Tables CNIL

Cette application facilite et enrichit la navigation dans les Tables Informatique et Libertés publiées par la CNIL. Elles assemblent l’essentiel de la jurisprudence française et européenne et des décisions pertinentes de l'autorité administrative en matière de protection des données à caractère personnel, et constituent à cet égard un outil précieux pour les DPO et les avocats

Dernière mise à jour : Version du 20/02/2026 – V 2.3 [PDF]

669 décisions

Décisions de jurisprudence

Juridiction
Toutes les juridictions

CE8 février 2023CE, 10ème-9 chambres réunies, 8 février 2023, Association « commission des citoyens pour les droits de l'homme », n° 455887, T., points 5-7(source)

Registre de contention et d'isolement des établissements de santé (art. L. 3222-5-1 du code de la santé publique) Communication au titre de la loi CADA – 1) Conditions – Occultation des éléments identifiant les patients et les soignants – 2) Cas où l'identité des patients a fait l'objet d'une pseudonymisation – Contrôle du juge administratif – Risque d'atteinte à la protection de la vie privée et au secret médical – Illustration – Communicabilité à des tiers de l'identifiant dit « anonymisé » du patient – Exclusion

1) Le registre de contention et d'isolement comporte des mentions qui ne sont pas soumises à occultation préalable avant leur communication, telles que les dates, les heures et la durée de chaque mesure de contention forcée ou d'isolement. Les éléments permettant d'identifier les patients doivent, conformément aux articles L. 311-6 et L. 311-7 du code des relations entre le public et l'administration, être occultés préalablement à la communication du registre de contention et d'isolement afin de ne pas porter atteinte au secret médical et à la protection de la vie privée, comme doivent également l'être celles permettant d'identifier les soignants, afin d'éviter que la divulgation d'informations les concernant puisse leur porter préjudice.

2) Dans le cas où l'identité des patients a fait l'objet d'une pseudonymisation, laquelle ne permet l'identification des personnes en cause qu'après recoupement d'informations, il appartient au juge administratif d'apprécier si, eu égard à la sensibilité des informations en cause et aux efforts nécessaires pour identifier les personnes concernées, leur communication est susceptible de porter atteinte à la protection de la vie privée et au secret médical. En l'espèce, compte tenu de la nature des informations en cause, qui touchent à la santé mentale des patients, et du nombre restreint de personnes pouvant faire l'objet d'une mesure de contention et d'isolement, facilitant ainsi leur identification, alors que les autorités énumérées à l'article L. 3222-5-1 du code de la santé publique peuvent accéder à l'ensemble des informations figurant sur les registres et contrôler l'activité des établissements concernés, l'identifiant dit "anonymisé" figurant dans ces registres, qu'il s'agisse, selon la pratique du centre hospitalier, de "l'identifiant permanent du patient" (IPP) ou d'un identifiant spécialement défini, doit être regardé comme une information dont la communication est susceptible de porter atteinte à la protection de la vie privée et au secret médical. Cet identifiant n'est donc communicable qu'au seul intéressé en vertu des dispositions de l'article L. 311-6 du code des relations entre le public et l'administration.

CE15 novembre 2022CE, 4-1 chambres réunies, 15 novembre 2022, SCP B., n° 441387, T., point 5(source)

Secret médical (art. L. 1110-4 du code de la santé publique) Partage d’informations entre professionnels de santé ne faisant pas partie de la même équipe de soins – Obligation de recueillir le consentement de l’intéressé – Existence

Il résulte de l’article L. 1110‑4 du code de la santé publique que le partage d’informations couvertes par le secret médical et nécessaires à la prise en charge d’une personne, entre professionnels de santé ne faisant pas partie de la même équipe de soins, requiert le consentement préalable de cette personne. À ce titre, l’article 275 du code de procédure civile ne permet pas, en tout état de cause, de déroger.

CNIL21 avril 2022CNIL, P, 21 avril 2022, Avis sur projet de décret, n° 2022-051, non publié

Personnes accédant au traitement ou destinataires de données de santé Secret médical et droit d’en connaître – Portée

Dans le cadre d’un traitement mis en œuvre pour le compte de l’État et contenant des données recueillies par des professionnels de santé et couvertes par le secret médical, il revient au responsable du traitement de s’assurer que les personnes accédant au traitement ou destinataires de données qui pourraient avoir connaissance des données couvertes par le secret médical ont bien le droit d’en connaître.

Excepté dans les cas de dérogation expresse et sommaire prévus par la loi, ce secret couvre l’ensemble des informations concernant la personne portée à la connaissance d’un professionnel de santé, de tout membre du personnel d’un établissement, service ou organisme concourant à la prévention ou aux soins et de toute autre personne en relation, de par ses activités, avec ces établissements ou organismes. La Commission rappelle que ce secret s’impose à tous les professionnels intervenant dans le système de santé qui pourraient être amenés à transmettre des informations afin qu’elles soient enregistrées dans le traitement.

