CJUE30 avril 2021CJUE, grande chambre, 30 avril 2021, Procura della Repubblica presso il Tribunale di Bolzano, C-178/22(source)
A ccès à des données de connexion demandé par une autorité nationale compétente à des fins de poursuites d'infractions de vols avec circonstances aggravantes – Notion d’“infraction grave” - Définition – Compétence des États membres – Principe de proportionnalité – Étendue du contrôle préalable du juge sur les demandes d'accès aux données conservées par les fournisseurs de services de communications électroniques
L'article 15, paragraphe 1, de la directive vie privée et communications électroniques (2002/58/CE) modifiée, lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la Charte des droits fondamentaux de l'Union européenne, doit être interprété en ce sens qu’il ne s’oppose pas à une disposition nationale qui impose au juge national, intervenant dans le cadre d’un contrôle préalable du juge effectué à la suite d’une demande motivée d’accès à un ensemble de données relatives au trafic ou de données de localisation, susceptibles de permettre de tirer des conclusions précises sur la vie privée d'un utilisateur d'un moyen de communication électronique, conservées par les fournisseurs de services de communications électroniques, présentée par une autorité nationale compétente dans le cadre d'une enquête pénale, d'autoriser cet accès si celui‑ci est demandé aux fins de la recherche d'infractions pénales punies, par le droit national, d’une peine de réclusion maximale d’au moins trois ans, sous réserve qu’il existe des indices suffisants de telles infractions et que ces données soient pertinentes pour constater les faits, à condition toutefois que ce juge soit habilité à refuser ledit accès si celui‑ci est sollicité dans le cadre d'une enquête portant sur une infraction qui n’est manifestement pas grave, au regard des conditions sociétales prévalant dans l'État membre concerné.
CJUE2 mars 2021CJUE, grande chambre, 2 mars 2021, Prokuratuur, C-746/18(source)
Article 15, paragraphe 1, directive 2002/58/CE – 1) Législation permettant l'accès d'autorités publiques aux données de trafic et de localisation – Prévention, recherche, détection, poursuite d'infractions pénales – Illicéité en l'absence de limitation à certaines procédures – 2) Réglementation donnant compétence au ministère public pour autoriser l'accès d'une autorité publique aux données de trafic et de localisation – Illicéité
L'article Article 15, paragraphe 1, de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002 (directive vie privée et communications électroniques), lu à la lumière des articles 7, 8 et 11 ainsi que de l'article 52, paragraphe 1, de la Charte des droits fondamentaux de l'Union européenne, doit être interprété en ce sens:
1) qu'il s'oppose à une réglementation nationale permettant l'accès d'autorités publiques à un ensemble de données de trafic ou de données de localisation, susceptibles de fournir des informations sur les communications effectuées par un utilisateur d'un moyen de communication électronique ou sur la localisation des équipements terminaux qu'il utilise et de permettre de tirer des conclusions précises sur sa vie privée, à des fins de prévention, recherche, détection et poursuite d'infractions pénales, sans que cet accès soit circonscrit à des procédures visant à la lutte contre la criminalité grave ou à la prévention de menaces graves contre la sécurité publique, indépendamment de la durée de la période pour laquelle l'accès auxdites données est sollicité et de la quantité ou de la nature des données disponibles pour une telle période;
2) qu'il s'oppose à une réglementation nationale donnant compétence au ministère public, dont la mission est de diriger la procédure d'instruction pénale et d'exercer, le cas échéant, l'action publique lors d'une procédure ultérieure, pour autoriser l'accès d'une autorité publique aux données relatives au trafic et aux données de localisation aux fins d'une instruction pénale.
CJUE6 octobre 2020CJUE, grande chambre, 6 octobre 2020, Privacy International, C‑623/17(source)
1) Directive 2002/58 – Champ d'application – Réglementation nationale imposant aux fournisseurs de services de communications électroniques de transmettre des données relatives au trafic et à la localisation aux services de sécurité et de renseignement – Objectif de protection de la sécurité nationale – Inclusion – 2) Faculté pour les États membres de limiter la portée de certains droits et obligations – Réglementation nationale imposant aux fournisseurs de services de communications électroniques la transmission généralisée et indifférenciée des données relatives au trafic et à la localisation aux services de sécurité et de renseignement – Objectif de protection de la sécurité nationale – Exclusion
1) L'article 1er, paragraphe 3, l'article 3 et l'article 15, paragraphe 1, de la Directive 2002/58 du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques), telle que modifiée par la directive 2009/136/CE du Parlement européen et du Conseil, du 25 novembre 2009, lus à la lumière de l'article 4, paragraphe 2, TUE, doivent être interprétés en ce sens que relève du Champ d'application de cette directive une Réglementation nationale permettant à une autorité étatique d'imposer aux fournisseurs de services de communications électroniques de transmettre aux services de sécurité et de renseignement des données relatives au trafic et des données de localisation aux fins de la sauvegarde de la sécurité nationale.
