Le décret n°2020-151 du 20 février 2020 portant autorisation d'un traitement automatisé de données à caractère personnel dénommé « application mobile de prise de notes » (GendNotes) autorise le ministre de l'intérieur à mettre en œuvre un traitement automatisé de données à caractère personnel dénommé GendNotes.

L'une des finalités du traitement est de « faciliter le recueil et la conservation en vue de leur exploitation ultérieure dans d'autres traitements de données » notamment par le biais d'un système de pré‑renseignement des données collectées.

Le Conseil d'État annule ledit décret au motif que le traitement ne satisfait pas à l'exigence « déterminée, explicite et légitime ». En effet, dès lors qu'un décret prévoit, au titre des finalités du traitement, sa mise en relation avec d'autres traitements, il doit comporter des indications quant à la nature ou à l'objet des traitements concernés ou aux conditions d'exploitation, dans ces autres traitements, des données collectées par le traitement initial, afin de satisfaire pas à l'exigence d'une finalité « déterminée, explicite et légitime » énoncée au 2° de l'article 4 de la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

Saisi d'un projet de décret portant autorisation d'un traitement automatisé de données à caractère personnel dénommé « application mobile de prise de notes » (GendNotes), le Conseil d'État (section de l'intérieur) lui a donné un avis favorable sous réserve des modifications qu'il lui a apportées. Ce traitement de données a pour finalités, d'une part, de faciliter le recueil et la conservation, en vue de leur exploitation dans d'autres traitements de données, notamment par le biais d'un système de pré-renseignement, des informations collectées par les militaires de la gendarmerie nationale à l'occasion d'actions de prévention, d'investigations ou d'interventions, et nécessaires à l'exercice de leurs missions de police judiciaire et administrative, et, d'autre part, de faciliter la transmission de comptes rendus aux autorités judiciaires. Le traitement offre la possibilité à l'utilisateur de compléter, outre des champs prédéfinis, des zones de commentaires libres dans une interface « Note ». Ce traitement, par ses finalités, relève du titre III de la loi du 6 janvier 1978 et de la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016. Ces dispositions ne font pas obstacle à ce qu'un traitement comporte une zone de commentaires libres destinée à la consignation d'appréciations. Toutefois, afin d'éviter tout contournement des restrictions imposées tant par le droit de l'Union européenne que par la loi, le Conseil d'État estime que l'acte créant ce type de zone de commentaire doit respecter les principes suivants :

• une zone de commentaires libres ne doit être prévue que lorsque cela est strictement nécessaire à l'atteinte des finalités que poursuit le traitement ;

• les faits doivent y être présentés séparément des appréciations personnelles ;

• la liberté de formulation régissant ces espaces ne peut en aucune manière aboutir à collecter et traiter des données autres que celles expressément prévues par l'acte créant le traitement ;

• au regard de la difficulté de préciser le contenu de ces zones, il est nécessaire qu'une attention spécifique à celles-ci soit portée par l'analyse d'impact, qui doit en justifier l'existence et en analyser les risques.

1) La législation contestée exige la conservation et le stockage automatiques et continus du contenu de toutes les communications Internet (communications vocales, textuelles, visuelles, sonores, vidéo ou d'autres communications électroniques) pendant une durée de six mois et des données de connexion correspondantes pendant une durée d'un an. Elle concerne tous les utilisateurs, même en l'absence de soupçon raisonnable de participation à des activités criminelles ou à des activités mettant en danger la sécurité nationale, ou de toute autre raison de penser que la conservation des données peut contribuer à la lutte contre les formes graves de criminalité ou à la protection de la sécurité nationale. Il n'y a aucune limitation du champ d'application de la mesure en termes d'application territoriale ou temporelle ou de catégories de personnes susceptibles de voir leurs données à caractère personnel conservées. La Cour conclut que l'ingérence est exceptionnellement étendue et grave. La législation ne peut être considérée comme nécessaire dans une société démocratique et porte atteinte à l'essence même du droit au respect de la vie privée garanti par l'article 8 de la Convention. L'État défendeur a donc outrepassé toute marge d'appréciation acceptable à cet égard.