CJUE4 octobre 2024CJUE, 4 octobre 2024, Bezirkshauptmannschaft Landeck, C‑548/21(source)

Réglementation nationale qui octroie aux autorités compétentes la possibilité d'accéder aux données contenues dans un téléphone portable, à des fins de prévention, de recherche, de détection et de poursuite d'infractions pénales - Conditions - Contrôle préalable par une juridiction ou une autorité administrative indépendante Informations à mettre à la disposition de la personne concernée ou à lui fournir – Limites – Droit à un recours juridictionnel effectif

1) L'article 4, paragraphe 1, sous c), de la directive (UE) 2016/680 (directive « Police‑justice ») du 27 avril 2016 (principes relatifs au traitement des données à caractère personnel), lu à la lumière des articles 7 et 8 ainsi que de l'article 52, paragraphe 1, de la charte des droits fondamentaux de l'Union européenne, doit être interprété en ce sens qu'il ne s'oppose pas à une Réglementation nationale qui octroie aux autorités compétentes la possibilité d'accéder aux données contenues dans un téléphone portable, à des fins de prévention, de recherche, de détection et de poursuite d'infractions pénales en général, si cette réglementation :

  • définit de manière suffisamment précise la nature ou les catégories des infractions concernées,
  • garantit le respect du principe de proportionnalité, et
  • soumet l'exercice de cette possibilité, sauf cas d'urgence dûment justifié, à un contrôle préalable d'un juge ou d'une entité administrative indépendante.

2) Les articles 13 et 54 de la directive 2016/680 (droit à l'information et droit d'accès), lus à la lumière de l'article 47 et de l'article 52, paragraphe 1, de la charte des droits fondamentaux doivent être interprétés en ce sens qu'ils s'opposent à une réglementation nationale qui autorise les autorités compétentes à tenter d'accéder à des données contenues dans un téléphone portable sans informer la personne concernée, dans le cadre des procédures nationales applicables, des motifs sur lesquels repose l'autorisation d'accéder à ces données, délivrée par un juge ou une entité administrative indépendante, à partir du moment où la communication de cette information n'est plus susceptible de compromettre les missions incombant à ces autorités en vertu de cette directive.

CJUE30 avril 2024CJUE, 30 avril 2024, M. N. (EncroChat), C-670/22(source)

Directive 2014/41/UE Transmission et utilisation de preuves dans les affaires pénales revêtant une dimension transfrontalière – Conditions - 1) Compétence du procureur – 2) Décision de transmission de preuves acquises à la suite de l'interception de télécommunications chiffrées des utilisateurs de téléphones portables – 3) Notification de l'infiltration d'appareils terminaux visant à extraire des données de trafic, de localisation et de communication – 4) Protection des droits des utilisateurs concernés par une mesure d’« interception de télécommunications » – 5) Éléments de preuve que la personne soupçonnée n’est pas en mesure de commenter efficacement ces informations

1) L’article 1, paragraphe 1, et l’article 2, sous‑c), de la directive 2014/41/UE du Parlement européen et du Conseil, du 3 avril 2014, concernant la décision d’enquête européenne en matière pénale, doivent être interprétés en ce sens qu’une décision d’enquête européenne visant à la transmission de preuves déjà en la possession des autorités compétentes de l’État d’exécution ne doit pas nécessairement être prise par un juge lorsque, en vertu du droit de l’État d’émission, dans une procédure purement interne à cet État, la collecte initiale de ces preuves aurait dû être ordonnée par un juge, mais qu’un procureur est compétent pour ordonner la transmission desdites preuves.

2) L’article 6, paragraphe 1, de la directive 2014/41 doit être interprété en ce sens qu’il ne s’oppose pas à ce qu’un procureur adopte une décision d’enquête européenne qui vise à la transmission de preuves déjà en la possession des autorités compétentes de l’État d’exécution, lorsque ces preuves ont été acquises à la suite de l’interception de télécommunications chiffrées par ces autorités, sur le territoire de l’État d’émission, de l’ensemble des utilisateurs de téléphones portables qui permettent, grâce à un logiciel spécial et à un matériel modifié, une communication chiffrée de bout en bout, pourvu qu’une telle décision respecte l’ensemble des conditions prévues, le cas échéant, par le droit de l’État d’émission pour la transmission de telles preuves dans une situation purement interne à cet État.

