CJUE20 octobre 2022CJUE, 20 octobre 2022, Koalitsia « Demokratichna Bulgaria – Obedinenie », C-306/21, points 40-42 Voir aussi: CJUE, grande chambre, 22 juin 2021, Latvijas Republikas Saeima, C-439/19, points 66-67(source)
Traitement de données à caractère personnel dans le contexte de l'organisation d'élections dans un État membre – Application du RGPD
Les activités ayant pour but de préserver la sécurité nationale au sens de l'article 2, paragraphe 2, sous a), du RGPD couvrent, en particulier, celles ayant pour objet de protéger les fonctions essentielles de l’État et les intérêts fondamentaux de la société.
Or, les activités relatives à l'organisation d'élections dans un État membre ne poursuivent pas un tel objectif et ne sauraient, en conséquence, être rangées dans la catégorie des activités ayant pour but la préservation de la sécurité nationale, visées à l'article 2, paragraphe 2, sous a), du RGPD. Eu égard à ces considérations, l’article 2, paragraphe 2, sous a), du RGPD doit être interprété en ce sens que n’est pas exclu du champ d’application de ce règlement le traitement de données à caractère personnel dans le contexte de l’organisation d’élections dans un État membre.
CJUE24 février 2022CJUE, 24 février 2022, Valsts ieņēmumu dienests, C‑175/20, points 42-47(source)
Traitement de données à caractère personnel à des fins fiscales – Demande de communication d'informations à des fins de lutte contre la fraude fiscale – Application du RGPD, en l'absence d'objectif spécifique d'exercer des poursuites pénales
L'accès aux numéros de châssis des véhicules faisant l'objet d'une annonce publiée sur le portail Internet d'un opérateur économique par l'administration fiscale d'un État membre en vue de se voir fournir des informations sur les annonces publiées sur ce portail aux fins de la perception de l'impôt et de la lutte contre la fraude fiscale relève du champ d'application du RGPD dans la mesure où, dans ces circonstances, l'administration n'agit pas en tant qu'« autorité compétente », au sens de l'article 3, point 7, de la directive 2016/680 dite « Police - Justice » et que ces données à caractère personnel ne sont pas collectées dans l'objectif spécifique d'exercer des poursuites pénales ou dans le cadre des activités de l'État relatives à des domaines du droit pénal.
CJUE16 juillet 2020CJUE, grande chambre, 16 juillet 2020, Facebook Ireland et Schrems, C‑311/18(source)
Transferts de données à caractère personnel effectués à des fins commerciales par un opérateur économique établi dans un État membre vers un autre opérateur établi dans un pays tiers – Inclusion – Données susceptibles d'être traitées par les autorités du pays tiers concerné à des fins de sécurité nationale – Absence d'incidence
L'article 2, paragraphes 1 et 2, du RGPD doit être interprété en ce sens que relève du champ d'application de ce règlement un transfert de données à caractère personnel effectué à des fins commerciales par un opérateur économique établi dans un État membre vers un autre opérateur économique établi dans un pays tiers, nonobstant le fait que, au cours ou à la suite de ce transfert, ces données sont susceptibles d'être traitées par les autorités du pays tiers concerné à des fins de sécurité publique, de défense et de sûreté de l'État.
CJUE9 juillet 2020CJUE, 9 juillet 2020, Land Hessen, C-272/19, points 72-74(source)
Notion de « responsable du traitement » – Commission des pétitions du parlement d'un État fédéré d'un État membre – Inclusion – Article 15 – Droit d'accès de la perso nne concernée – Application
Aucune exception n'est prévue dans le RGPD en ce qui concerne les activités parlementaires. Par conséquent, dans la mesure où la Commission des pétitions du Parlement du Land de Hesse détermine, seule ou avec d'autres, les finalités et les moyens du traitement, cette commission doit être qualifiée de « responsable du traitement », au sens de l'article 4, point 7, du règlement. Le traitement de données à caractère personnel effectué par une telle commission relève du champ d'application de ce règlement, notamment de l'article 15 de celui-ci (droit d'accès) et de la Commission des pétitions.
