CE27 mars 2020CE, 10-9 chambres réunies, 27 mars 2020, Cercle de réflexion et de proposition d'actions sur la psychiatrie et autres, n° 431350, T., point 10(source)
Traitement mettant en relation les traitements HOPSYWEB et FSPRT – Finalité – Prévention de la radicalisation à caractère terroriste – Conséquences – a) Application des dispositions relatives aux traitements intéressant la sûreté de l'État et la défense – Existence – b) Application du RGPD – Absence
1) Le traitement créé par le décret n° 2019‑412 du 6 mai 2019 qui met partiellement en relation les traitements dénommés HOPSYWEB relatifs au suivi des personnes en soins psychiatriques sans consentement, qui relève du RGPD, et le traitement dénommé fichier des signalements pour la prévention de la radicalisation à caractère terroriste (FSPRT) a pour finalité la prévention de la radicalisation à caractère terroriste.
2) a) Il s’ensuit qu’il relève, au même titre que ce dernier, des mêmes dispositions applicables aux traitements intéressant la sûreté de l'État et la défense aujourd’hui regroupées au sein du titre IV de la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dite loi Informatique et Libertés ainsi que des dispositions communes à l’ensemble des traitements figurant aujourd’hui au titre I.
b) Il ne relève dès lors pas du champ d’application du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD), ni du titre II de la loi Informatique et Libertés relatif aux traitements relevant du régime de protection prévu par ce règlement désormais applicable.
CNIL8 avril 2021CNIL, SP, 8 avril 2021, Avis sur projet de loi, P JL Renseignement, n° 2021-040, publié, point 40(source)
Traitement des données collectées via des techniques de recueil de renseignement à des fins de recherche et de développement – Titres I et IV de la loi Informatique et Libertés – Inclusion
Le traitement des données collectées par le biais de techniques de recueil de renseignement à des fins de recherche et de développement en matière de capacités techniques de recueil et d'exploitation des renseignements relève, compte tenu de ces finalités, des titres I et IV de la loi Informatique et Libertés relative à l'informatique, aux fichiers et aux libertés. Il n'est pas pour autant soumis à une autorisation par arrêté ministériel ou décret en Conseil d'État pris après avis de la Commission, dès lors que des dispositions spéciales prévoient un mécanisme spécifique d'autorisation de mise en œuvre.
CC30 septembre 2011CC, 2011-173 QPC, 30 septembre 2011, M. Louis C. et autre s, point 6(source)
Conditions de réalisation des expertises génétiques sur une personne décédée à des fins d'actions en matière de filiation
En interdisant l'identification par les empreintes génétiques d'une personne décédée qui n'y avait pas expressément consenti de son vivant, la dernière phrase du cinquième alinéa de l'article 16‑11 du code civil n'a pas porté atteinte au respect dû à la vie privée. La clause interdit également toute expertise génétique sans consentement préalable et ne remet pas en cause les droits fondamentaux liés à la filiation.
CE2 décembre 2019CE, Formation spécialisée, 2 décembre 2019, M. B… A…, n° 420917, Inédit., point 4(source)
Qualité d'ayant droit d'un père décédé dont les données figurent dans un fich ier intéressant la sûreté de l' État ou la défense – Qualité de personne concernée dudit ayant droit – Absence
La loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés n'ouvre la possibilité de demander la communication de données à caractère personnel figurant dans un traitement automatisé ou de solliciter un accès indirect à de telles données qu'à la personne concernée par celles-ci. La seule qualité d'ayant droit de son père décédé dont se prévaut une personne ne lui confère pas la qualité de personne concernée par les données susceptibles de concerner son père dans un fichier intéressant la sûreté de l'État ou la défense.