3) L’article 31 de la directive 2014/41 doit être interprété en ce sens qu’une mesure liée à l’infiltration d’appareils terminaux, visant à extraire des données de trafic, de localisation et de communication d’un service de communication fondé sur Internet, constitue une « interception de télécommunications », au sens de cet article, qui doit être notifiée à l’autorité désignée à cet effet par l’État membre sur le territoire duquel se trouve la cible de l’interception. Dans l’hypothèse où l’État membre interceptant n’est pas en mesure d’identifier l’autorité compétente de l’État membre notifié, cette notification peut être adressée à toute autorité de l’État membre notifié que l’État membre interceptant juge apte à cet effet.

4) L’article 31 de la directive 2014/41 doit être interprété en ce sens qu’il vise également à protéger les droits des utilisateurs concernés par une mesure d’« interception de télécommunications », au sens de cet article.

5) L’article 14, paragraphe 7, de la directive 2014/41 doit être interprété en ce sens qu’il impose au juge pénal national d’écarter, dans le cadre d’une procédure pénale ouverte contre une personne soupçonnée d’actes de criminalité, des informations et des éléments de preuve si cette personne n’est pas en mesure de commenter efficacement ces informations ainsi que ces éléments de preuve et que ceux‑ci sont susceptibles d’influencer de manière prépondérante l’appréciation des faits.

CJUE30 janvier 2024CJUE, 30 janvier 2024, NG c./ Direktor na Glavna direktsia « Natsionalna politsia » pri Ministerstvo na vatreshnite raboti – Sofia, C-118/22(source)

Législation nationale prévoyant la conservation par les autorités de police, à des fins de prévention et de détection des infractions pénales de données à caractère personnel, y compris biométriques et génétiques, concernant des personnes ayant fait l'objet d'une condamnation pénale définitive jusqu'au décès de ces personnes - Inconventionnalité

L'article 4, paragraphe 1, sous c) et e), de la directive (UE) 2016/680 du Parlement européen et du Conseil, du 27 avril 2016, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision - cadre 2008/977/JAI du Conseil, lu en combinaison avec les articles 5 et 10, l'article 13, paragraphe 2, sous b), ainsi que l'article 16, paragraphes 2 et 3, de celle-ci, et à la lumière des articles 7 et 8 de la charte des droits fondamentaux de l'Union européenne doit être interprété en ce sens qu'il s'oppose à une législation nationale qui prévoit la conservation, par les autorités de police, à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, de données à caractère personnel, notamment de données biométriques et génétiques, concernant des personnes ayant fait l'objet d'une condamnation pénale définitive pour une infraction pénale intentionnelle relevant de l'action publique, et ce jusqu'au décès de la personne concernée, y compris en cas de réhabilitation de celle-ci, sans mettre à la charge du responsable du traitement l'obligation de vérifier régulièrement si cette conservation est toujours nécessaire, ni reconnaître à ladite personne le droit à l'effacement de ces données, dès lors que leur conservation n'est plus nécessaire au regard des finalités pour lesquelles elles ont été traitées, ou, le cas échéant, à la limitation du traitement de celles-ci.

Cass14 octobre 2020Cass, 1 civ., 14 octobre 2020, n° 19-19.234, B., points 5-6(source)

Conservation et consultation des empreintes digitales d'un individu identifié ou identifiable Habilitation des agents pouvant les consulter – Procédure entachée d'une nullité d'ordre public en l'absence d'habilitation

Au regard de l'ingérence dans le droit au respect de la vie privée que constituent, au sens de l'article 8 de la Convention de sauvegarde des droits de l'homme et des libertés fondamentales, la conservation dans un fichier automatisé des empreintes digitales d'un individu identifié ou identifiable et la consultation de ces données, l'habilitation des agents pouvant les consulter est une garantie institutionnelle édictée pour la protection des libertés individuelles.

S'il ne résulte pas des pièces du dossier que l'agent ayant consulté les fichiers d'empreintes était expressément habilité à cet effet, la procédure se trouve entachée d'une nullité d'ordre public, sans que l'étranger qui l'invoque ait à démontrer l'existence d'une atteinte portée à ses droits.

Cass17 octobre 2018Cass, 1 civ., 17 octobre 2018, n° 17-16.852, B., point 10 Catégories de données(source)

Contestation de l'habilitation d'un fonctionnaire de police Accès à des fichiers biométriques – Retenue pour vérification du droit de circulation et de séjour

Lorsqu'une Contestation porte sur la habilitation d'un fonctionnaire de police à accéder à des fichiers biométriques à l'occasion d'une retenue pour vérification du droit de circulation et du séjour, il incombe au juge de vérifier s'il résulte des actes de la procédure, notamment des mentions faisant foi jusqu'à preuve contraire, d'un procès-verbal contenant le résultat de la consultation des fichiers, que le fonctionnaire de police les ayant consultés était expressément habilité à cet effet.