CJUE10 juillet 2018CJUE, grande chambre, 10 juillet 2018, Jehovan Todistajat, C-25/17(source)
Collecte de données à caractère personnel par les membres d'une communauté religieuse dans le cadre de leur activité de prédication de porte - à - porte – Notion de « fichier de données à caractère personnel » – Notion de « responsable du traitement » – Article 10, paragraphe 1, de la Charte des droits fondamentaux de l'Union européenne
La collecte de données à caractère personnel effectuée par des membres d'une communauté religieuse dans le cadre d'une activité de prédication de porte - à - porte et les traitements ultérieurs de ces données relèvent de la directive 95/46/CE. En particulier, il ne s'agit ni de traitements de données à caractère personnel mis en œuvre pour l'exercice d'activités visées à l'article 3, paragraphe 2, premier tiret (traitements ne relevant pas du champ du droit de l'UE ou ayant pour objet la sécurité publique, la défense, la sûreté de l'État et les activités de l'État relatives au droit pénal), de la directive, ni de traitements de données à caractère personnel effectués par des personnes physiques pour l'exercice d'activités exclusivement personnelles ou domestiques, au sens de l'article 3, paragraphe 2, second tiret (traitements effectués par une personne physique pour l'exercice d'activités exclusivement personnelles ou domestiques), de ladite directive. La communauté religieuse doit être regardée comme étant responsable, conjointement avec ses membres prédicateurs, de ces traitements.
Cass1 juin 2023Cass, com., 1 juin 2023, n° 21-18.558, B., point 10(source)
Administration fiscale – Traitement aux fins d'obtenir le droit de procéder à une mesure d'enquête – Fraude fiscale – Champ d'application matériel du RGPD
Le traitement de données à caractère personnel mis en œuvre par l'administration fiscale aux fins d'obtenir l'autorisation de procéder à des opérations de visite et saisies sur le fondement de l'article L. 16‑B du livre des procédures fiscales, qui a pour finalité d’obtenir le droit de procéder à une mesure d'enquête pouvant donner lieu à la constatation d'une infraction ou d'un manquement à la législation fiscale, dans le but de percevoir l'impôt et de lutter contre la fraude fiscale, entre dans le champ d'application matériel du RGPD.
CE27 novembre 2018CE, Section de l'intérieur, 27 novembre 2018, Avis, n° 396212, Projet de décret relatif à la validation du visa long séjour valant titre de séjour(source)
Application de gestion des dossiers des ressortissants étrangers en France – Adoption d'un téléservice visant à recenser les données relatives au droit au séjour de l'étranger titulaire d'un visa de long séjour valant titre de séjour – RGPD
Un projet de décret relatif à la validation du visa de long séjour valant titre de séjour complète notamment les objectifs du traitement de données à caractère personnel dénommé « Application de gestion des dossiers des ressortissants étrangers en France » (AGDREF 2), pour y ajouter la possibilité, pour le titulaire d'un visa de long séjour valant titre de séjour, de procéder, par voie électronique au moyen d’un téléservice adossé au traitement de données AGDREF 2, aux formalités prévues à l’article R. 311‑3 du code de l’entrée et du séjour des étrangers et du droit d’asile (CESEDA) qui prévoyait que certains titulaires de visa puissent déclarer la date de leur entrée en France et leur domicile au moyen d’un téléservice afin de séjourner au-delà d’une période de trois mois (dispositions abrogées en 2021). Le Conseil d’État (section de l’intérieur) estime que cette nouvelle fonctionnalité du traitement de données, dont l’objet est de recenser les données relatives au droit au séjour de l’étranger titulaire d’un visa de long séjour valant titre de séjour, n’a pas pour finalité première la prévention et la détection d’infractions pénales, la conduite d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et ne relève pas de la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 mais du règlement 2016/679 du Parlement européen et du Conseil (règlement général sur la protection des données).
