Est disproportionné et peut légalement faire l'objet d'une sanction un dispositif de vidéosurveillance plaçant sous surveillance permanente au moins un salarié. En l’espèce, la circonstance que la société ait voulu lutter contre des vols susceptibles d’être perpétrés par ses propres salariés ne permet pas de considérer que le dispositif était proportionné alors qu’en outre il était installé dans des locaux sécurisés, dont l’entrée ne peut s’effectuer qu’après autorisation et vérification d’identité.

Le fait pour une société de ne pas associer le délégué à la protection des données alors qu’elle s’apprête à déployer un traitement de données à caractère personnel particulièrement intrusif au moyen de caméras dissimulées dans des détecteurs de fumée est susceptible de constituer un manquement à l'article 38‑1 du RGPD.

Dispositif géolocalisant les véhicules professionnels en permanence, afin de lutter contre le vol du véhicule et de sa cargaison, ainsi que pour permettre d'optimiser les tournées de livraison. La CNIL considère de façon constante que l'enregistrement en continu des données de système de géolocalisation d'un véhicule professionnel, sans possibilité pour les salariés de ne pas être géolocalisé en dehors de leurs horaires de travail, porte en principe une atteinte excessive à la liberté d'aller et venir et au droit à la vie privée des salariés. La commission recommande ainsi que les employés puissent avoir la possibilité de désactiver la fonction de géolocalisation des véhicules pendant leurs temps de pause ou à l'issue de leur temps de travail lorsque ces véhicules peuvent être utilisés à des fins privées durant ces périodes. Cette possibilité de désactivation n'empêche pas la société de réactiver le dispositif à distance, comme cela est parfois possible, s'il a pour finalité de lutter contre le vol du véhicule.

Cas d'un système automatisé de gestion d'un très grand nombre de marchandises dans un entrepôt au moyen de scanners permettant de suivre toutes les manipulations des objets et les principales actions des salariés. Les données brutes des scanners sont conservées et permettent l'établissement d'un très grand nombre d'indicateurs individuels de qualité, de productivité et de temps de travail.

1) a) Lorsqu'un service rendu à des clients entraîne des contraintes exceptionnelles, en raison de volumes importants et de courts délais de livraison, un suivi très précis en temps réel de toutes les manipulations des objets dans un entrepôt et de la situation de chaque poste de travail, donc de chaque salarié, peut s'avérer nécessaire. Néanmoins, ce type de suivi entraîne le traitement d'un très grand nombre de données, dont beaucoup de données personnelles en temps réel, chaque fois qu'un colis est manipulé par un salarié dans le cadre de tâches directes. Aussi, si le traitement en temps réel par une société de données brutes et indicateurs pour la bonne gestion de stocks et de commandes ne saurait être remis en cause de façon générale, les indicateurs mobilisés dans ce cadre, sur le fondement de l'intérêt légitime de l'employeur, doivent répondre aux exigences de nécessité et de proportionnalité de l'article 6 du RGPD.

b) i) La collecte de données pour mesurer la rapidité d'exécution des actions d'un salarié lors de la réalisation de certaines tâches, en associant un indicateur d'erreur chaque fois que cette rapidité est inférieure à une certaine durée de l'ordre de la seconde, au motif que cette rapidité est en principe incompatible avec la bonne exécution desdites tâches, est de nature à exercer sur lui une surveillance continue. Ce type d'indicateur est intrusif et peut avoir des répercussions morales négatives sur les salariés. Une telle précision dans la surveillance dépasse les attentes raisonnables des salariés, qui peuvent s'attendre à une certaine surveillance de leur travail, mais pas à ce que leurs actions fassent l'objet d'une évaluation informatique à un rythme de l'ordre de la seconde. Par conséquent, le traitement de cet indicateur excède ce qui est admissible pour servir les intérêts légitimes de l'entreprise en matière de qualité et de sécurité dans ses entrepôts, car il porte atteinte de manière excessive aux droits et intérêts des salariés, notamment à leur vie privée et personnelle, ainsi qu'à leur droit à des conditions de travail respectueuses de leur santé et de leur sécurité. Absence de base légale du traitement.