CEDH4 octobre 2023CEDH, 4 octobre 2023, Glukhin c. Russie, n° 11519/20(source)

Recours à la reconnaissance faciale en temps réel à des fins de prévention des infractions pénales Mesures particulièrement intrusives en l'espèce et traitement de données sensibles – Manifestation d'opinions politiques – Inconventionnalité

Dans une jurisprudence constante, la Cour EDH juge que la conservation de photographies par la police, combinée à la possibilité de leur appliquer des techniques de recours à la reconnaissance faciale en temps réel, constitue une ingérence dans l'exercice du droit à la vie privée. La Cour rappelle également qu'il est essentiel, dans le cadre de la mise en œuvre de la technologie de reconnaissance faciale, de disposer de règles détaillées régissant la portée et l'application des mesures ainsi que de garanties solides contre le risque d'abus et d'arbitraire. La nécessité de disposer de garanties est d'autant plus grande lorsque la technologie de reconnaissance faciale est utilisée en temps réel.

En l'espèce, le requérant russe qui a manifesté pacifiquement dans le métro moscovite, et dont des photographies et une vidéo ont été publiées sur un canal public de Telegram, a été identifié à partir de ces éléments, localisé puis interpellé, au moyen d'une technologie de recours à la reconnaissance faciale en temps réel.

Partant du principe selon lequel les mesures litigieuses poursuivaient le but légitime de la prévention des infractions pénales, la Cour estime que les mesures prises contre le requérant ont été particulièrement intrusives, surtout le recours à la technologie de reconnaissance faciale en temps réel. Un niveau élevé de justification est donc nécessaire pour qu'elles puissent être considérées comme « nécessaires dans une société démocratique », le niveau de justification le plus élevé étant requis pour l'utilisation de cette technologie. De plus, les données à caractère personnel qui ont été traitées renfermant des informations sur la participation du requérant à une manifestation pacifique, elles ont par conséquent révélé les opinions politiques de l'intéressé. Elles appartenaient donc aux catégories particulières de données sensibles qui appellent un niveau de protection accru.

Le droit interne russe autorisait le traitement des données biométriques à caractère personnel dans le cadre de l'enquête et des poursuites engagées pour toute infraction, quelles qu'en fussent la nature et la gravité.

Le requérant a été poursuivi pour une infraction administrative mineure qui n'a représenté aucun risque pour l'ordre public ou la sécurité des transports. Il n'a pas été accusé d'avoir commis un acte répréhensible au cours de sa manifestation. L'utilisation d'une technologie de reconnaissance faciale très intrusive pour identifier et arrêter les participants à des actions de protestation pacifiques pourrait produire un effet dissuasif dans le domaine des droits à la liberté d'expression et de réunion.

Dans ces conditions, le traitement des données à caractère personnel du requérant au moyen de la technologie de reconnaissance faciale dans le cadre de la procédure administrative ne répondait pas à un « besoin social impérieux » et ne pouvait être considéré comme « nécessaire dans une société démocratique ». La Cour EDH conclut donc à une violation de l'article 8.

CC13 mars 2003CC, 2003-467 DC, 13 mars 2003, Loi pour la sécurité intérieure, points 36-38(source)

Personnes mineures Durée de conservation – Conciliation entre la nécessité d'identifier les auteurs d'infractions et celle de rechercher le relèvement éducatif et moral des mineurs délinquants

S'agissant des traitements automatisés d'informations nominatives des services de police et de gendarmerie, il appartiendra au décret prévu au V de l'article 21 de la loi pour la sécurité intérieure de déterminer une durée de conservation des faits impliquant des personnes mineures conciliant, d'une part, la nécessité d'identifier les auteurs d'infractions et, d'autre part, celle de rechercher le relèvement éducatif et moral des mineurs délinquants.

CJUE16 avril 2015CJUE, 16 avril 2015, Willems e. a., C-446/12 à C-449/12(source)

Article 4, paragraphe 3, règlement n°2252/2004 Absence d’obligation des États membres de garantir que les données biométriques ne seront pas utilisées ou conservées à d’autres fins que la délivrance d’un passeport ou d’un document de voyage

L’Article 4, paragraphe 3, du règlement n°2252/2004 établissant des normes pour les éléments de sécurité et les éléments biométriques intégrés dans les passeports et les documents de voyage délivrés par les États membres n’oblige pas les États membres à garantir, dans leur législation, que les données biométriques rassemblées et conservées conformément audit règlement ne seront pas rassemblées, traitées et utilisées à des fins autres que la délivrance du passeport ou du document de voyage ; un tel aspect ne relevant pas du champ d’application dudit règlement.