2) Contrairement à la législation en cause qui prévoit un accès direct aux communications Internet par les services de sécurité sans autorisation judiciaire préalable, la Cour recommande une obligation de présenter une autorisation d'interception au fournisseur de services de communication avant d'obtenir l'accès aux communications d'une personne en ce qu'elle constitue une garantie importante contre les abus des autorités répressives, en veillant à ce qu'une autorisation en bonne et due forme soit obtenue dans tous les cas de surveillance secrète.

3) L'obligation légale de décrypter les communications chiffrées de bout en bout risque d'équivaloir à une obligation pour les fournisseurs de tels services d'affaiblir le mécanisme de chiffrement pour tous les utilisateurs et n'est donc pas proportionnée aux buts légitimes poursuivis.

La possibilité pour les États membres de justifier une limitation aux droits et aux obligations prévues, notamment, aux articles 5, 6 et 9 de la Directive 2002/58 doit être appréciée en mesurant la gravité de l'ingérence que comporte une telle limitation et en vérifiant que l'importance de l'objectif d'intérêt général poursuivi par cette limitation est en relation avec cette gravité. En outre, la Cour a déjà jugé que l'accès à des données relatives au trafic et à des données de localisation conservées par des fournisseurs en application d'une mesure prise au titre de l'article 15, paragraphe 1, de la Directive 2002/58, qui doit s'effectuer dans le plein respect des conditions résultant de la jurisprudence ayant interprété cette directive, ne peut en principe être justifié que par l'objectif d'intérêt général pour lequel cette conservation a été imposée à ces fournisseurs. Il n'en va autrement que si l'importance de l'objectif poursuivi par l'accès dépasse celle de l'objectif ayant justifié la conservation (arrêt du 5 avril 2022, Commissioner of An Garda Síochána e.a., C‑140/20, EU:C:2022:258, point 98). Or, ces considérations s'appliquent mutatis mutandis à une utilisation ultérieure des données relatives au trafic et à des données de localisation conservées par des fournisseurs de services de communications électroniques en application d'une mesure prise au titre de l'article 15, paragraphe 1, de la Directive 2002/58 aux fins de la lutte contre la criminalité grave. Celui‑ci doit être interprété en ce sens qu'il s'oppose à ce que des données à caractère personnel relatives à des communications électroniques qui ont été conservées, en application d'une mesure législative prise au titre de cette disposition, par les fournisseurs de services de communications électroniques et qui ont par la suite été mises à la disposition, en application de cette mesure, des autorités compétentes à des fins de la lutte contre la criminalité grave puissent être utilisées dans le cadre d'enquêtes relatives à des fautes de service apparentées à la corruption.

La loi déférée insère dans le code de procédure pénale des dispositions permettant, dans le cadre d'une enquête ou d'une instruction, l'activation à distance d'appareils électroniques à l'insu de leur propriétaire ou possesseur afin, d'une part, de procéder à sa localisation en temps réel et, d'autre part, de procéder à la sonorisation et à la captation d'images.

1) En premier lieu, ces dispositions ont pour objet de faciliter la mise en place ou la désinstallation des moyens techniques permettant, selon les cas, la géolocalisation ou la sonorisation et la captation d’images.

En deuxième lieu, il ne peut être recouru à l'activation à distance d'un appareil électronique, s'agissant de la géolocalisation, que lorsque les nécessités de l'enquête ou de l'instruction relative à un crime ou à un délit puni d'au moins cinq ans d'emprisonnement l'exigent et, s'agissant de la sonorisation et de la captation d’images, que si la nature et la gravité des faits le justifient.

En troisième lieu, d'une part, cette activation à distance ne peut être autorisée que par le juge des libertés et de la détention, à la requête du procureur de la République, ou par le juge d'instruction et aux seules fins de procéder à la localisation en temps réel ou à la sonorisation et à la captation d’images de la personne. La décision d'autorisation doit comporter tous les éléments permettant d'identifier l'appareil concerné. D'autre part, la durée de l’autorisation de procéder à la sonorisation et à la captation d’images, qui doit être strictement proportionnée à l'objectif recherché, ne peut excéder quinze jours renouvelable une fois, au cours d'une enquête, et deux mois renouvelable sans que la durée totale des opérations excède six mois, au cours d'une information judiciaire.