ii) De façon similaire, la collecte d'un indicateur signalant les temps d'inactivité et de latence de chaque salarié supérieurs à dix minutes à tout moment de la journée présente un caractère intrusif important, car elle contraint en pratique le salarié à pouvoir justifier de tout temps considéré comme non productif. Le traitement de cet indicateur peut avoir des répercussions négatives sur le salarié en raison du suivi continu qu'il permet des temps très courts considérés comme non productifs. Un tel traitement, pour des finalités de gestion d'un entrepôt, d'exécution des commandes et de fourniture de conseils aux salariés, est disproportionné par rapport aux intérêts et droits fondamentaux des salariés, notamment leur droit à la protection de leur vie privée et personnelle ainsi qu'à des conditions de travail respectueuses de leur santé et de leur sécurité. La base légale de l'intérêt légitime ne peut donc être retenue.

iii) Il en va de même de la collecte d'un indicateur signalant les temps d'inactivité et de latence inférieurs à dix minutes de chaque salarié à certains moments de la journée (en particulier avant et après les pauses), laquelle est disproportionnée au regard des finalités de gestion d'un entrepôt, d'exécution des commandes et de fourniture de conseils aux salariés. La base légale de l'intérêt légitime ne peut donc être retenue.

2) La conservation et l'utilisation, pour chaque salarié, de données aussi fines et riches que l'intégralité des données brutes remontées par les scanners, ainsi que l'ensemble des nombreux indicateurs associés mesurant diverses variables, y compris sur de courtes périodes (une heure), sur une profondeur de 31 jours, pour des finalités d'évaluations individuelles régulières des salariés et, s'agissant de la plupart de ces données, pour des finalités d'organisation du travail dans les entrepôts, ne sont ni nécessaires ni proportionnées, notamment dès lors que la société peut atteindre ces finalités sans conserver l'intégralité des données brutes sur 31 jours et en ayant recours à des statistiques individuelles de qualité et de productivité, par exemple hebdomadaires. La conservation et l'utilisation de l'ensemble de ces données méconnaît le principe de minimisation de l'article 5.1.c) du RGPD et, en tout état de cause, porte une atteinte disproportionnée aux droits du salarié contraire à l'article 6 du RGPD.

Si le télétravail ne constitue qu’une modalité d’organisation du travail et que l’employeur conserve, au même titre que lorsque le travail est effectué dans les locaux de la société, le pouvoir d’encadrer et de contrôler l’exécution des tâches confiées à son salarié, la jurisprudence a en revanche rappelé de manière constante que ce pouvoir ne saurait être exercé de manière excessive. L’employeur doit donc toujours justifier que les dispositifs mis en œuvre sont proportionnés à l’objectif poursuivi et ne portent pas une atteinte excessive au respect des droits et libertés des salariés, particulièrement le droit au respect de leur vie privée.

À cet égard, la CNIL considère de manière constante qu’une surveillance automatisée permanente des salariés est excessive, sauf dans des cas exceptionnels dûment justifiés au regard de la nature de la tâche. Il en est de même dans le cadre du télétravail. La Commission considère ainsi que la surveillance constante ou quasi-constante au moyen de dispositifs vidéo, le partage permanent de l’écran ou l’utilisation d’enregistreurs de frappe (ou keyloggers), la surveillance de la fréquence des frappes de clavier et des clics de souris ou la prise de captures d’écran à intervalles réguliers, constituent des procédés particulièrement intrusifs et s’analysent en une surveillance permanente et disproportionnée des activités des salariés, y compris, en ce qu’ils peuvent conduire à la captation d’éléments d’ordre privé (courriels personnels, conversations de messageries instantanées ou de mots de passe confidentiels). Le recours à de tels dispositifs est susceptible de constituer un manquement à l’article 5‑1‑c du RGPD.