CJUE17 octobre 2013CJUE, 17 octobre 2013, Schwarz, C‑291/12, point 53(source)

Protection des passeports contre leur utilisation frauduleuse de manière suffisamment efficace Recueil des empreintes digitales – Proportionnalité – Existence

Il n'a pas été porté à la connaissance de la Cour l'existence de mesures susceptibles de contribuer, de manière suffisamment efficace, au but tenant à la Protection des passeports contre leur utilisation frauduleuse et aux droits reconnus par les articles 7 et 8 de la Charte que celles entraînées par la méthode fondée sur les Recueil des empreintes digitales. Ce recueil est donc proportionné.

CC22 mars 2012CC, 2012-652 DC, 22 mars 2012, Loi relative à la protection de l'identité, points 8-11(source)

Traitement de données notamment biométriques visa NT à préserver l'intégrité des données nécessaires à la délivrance des titres d'identité et de voyage Nature, ampleur, caractéristiques techniques et conditions de consultation – Non-conformité

La création d'un traitement de données à caractère personnel destiné à préserver l'intégrité des données nécessaires à la délivrance des titres d'identité et de voyage permet de sécuriser la délivrance de ces titres et d'améliorer l'efficacité de la lutte contre la fraude. Elle est ainsi justifiée par un motif d'intérêt général. Toutefois, compte tenu de son objet, ce traitement de données à caractère personnel est destiné à recueillir les données relatives à la quasi-totalité de la population de nationalité française. Les données biométriques enregistrées dans ce fichier, notamment les empreintes digitales, étant par elles-mêmes susceptibles d'être rapprochées de traces physiques laissées involontairement par la personne ou collectées à son insu, sont particulièrement sensibles. Les caractéristiques techniques de ce fichier définies par les dispositions contestées permettent son interrogation à d'autres fins que la vérification de l'identité d'une personne. Les dispositions de la loi relative à la protection de l'identité autorisent la consultation ou l'interrogation de ce fichier non seulement aux fins de délivrance ou de renouvellement des titres d'identité et de voyage et de vérification de l'identité du possesseur d'un tel titre, mais également à d'autres fins de police administrative ou judiciaire. Il résulte de ce qui précède qu'en égard à la nature des données enregistrées, à l'ampleur de ce traitement, à ses caractéristiques techniques et aux conditions de sa consultation, les dispositions de l'article 5 portent au droit au respect de la vie privée une atteinte qui ne peut être regardée comme proportionnée au but poursuivi. Par suite, les articles 5 et 10 de la loi relative à la protection de l'identité doivent être déclarés contraires à la Constitution.

CE26 octobre 2011CE, Assemblée, 26 octobre 2011, Association pour la promotion de l'image et autres, n° 317827, Rec., points 11-12(source)

Données adéquates, pertinentes et non excessives Condition non remplie – Conservation dans un traitement informatisé des données à caractère personnel recueillies lors de l'établissement ou du renouvellement des passeports de huit empreintes digitales alors que le passeport n'en contient que deux

Constitution d'un traitement automatisé centralisé données à caractère personnel (état civil, image numérisée du visage et empreintes de huit doigts) recueillies auprès des personnes âgées d'au moins six ans lors de l'établissement ou du renouvellement des passeports.

La finalité de la consultation des empreintes digitales contenues dans le traitement automatisé (confirmer que la personne présentant une demande de renouvellement d'un passeport est bien celle à laquelle le passeport a été initialement délivré ou s'assurer de l'absence de falsification des données contenues dans le composant électronique du passeport) peut être atteinte de manière suffisamment efficace en comparant les empreintes figurant dans le composant électronique du passeport avec celles conservées dans le traitement, sans qu'il soit nécessaire que ce dernier en contienne davantage.

Dès lors, le Conseil d'État annule l'article litigieux du fait de l'inconventionnalité de la collecte et de la conservation d'un plus grand nombre d'empreintes digitales que celles figurant dans le composant électronique, ces données n'étant ni adéquates, ni pertinentes et apparaissant excessives au regard des finalités du traitement informatisé.

CC26 juillet 2019CC, 2019-797 QPC, 26 juillet 2019, Unicef France et autres, points 6, 8-10(source)

Traitement comportant empreintes digitales et photographie s de m ineurs non accompagnés Intérêt supérieur de l'enfant – OVC de lutte contre l'i mmigration irrégulière – Exclusion de la reconnaissance faciale – Durée de conservation limitée et respect de la loi Informatique et Libertés – Conciliation non disproportionnée

Les dispositions contestées créent un traitement automatisé comportant les empreintes digitales et la photographie des ressortissants étrangers qui se déclarent mineurs privés temporairement ou définitivement de la protection de leur famille.