CE7 juin 2017CE, 10-9 chambres réunies, 7 juin 2017, M. X, n° 399446, T., points 2-3(source)
Ayant - droit d'une personne à laquelle se rapportent des données à caractère personnel – 1) Personne concernée (art.2 et 39 de la loi du 6 janvier 1978) – Absence en principe – 2) Exception – Héritiers de la victime d'un dommage ayant engagé une action en réparation avant son décès ou ayant eux - mêmes engagé ultérieurement une telle action
1) Il résulte des dispositions des articles 2 et 39 de la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés que la communication de données à caractère personnel n’est possible qu’à la personne concernée par ces données. Par suite, la seule qualité d’ayant droit d’une personne à laquelle se rapportent des données ne confère pas la qualité de « personne concernée » par leur traitement au sens de ces dispositions. 2) Toutefois, lorsque la victime d’un dommage décède, son droit à la réparation de ce dommage, entré dans son patrimoine, est transmis à ses héritiers, saisis de plein droit des biens, droits et actions du défunt en application du premier alinéa de l’article 724 du code civil. Par suite, lorsque la victime a engagé une action en réparation avant son décès ou lorsque ses héritiers ont ultérieurement eux‑mêmes engagé une telle action, ces derniers doivent être regardés comme des « personnes concernées » au sens des articles 2 et 39 de la loi du 6 janvier 1978 pour l’exercice de leur droit d’accès aux données à caractère personnel concernant le défunt, dans la mesure nécessaire à l’établissement du préjudice que ce dernier a subi en vue de sa réparation et pour les seuls besoins de l’instance engagée.
CE19 juillet 2019CE, Assemblée, 19 juillet 2019, Association des Américains accidentels, n° 424216, Rec., points 8, 18(source)
1) RGPD et directive (UE) 2016/680 – Champs d'application respectifs – a) Principe – Appréciation en fonction de la finalité du traitement – b) Application – Traitement ayant pour finalité le transfert de données fiscales vers l'administration fiscale américaine – Finalité d'amélioration du respect par les contribuables de leurs obligations fiscales – Conséquence – Traitement relevant du RGPD – 2) Appréciation de cette finalité sans incidence sur le champ des traitements soumis, en raison de leur objet, à des modalités procédurales particulières définies en droit interne
1) a) Un traitement de données à caractère personnel relève du champ d'application du règlement (UE) n° 2016/679 du 27 avril 2016 (RGPD) ou de la directive (UE) n° 2016/680 du même jour selon sa finalité.
b) Accord conclu le 14 novembre 2013 entre le Gouvernement de la République française et le États-Unis d'Amérique en vue d'améliorer le respect des obligations fiscales à l'échelle internationale et de mettre en œuvre la loi relative au respect des obligations fiscales concernant les comptes étrangers (dite « loi FATCA »). Traitement d'échange automatique d'informations organisant notamment la collecte et le transfert de données à caractère personnel aux autorités fiscales américaines créé pour la mise en œuvre de cet accord.
Alors même que le traitement litigieux a plusieurs objets, dont la prévention, la détection et la répression des infractions pénales, sa finalité est de permettre, en luttant contre la fraude et l'évasion fiscales, l'amélioration du respect de leurs obligations fiscales par les contribuables franco‑américains. Il s'ensuit qu'il relève du champ d'application du RGPD et non de celui de la directive (UE) n° 2016/680.
2) Un traitement ayant pour finalité de lutter contre la fraude et l'évasion fiscales est au nombre des traitements visés à l'article 31 de la loi n° 78‑17 du 6 janvier 1978 dès lors qu'il a parmi ses objets la prévention, la recherche, la constatation ou la poursuite des infractions pénales.