En quatrième lieu, d'une part, l'activation à distance d'un appareil électronique ne peut, à peine de nullité, concerner les appareils électroniques utilisés par un membre du Parlement, un magistrat, un avocat, un journaliste, un commissaire de justice ou un médecin. S'agissant de la sonorisation et de la captation d’images, il est en outre prévu, à peine de nullité, que ne peuvent être transcrites les données relatives aux échanges avec un avocat qui relèvent de l'exercice des droits de la défense et qui sont couvertes par le secret professionnel de la défense et du conseil, hors les cas prévus à l'article 56‑1‑2 du code de procédure pénale. Il en va de même des données relatives aux échanges avec un journaliste permettant d'identifier une source ou des données collectées à partir d'un appareil qui se trouvait dans l'un des lieux protégés au titre des articles 56‑1, 56‑2, 56‑3 et 56‑5 du même code. D'autre part, le juge compétent ordonne la destruction dans les meilleurs délais des données qui ne peuvent être transcrites, ainsi que des procès‑verbaux et des données collectées lorsque les opérations ont été réalisées dans des conditions irrégulières.

Dès lors, les dispositions contestées, en tant qu'elles autorisent l'activation à distance d'appareils électroniques aux seules fins de géolocalisation, ne méconnaissent pas le droit au respect de la vie privée.

2) En revanche, l'activation à distance d'appareils électroniques afin de capter des sons et des images sans qu'il soit nécessaire pour les enquêteurs d'accéder physiquement à des lieux privés en vue de la mise en place de dispositifs de sonorisation et de captation, est de nature à porter une atteinte particulièrement importante au droit au respect de la vie privée dans la mesure où elle permet l'enregistrement, dans tout lieu où l'appareil connecté détenu par une personne privée peut se trouver, y compris des lieux d'habitation, de paroles et d'images concernant aussi bien les personnes visées par les investigations que des tiers. Dès lors, en permettant de recourir à cette activation à distance non seulement pour les infractions les plus graves mais pour l'ensemble des infractions relevant de la délinquance ou de la criminalité organisée, le législateur a permis qu'il soit porté au droit au respect de la vie privée une atteinte qui ne peut être regardée comme proportionnée au but poursuivi. Les dispositions contestées ne sont donc pas conformes à la Constitution.

Les dispositions contestées permettent à l'autorité administrative, pour la prévention du terrorisme, d'obtenir le recueil en temps réel des données de connexion relatives, d'une part, à une personne préalablement identifiée susceptible d'être en lien avec une menace et, d'autre part, aux personnes appartenant à l'entourage de la personne concernée par l'autorisation lorsqu'il y a des raisons sérieuses de penser qu'elles sont susceptibles de fournir des informations au titre de la finalité qui motive l'autorisation. Cette technique de recueil de renseignement est autorisée pour une durée de quatre mois renouvelable, conformément à l'article L. 821 - 4 du code de la sécurité intérieure.

D'une part, le recueil des données de connexion en temps réel ne peut être mis en œuvre que pour les besoins de la prévention du terrorisme. Ne peuvent, par ailleurs, être recueillis que les informations ou documents traités ou conservés par les opérateurs de télécommunication, les fournisseurs d'accès à un service de communication au public en ligne ou les hébergeurs de contenu sur un tel service.

D'autre part, cette technique de recueil de renseignement s'exerce dans les conditions prévues au premier chapitre I du titre II du livre VIII du code de la sécurité intérieure. En vertu de l'article L. 821 - 4 de ce code, elle est autorisée par le Premier ministre ou les collaborateurs directs aux quels il a délégué cette compétence, sur demande écrite et motivée du ministre de la défense, du ministre de l'intérieur ou des ministres chargés de l'économie, du budget ou des douanes, après avis préalable de la Commission nationale de contrôle des techniques de renseignement. Elle est autorisée pour une durée de quatre mois renouvelable. En vertu du paragraphe II de l'article L. 851 - 2, la procédure d'urgence absolue prévue à l'article L. 821 - 5 de ce code n'est pas applicable. En application de l'article L. 871 - 6 du même code, les opérations matérielles nécessaires à la mise en place de la technique mentionnée à l'article L. 851 - 2 ne peuvent être exécutées, dans leurs réseaux respectifs, que par des agents qualifiés des services ou organismes placés sous l'autorité ou la tutelle du ministre chargé des communications électroniques ou des exploitants de réseaux ou fournisseurs de services de télécommunications.