En évitant la réitération par des personnes majeures de demandes de protection qui ont déjà donné lieu à une décision de refus, le traitement automatisé mis en place par les dispositions contestées vise à faciliter l'action des autorités en charge de la protection des mineurs et à lutter contre l'entrée et le séjour irréguliers des étrangers en France. Ce faisant, et alors qu'aucune norme constitutionnelle ne s'oppose par principe à ce qu'un traitement automatisé poursuive plusieurs finalités, le législateur a, en adoptant les dispositions contestées, entendu mettre en œuvre l'exigence constitutionnelle de protection de l'intérêt supérieur de l'enfant et poursuivi l'objectif de valeur constitutionnelle de lutte contre l'immigration irrégulière.

Par ailleurs, les dispositions contestées prévoient le recueil, l'enregistrement et le traitement des empreintes digitales et de la photographie des ressortissants étrangers qui sollicitent le bénéfice des dispositifs de protection de l'enfance et excluent tout dispositif de reconnaissance faciale. Ainsi, les données recueillies sont celles nécessaires à l'identification de la personne et à la vérification de ce qu'elle n'a pas déjà fait l'objet d'une évaluation de son âge. Enfin, d'une part, les dispositions contestées prévoient que la conservation des données des personnes reconnues mineures est limitée à Durée de conservation limitée à leur prise en charge et à leur orientation, en tenant compte de leur situation personnelle. D'autre part, le fichier instauré par les dispositions contestées est mis en œuvre dans le respect de la loi Informatique et Libertés. Conciliation non disproportionnée entre la sauvegarde de l'ordre public et le droit au respect de la vie privée.

CE17 janvier 2017CE, Section de l'intérieur, 17 janvier 2017, Avis, n° 392228, Projet de décret pris pour l'application des articles L.744‑6 et L.744‑7 du code de l'entrée et du séjour des étrangers et du droit d'asile et portant création du traitement automatisé de données à caractère personnel(source)

Projet de décret pour l'application des articles L. 744 - 6 et L. 744 - 7 CESEDA Traitement de données des vulnérabilités des demandeurs d'asile – Intérêt public – Légalité – Exception des données n'ayant pas été volontairement communiquées

Le Conseil d'État (section de l'intérieur) a donné un avis favorable au projet de décret pris pour l'application des articles L. 744 - 6 et L. 744 - 7 CESEDA et portant création du traitement automatisé de données à caractère personnel prévu par ces articles sous réserve de plusieurs observations.

L'article L. 744-6 du CESEDA confie à l'Office français de l'immigration et de l'intégration (OFII) la charge d'évaluer la vulnérabilité des demandeurs d'asile et permet que les informations recueillies dans ce cadre puissent faire l'objet d'un traitement automatisé de données, dans les conditions fixées par la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. Le décret mettant en œuvre ce fichier est justifié par un intérêt public et échappe, en application du IV de l'article 8 de la même loi, à l'interdiction de collecte et de traitement des données à caractère personnel relatives à la santé prévue par le I du même article.

Le Conseil d'État estime que le projet de décret pouvait légalement prévoir l'enregistrement des données de vulnérabilité, à l'exception toutefois des données de santé à caractère personnel qui n'auraient pas été volontairement communiquées par le demandeur d'asile, ainsi que l'accès à ces données par les personnels de l'OFII, les agents chargés de l'accueil des demandeurs d'asile relevant des ministères de l'intérieur et des affaires sociales et de l'Office français de protection des réfugiés et des apatrides, dans la limite de leurs attributions et du besoin d'en connaître.

Le Conseil d'État souligne également la légalité de ce projet de décret.

CE12 mars 2007CE, 10ème/9ème SSR, 12 mars 2007, Gisti et autres, n° 297888, Rec., point 6(source)

Ministre de l'intérieur Incompétence pour créer un fichier informatique destiné à faciliter l'éloignement des étrangers en situation irrégulière (fichier « ELOI » créé par arrêté du 30 juillet 2006)

En application des dispositions des articles L. 611‑3 et L. 611‑5 du code de l’entrée et du séjour des étrangers et du droit d’asile, seul un décret en Conseil d’État, pris après avis de la Commission nationale de l’informatique et des libertés, peut fixer les modalités de mise en œuvre relatives notamment à la durée de conservation et aux conditions de mise à jour des informations enregistrées, à la détermination des fonctionnaires habilités à y accéder ainsi qu’à la définition des conditions dans lesquelles les personnes concernées peuvent exercer leur droit d’accès, du traitement automatisé d’un fichier dont la finalité est de faciliter l’éloignement des étrangers en situation irrégulière et comporte, parmi les informations collectées, une photographie d’identité des intéressés.

En conséquence, illégalité de la création d’un fichier de cette nature, dénommé fichier « ELOI », par arrêté ministériel en date du 30 juillet 2006.