CE7 décembre 2017CE, Assemblée générale (section de l'intérieur), 7 décembre 2017, Avis, n° 393836, Projet de loi d'adaptation au droit de l'Union européenne de la loi, n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés(source)
Traitements de données relevant à la fois du champ de la directive et de celui du règlement ou du droit interne – 1) Finalités mixtes – Mise en œuvre par un acte législatif ou réglementaire – 2) Double régime et droits des personnes concernées – a) Traitements directive – Règlement – Conditions – Diminution de la portée du droit à l'oubli et droit à la portabilité des données prévue par l'acte – b) Traitements directive – Droit interne – Condition – Restriction limitée des droits
Le Conseil d'État constate qu'existent des traitements de données à caractère personnel qui relèvent à la fois du champ de la directive, en raison de certaines de leurs finalités mixtes, et du champ du règlement (UE) 2016/679 ou du droit interne, en raison de leurs autres finalités. Cette situation est traitée par l'article 9 de la directive (UE) 2016/680, qui dispose que le traitement à d’autres fins de données collectées dans le champ de la directive n'est possible que si un tel traitement est autorisé par le droit de l'Union ou le droit de l'État‑membre et que, dès lors que les données sont traitées à d'autres fins, le règlement s'applique, à moins que le traitement ne soit effectué dans le cadre d'une activité ne relevant pas du champ d'application du droit de l'Union.
1) D’une part, le Conseil d'État en conclut que, lorsqu’un traitement de données répond à des finalités mixtes, il convient que sa mise en œuvre soit prévue par un acte législatif ou réglementaire ou un acte répondant aux exigences de clarté, de précision et d’éventail rappelées au considérant 33 de la directive. Le Conseil d'État relève d'ailleurs que l'existence d'un tel acte est également nécessaire lorsqu'il est envisagé d'apporter des restrictions aux droits des personnes concernées en application des articles 13, 15 et 16 de la directive, transposés à l'article 70‑21 de la loi du 6 janvier 1978.
2) D’autre part, le Conseil d'État estime que l'article 9 de la directive impose un double régime aux traitements de données à finalités mixtes.
S’agissant des traitements relevant à la fois du champ de la directive et de celui du règlement, ce double régime paraît complexe à mettre en œuvre pour les droits des personnes concernées. Le Conseil d'État relève en effet qu'existent deux droits prévus par le règlement et absents de la directive : le droit à l'oubli et le droit à la portabilité des données. Dans les deux cas, le règlement prévoit que ces droits ne sont pas applicables lorsque le traitement est nécessaire « à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement ». Ces droits devraient donc être inapplicables aux traitements de données dont les finalités mixtes. Les autres droits des personnes concernées (information, accès, opposition…) sont plus ouverts dans le règlement que dans la directive.
Le Conseil d'État estime que, dès lors que les données sur lesquelles la personne concernée demande à exercer ses droits ne pourront pas être exclusivement rattachées aux finalités prévues par la directive, soit aux autres finalités du traitement de données, il convient que l'acte ayant autorisé le traitement de données à finalités mixtes s'appuie sur l'article 23 du règlement, qui permet une diminution de la portée des droits de la personne concernée sous plusieurs conditions, dont la sécurité publique et la préservation des procédures pénales, afin de déterminer un régime des droits des personnes concernées cohérent pour l'ensemble des données traitées pour les diverses finalités. Pour être conforme aux exigences du second paragraphe de l'article 23 du règlement, les dispositions apportant de telles limitations doivent être précises et ne sauraient prendre la forme d'habilitations générales.
S'agissant des traitements relevant à la fois du champ de la directive et de celui du droit interne, dès lors que les données sur lesquelles la personne concernée demande à exercer ses droits ne peuvent être exclusivement rattachées à l'un ou l'autre de ces deux champs, les restrictions apportées à ces droits ne pourront excéder celles prévues par la directive.