Enfin, cette technique de renseignement est réalisée sous le contrôle de la Commission nationale de contrôle des techniques de renseignement. La composition et l'organisation de cette autorité administrative indépendante sont définies aux articles L. 831 - 1 à L. 832 - 5 du code de la sécurité intérieure dans des conditions qui assurent son indépendance. Ses missions sont définies aux articles L. 833 - 1 à L. 833 - 11 du même code dans des conditions qui assurent l'effectivité de son contrôle. Conformément aux dispositions de l'article L. 841 - 1 du même code, le Conseil d'État peut être saisi par toute personne souhaitant vérifier qu'aucune technique de recueil de renseignement n'est irrégulièrement mise en œuvre à son égard ou par la Commission nationale de contrôle des techniques de renseignement.

Il résulte de ce qui précède que le législateur a assorti la procédure de réquisition des données de connexion, lorsqu'elle s'applique à une personne préalablement identifiée susceptible d'être en lien avec une menace, de garanties propres à assurer une conciliation qui n'est pas manifestement déséquilibrée entre, d'une part, la prévention des atteintes à l'ordre public et celle des infractions et, d'autre part, le droit au respect de la vie privée.

En revanche, en application des dispositions contestées, cette procédure de réquisition s'applique également aux personnes appartenant à l'entourage de la personne concernée par l'autorisation, dont il existe des raisons sérieuses de penser qu'elles sont susceptibles de fournir des informations au titre de la finalité qui motive l'autorisation. Ce faisant, le législateur a permis que fasse l'objet de cette technique de renseignement un nombre élevé de personnes, sans que leur lien avec la menace soit nécessairement étroit. Ainsi, faute d'avoir prévu que le nombre d'autorisations simultanément en vigueur doive être limité, le législateur n'a pas opéré une conciliation équilibrée entre, d'une part, la prévention des atteintes à l'ordre public et des infractions et, d'autre part, le droit au respect de la vie privée.

Des dispositions instituant une procédure de réquisition administrative de données de connexion excluant l'accès au contenu des correspondances ne sauraient méconnaître le droit au secret des correspondances.

Le paragraphe I de l'article L. 852‑1 du code de la sécurité intérieure autorise les interceptions administratives de correspondances émises par la voie des communications électroniques ; les personnes appartenant à l'entourage d'une personne concernée par l'autorisation d'interception peuvent également faire l'objet de ces interceptions lorsqu'elles sont susceptibles de fournir des informations au titre de la finalité qui motive l'autorisation. Le paragraphe II de ce même article prévoit que, pour les finalités mentionnées aux 1°, 4° et a) du 5° de l'article L. 811‑3, l'utilisation d'un appareil ou dispositif permettant d'intercepter, sans le consentement de leur auteur, des paroles ou des correspondances émises, transmises ou reçues par la voie électronique ou d'accéder à des données informatiques peut être autorisée afin d'intercepter des correspondances émises ou reçues par un équipement terminal. Ces techniques de recueil de renseignement s'exercent, sauf disposition spécifique, dans les conditions prévues au chapitre I du titre II du code de la sécurité intérieure :

• elles sont autorisées par le Premier ministre, sur demande écrite et motivée du ministre de la défense, du ministre de l'intérieur ou des ministres chargés de l'économie, du budget ou des douanes, après avis préalable de la Commission nationale de contrôle des techniques de renseignement et ne peuvent être mises en œuvre que par des agents individuellement désignés et habilités ;

• elles sont réalisées sous le contrôle de la Commission nationale de contrôle des techniques de renseignement dont la composition et l'organisation sont définies aux articles L. 831‑1 à L. 832‑5 dans des conditions qui assurent son indépendance et dont les missions sont définies aux articles L. 833‑1 à L. 833‑11 dans des conditions qui assurent l'effectivité de son contrôle ;

• conformément aux dispositions de l'article L. 841‑1, le Conseil d'État peut être saisi par toute personne souhaitant vérifier qu'aucune technique de recueil de renseignement n'est irrégulièrement mise en œuvre à son égard ou par la Commission nationale de contrôle des techniques de renseignement ;

• en application des dispositions de l'article L. 871‑6, les opérations matérielles nécessaires à la mise en place de ces techniques ne peuvent être exécutées, dans leurs réseaux respectifs, que par des agents qualifiés des services ou organismes placés sous l'autorité ou la tutelle du ministre chargé des communications électroniques ou des exploitants de réseaux ou fournisseurs de services de télécommunications.