2) L'article 15, paragraphe 1, de la Directive 2002/58, telle que modifiée par la directive 2009/136, lu à la lumière de l'article 4, paragraphe 2, TUE ainsi que des articles 7, 8 et 11 et de l'article 52, paragraphe 1, de la Charte des droits fondamentaux de l'Union européenne, doit être interprété en ce sens qu'il s'oppose à une Réglementation nationale permettant à une autorité étatique d'imposer, aux fins de la sauvegarde de la sécurité nationale, aux fournisseurs de services de communications électroniques la transmission généralisée et indifférenciée des données relatives au trafic et des données de localisation aux services de sécurité et de renseignement.
CJUE2 octobre 2018CJUE, grande chambre, 2 octobre 2018, Ministerio Fiscal, C-207/16(source)
Accès des autorités publiques aux données visant à l'identification des titulaires des cartes SIM activées avec un téléphone mobile volé – Ingérence dans les droits fondamentaux desdits titulaires – Limitation à la lutte contre la criminalité grave – Absence
L'article 15, paragraphe 1, de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002 (directive vie privée et communications électroniques), telle que modifiée par la directive 2009/136/CE du Parlement européen et du Conseil, du 25 novembre 2009, lu à la lumière des articles 7 et 8 de la Charte des droits fondamentaux de l'Union européenne, doit être interprété en ce sens que l'accès d'autorités publiques aux données visant à l'identification des titulaires des cartes SIM activées avec un téléphone mobile volé, telles que le nom, le prénom et, le cas échéant, l'adresse de ces titulaires, constitue une ingérence dans les droits fondamentaux de ces derniers qui ne présente pas une gravité telle que cet accès devrait être limité, en matière de prévention, de recherche, de détection et de poursuite d'infractions pénales, à la lutte contre la criminalité grave.
CJUE21 décembre 2016CJUE, grande chambre, 21 décembre 2016, Tele2 Sverige, C-203/15, C-698/15(source)
Conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation – 1) Incompatibilité avec le droit de l'Union – 2) Accès des autorités nationales – Absence de contrôle préalable par une juridiction ou une autorité administrative indépendante – Absence d'exigence de conservation au sein de l'Union – Incompatibilité avec le droit de l'Union
1) L'article 15, paragraphe 1, de la directive 2002/58/CE du 12 juillet 2002 s'oppose à une réglementation nationale prévoyant, à des fins de lutte contre la criminalité, une conservation généralisée et indifférenciée de l'ensemble des données relatives au trafic et des données de localisation de tous les abonnés et utilisateurs inscrits concernant tous les moyens de communication électronique.
2) L'article 15, paragraphe 1, de la directive 2002/58/CE du 12 juillet 2002 s'oppose à une réglementation nationale régissant la protection et la sécurité des données relatives au trafic et des données de localisation, en particulier l'accès des autorités nationales compétentes aux données conservées, sans limiter, dans le cadre de la lutte contre la criminalité, cet accès aux seules fins de lutte contre la criminalité grave, sans soumettre ledit accès à un contrôle préalable par une juridiction ou une autorité administrative indépendante, et sans exiger que les données en cause soient conservées sur le territoire de l'Union.
CC25 février 2022CC, 2021-976/977 QPC, 25 février 2022, M. Habib A. et autre, points 11-13(source)
Conservation des données à caractère personnel pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales – Conservation générale et indifférenciée – Non-conformité
Compte tenu de leur nature, de leur diversité et des traitements dont elles peuvent faire l'objet, les données de connexion fournissent sur les utilisateurs de services de communication électronique ainsi que, le cas échéant, sur des tiers, des informations nombreuses et précises, particulièrement attentatoires à leur vie privée.
Des dispositions législatives autorisant, dans le but de permettre la mise à disposition de l'autorité judiciaire, la conservation générale et indifférenciée des données de connexion, applicable de façon générale à tous les utilisateurs des services de communications électroniques et indifféremment sur toutes les données de connexion relatives à ces personnes, quelle qu'en soit la sensibilité et sans considération de la nature et de la gravité des infractions susceptibles d'être recherchées, portent une atteinte disproportionnée au droit au respect de la vie privée et doivent être déclarées contraires à la Constitution.