CNIL17 février 2022CNIL, P, 17 février 2022, Avis sur projet de décret, CESE, n° 2022-023, publié, point 6 Voir au ssi: CJUE, 9 juillet 2020, Land Hessen, C-272/19(source)
Traitements mis en œuvre par le CESE dans le cadre des saisines par voie de pétition
Si certains traitements mettant en œuvre des dispositions constitutionnelles françaises et n'intéressant ni la défense nationale, ni la sûreté de l'État relèvent du seul titre I er de la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (v. CNIL, SP, 14 janvier 2021, Avis sur projet de décret, Répertoire électoral unique, n° 2021‑008, publié), le RGPD est applicable aux traitements mis en œuvre par le Conseil économique, social et environnemental dans le cadre des saisines par voie de pétition. En effet, la Cour de justice de l’Union européenne a estimé que le RGPD était applicable aux traitements de données à caractère personnel effectués par la Commission des pétitions du parlement d’un État fédéré d’un État membre dans le cadre de ses activités.
CJUE20 octobre 2022CJUE, 20 octobre 2022, Koalitsia « Demokratichna Bulgaria – Obedinenie », C-306/21, points 39-42(source)
Activités ne relevant pas du droit de l'Union – 1) Portée – Activités qui vise à préserver la sécurité nationale ou activité pouvant être rangée dans la même catégorie – Exclusion du champ d'application du RGPD – 2) Application – Cas de traitement de données à caractère personnel dans le contexte de l'organisation d'élections dans un État membre – Application du RGPD
L'article 2, paragraphe 2, sous a) du RGPD, lu à la lumière du considérant 16 de ce règlement, a pour seul objet d'exclure du champ d'application dudit règlement les traitements de données à caractère personnel effectués par les autorités étatiques dans le cadre d'une activité qui vise à préserver la sécurité nationale ou d'une activité pouvant être rangée dans la même catégorie, de telle sorte que le seul fait qu'une activité soit propre à l'État ou à une autorité publique ne suffit pas pour que cette exception soit automatiquement applicable à une telle activité.
Les activités ayant pour but de préserver la sécurité nationale au sens de l'article 2, paragraphe 2, sous a), du RGPD couvrent, en particulier, celles ayant pour objet de protéger les fonctions essentielles de l'État et les intérêts fondamentaux de la société.
Or, les activités relatives à l'organisation d'élections dans un État membre ne poursuivent pas un tel objectif et ne sauraient, en conséquence, être rangées dans la catégorie des activités ayant pour but la préservation de la sécurité nationale, visées à l'article 2, paragraphe 2, sous a), du RGPD. Eu égard à ces considérations, l'article 2, paragraphe 2, sous a), du RGPD doit être interprété en ce sens que n'est pas exclu du champ d'application de ce règlement le traitement de données à caractère personnel dans le contexte de l'organisation d'élections dans un État membre.
CJUE22 juin 2021CJUE, grande chambre, 22 juin 2021, Latvijas Republikas Saeima, C-439/19, po ints 64-68(source)
Activités visant à préserver la sécurité nationale ou relevant de cette catégorie – Notion – Activité visant à améliorer la sécurité routière – Exclusion
L'exception relative à la non‑application du RGPD à un traitement effectué dans le cadre d'une activité ne relevant pas du droit de l'Union est à considérer comme ayant pour seul objet d'exclure du champ d'application de ce règlement les traitements de données à caractère personnel effectués par les autorités étatiques dans le cadre d'une activité visant à préserver la sécurité nationale ou d'une activité pouvant être rangée dans la même catégorie. Ces activités couvrent, en particulier, celles visant à protéger les fonctions essentielles de l'État et les intérêts fondamentaux de la société.
Les activités relatives à la sécurité routière ne poursuivent pas cet objectif et ne sauraient donc être rangées dans la catégorie des activités ayant pour but la préservation de la sécurité nationale.