Par ailleurs, ces techniques ne peuvent être mises en œuvre que pour les finalités énumérées à l'article L. 811‑3 ; le nombre maximal des autorisations d'interception en vigueur simultanément est arrêté par le Premier ministre après avis de la Commission nationale de contrôle des techniques de renseignement ; afin de faciliter le contrôle de cette commission, l'exécution de ces interceptions est centralisée ; en outre, en ce qui concerne les interceptions réalisées au moyen de la technique prévue au paragraphe II de l'article L. 851‑2, l'autorisation ne peut être délivrée que pour certaines des finalités mentionnées à l'article L. 811‑3, qui sont relatives à la prévention d'atteintes particulièrement graves à l'ordre public ; les correspondances ainsi interceptées sont détruites dès qu'il apparaît qu'elles sont sans lien avec l'autorisation délivrée et au plus tard trente jours à compter de leur recueil.

Il résulte de ce qui précède que le législateur n'a pas, par les dispositions précitées, opéré une conciliation manifestement déséquilibrée entre, d'une part, la prévention des atteintes à l'ordre public et celle des infractions, et d'autre part, le droit au respect de la vie privée et le secret des correspondances.

Par son arrêt du 6 octobre 2020 La Quadrature du Net et autres (C‑511/18, C‑512/18, C‑520/18), la Cour de justice de l'Union européenne (CJUE) a dit pour droit que la directive 2002/58/CE du 12 juillet 2002 ne s'opposait pas à ce que des mesures législatives permettent, aux fins de sauvegarde de la sécurité nationale, d'imposer aux opérateurs la conservation généralisée et indifférenciée des données de trafic et des données de localisation, sous réserve qu'une décision soumise à un contrôle effectif constate l'existence d'une menace grave pour la sécurité nationale qui s'avère réelle et actuelle ou prévisible, pour une durée limitée au strict nécessaire, mais renouvelable en cas de persistance de la menace. Il ressort en outre du point 135 de cet arrêt que la responsabilité des États membres en matière de sécurité nationale, au sens du droit de l'Union, correspond à l'intérêt primordial de protéger les fonctions essentielles de l'État et les intérêts fondamentaux de la société, et inclut la prévention et la répression d'activités de nature à déstabiliser gravement les structures constitutionnelles, politiques, économiques ou sociales fondamentales d'un pays, et en particulier à menacer directement la société, la population ou l'État en tant que tel, telles que notamment des activités de terrorisme.

1) Ni l'article L. 34‑1 du code des postes et des communications électroniques (CPCE) ni l'article 6 de la loi n° 2004‑575 du 21 juin 2004 ne prévoient un réexamen périodique, au regard des risques pour la sécurité nationale, de la nécessité de maintenir l'obligation faite aux personnes concernées de conserver les données de connexion. Ces articles, ainsi, par suite que l'article R. 10‑13 du CPCE et le décret n° 2011‑219 du 25 février 2011, en tant qu'ils ne subordonnent pas le maintien en vigueur de cette obligation au constat, à échéance régulière, qui ne saurait raisonnablement excéder un an, de la persistance d'une menace grave, réelle et actuelle ou prévisible, pour la sécurité nationale sont, dans cette mesure, contraires au droit de l'Union européenne. Il résulte de ce qui précède que, s'agissant de l'objectif de sauvegarde de la sécurité nationale, le refus d'abroger l'article R. 10‑13 du CPCE et l'article 1 du décret du 25 février 2011 doit être annulé en tant seulement que leurs dispositions ne prévoient pas un réexamen périodique de l'existence d'une menace grave, réelle et actuelle ou prévisible pour la sécurité nationale, s'agissant des données qu'elles mentionnent autres que celles afférentes à l'identité civile, aux comptes et aux paiements des utilisateurs et aux adresses IP. Il y a lieu d'enjoindre au Gouvernement de compléter ces dispositions dans un délai de six mois à compter de la présente décision.