CE21 avril 2021CE, Assemblée, 21 avril 2021, French Data Network et autres, n° 393099, Rec., points 35, 37-41, 55, 38(source)
Dérogation à l'obligation de confidentialité des données à caractère personnel et des données relatives au trafic – Conservation généralisée et indifférenciée – 1) Données relatives à l'identité civile, aux paiements effectués en ligne – Conditions – 2) Adresses IP – Conditions – 3) Données de trafic et de localisation autres que les adresses IP – Exclusion en principe – Conditions le cas échéant – 4) Conservation rapide des données de trafic et de localisation imposée par les autorités – Conditions
Les États membres de l'UE sont autorisés, pour des motifs tenant à la sauvegarde de la sécurité nationale, à la sûreté de l'État ou à la lutte contre les infractions pénales, à prévoir une dérogation à l'obligation de confidentialité des données à caractère personnel et à celle de confidentialité des données relatives au trafic y afférentes, qui découlent de l'article 5, paragraphe 1, de la directive 2002/58/CE du 12 juillet 2002 et des articles 12 à 22 du RGPD.
1) Les données relatives à l'identité civile des utilisateurs de moyens de communications électroniques ainsi que les informations fournies lors de la souscription d'un contrat ou lors de la création d'un compte par un utilisateur et celles relatives aux paiements effectués en ligne listées aux 3° et 4° de l'article 1er du décret n° 2011‑219 du 25 février 2011 peuvent faire l'objet, sans limitation de durée, d'une conservation généralisée et indifférenciée pour les besoins de toute procédure pénale, de la prévention de toute menace contre la sécurité publique et de la sauvegarde de la sécurité nationale.
2) Les adresses IP attribuées à la source d'une connexion peuvent faire l'objet d'une obligation de conservation généralisée et indifférenciée à des fins de lutte contre la criminalité grave ou de prévention des menaces graves contre la sécurité publique, pour une période temporellement limitée au strict nécessaire. Cette durée a pu être légalement fixée à un an.
3) Les données de trafic et de localisation autres que les adresses IP ne peuvent pas faire l'objet d'une obligation de conservation généralisée et indifférenciée aux fins de lutte contre la criminalité, même grave. En revanche, une telle obligation peut être définie, sous réserve qu'une décision soumise à un contrôle effectif constate l'existence d'une menace grave pour la sécurité nationale qui s'avère réelle et actuelle ou prévisible. La durée de cette conservation doit être limitée au strict nécessaire mais est renouvelable en cas de persistance de la menace. Dès lors que la France fait face, à la date de la décision, à une telle menace au regard de l'ensemble des intérêts fondamentaux de la Nation listés à l'article L. 811‑3 du code de la sécurité intérieure, une telle obligation de conservation pouvait légalement être édictée. En revanche, l'évaluation de la menace doit faire l'objet d'un réexamen périodique, qui ne saurait excéder un an.
4) Les autorités peuvent en revanche imposer aux opérateurs de communications électroniques et aux fournisseurs d'accès à internet de procéder, aux fins de lutte contre la criminalité grave, à la conservation rapide des données de trafic et de localisation qu'ils détiennent, soit pour leurs besoins propres, soit au titre d'une obligation de conservation imposée aux fins de sauvegarde de la sécurité nationale. Les données ayant fait l'objet d'une conservation rapide peuvent non seulement appartenir aux personnes soupçonnées d'avoir commis ou projeté une infraction pénale ou une atteinte à la sécurité nationale, mais également à d'autres personnes, pour autant qu'elles puissent, sur la base d'éléments objectifs et non discriminatoires, contribuer à l'élucidation de cette infraction ou de cette atteinte à la sécurité nationale. La durée de conservation de ces données doit être limitée au strict nécessaire, dans une limite maximale de quatre‑vingt‑dix jours, renouvelable le cas échéant.
La gravité des infractions susceptibles de justifier la conservation généralisée et indifférenciée des adresses IP et la conservation rapide des données de trafic et de localisation a vocation à s'apprécier de façon concrète, sous le contrôle du juge pénal, au regard de la nature de l'infraction commise et de l'ensemble des faits de l'espèce, dans le respect du principe de proportionnalité rappelé à l'article préliminaire du code de procédure pénale. Elle ne saurait se rattacher à une liste exhaustive d'infractions prédéfinies en droit pénal.