CJUE27 septembre 2017CJUE, 27 septembre 2017, Puškár, C-73/16, points 36-38 Voir aussi: CJUE, 6 novembre 2003, Lindqvist, C-101/01, points 43-44; CJUE, grande chambre, 16 décembre 2008, Satakunnan Markkinapörssi et Satamedia, C-73/07, point 41(source)
Directive 95/46 – Dérogations – Traitement de données ayant pour objet la sécurité publique, la défense, la sûreté de l'État et les activités de l'État relatives à des domaines du droit pénal – Interprétation stricte
En tant que celle rend inapplicable le régime de protection des données à caractère personnel prévu par Directive 95/46 et s'écarte ainsi de l'objectif sous-jacent à celle‑ci, consistant à assurer la protection des libertés et des droits fondamentaux des personnes physiques à l’égard du traitement des données à caractère personnel, l'exception prévue à l'article 3, paragraphe 2, premier tiret (traitements mis en œuvre pour l'exercice d'activités qui ne relèvent pas du champ d'application du droit communautaire et, en tout état de cause, traitements ayant pour objet la sécurité publique, la défense, la sûreté de l'État – y compris le bien‑être économique de l'État lorsque ces traitements sont liés à des questions de sûreté de l'État – et les activités de l'État relatives à des domaines du droit pénal) de cette directive doit faire l'objet d'une Interprétation stricte.
À cet égard, il convient de rappeler que les activités mentionnées à titre d'exemples par ladite disposition sont, dans tous les cas, des activités propres aux États ou aux autorités étatiques, étrangères aux domaines d'activité des particuliers.
Par ailleurs, les activités mentionnées en tant qu'exemples à l'article 3, paragraphe 2, premier tiret, de la directive 95/46 sont destinées à définir la portée de l'exception qui y est prévue, de telle sorte que cette exception ne s'applique qu'aux activités qui y sont ainsi expressément mentionnées ou qui peuvent être rangées dans la même catégorie.
CJUE10 décembre 2021CJUE, 10 décembre 2021, J & S Service, C-620/19, points 47-52 Exception domestique(source)
Réglementation nationale renvoyant aux dispositions du droit de l'Union – Droit national différant substantiellement de la finalité et du contexte du droit de l'Union – Données fiscales concernant une personne morale – Incompétence de la Cour
Cas d'une législation nationale renvoyant au RGPD pour ce qui est de la protection des données des personnes morales. La Cour estime qu'une interprétation de dispositions du RGPD ne saurait être effectuée de la même manière selon qu'il s'agit de personnes physiques, seules entrant dans le champ du RGPD, ou de personnes morales, le droit à la protection des données de ces dernières n'ayant pas été défini par le RGPD.
Le droit national ne se borne donc pas à rendre applicables les dispositions du RGPD en dehors du champ d'application de ce règlement, mais en modifie l'objet et la portée. Par suite, ces dispositions ne peuvent être regardées comme ayant été rendues applicables en dehors du champ du droit de l'Union et la Cour est incompétente.
CJUE10 juillet 2018CJUE, grande chambre, 10 juillet 2018, Jehovan Todistajat, C-25/17(source)
Collecte de données à caractère personnel effectuée par des membres d'une communauté religieuse dans le cadre d'une activité de prédication de porte-à-porte et traitements ultérieurs de ces données – Traitements de données à caractère personnel effectués par des personnes physiques pour l'exercice d'activités exclusivement personnelles ou domestiques – Exclusion
La collecte de données à caractère personnel effectuée par des membres d'une communauté religieuse dans le cadre d'une activité de prédication de porte-à-porte et les traitements ultérieurs de ces données relèvent de la directive 95/46/CE. En particulier, il ne s'agit ni de traitements de données à caractère personnel mis en œuvre pour l'exercice d'activités visées à l'article 3, paragraphe 2, premier tiret (traitements ne relevant pas du champ du droit de l'UE ou ayant pour objet la sécurité publique, la défense, la sûreté de l'État et les activités de l'État relatives au droit pénal), de la directive, ni de traitements de données à caractère personnel effectués par des personnes physiques pour l'exercice d'activités exclusivement personnelles ou domestiques, au sens de l'article 3, paragraphe 2, second tiret (traitements effectués par une personne physique pour l'exercice d'activités exclusivement personnelles ou domestiques), de ladite directive. La communauté religieuse doit être regardée comme étant responsable, conjointement avec ses membres prédicateurs, de ces traitements.