2) Il ressort des pièces du dossier que la France est, à la date de la présente décision, confrontée à une menace grave, réelle et non seulement prévisible mais actuelle pour sa sécurité nationale, appréciée au regard de l'ensemble des intérêts fondamentaux de la Nation listés à l'article L. 811‑3 du code de la sécurité intérieure (CSI) qui, par son intensité, revêt un caractère grave et réel. Cette menace est, à la date de la présente décision, non seulement prévisible mais aussi actuelle. Cette menace procède d'abord de la persistance d'un risque terroriste élevé, ainsi qu'en témoigne notamment le fait que sont survenues sur le sol national au cours de l'année 2020 six attaques abouties ayant causé sept morts et onze blessés. Par ailleurs, la France est particulièrement exposée au risque d'espionnage et d'ingérence étrangère, en raison notamment de ses capacités et de ses engagements militaires et de son potentiel technologique et économique. La France est également confrontée à des menaces graves pour la paix publique, liées à une augmentation de l'activité de groupes radicaux et extrémistes. Dans la mesure où il résulte de la présente décision que la réalité et la gravité de la menace pesant sur la sécurité nationale justifient l'obligation de conservation généralisée et indifférenciée de l'ensemble des données de connexion à cette fin, les opérateurs ne sauraient, avant l'expiration du délai de six mois laissé au Gouvernement pour compléter les dispositions litigieuses, se soustraire à cette obligation et aux sanctions dont sa méconnaissance est assortie au motif que la durée de l'injonction qui leur est faite n'a pas été limitée dans le temps par le pouvoir réglementaire.

1) Les dispositions du RGPD doivent être interprétées en ce sens que l'administration fiscale d'un État membre ne saurait déroger aux dispositions de l'article 5, paragraphe 1, de ce règlement, qui fixe les principes à respecter par tout traitement, alors qu'un tel droit ne lui a pas été octroyé par le droit national, au sens de l'article 23, paragraphe 1, de ce même texte.

2) Les dispositions du RGPD doivent être interprétées en ce sens qu'elles ne s'opposent pas à ce que l'administration fiscale d'un État membre impose à un prestataire de services d'annonces publiées sur internet de lui communiquer des informations relatives aux contribuables ayant publié des annonces dans l'une des rubriques de son portail en ligne, dès lors que cela est nécessaire à la mission d'intérêt public poursuivie par cette administration. Néanmoins, les données demandées doivent être nécessaires au regard des finalités spécifiques pour lesquelles elles sont collectées et la période sur laquelle porte leur collecte ne saurait excéder la durée strictement nécessaire pour atteindre l'objectif d'intérêt général visé.

1) Le droit au recours garanti par la Charte des droits fondamentaux impose de permettre aux personnes qui sont détentrices d’informations dont l'administration nationale demande la communication, dans le cadre d’une procédure de coopération entre États membres, de former un recours direct contre cette demande d'informations.

2) En revanche, les États membres peuvent priver d'une telle voie de recours direct le contribuable visé par une enquête fiscale et les tiers concernés par les informations en cause, dès lors qu'il existe d'autres voies de recours permettant à ces derniers d'obtenir un contrôle incident de ladite demande.

3) Par ailleurs, une demande d'informations peut valablement porter sur des catégories d’informations plutôt que sur des informations précises, si ces catégories sont délimitées au moyen de critères établissant leur caractère « vraisemblablement pertinent ».

Les articles 6, paragraphes 2 et 5 de la directive 2002/58/CE du 12 juillet 2002 (directive vie privée et communications électroniques) doivent être interprétés en ce sens qu'ils autorisent un fournisseur de réseaux publics de communications et de services de communications électroniques accessibles au public à transmettre des données relatives au trafic au cessionnaire de ses créances portant sur la fourniture de services de télécommunications en vue du recouvrement de celles-ci, et ce cessionnaire à traiter lesdites données à condition que, en premier lieu, celui‑ci agisse sous l'autorité du fournisseur de services pour ce qui concerne le traitement de ces mêmes données et, en second lieu, ledit cessionnaire se limite à traiter les données relatives au trafic qui sont nécessaires aux fins du recouvrement des créances cédées.

Indépendamment de la qualification du contrat de cession, le cessionnaire est censé agir sous l'autorité du fournisseur de services, au sens de l'article 6, paragraphe 5, de la directive 2002/58, lorsque, pour le traitement des données relatives au trafic, il agit sur la seule instruction et sous le contrôle dudit fournisseur. En particulier, le contrat conclu entre eux doit comporter des dispositions de nature à garantir le traitement licite, par le cessionnaire, des données relatives au trafic et à permettre au fournisseur de services de s’assurer, à tout moment, du respect de ces dispositions par ledit cessionnaire.