CNIL12 octobre 2023CNIL, FR, 12 octobre 2023, Sanction, Société X, n SAN-2023-015, publié, point 59 Voir aussi: CNIL, FR, 23 juin 2022, Sanction, n° SAN-2022-011, publié; CNIL, FR, 24 novembre 2022, Sanction, n° SAN-2022-021, publié(source)
Prospection téléphonique non soumise au consentement préalable de la personne – 1) Obligation d’informer au plus tard lors de l’appel téléphonique – 2) Forme de l’information prévue par le RGPD
1) Il résulte de l’article 14 du RGPD que, lorsqu’un prospecteur récupère un numéro de téléphone d’un tiers, par exemple un fournisseur d’accès à internet (FAI), à des fins de prospection téléphonique, il doit informer la personne prospectée du traitement de ces données pour cette finalité, au plus tard lors de l’appel téléphonique.
2) Lorsqu’une information prévue par le RGPD est fournie dans le cadre d’échanges téléphoniques, il est admis que cette information puisse se limiter aux éléments les plus importants pour l’interlocuteur, afin de rester brève, à condition d’indiquer un moyen d’obtenir les informations complètes (exemples : touche à activer sur le téléphone, courriel reçu par l’interlocuteur, renvoi vers une page web). L’information sur le traitement des données transmises par les FAI, notamment les coordonnées téléphoniques des personnes, à des fins de prospection téléphonique, en application de l’article 14 du RGPD, et celle relative à l’enregistrement de la conversation, en application de l’article 13 du RGPD, peuvent par ailleurs être fusionnées.
CNIL26 juin 2023CNIL, P, 26 juin 2023, Mise en demeure, Société X, n°MED-2023-040, non publié
Opposition à la prospection – 1) Liste repoussoir – Données nécessaires pour la prise en compte de l'opposition – 2) Conservation de la civilité, du nom/prénom, date de naissance, numéro de téléphone, adresse électronique, ville ou code postal, niveau d'imposition et situation familiale des prospects ayant exercé leur droit d'opposition – Illicéité
Conservation des données d'opposition d'une personne à recevoir de la prospection commerciale.
1) Afin d'assurer l'effectivité du droit d'opposition, le responsable de traitement peut créer une « liste repoussoir » lui permettant de ne pas utiliser à nouveau les données de contact si elles venaient à lui être transmises à nouveau par une autre personne que la personne concernée. La CNIL recommande de conserver l'inscription à la « liste repoussoir » de la personne ayant fait opposition pendant une durée minimale de trois ans et de ne conserver que les empreintes de l'adresse ou du numéro utilisé pour la prospection. Cela permet de prendre en compte l'opposition dans le temps sans conserver de données directement identifiantes.
2) En l'espèce, la liste repoussoir comprenait la civilité, le nom, le prénom, la date de naissance, le numéro de téléphone, l'adresse électronique, la ville ou le code postal, le niveau d'imposition et la situation familiale alors que l'ensemble de ces données n'apparaissaient pas nécessaires au regard de la finalité liée à la prise en compte de l'opposition des prospects à recevoir de la prospection. Seules les données nécessaires à la prise en compte de l'opposition dans le temps et qui correspondent à l'espèce au numéro de téléphone et à l'adresse électronique de la personne concernée auraient dû être conservées sous une forme hachée. Il en résulte une méconnaissance de l'article 5‑1‑c) du RGPD.
CNIL8 juin 2023CNIL, FR, 8 juin 2023, Sanction, Société X, n SAN-2023-008, publié, points 31-34(source)
Enregistrement systématique des appels téléphoniques entre téléopérateurs et prospects – Finalité d'établissement d'une preuve du contrat éventuellement conclu – Caractère non nécess aire si obligation d'une confirmation écrite de l'offre
Un responsable du traitement, qui souhaite enregistrer des conversations téléphoniques à des fins probatoires, doit démontrer qu'il ne dispose pas d'autres moyens moins intrusifs pour prouver que le contrat conclu à distance a bien été conclu avec la personne concernée. En application de l'article L.221-16 du code de la consommation, dès lors que la preuve de la souscription d'un contrat conclu à distance, à la suite d'un démarchage téléphonique, peut être apportée par la confirmation écrite de l'offre, l'enregistrement des conversations téléphoniques passées entre les téléopérateurs et les prospects, à des fins de preuve de la formation du contrat, n'apparait pas nécessaire.
