d'une décision définitive de relaxe, à l'exclusion de celles pour lesquelles la procédure a été classée sans suite, porte une atteinte disproportionnée aux droits de ces dernières.
CJUE12 janvier 2023CJUE, 12 janvier 2023, Budapesti Elektromos Müvek, C-132/21(source)
Absence de compétence prioritaire ou exclusive – Possibilité d'exercer les recours administratifs et juridictionnels prévus par le RGPD de manière concurrente et indépendante
L'article 77, paragraphe 1, l'article 78, paragraphe 1, et l'article 79, paragraphe 1, du RGPD, lus à la lumière de l'article 47 de la Charte des droits fondamentaux de l'Union européenne doivent être interprétés en ce sens qu'ils permettent un exercice concurrent et indépendant des voies de recours prévues, d'une part, à cet article 77, paragraphe 1, et à cet article 78, paragraphe 1, ainsi que, d'autre part, à cet article 79, paragraphe 1. Il appartient aux États membres, en accord avec le principe de l'autonomie procédurale, de prévoir les modalités d'articulation de ces voies de recours afin que soient assurés l'effectivité de la protection des droits garantis par ce règlement, l'application cohérente et homogène des dispositions de ce dernier ainsi que le droit à un recours effectif devant un tribunal, visé à l'article 47 de la Charte des droits fondamentaux.
CJUE16 juillet 2015CJUE, 16 juillet 2015, ClientEarth et Pesticide Action Europe contre Autorité européenne de sécurité des aliments, C‑615/13 P, points 69‑70(source)
Règlement n° 1049/2001 – Accès aux documents des institutions de l'Union européenne – Document contenant des données à caractère personnel – Règlement nº 45/2001 – Mise en balance des intérêts
L'article 4, paragraphe 1, sous b) du Règlement n° 1049/2001 relatif à l’accès aux documents du Parlement européen, du Conseil et de la Commission prévoit une exception à l’accès à un document dans le cas où la divulgation porterait atteinte à la protection de la vie privée ou de l’intégrité de l’individu, notamment en conformité avec la législation de l’Union européenne relative à la protection des données à caractère personnel.
Une demande d’accès portant sur un document contenant des données à caractère personnel doit donc toujours être examinée et appréciée en conformité avec le Règlement nº 45/2001 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données (CJUE, 29 juin 2010, Commission c/ Bavarian Lager, C‑28/08, points 57 et 59‑64). La communication ne peut alors être refusée qu’en cas d’« atteinte concrète et effective » à l’intérêt protégé.
CE8 février 2023CE, 10ème-9 chambres réunies, 8 février 2023, Association « commission des citoyens pour les droits de l'homme », n° 455887, T., points 5-7(source)
Registre de contention et d'isolement des établissements de santé (art. L. 3222-5-1 du code de la santé publique) – Communication – 1) Conditions – Occultation des éléments identifiants les patients et les soignants – 2) Cas où l'identité des patients a fait l'objet d'une pseudonymisation – Contrôle du juge administratif – Risque d'atteinte à la protection de la vie privée et au secret médical – Illustration – Communicabilité à des tiers de l'identifiant dit « anonymisé » du patient – Exclusion
1) Le Registre de contention et d'isolement comporte des mentions qui ne sont pas soumises à occultation préalable avant leur communication, telles que les dates, les heures et la durée de chaque mesure de contention forcée ou d'isolement. Les éléments permettant d'identifier les patients doivent, en application des articles L. 311-6 et L. 311-7 du code des relations entre le public et l'administration, être occultés préalablement à la communication du registre afin de ne pas porter atteinte au secret médical et à la protection de la vie privée, comme doivent également l'être celles permettant d'identifier les soignants, afin d'éviter que la divulgation d'informations les concernant puisse leur porter préjudice.
2) Dans le cas où l'identité des patients a fait l'objet d'une pseudonymisation, laquelle ne permet l'identification des personnes en cause qu'après recoupement d'informations, il appartient au juge administratif d'apprécier si, eu égard à la sensibilité des informations en cause et aux efforts nécessaires pour identifier les personnes concernées, leur communication est susceptible de porter atteinte à la protection de la vie privée et au secret médical. En l'espèce, compte tenu de la nature des informations en cause, qui touchent à la santé mentale des patients, et du nombre restreint de personnes pouvant faire l'objet d'une mesure de contention et d'isolement, facilitant ainsi leur identification, alors que les autorités énumérées à l'article L. 3222-5-1 du code de la santé publique peuvent accéder à l'ensemble des informations figurant sur les registres et contrôler l'activité des établissements concernés, l'identifiant dit "anonymisé" figurant dans ces registres, qu'il s'agisse, selon la pratique du centre hospitalier, de "l'identifiant permanent du patient" (IPP) ou d'un identifiant spécialement défini, doit être regardé comme une information dont la communication est susceptible de porter atteinte à la protection de la vie privée et au secret médical. Cet identifiant n'est donc communicable qu'au seul intéressé en vertu des dispositions de l'article L. 311-6 du code des relations entre le public et l'administration.