La mention, dans un registre accessible au public, des noms du constituant, des bénéficiaires et de l’administrateur d’un trust fournit des informations sur la manière dont une personne entend disposer de son patrimoine. Il en résulte une atteinte au droit au respect de la vie privée. Or, le législateur, qui n’a pas précisé la qualité ni les motifs justifiant la consultation du registre, n’a pas limité le cercle des personnes ayant accès aux données de ce registre, placé sous la responsabilité de l’administration fiscale. Dès lors, les dispositions contestées portent au droit au respect de la vie privée une atteinte manifestement disproportionnée au regard de l’objectif poursuivi.

L'article 67 de la loi n°2021-344 du 17 mars 2014 relative à la consommation crée un traitement de données à caractère personnel recensant les crédits à la consommation accordés aux personnes physiques n'agissant pas pour des besoins professionnels, dénommé « registre national des crédits aux particuliers ». Par la création de ce registre, le législateur a poursuivi un motif d'intérêt général de prévention du surendettement. Toutefois, ce registre est destiné à comprendre des données à caractère personnel d'un très grand nombre de personnes (plus de 12 millions), la durée de conservation est de plusieurs années (toute la durée du crédit ou du plan de surendettement), les motifs de consultation sont très nombreux (octroi d'un crédit à la consommation mais également d'un prêt sur gage corporel, reconduction d'un contrat de crédit renouvelable, vérification triennale de solvabilité de l'emprunteur, vérification relative aux personnes se portant caution d'un prêt à la consommation …) et plusieurs dizaines de milliers d'agents des établissements de crédit seront habilités à consulter le registre. Compte tenu de la nature des données enregistrées, de l'ampleur du traitement de données, de la fréquence de son utilisation, du grand nombre de personnes susceptibles d'y avoir accès et de l'insuffisance des garanties relatives à l'accès au registre, la création du registre national des crédits aux particuliers porte une atteinte au droit au respect de la vie privée qui ne peut être regardée comme proportionnée au but poursuivi.

Accord conclu le 14 novembre 2013 entre le Gouvernement de la République française et le Gouvernement des États-Unis d'Amérique en vue d'améliorer le respect des obligations fiscales à l'échelle internationale et de mettre en œuvre la loi relative au respect des obligations fiscales concernant les comptes étrangers (dite « loi FATCA »). Traitement d’échange automatique d’informations organisant notamment la collecte et le transfert de données à caractère personnel aux autorités fiscales américaines créé pour la mise en œuvre de cet accord.

Si le traitement créé par l’arrêté du 5 octobre 2015 a pour finalité de lutter contre la fraude et l'évasion fiscales et relève à ce titre du RGPD et non de la directive n° 2016/680, il doit être regardé comme ayant parmi ses objets la prévention, la recherche, la constatation ou la poursuite des infractions pénales. Il s’ensuit, eu égard à cet objet, qu’il est au nombre des traitements visés à l’article 31 de la loi n° 78-17 du 6 janvier 1978.

Arrêté créant un traitement ayant pour objet de permettre à des tiers à qui un contribuable a communiqué une copie de son avis d'impôt sur le revenu ou de son justificatif d'impôt sur le revenu, de vérifier l'authenticité des données qui y figurent au moyen d'une consultation directe du justificatif d'impôt sur le revenu du contribuable certifié par l'administration fiscale.

Les destinataires du traitement ne sont définis, par les dispositions de l'arrêté attaqué, que comme les personnes ayant besoin, dans le cadre de leurs activités, de connaître et de vérifier l'authenticité des informations contenues dans le justificatif d'impôt sur le revenu d'un contribuable. Une telle définition ne peut être regardée, eu égard à l'importance des données en cause, comme précisant suffisamment les destinataires ou catégories de destinataires habilités à en recevoir communication, comme l'exige l'article 29 de la loi n°78‑17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dite loi Informatique et Libertés. Dès lors que les dispositions en cause ne sont pas divisibles du reste de l'arrêté attaqué, celui‑ci doit être déclaré illégal.

1) Le II de l’article 2 de l’arrêté du 26 octobre 2010 relatif au fichier national des incidents de remboursement des crédits aux particuliers (FICP), combiné aux articles L. 751‑2 et L. 312‑16 du code de la consommation, prévoient les cas obligatoires de consultation du FICP par les établissements et organismes dans le cadre de l’octroi d’un crédit. Les traitements de données à caractère personnel mis en œuvre dans le cadre des opérations de consultation obligatoire du FICP, telles que définies par ces dispositions, ne peuvent être fondés que sur la base légale prévue à l’article 6, paragraphe 1, point c) du RGPD, à savoir le respect d’une obligation légale.