CNIL1 décembre 2021CNIL, P, 1 décembre 2021, Mise en demeure, Société X, n° MED-2021-131, non publié
1) Revente de données à des partenaires commerciaux à des fins de prospection commerciale par voie électronique – Exigence d'un consentement – 2) Utilisation ultérieure des données à des fins de prospection commerciale par voie électronique – Exigence d'un consentement – Article L.34-5 du code des postes et des communications électroniques
1) Pour vendre les données à des partenaires afin qu'ils les utilisent pour de la prospection commerciale par voie électronique, un responsable du traitement doit recueillir, sur le support de collecte des données, le consentement libre, spécifique, informé et univoque par lequel les personnes concernées acceptent, par une déclaration ou un acte positif clair, une telle transmission de leurs données.
2) Le consentement à la revente des données ne dispense pas que le consentement des personnes soit également recueilli, en application de l'article L.34-5 du code des postes et des communications électroniques (CPCE), pour l'utilisation de leurs données à des fins de prospection commerciale par voie électronique. Ce consentement à la réception de prospection peut être recueilli par les opérateurs ayant acheté ou reçu les données et qui les utiliseront concrètement pour envoyer des messages de prospection, soit par le primo‑collectant qui souhaite les transmettre à des partenaires. Dans ce dernier cas, ce consentement peut alors être recueilli globalement pour la transmission et la prospection commerciale, mais cela implique que le primo‑collectant puisse fournir la liste exhaustive des partenaires ainsi autorisés, comme responsables de traitement, à utiliser les données pour de la prospection électronique.
CNIL14 juin 2021CNIL, FR, 14 juin 2021, Sanction, Société X, n° SAN-2021-008, publié, points 94-95(source)
Exception permettant la prospection sans consentement préalable – Article L. 34 - 5 du CPCE – Création d'un compte sur une plateforme de vent e en ligne en l'absence d'achat – Exclusion
La création d'un compte sur une plateforme de vente en ligne ne préjuge pas de la commande éventuelle de produits auprès de cette plateforme. En absence d'achat, la plateforme de vente en ligne ne peut utilement invoquer le bénéfice de l'Exception, créée par l’Article L. 34-5 du CPCE (code des postes et des communications électroniques), permettant la prospection sans consentement préalable lorsque les coordonnées du destinataire ont été recueillies auprès de lui à l'occasion d'une vente ou d'une prestation de services si la prospection directe concerne des produits ou services analogues fournis par la même personne physique ou morale.
Dès lors, il appartient à la plateforme de vente en ligne de recueillir le consentement préalable, libre, spécifique et informé des personnes créant un compte sur le site web de la société sans avoir procédé à un achat, afin de recevoir des messages de prospection directe par courriers électroniques, conformément à l'alinéa 1 de l’Article L. 34-5 du CPCE.
CNIL27 avril 2023CNIL, P, 27 avril 2023, Rappel aux obligations, Société X, n°RAL231017, non publié
1) Vente de base de données personnelles – Conditions de licéité – Compatibilité des finalités d’usage de l’acheteur – Base légale – 2) Revente d’une base de données à des fins de prospection commerciale en cas de liquidation – a) Licéité – Existence – b) Bases légales mobilisables – i) Par voie électronique – Information des personnes et recueil de leur consentement préalable – ii) Par voie postale/téléphonique – Intérêt légitime – Information des personnes et possibilité de s’opposer – c) Synthèse
1) La transmission de données personnelles à des tiers (qui en sont alors destinataires au sens du RGPD), lorsqu’elle ne constitue pas un moyen d’atteindre la finalité initialement prévue pour le traitement de ces données, n’est en principe possible que si elle est compatible avec cette finalité première. En particulier, dans le cas d’une vente d’une base de données, l’appréciation de cette compatibilité nécessite, sauf exception, que le vendeur connaisse la finalité pour laquelle la base de données sera utilisée par l’acheteur et ne vende la base que pour cet usage. L’appréciation de la nécessité d’un consentement se fait au cas par cas.