Le traitement de données à caractère personnel sur lequel repose un dispositif de Contrôle des horaires de travail, fondé sur l'intérêt légitime, doit respecter le principe de minimisation des données fixé à l'article 5‑1‑c du RGPD. Il ne doit, en outre, pas porter une atteinte disproportionnée à la vie personnelle des salariés, en application de l'article 6‑1‑f du RGPD et de l'article L. 1121‑1 du code du travail.

1) La CNIL estime en principe adéquat le recours à des « badgeuses », qui enregistrent l'identifiant ou le nom rattaché au badge associés au jour et à l'heure de pointage de la personne utilisant le badge. Ces dispositifs prévoient parfois un mécanisme d'authentification des salariés par un numéro d’identification personnel – NIP (ou Personal Identification Number – PIN). De tels systèmes permettent en principe d’assurer un contrôle satisfaisant des horaires de travail des salariés.

2) En revanche, la CNIL estime en principe que le recours à des photographies systématiques au moment de la prise de poste constitue une méconnaissance du principe de minimisation, dès lors que les badgeuses sans photographie suffisent généralement à atteindre les objectifs fixés. Cela est disproportionné, car la lutte contre la fraude peut en principe être détectée par d’autres moyens, notamment par l’action du personnel encadrant qui doit s’assurer du respect des consignes par les salariés. Il n’en va autrement que lorsque la société fait valoir des circonstances particulières justifiant le recours à un contrôle par photographie, telles que des difficultés spécifiques de contrôles des salariés ayant badgé ou des cas de fraude massive.

1) a) La mise en œuvre d’un vidéosurveillance de salariés n’est licite qu’à condition de ne collecter que les données nécessaires à l’objectif poursuivi et de ne pas porter une atteinte disproportionnée aux droits et libertés de ceux‑ci, ainsi que conformément à l’article L. 1121‑1 du Code du travail. Le nombre, l’emplacement, l’orientation, les périodes de fonctionnement des caméras ou la nature des tâches accomplies par les personnes concernées sont autant d’éléments à prendre en compte lors de l’installation du système.

b) Si la surveillance de zones sensibles peut être justifiée par des impératifs de sécurité, le placement sous surveillance permanente d’un salarié attentatoire à leur vie privée ne peut toutefois intervenir que dans des circonstances exceptionnelles tenant, par exemple, à la nature de la tâche à accomplir. Il en est ainsi lorsqu’un employé manipule des objets de grande valeur ou lorsque le responsable de traitement est à même de justifier de vols ou de dégradations commises sur ces zones.

2) En l’espèce, il est manifestement disproportionnée l’utilisation d’un dispositif de vidéosurveillance conduisant à placer des traducteurs assermentés sous une surveillance permanente en vue de protéger des documents traduits. En effet, si la nature des documents peut justifier la mise en place de mesures particulières de protection, il convient d’envisager des procédés alternatifs tels que la sécurisation des accès sur le lieu de travail.

Le placement sous surveillance continue des postes de travail des salariés n'est possible que s'il est justifié par une situation particulière ou un risque particulier auxquels sont exposées les personnes objets de la surveillance. Il appartient au responsable du traitement de justifier ces circonstances et de la proportionnalité du traitement. En l'espèce, l'utilisation de dispositifs de vidéoprotection et vidéosurveillance constitue une réponse adaptée au risque de sécurité qui pèse sur les salariés du groupe dont les établissements ont subi un nombre important de cambriolages. Néanmoins, quand bien même l'objectif de sécurité assigné au dispositif est parfaitement légitime, les seules difficultés liées à l'exigüité des locaux ne peuvent justifier une atteinte disproportionnée à la vie privée des salariés ou leur mise sous surveillance constante.