CNIL31 mars 2022CNIL, P, 31 mars 2022, A vis sur projet d'arrêté, VidéoCRA, n° 2022-045, publié, points 5, 7(source)
Traitements automatisés de données à caractère personnel provenant de dispositifs de vidéosurveillance installés dans les emprises des locaux et centres de rétention administrative et des zones d'attente
Dans la mesure où dispositifs de vidéosurveillance ont été installés dans les emprises des locaux et centres de rétention administrative ainsi que des zones d'attente relevant de la compétence de la police et de la gendarmerie nationales, il s'agit de dispositifs de « vidéosurveillance » car ces derniers filment des lieux non ouverts au public. À ce titre, le code de la sécurité intérieure, qui régit les dispositifs de « vidéoprotection » filmant la voie publique ou des lieux ouverts au public, n'est pas applicable et seules les dispositions de l'a loi n°78‑17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée et du RGPD encadrent la mise en œuvre de tels traitements automatisés. Le placement en centre ou en lieu de rétention est indépendant de toute qualification pénale. Le contrôle du respect des règles de sécurité du règlement intérieur de chaque local de rétention administrative et des règles de contrôle d'accès ne relève pas non plus d'une finalité pénale. Il en va de même de la finalité relative à la collecte de preuves dans le cadre des procédures administratives et disciplinaires. En revanche, les missions de maintien de la sécurité publique par les forces de l'ordre au sein des centres et lieux de rétention sont susceptibles de relever de la directive « Police‑Justice ». Les traitements automatisés de données à caractère personnel provenant de dispositifs de vidéosurveillance installés dans les emprises des locaux et centres de rétention administrative ainsi que des zones d'attente devraient donc relever d'un régime mixte (RGPD et directive « Police‑Justice » tel que transposée au titre III de la loi du 6 janvier 1978 dite « Informatique et Libertés ») en fonction des finalités poursuivies.
CNIL12 mai 2021CNIL, SP, 12 mai 2021, Avis sur projet de décret, n° 2021-055, non publié Voir aussi: CE, Assemblée, 19 juillet 2019, Association des Américains accidentels, n° 424216, Rec.(source)
Crise sanitaire – Traitement mis en œuvre dans le cadre du suivi de mesures individuelles de quarantaine et d'isolement et à l'accompagnement des personnes – Régime mixte
Les finalités d'un traitement mis en œuvre, mis en œuvre dans un contexte de crise sanitaire, liées au suivi du respect de mesures individuelles de quarantaine et d'isolement et à l’accompagnement des personnes, relèvent du RGPD par leur visée sanitaire. Lorsque le contrôle de ces mesures individuelles, entendu notamment par la constatation des infractions pénales associées, apparaît également au titre des finalités du même traitement, que celui‑ci est placé sous la responsabilité conjointe du ministre chargé de la santé et du ministre de l’intérieur et que plusieurs services du ministère de l’intérieur accèdent ou sont rendus destinataires des données qui y sont enregistrées, il y a lieu de considérer que la prévention, la recherche et la constatation d’infractions pénales constituent une des finalités dudit traitement, et non un objet de ce traitement sans incidence sur son régime juridique.
Dans ces conditions, et dès lors que le critère de l’autorité compétente prévu par la Directive « Police – Justice » est rempli, un tel traitement relève d’un régime mixte, à savoir le RGPD pour la finalité de suivi des mesures individuelles et le titre III de la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée, pour la finalité de contrôle du respect de ces mesures par la constatation des infractions pénales associées, ce qui doit notamment apparaître dans les dispositions réglementaires encadrant le traitement en cause.
CE10 novembre 2021CE, 10ème – 9ème chambres réunies, 10 novembre 2021, M. M... B..., n° 444992, Inédit., point 7(source)
Juridictions compétentes pour le contentieux portant sur les traitements mixtes
Il résulte des articles L. 841‑2 et R. 841‑2 du code de la sécurité intérieure que la formation spécialisée du Conseil d’État statuant au contentieux n’est compétente, en ce qui concerne les litiges relatifs à l’accès indirect aux données recueillies dans le fichier STARTRAC, que pour celles de ces données qui intéressent la sûreté de l’État. Le tribunal administratif et la cour administrative d’appel restent compétents en première instance et en appel pour connaître des litiges relatifs à l’accès indirect aux données recueillies dans ce même fichier n’intéressant pas la sûreté de l’État.