2) a) S’agissant de la revente d’une base de données de clients ou prospects d’une société en situation de liquidation, en vue de sa réutilisation à des fins de prospection commerciale, la CNIL considère que, eu égard à la finalité initiale de la base de données et du contexte de liquidation de l’entreprise, cette vente peut en principe être regardée comme compatible avec le traitement initial des données. Un consentement peut cependant être requis en raison des règles spécifiques à la prospection par voie électronique.
b) Les bases légales mobilisables pour la transmission, à titre onéreux ou non, de données à caractère personnel à des partenaires commerciaux souhaitant les réutiliser à des fins commerciales dépendent du canal utilisé pour la prospection faite par ces partenaires : prospection par voie électronique ou prospection par voie postale/téléphonique.
i) Si la transmission a pour finalité de permettre aux partenaires commerciaux de réaliser de la prospection électronique qui nécessite le recueil du consentement préalable des personnes en application des dispositions de l’article L.34‑5 du code des postes et des communications électroniques, l’organisme transmettant les données doit informer les personnes concernées et recueillir leur consentement à cette transmission en application de l’article 6‑1‑a du RGPD.
ii) Si la transmission a pour finalité de permettre aux partenaires commerciaux de réaliser de la prospection sur la base de leur intérêt légitime (prospection non électronique, c’est‑à‑dire réalisée par voie téléphonique ou postale), elle peut elle‑même être réalisée sur le fondement de l’intérêt légitime en application de l’article 6‑1‑f du RGPD. Dans ce cadre, l’organisme transmettant les données doit informer les personnes concernées de la finalité de cette transmission et des catégories de partenaires rendus destinataires des données et offrir aux personnes concernées, de manière expresse et dénuée d’ambiguïté, la possibilité de s’opposer, sans frais et de manière simple, à la transmission de leurs données à caractère personnel.
c) Il résulte de l’ensemble de ces exigences que la vente d’une base de données à des fins de prospection commerciale par l’acquéreur n’est possible que si :
- la base est vendue spécifiquement pour cette finalité, et non pour tout usage des données;
- il est prévu d’informer les personnes dont les données figurant dans la base de données de la vente;
- ces personnes vont, selon le cas, soit donner leur consentement, soit pouvoir s’opposer à figurer dans la base vendue.
CJUE30 mai 2013CJUE, 30 mai 2013, Worten, C-342/12(source)
Articles 6 et 7 directive 95/46 /CE – Réglementation nationale obligeant l’employeur à mettre à disposition de l’autorité nationale le registre du temps de travail – Licéité sous conditions
Les articles 6 et 7, paragraphe 1, sous b) et c), ainsi que directive 95/46, ne s’opposent pas à une réglementation nationale qui impose à l’employeur l’obligation de mettre à la disposition de l’autorité nationale compétente en matière de surveillance des conditions de travail le registre du temps de travail afin d’en permettre la consultation immédiate, pour autant que cette obligation soit nécessaire aux fins de l’exercice par cette autorité de ses missions de surveillance de l’application de la réglementation en matière de conditions de travail, notamment, en ce qui concerne le temps de travail.
CEDH26 mars 1987CEDH, 26 mars 1987, Affaire Leander c/ Suède, n° 9248/81(source)
Système de contrôle des antécédents personnels et politiques pour les titulaires ou les candidats à des postes importants pour la sécurité nationale – Garanties spéciales prévues par la législation nationale – Absence de violation de l'article 8 CEDH
La Suède a instauré un système de contrôle du personnel pour les titulaires de postes importants pour la sécurité nationale ou les candidats à de tels postes. Ce système consiste en la collecte d'informations tirées de registres de police. Une ordonnance détaille les conditions de collecte et contient des dispositions explicites et détaillées sur la nature des renseignements pouvant être communiqués (antécédents personnels ou politiques), les autorités destinataires, les circonstances de pareille communication et la procédure que le Conseil national de la police, organe compétent pour décider de la communication desdites informations, doit suivre avant de se décider.
La Cour EDH affirme que la mémorisation et la communication des données relatives à la vie privée, assorties du refus d'accorder au requérant la faculté de les réfuter, portent atteinte à son droit au respect de sa vie privée, garanti par l'article 8 paragraphe 1 de la conv. EDH.
Si la Cour EDH reconnaît que le système mis en place poursuit un but légitime, la protection de la sécurité nationale, elle recherche si cette ingérence est « prévue par la loi » et « nécessaire dans une société démocratique ».
L'expression « prévue par la loi », au sens du paragraphe 2 de l'article 8 (art. 8 - 2), veut d'abord que l'ingérence ait une base en droit interne, mais l'observation de celui‑ci ne suffit pas : la loi en cause doit être accessible à l'intéressé, qui en outre doit pouvoir en prévoir les conséquences pour lui (voir, mutatis mutandis, l'arrêt Malone du 2 août 1984, série A no 82, pp. 31 - 32, par. 66). En l'espèce, il existe des dispositions explicites et détaillées sur la nature des renseignements pouvant être communiqués, les autorités destinataires, les circonstances de pareille communication et la procédure que le Conseil national de la police doit suivre avant de s'y décider. Aussi, l'ingérence litigieuse était donc "prévue par la loi" au sens de l'article 8.