L'article 9 de la directive 95/46 doit être interprété en ce sens que des circonstances de fait telles que celles de l'affaire principale, à savoir l'enregistrement vidéo de membres de la police dans un commissariat, lors d'une prise de déposition, et la publication de la vidéo ainsi enregistrée sur un site Internet de vidéos où les utilisateurs peuvent envoyer, regarder et partager celles‑ci, peuvent constituer un traitement de données à caractère personnel aux seules fins de journalisme, au sens de cette disposition, pour autant qu'il ressort de ladite vidéo que ledit enregistrement et la publication ont pour seule finalité la divulgation au public d'informations, d'opinions ou d'idées ; ce qu'il incombe à la juridiction de renvoi de vérifier.

La directive 2017/1132 relative à certains aspects du droit des sociétés, en particulier l'article 16 de celle‑ci, ainsi que l'article 17 du règlement 2016/679 du 27 avril 2016 (RGPD), doivent être interprétés en ce sens qu'ils s'opposent à une réglementation ou à une pratique d'un État membre conduisant l'autorité chargée de la tenue du registre du commerce de cet État membre à refuser toute demande d'effacement des données à caractère personnel, non requises par cette directive ou par le droit dudit État membre, figurant dans un contrat de société publié dans ce registre, lorsqu'une copie de ce contrat occultant ces données n'a pas été fournie à cette autorité, contrairement aux modalités procédurales prévues par cette réglementation.

1) Les dispositions du règlement 2016/679, notamment l'article 6, paragraphe 1, sous‑e), et l'article 10 de celui‑ci, doivent être interprétées en ce sens qu’elles s’opposent à ce que des données relatives à des condamnations pénales d’une personne physique figurant dans un fichier tenu par une juridiction puissent être communiquées oralement à toute personne aux fins de garantir un accès du public à des documents officiels, sans que la personne demandant la communication ait à justifier d’un intérêt spécifique à obtenir lesdites données. 2) La circonstance que cette personne soit une société commerciale ou un particulier n’ayant pas d’incidence à cet égard.

1) L'article 17, paragraphe 3, sous a), du RGPD doit être interprété en ce sens que dans le cadre de la mise en balance qu'il convient d'opérer entre les droits visés aux articles 7 et 8 de la Charte des droits fondamentaux de l'Union européenne, d'une part, et ceux visés à l'article 11 de la Charte des droits fondamentaux, d'autre part, aux fins de l'examen d'une demande de déréférencement adressée à l'exploitant d'un moteur de recherche et tendant à ce que soit supprimé de la liste de résultats d'une recherche le lien menant vers un contenu comportant des allégations que la personne ayant introduit la demande estime inexactes, ce déréférencement n'est pas soumis à la condition que la question de l'exactitude du contenu référencé ait été résolue, au moins à titre provisoire, dans le cadre d'un recours intenté par cette personne contre le fournisseur de contenu.

2) L'article 12, sous b), et l'article 14, premier alinéa, sous a), de la directive 95/46/CE et l'article 17, paragraphe 3, sous a) du règlement 2016/679 doivent être interprétés s'en ce sens que dans le cadre de la mise en balance qu'il convient d'opérer entre les droits visés aux articles 7 et 8 de la Charte des droits fondamentaux, d'une part, et ceux visés à l'article 11 de la Charte des droits fondamentaux, d'autre part, aux fins de l'examen d'une demande de déréférencement adressée à l'exploitant d'un moteur de recherche et tendant à ce que soient supprimés des résultats d'une recherche d'images effectuée à partir du nom d'une personne physique les photographies affichées sous la forme de vignettes qui représentent cette personne, il y a lieu de tenir compte de la valeur informative de ces photographies indépendamment du contexte de leur publication sur la page Internet d'où elles sont extraites, mais en prenant en considération tout élément textuel qui accompagne directement l'affichage de ces photographies dans les résultats de recherche et qui est susceptible d'apporter un éclairage sur la valeur informative de celles-ci.