CC21 mars 2019CC, 2019-778 DC, 21 mars 2019, Loi de programmation 2018-2022 et de réforme pour la justice, points 161-167, 148-150(source)

1) Utilisation de dispositifs techniques permettant de recueillir les données de connexion et de localisation, d'intercepter des correspondances émises ou reçues par un équipement terminal, de capter, fixer et enregistrer des paroles ou des images dans des lieux publics ou privés Autorisation de recourir à ces techniques spéciales pour tout crime dans le cadre d'une enquête de flagrance ou préliminaire – Absence de contrôle suffisant par le juge du maintien du caractère nécessaire et proportionné – Absence de conciliation équilibrée – 2) Dispositifs techniques permettant d'accéder à des données informatiques – Infraction relevant de la criminalité organisée – Conformité – 3) Géolocalisation – Conditions de mise en œuvre – Conformité

1) En premier lieu, les dispositifs techniques d'enquête désignent plusieurs mesures d'investigation : l'utilisation d'un dispositif technique permettant de recueillir les données de connexion d'un équipement terminal, les données relatives à sa localisation, mais également l'interception des correspondances émises ou reçues par cet équipement ; l'utilisation d'un dispositif technique, éventuellement installé dans un lieu privé, ayant pour objet, sans le consentement des intéressés, la capture, fixation et enregistrement de paroles dans des lieux privés ou publics, ou l'image des personnes se trouvant dans un lieu privé ; l'utilisation d'un dispositif technique ayant pour objet, sans le consentement des intéressés, d'accéder, en tous lieux, à des données informatiques, de les enregistrer, de les conserver et de les transmettre, telles qu'elles sont stockées dans un système informatique, telles qu'elles s'affichent sur un écran pour l'utilisateur d'un système de traitement automatisé de données, telles qu'il les y introduit par saisie de caractères ou telles qu'elles sont reçues et émises par des périphériques. Ces techniques présentent donc un caractère particulièrement intrusif.

En deuxième lieu, le législateur a prévu que le recours à ces techniques spéciales est autorisé, dans le cadre d'une enquête de flagrance ou préliminaire, pour tout crime, et non pour les seules infractions relevant de la criminalité organisée. Or, si une infraction d'une particulière gravité et complexité est de nature à justifier le recours à de telles mesures, il n'est pas nécessairement le cas d'infractions ne présentant pas ces caractères.

En troisième lieu, cette autorisation est délivrée, à la requête du procureur de la République, par le juge des libertés et de la détention. Toutefois, si le juge des libertés et de la détention peut ordonner à tout moment l'interruption des techniques spéciales d'enquête, les dispositions légales ne prévoient pas qu'il puisse accéder à l'ensemble des éléments de la procédure. Ainsi, alors que son autorisation est donnée pour une durée d'un mois, il n'a pas accès aux procès‑verbaux réalisés dans le cadre de l'enquête en cours autres que ceux dressés en exécution de sa décision et n'est pas informé du déroulé de l'enquête en ce qui concerne les investigations autres que les actes accomplis en exécution de sa décision.

Il résulte de ce qui précède que le législateur a autorisé le recours à des techniques d'enquête particulièrement intrusives pour des infractions ne présentant pas nécessairement un caractère de particulière complexité, sans assortir ce recours des garanties permettant un contrôle suffisant par le juge du maintien du caractère nécessaire et proportionné de ces mesures durant leur déroulé.

Le législateur n'a donc pas opéré une conciliation équilibrée entre, d'un côté, l'objectif de recherche des auteurs d'infractions et, de l'autre, le droit au respect de la vie privée et le secret des correspondances.

En outre, en prévoyant qu'en cas d'urgence, l'autorisation de recourir à une de ces techniques spéciales d'enquête peut être délivrée par le procureur de la République et se poursuivre sans contrôle ni intervention d'un magistrat du siège pendant vingt‑quatre heures, le législateur a porté une atteinte inconstitutionnelle au droit au respect de la vie privée et au secret des correspondances.

2) En autorisant, pour les nécessités d'une enquête ou d'une information relatives à une infraction relevant de la criminalité organisée, le recours à des dispositifs techniques permettant d'accéder à des données informatiques, de les enregistrer, de les conserver et de les transmettre telles qu'elles sont reçues et émises par des périphériques, y compris non audiovisuels, le législateur n'a pas méconnu le droit au respect de la vie privée.

3) En premier lieu, la géolocalisation est une mesure de police judiciaire consistant à surveiller une personne au moyen de procédés techniques en suivant, en temps réel, la position géographique d'un véhicule que cette personne est supposée utiliser ou de tout autre objet, notamment un téléphone, qu'elle est supposée détenir. La mise en œuvre de ce procédé n'implique pas d'acte de contrainte sur la personne visée, ni d'atteinte à son intégrité corporelle, de saisie, d'interception de correspondance ou d'enregistrement d'image ou de son. L'atteinte à la vie privée qui résulte de la mise en œuvre de ce dispositif réside dans la surveillance par localisation continue et en temps réel de la personne, le suivi de ses déplacements dans tous lieux publics ou privés, ainsi que dans l'enregistrement et le traitement des données ainsi obtenues.