S'agissant du caractère « nécessaire dans une société démocratique », la notion de nécessité implique une ingérence fondée sur un besoin social impérieux, et notamment proportionnée au but légitime recherché. Les autorités nationales jouissent d'une marge d'appréciation dont l'ampleur dépend non seulement de la finalité, mais encore du caractère propre de l'ingérence. En l'occurrence, il échec de mettre en balance l'intérêt de l'État défendeur à protéger sa sécurité nationale avec la gravité de l'atteinte au droit du requérant au respect de sa vie privée.
La Cour admet, la marge dont l'État défendeur disposait pour apprécier en l'espèce le besoin social impérieux, et notamment pour choisir les moyens de sauvegarder la sécurité nationale, revêtait une grande ampleur. Néanmoins, la Cour doit se convaincre de l'existence de garanties adéquates et suffisantes contre les abus car un système de surveillance secrète destiné à protéger la sécurité nationale crée un risque de saper, voire de détruire, la démocratie au motif de la défendre (arrêt Klass et autres du 6 septembre 1978, série A no 28, pp. 23 - 24, paras. 49 - 50). La Cour conclut ainsi que les garanties dont s'entoure le système suédois de contrôle du personnel, par exemple la présence de parlementaires dans le Conseil national et le contrôle du ministre de la Justice, remplissent les exigences du paragraphe 2 de l'article 8. Vu sa grande marge d'appréciation, le gouvernement défendeur était en droit de considérer que les intérêts de la sécurité nationale prévalaient en l'occurrence sur les intérêts individuels du requérant. L'ingérence que M. Leander a subie ne saurait donc passer pour disproportionnée au but légitime poursuivi. La Cour EDH exclut la violation de l'article 8 CEDH.
Cass30 avril 2024Cass, crim., 30 avril 2024, n° 23-80.962, B., points 8,10(source)
Caractérisation du délit de collecte de données à caractère personnel par un moyen déloyal dans le cadre de rapports employeur/employés - Données disponibles en accès libre sur internet – Utilisation sans rapport avec l'objet de leur mise en ligne – Collecte à l'insu des personnes concernées – Méconnaissance de l'obligation d'information des personnes et de leur droit d'opposition
Dans le cadre de rapports employeur/employé, le fait d'effectuer des recherches sur des personnes portant des données à caractère personnel telles qu'antécédents judiciaires, renseignements bancaires et téléphoniques, véhicules, propriétés, qualité de locataire ou de propriétaire, situation matrimoniale, santé, déplacements à l'étranger est susceptible de constituer un moyen de collecte déloyal dès lors que, issues de la capture et du recoupement d'informations diffusées sur des sites publics tels que sites web, annuaires, forums de discussion, réseaux sociaux, sites de presse régionale, ces données ont fait l'objet d'une utilisation sans rapport avec l'objet de leur mise en ligne et ont été recueillies à l'insu des personnes concernées, ainsi privées du droit d'opposition institué par la loi informatique et libertés.
En effet, le fait que les données à caractère personnel collectées en l'espèce par le prévenu aient été pour partie en accès libre sur internet ne retire rien au caractère déloyal de cette collecte, dès lors qu'une telle collecte, de surcroît réalisée à des fins dévoyées de profilage des personnes concernées et d'investigation dans leur vie privée, à l'insu de celles-ci, ne pouvait s'effectuer sans qu'elles en soient informées.
Cass6 mars 2024Cass, soc., 6 mars 2024, n° 22-11.016(source)
Utilisation par un employeur de messages envoyés au moyen de la messagerie professionnelle s'inscrivant dans le cadre d'échanges privés sans vocation à devenir publics et aux opinions exprimées sans incidence sur l'emploi ou les relations de travail – Disproportion – Inopposabilité au salarié des messages dans le cadre d'une procédure de licenciement
Le salarié a droit, même au temps et au lieu de travail, au respect de l'intimité de sa vie privée de sorte qu'un motif tiré de la vie personnelle du salarié ne peut justifier, en principe, un licenciement disciplinaire, sauf s'il constitue un manquement de l'intéressé à une obligation découlant de son contrat de travail. Doit être approuvé l'arrêt de la cour d'appel qui retient que employeur ne peut, pour procéder au licenciement d'un salarié, se fonder sur le contenu de messages, qui, même s'ils avaient été envoyés au moyen de la messagerie professionnelle, relèvent de la vie personnelle du salarié dès lors, d'une part, que ces messages s'inscrivaient dans le cadre d'échanges privés, à l'intérieur d'un groupe de personnes, et n'avaient pas vocation à devenir publics, d'autre part, que les opinions exprimées par la salariée n'avaient eu aucune incidence sur l'emploi ou ses relations de travail avec les usagers ou ses collègues et qu'il n'est pas établi qu'ils auraient été connus en dehors du cadre privé.