2) Le III de l’article 2 de l’arrêté du 26 octobre 2010 relatif au fichier national des incidents de remboursement des crédits aux particuliers (FICP) prévoit les cas de consultation facultative. Les traitements de données à caractère personnel mis en œuvre dans ce cadre peuvent, à certaines conditions, reposer sur la base légale de l’intérêt légitime poursuivi par le responsable de traitement (art. 6, §1, f). Dans ce cas, le responsable de traitement est tenu de réaliser, au cas par cas, une mise en balance entre l’intérêt légitime poursuivi et les intérêts, libertés et droits fondamentaux des personnes concernées afin de s’assurer que la consultation n’est pas de nature à porter une atteinte disproportionnée à leur vie privée.

Les dispositions du code de la sécurité intérieure encadrant l’exploitation des données de trafic et de localisation collectées par les services de renseignement, sans régir les activités des fournisseurs de services de communications électroniques en leur imposant des obligations spécifiques, ne relèvent pas du champ d’application de la directive 2002/58/CE (directive vie privée et communications électroniques).

1) Il résulte des paragraphes 1 des articles 55 et 56 du RGPD et de l’article 15 bis de la directive 2002/58/CE du 12 juillet 2002, tels qu’interprétés par la CJUE dans son arrêt du 1er octobre 2019, Bundesverband der Verbraucherzentralen und Verbraucherverbände Verbraucherzentrale Bundesverband eV/Planet49 GmbH (C‑673/17) et son arrêt du 15 juin 2021, Facebook Ireland Ltd e.a. (C‑645/19), que si les conditions de recueil du consentement de l’utilisateur prévues par le RGPD sont applicables aux opérations de lecture et d’écriture dans le terminal d’un utilisateur, il n’a pas été prévu l’application du mécanisme dit du « Guichet unique » applicable aux traitements transfrontaliers, défini à l’article 56 de ce règlement, pour les mesures de mise en œuvre et de contrôle de la directive 2002/58/CE, qui relèvent de la compétence des autorités nationales de contrôle en vertu de l’article 15 bis de cette directive.

2) Il s’ensuit que, pour ce qui concerne le contrôle des opérations d’accès et d’inscription d’informations dans les terminaux des utilisateurs en France d’un service de communications électroniques, même procédant d’un traitement transfrontalier, les mesures de contrôle de l’application des dispositions ayant transposé les objectifs de la directive 2002/58/CE relèvent de la compétence conférée à la Commission nationale de l’informatique et des libertés par la loi n° 78‑17 du 6 janvier 1978.

1) S’agissant de l’exigence d’obtenir un consentement préalable à la prospection commerciale par voie électronique, il résulte de l’article 2, second alinéa, sous f), de la directive 2002/58, lu en combinaison avec l’article 94, paragraphe 2, du règlement 2016/679, que ce consentement doit satisfaire aux exigences résultant de l’article 2, sous h), de la directive 95/46 ou de l’article 4, point 11, de ce règlement, selon que l’une ou l’autre de ces deux normes est applicable ratione temporis aux faits en cause au principal.

2) Lorsqu’un service gratuit de messagerie électronique est proposé aux utilisateurs sous la forme de deux catégories de services de messageries, à savoir, d’une part, un service de messagerie gratuit, financé par la publicité et, d’autre part, un service de messagerie payant, sans publicité, il appartient à la juridiction de renvoi de déterminer si l’utilisateur concerné, ayant opté pour la gratuité du service de messagerie électronique, a été dûment informé des modalités précises de diffusion d’une telle publicité et a effectivement consenti à recevoir des messages publicitaires tels que ceux en cause au principal. En particulier, il y a lieu de s’assurer, d’une part, que cet utilisateur a été informé de manière claire et précise notamment du fait que des messages publicitaires sont affichés au sein de la liste des courriels privés reçus et, d’autre part, qu’il a manifesté son consentement spécifique et en pleine connaissance de cause à recevoir de tels messages publicitaires (voir, en ce sens, arrêt du 11 novembre 2020, Orange Romania, C‑61/19, EU:C: 2020:901, point 52).