CE3 mars 2020CE, Section de l'intérieur, 3 mars 2020, Avis, n° 401352, 401354, 401355, Projets de décrets modifiant les dispositions du code de la sécurité intérieure relatives aux traitements de données à caractère personnel dénommés « Prévention des atteintes à la sécurité publique » (PASP), « Enquêtes administratives liées à la sécurité publiques » (EASP), « Gestion de l'information et prévention des(source)
Traitement de données à caractère personnel – Fichier mixte – Traitements dont la finalité relève pour partie de la sécurité publique et pour partie de la sûreté de l' État – Nécessité de définir les données intéressant la sûreté de l' État
Le Conseil d'État (section de l'intérieur) a donné un avis favorable à trois projets de décret modifiant les dispositions du code de la sécurité intérieure relatives aux traitements dénominés « Enquêtes administratives liées à la sécurité publique » (EASP), « Prévention des atteintes à la sécurité publique » (PASP) et « Gestion de l'information et prévention des atteintes à la sécurité publique » (GIPASP ).
En premier lieu ces projets ajoutent à la finalité de « sécurité publique » des trois traitements, celle de « sûreté de l'État ». Par suite, les trois traitements deviennent des fichiers mixtes, les données intéressant la sécurité publique relevant du titre III de la loi n° 78‑17 du 6 janvier 1978 et de la directive 2016/680, et celles intéressant la sûreté de l'État du titre IV de la loi du 6 janvier 1978 dite « Informatique et Libertés », et du RGPD.
Ces deux groupes de données étant ainsi soumis à dés régimes juridiques distincts, notamment quant aux droits d'accès, de rectification et d'effacement des personnes concernées, le Conseil d'État a considéré nécessaire que les trois projets de décret comportent une définition des données intéressant la sûreté de l'État, la notion de sûreté de l'État n'ayant jamais été définie par une disposition législative ou réglementaire, ni par la jurisprudence. S'inspirant des dispositions de l'article 410‑1 du code pénal et de l'article L. 811‑1 du code de la sécurité intérieure qui traitent des intérêts fondamentaux de la Nation, et aux seules fins de préciser les finalités des traitements concernés, le Conseil d'État propose que les articles 1ers des trois projets de décret soient complétés afin de prévoir que « Les données intéressant la sûreté de l'État sont celles qui révèlent des activités susceptibles de porter atteinte aux intérêts fondamentaux de la Nation ou de constituer une menace terroriste portant atteinte à ces mêmes intérêts (…) ».
En second lieu le Conseil d'État a considéré que l'indication de l'enregistrement ou non d'une personne dans les traitements de données énumérées par les articles modifiés R. 236‑2, R. 236‑12 et R. 236‑22 du code de la sécurité intérieure, ainsi que l'enregistrement de données à caractère personnel issues d'autres traitements, constituaient une mise en relation de fichier et non une interconnexion. En effet, ces enregistrements ne procèdent ni d'une consultation automatique d'un des traitements énumérés, aux fins de vérifier si l'identité d'une personne y est enregistrée, ni d'une inscription automatique de cette information ou d'autres informations la concernant au nombre des données pouvant être enregistrées dans l'un des trois traitements examinés.
CC13 novembre 2020CC, 2020-808 DC, 13 novembre 2020, Loi autorisant la prorogation de l'état d'urgence sanitaire et portant diverses mesures de gestion de la crise sanitaire, points 16-24(source)
Extension de l'accès aux données des personnes atteintes de la covid‑19 – Respect du droit à la vie privée – Conditions
Les données relatives à la santé des personnes atteintes par le virus responsable de la covid‑19 et des personnes en contact avec elles sont, le cas échéant sans leur consentement, traitées et tagées à travers un système d'information ad hoc. Ne méconnaît pas le droit au respect de la vie privée l'extension de l'accès à ces données à certains professionnels de santé qui participent à l'établissement du diagnostic et à l'identification des chaînes de contamination, sans consentement préalable, dès lors que ces professionnels ne peuvent avoir accès qu'aux seules données nécessaires à leur intervention et dans la stricte mesure où leur intervention sert les finalités poursuivies par le système d'information ; aux organismes assurant l'accompagnement social des personnes infectées ou susceptibles de l'être, lorsque cet accès est subordonné au recueil préalable du consentement des intéressés et ne peut porter que sur les données strictement nécessaires à l'exercice de la mission de ces organismes (voir à ce sujet la censure sous DC 2020‑800).