En second lieu, le recours à la géolocalisation est placé sous la direction et le contrôle de l'autorité judiciaire. Lorsqu'elle est autorisée pour une procédure de recherche des causes de la mort ou de blessures graves, d'une disparition, d'une personne en fuite ou dans le cadre d'une enquête pour une infraction relevant de la criminalité organisée, le procureur de la République ne peut l'autoriser que pour une durée maximale de quinze jours consécutifs. Dans les autres cas, la durée de son autorisation ne peut excéder huit jours consécutifs. À l'issue de ce délai, elle est autorisée par le juge des libertés et de la détention pour une durée maximale d'un mois renouvelable. En outre, la durée totale de l'opération ne peut excéder un an ou, s'il s'agit d'une infraction relevant de la délinquance organisée, deux ans. Lorsque, en cas d'urgence, elle est mise en place ou prescrite par un officier de police judiciaire, le procureur de la République, immédiatement informé, peut en prescrire la mainlevée.

Dès lors, en prévoyant qu'il peut être recouru à la géolocalisation lorsque les nécessités de l'enquête concernant un crime ou un délit puni d'une peine d'emprisonnement d'au moins trois ans l'exigent, le législateur a opéré une conciliation équilibrée entre l'objectif de valeur constitutionnelle de recherche des auteurs d'infraction et le droit au respect de la vie privée.

CC25 mars 2014CC, 2014-693 DC, 25 mars 2014, Loi relative à la géolocalisation, points 14, 15, 17(source)

Géolocalisation Conditions de mise en œuvre – Conformité

Le recours à la géolocalisation ne peut avoir lieu que lorsque l'exigent les nécessités de l'enquête ou de l'instruction concernant un crime ou un délit puni d'une peine d'emprisonnement d'au moins trois ans, s'agissant d'atteinte aux personnes, d'aide à l'auteur ou au complice d'un acte de terrorisme ou d'évasion, ou d'au moins cinq ans d'emprisonnement, s'agissant de toute autre infraction, ainsi qu'à des enquêtes ou instructions portant sur la recherche des causes de la mort, des causes de la disparition d'une personne ou des procédures de recherche d'une personne en fuite.

Le recours à la géolocalisation est placé sous la direction et le contrôle de l'autorité judiciaire. Dans les cas prévus par le 1° de l'article 230‑33 du code de procédure pénale, le procureur de la République ne peut l'autoriser que pour une durée maximale de 15 jours consécutifs. À l'issue de ce délai, elle est autorisée par le juge des libertés et de la détention pour une durée maximale d'un mois renouvelable. Dans les cas prévus au 2° du même article, le juge d'instruction peut l'autoriser pour une durée maximale de quatre mois renouvelables. En cas d'urgence, lorsqu'elle est mise en place ou prescrite par un officier de police judiciaire, le procureur de la République ou le juge d'instruction, immédiatement informé, peut prescrire sa mainlevée.

Il résulte de tout ce qui précède que le législateur a entouré la mise en œuvre de la géolocalisation de mesures de nature à garantir que, placées sous l'autorisation et le contrôle de l'autorité judiciaire, les restrictions apportées aux droits constitutionnellement garantis soient nécessaires à la manifestation de la vérité et ne revêtent pas un caractère disproportionné au regard de la gravité et de la complexité des infractions commises.

Cass22 mars 2016Cass, crim., 22 mars 2016, n° 15-83.207, B., points 16-17(source)

Interceptions téléphoniques Matériel technique fourni par un prestataire n'accomplissant aucun acte de procédure – Moyen de nullité écarté

Attendu que, pour écarter le moyen de nullité visant les interceptions téléphoniques, pris de la violation des articles 100-3 du code de procédure pénale, 4 et 26 de la loi n°78-17 du 6 janvier 1978, en raison de l'intervention d'une société non habilitée par l'autorité de tutelle, l'arrêt attaqué relève que celle‑ci met à disposition des enquêteurs et magistrats le matériel permettant l'acheminement des données, dont elle n'est pas à l'origine et qu'elle ne détient que provisoirement, de manière précaire, en fournissant des moyens techniques ; que les juges ajoutent qu'elle n'est pas chargée de retranscrire les conversations auxquelles elle n'a d'ailleurs pas accès.

Attendu qu'en statuant ainsi, dès lors qu'aucune violation des dispositions légales en matière d'interception de communications téléphoniques ne saurait résulter de la simple fourniture à un service de police du matériel technique lui permettant d'y procéder par un prestataire qui n'accomplit aucun acte de procédure, la chambre de l'instruction a justifié sa décision.