Cass8 mars 2023Cass, soc., 8 mars 2023, n° 21-12.492, points 5-10(source)
Mesure de communication de bulletins de salaire par le juge sur le fondement des articles 6 et 8 de la CESDH, de l'article 9 du code civil et de l'article 9 du code de procédure civile – Communication nécessaire à l'exercice ou à la défense d'un droit en justice – Licéité – Conditions
Il résulte du point (4) de l'introduction du RGPD que le droit à la protection des données à caractère personnel n'est pas un droit absolu et doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité, notamment le droit à un recours effectif et à accéder à un tribunal impartial. Selon l’article 145 du code de procédure civile, s’il existe un motif légitime de conserver ou d’établir avant tout procès la preuve de faits dont pourrait dépendre la solution d’un litige, les mesures d’instruction légalement admissibles peuvent être ordonnées à la demande de tout intéressé. Il résulte par ailleurs des articles 6 et 8 de la Convention européenne des droits de l’homme et des libertés fondamentales, l’article 9 du code civil et l’article 9 du code de procédure civile, que le droit à la preuve peut justifier la production d’éléments portant atteinte à la vie personnelle à la condition que cette production soit indispensable à l’exercice de ce droit et que l’atteinte soit proportionnée au but poursuivi. Il faut donc approuver l’arrêt qui ordonne à l’employeur de communiquer à une salariée les bulletins de salaire d’autres salariés occupant des postes de niveau comparable au sien avec occultation des données personnelles à l'exception des noms et prénoms, de la classification conventionnelle et de la rémunération, après avoir relevé que cette communication d’éléments portant atteinte à la vie personnelle d’autres salariés était indispensable à l’exercice du droit à la preuve et proportionnée au but poursuivi, soit la défense de l’intérêt légitime de la salariée à l'égalité de traitement entre hommes et femmes en matière d’emploi et de travail.
Cass23 juin 2021Cass, soc., 23 juin 2021, n° 19-13.856, B., points 5-6(source)
Utilisation par un employeur d'un dispositif de vidéosurveillance filmant en permanence l'unique salarié de la société pour le contrôle des règles d'hygiène et de sécurité – Disproportion – Inopposabilité au salarié des enregistrements issus de cette vidéosurveillance dans le cadre d'une procédure de licenciement
Aux termes de l'article L. 1121‑1 du Code du travail, nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives des restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché.
La cour d’appel a constaté que le salarié, qui exerçait seul son activité en cuisine, était soumis à la surveillance constante de la caméra qui y était installée. Elle en a déduit à bon droit que les enregistrements issus de ce dispositif de surveillance, dispositif, vidéosurveillance, salarié, contrôle des règles d'hygiène et de sécurité, disproportionné au but allégué par l’employeur de sécurité des personnes et des biens, n’étaient pas opposables au salarié et, par ces seuls motifs, légalement justifiait sa décision.
CE15 décembre 2017CE, 10-9 chambres réunies, 15 décembre 2017, Société Odeolis, n° 403776, Rec., point 7(source)
Utilisation par un employeur d'un système de géolocalisation pour le contrôle de la durée du travail de ses salariés – Caractère excessif – Existence, sauf lorsque ce contrôle ne peut pas être fait par un autre moyen, même moins efficace
Il résulte des articles 6 de la loi n° 78‑17 du 6 janvier 1978 et L. 1121‑1 du code du travail que l'utilisation par un employeur d'un système de géolocalisation pour assurer le contrôle de la durée du travail de ses salariés n'est licite que lorsque ce contrôle ne peut pas être fait par un autre moyen, même moins efficace. En dehors de cette hypothèse, la collecte et le traitement de telles données à des fins de contrôle du temps de travail doivent être considérés comme excessifs au sens du 3° de l'article 6 de la loi du 6 janvier 1978.