CC11 mai 2020CC, 2020-800 DC, 11 mai 2020, Loi prolongant l'état d'urgence sanitaire et complétant ses dispositions, points 62-78(source)
Traitement des données relatives à la santé des personnes atteintes par le covid-19 et des personnes en contact avec elles sans consentement préalable – OVC de protection de la santé – Contrôle de la proportionnalité du traitement Stop Covid
L'article 11 contesté prévoit que, par dérogation à l'exigence fixée à l'article L. 1110‑4 du code de la santé publique, les données à caractère personnel relatives à la santé des personnes atteintes par le covid-19 et des personnes en contact avec elles peuvent être traitées et partagées, sans le consentement des intéressés, dans le cadre d'un système d'information ad hoc ainsi que dans le cadre d'une adaptation des systèmes d'information relatifs aux données de santé déjà existants. La collecte, le traitement et le partage d'informations portent donc non seulement sur les données médicales personnelles des intéressés, mais aussi sur certains éléments d'identification et sur les contacts qu'ils ont noués avec d'autres personnes. Ce faisant, les dispositions contestées portent atteinte au droit au respect de la vie privée. Toutefois ce dispositif n'est pas contraire à la Constitution dès lors que : le législateur a entendu renforcer les moyens de lutte contre l'épidémie et poursuit l'objectif de valeur constitutionnelle (OVC) de protection de la santé ; le traitement des données ne peut être mis en œuvre que dans la mesure strictement nécessaire à quatre finalités précisément définies en lien avec cet objectif de valeur constitutionnel ; le champ des données susceptibles de faire l'objet du traitement en cause est circonscrit aux seules données relatives au covid-19 et strictement nécessaires à la poursuite de ces finalités ; le champ des personnes pouvant accéder aux données collectées, bien que large, est proportionné compte tenu de l'étendue des démarches à entreprendre pour organiser la collecte des informations nécessaires à la lutte contre le développement de l'épidémie. Par ailleurs, diverses garanties sont prévues par la loi (secret professionnel, encadrement de l'accès aux données pour les seules finalités dont relèvent les organismes concernés…) ; le traitement de ces données reste soumis aux règles issues du RGPD et de la loi du 6 janvier 1978 dite « Informatique et Libertés » ; ce dispositif ne peut s'appliquer au-delà du temps strictement nécessaire à la lutte contre la propagation de l'épidémie de covid-19 et les données à caractère personnel collectées, qu'elles soient ou non médicales, doivent, quant à elles, être supprimées trois mois après leur collecte ; le décret d'application de la loi est pris après avis public de la Commission nationale de l'informatique et des libertés. Le Conseil constitutionnel émet néanmoins des réserves : l'anonymisation prévue des données nominatives pour ce qui concerne la finalité de surveillance épidémiologique et de recherche contre le virus doit s'étendre aux coordonnées de contact électronique et téléphonique ; le recueil de ces données sans consentement préalable par des organismes d'accompagnement social méconnaît le droit au respect de la vie privée dans la mesure où l'accompagnement ne relève pas directement de la lutte contre l'épidémie ; il appartiendra au pouvoir réglementaire de définir des modalités de collecte, de traitement et de partage des informations assurant leur stricte confidentialité et, notamment, l'habilitation spécifique des agents chargés, au sein de chaque organisme, de participer à la mise en œuvre du système d'information ainsi que la traçabilité des accès à ce système d'information ; le recours à des sous‑traitants, qui agissent pour leur compte et sous leur responsabilité, doit s'effectuer en conformité avec les exigences de nécessité et de confidentialité des données.