CJUE11 décembre 2014CJUE, 11 décembre 2014, Ryneš, C-212/13(source)
Caméra de surveillance à l'intérieur d'une maison familiale – Surveillance partielle de l'espace public – Exception domestique – Absence
L'exploitation d'un système de caméra, donnant lieu à un enregistrement vidéo des personnes stocké dans un disque dur, installé par une personne physique dans sa maison familiale afin de protéger les biens, la santé et la vie des propriétaires de la maison ne constitue pas un traitement de données effectué pour l'exercice d'activités exclusivement personnelles ou domestiques, dès lors que ce système surveille également, même partiellement, l'espace public.
CJUE13 mai 2014CJUE, 13 mai 2014, Google Spain, C-131/12(source)
Succursale ou filiale de l'exploitant d'un moteur de recherche installée dans un État membre destinée à assurer la promotion et la vente d'espaces publicitaires – Activités visant les habitants de cet État membre – Traitement de données effectué dans ce cadre
L'article 4, paragraphe 1, sous a), de la directive 95/46 doit être interprété en ce sens qu'un traitement de données à caractère personnel est effectué dans le cadre des activités d'un établissement du responsable de ce traitement sur le territoire d'un État membre, au sens de cette disposition, lorsque l'exploitant d'un moteur de recherche crée dans un État membre une succursale ou une filiale destinée à assurer la promotion et la vente des espaces publicitaires proposés par ce moteur et dont l'activité vise les habitants de cet État membre.
CNIL17 octobre 2022CNIL, P, 26 novembre 2021, Mise en demeure, Société X, n° MED 2021-134, publié, points 27, 24, 30-31, 26 Voir aussi: CNIL, FR, 17 octobre 2022, Sanction, Société X, n° SAN-2022-019, publié(source)
Collecte systématique et généralisée d'images sur des sites web – Base à des fins d'identification biométrique par reconnaissance faciale – Suivi du comportement des personnes en ligne
Cas d'un responsable du traitement ne disposant d'aucun établissement sur le territoire d'un État membre de l'Union européenne, qui procède à la collecte systématique et généralisée, à partir de millions de sites web à travers le monde, d'images contenant des visages, afin de constituer une base de données et de permettre la recherche des photographies dans cette base à partir d'une autre image, et ainsi procéder à l’identification biométrique des personnes concernées par reconnaissance faciale.
Le résultat de recherche qui est associé à une photographie doit être qualifié, au moins en partie, de profil comportemental de la personne concernée dans la mesure où il contient de nombreuses informations relatives à cette personne et en particulier à son comportement. La mise en relation des photographies et du contexte dans lequel elles sont présentées sur un site web permet en effet de recueillir de nombreuses informations sur une personne, ses habitudes ou ses préférences. La recherche peut par ailleurs être renouvelée dans le temps, ce qui permet de constater une évolution des informations relatives à une personne ; la base de données étant mise à jour régulièrement, des recherches successives permettent de suivre l'évolution d'un profil dans le temps.
Ce traitement doit être considéré comme une activité de traitement liée au suivi du comportement des personnes en ligne et il est donc soumis au RGPD.
Par ailleurs, dans ce contexte, la mise en ligne de photographies peut être considérée en soi comme un comportement de la personne concernée, reflétant des choix sur le niveau d'exposition qu'elle souhaite donner à des éléments de sa vie privée ou professionnelle.
CNIL26 juillet 2021CNIL, FR, 26 juillet 2021, Sanction, Société X, n° SAN-2021-012, publié, point 55(source)
Collecte et traitement de données de personnes physiques en France impliquées dans le débat sur le renouvellement de l'autorisation d'utilisation d'une substance phytopharmaceutique dans l'Union européenne – Traitement de données procédant du suivi de comportement au sens de l'article 3-2)-b) du RGPD
La Collecte et le traitement des données à caractère personnel de personnes physiques en France impliquées dans le débat sur le renouvellement de l'autorisation d'utilisation d'une substance phytopharmaceutique dans l'Union européenne procède du suivi du comportement des personnes concernées qui se trouve sur le territoire de l'Union au sens des dispositions de l'article 3-2)-b) du RGPD et relève en conséquence du champ d'application territorial du RGPD et des dispositions de la loi n°78‑17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, indépendamment du lieu d'établissement du responsable de traitement.
CJUE4 février 2022CJUE, 24 février 2022, Valsts ieņēmumu dienests, C-175/20, points 44-45(source)
Perception de l'impôt et lutte contre la fraude fiscale – Collecte de données personnelles par l'administration fiscale d'un opérateur économique – Champ d'application de la directive « Police - Justice » – Absence
Lorsqu'elle demande à un opérateur économique de lui communiquer des données à caractère personnel relatives à certains contribuables aux fins de la perception de l'impôt et de la lutte contre la fraude fiscale, il n'apparaît pas que l'administration fiscale d'un État membre puisse être considérée comme une « autorité compétente », au sens de l'article 3, point 7, de la directive 2016/680, ni, partant, que de telles demandes d'informations puissent relever de l'exception prévue à l'article 2, paragraphe 2, sous d), du RGPD. En outre, même s'il n'est pas exclu que les données à caractère personnel en cause au principal puissent être utilisées dans le cadre de poursuites pénales qui pourraient être exercées, en cas d'infraction dans le domaine fiscal, contre certaines des personnes concernées, il n'apparaît pas que ces données soient collectées dans l'objectif spécifique d'exercer de telles poursuites pénales ou dans le cadre des activités de l'État relatives à des domaines du droit pénal.
CE27 mars 2020CE, 10-9 chambres réunies, 27 mars 2020, Cercle de réflexion et de proposition d'actions sur la psychiatrie et autres, n° 431350, T., point 10(source)
Traitement mettant en relation les traitements HOPSYWEB et FSPRT – Finalité – Prévention de la radicalisation à caractère terroriste – Conséquences – a) Application des dispositions relatives aux traitements intéressant la sûreté de l'État et la défense – Existence – b) Application du RGPD – Absence
1) Le traitement créé par le décret n° 2019‑412 du 6 mai 2019 qui met partiellement en relation les traitements dénommés HOPSYWEB relatifs au suivi des personnes en soins psychiatriques sans consentement, qui relève du RGPD, et le traitement dénommé fichier des signalements pour la prévention de la radicalisation à caractère terroriste (FSPRT) a pour finalité la prévention de la radicalisation à caractère terroriste.
2) a) Il s’ensuit qu’il relève, au même titre que ce dernier, des mêmes dispositions applicables aux traitements intéressant la sûreté de l'État et la défense aujourd’hui regroupées au sein du titre IV de la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dite loi Informatique et Libertés ainsi que des dispositions communes à l’ensemble des traitements figurant aujourd’hui au titre I.
b) Il ne relève dès lors pas du champ d’application du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD), ni du titre II de la loi Informatique et Libertés relatif aux traitements relevant du régime de protection prévu par ce règlement désormais applicable.
CNIL8 avril 2021CNIL, SP, 8 avril 2021, Avis sur projet de loi, P JL Renseignement, n° 2021-040, publié, point 40(source)
Traitement des données collectées via des techniques de recueil de renseignement à des fins de recherche et de développement – Titres I et IV de la loi Informatique et Libertés – Inclusion
Le traitement des données collectées par le biais de techniques de recueil de renseignement à des fins de recherche et de développement en matière de capacités techniques de recueil et d'exploitation des renseignements relève, compte tenu de ces finalités, des titres I et IV de la loi Informatique et Libertés relative à l'informatique, aux fichiers et aux libertés. Il n'est pas pour autant soumis à une autorisation par arrêté ministériel ou décret en Conseil d'État pris après avis de la Commission, dès lors que des dispositions spéciales prévoient un mécanisme spécifique d'autorisation de mise en œuvre.