Les dispositions du RGPD, notamment l'article 5, paragraphe 1, l'article 6, paragraph e 1, sous e), et l'article 10 de celui‑ci, doivent être interprétées en ce sens qu'elles s'opposent à une législation nationale qui fait obligation à l'organisme public chargé du registre dans lequel sont inscrits les points de pénalité imposés aux conducteurs de véhicules pour des infractions routières de rendre ces données à caractère personnel accessibles au public, sans que la personne demandant l'accès ait à justifier d'un intérêt spécifique à obtenir lesdites données. L'amélioration de la sécurité routière constitue un objectif d'intérêt général reconnu par l'Union et, partant, les États membres peuvent qualifier la sécurité routière de « mission d'intérêt public ». Cependant, dans le cas d'espèce, la nécessité du régime letton de communication de données à caractère personnel relatives aux points de pénalité pour assurer l'objectif visé n'est pas établie. En effet, d'une part, le législateur letton dispose d'une multitude de voies d'actions qui lui auraient permis d'atteindre cet objectif par d'autres moyens moins attentatoires aux droits fondamentaux des personnes concernées. D'autre part, il convient de tenir compte de la sensibilité des données relatives aux points de pénalité et du fait que leur communication au public est susceptible de constituer une ingérence grave dans les droits au respect de la vie privée et à la protection des données à caractère personnel, dès lors qu'elle peut provoquer la désapprobation de la société et entraîner la stigmatisation de la personne concernée.

La Cour considère que, compte tenu de la sensibilité de ces données et de la gravité de cette ingérence dans ces deux droits fondamentaux, ces droits prévalent tant sur l'intérêt du public à avoir accès à des documents officiels, tels que le registre national des véhicules et de leurs conducteurs, que sur le droit à la liberté d'information.

L'ingérence dans le droit à la vie privée et à la protection des données à caractère personnel qu'emporte la publicité des données nominatives contenues dans le regi stre des sociétés n'est pas disproportionnée eu égard au nombre de données concernées et au fait qu'elle vise à assurer la sécurité juridique dans les rapports entre les sociétés et les tiers ainsi qu'à protéger les intérêts des tiers par rapport aux socié tés par actions et aux sociétés à responsabilité limitée.

Il ne peut donc être garanti aux personnes physiques dont les données sont inscrites dans le registre des sociétés le droit d'obtenir, après un certain délai à compter de la dissolution de la socié té, l'effacement des données à caractère personnel les concernant.

En revanche, les États membres peuvent exceptionnellement déroger à cette exigence de publicité. Il leur appartient de déterminer si les personnes physiques, visées à l'article 2, paragrap he 1, sous d) e t j) de la directive 68/151/CEE, à savoir, d'une part, les personnes qui ont le pouvoir d'engager une société à l'égard des tiers et de la représenter en justice et celles qui participent à l'administration, à la surveillance ou au contrôle de la société et, d'autre part, les liquidateurs d'une société, peuvent demander à l'autorité chargée de la tenue, respectivement, du registre central, du registre du commerce ou du registre des sociétés de vérifier, sur la base d'une appréciation au cas p ar cas, s'il est exceptionnellement justifié, pour des raisons prépondérantes et légitimes tenant à leur situation particulière, de limiter, à l'expiration d'un délai suffisamment long après la dissolution de la société concernée, l'accès aux données à car actère personnel les concernant, inscrites dans ce registre, aux tiers justifiant d'un intérêt spécifique à la consultation de ces données.

Il découle des exigences, prévues à l'article 6, paragraphe 1, sous c) à e), de la Directive 95/46, que même un traitement initialement licite de données exactes peut devenir, avec le temps, incompatible avec cette directive lorsque ces données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées. Ainsi, dans l'hypothèse où il est constaté, à la suite d'une demande de la personne concernée en application de l'article 12, sous b), de la Directive 95/46, que l'inclusion dans la liste de résultats, affichée à la suite d'une recherche effectuée à partir de son nom, des liens vers des pages web publiées légalement par des tiers et contenant des informations véridiques relatives à sa personne, est, au stade actuel, incompatible avec ledit article 6, paragraphe 1, sous c) à e), en raison du fait que ces informations apparaissent, eu égard à l'ensemble des circonstances caractérisant le cas d'espèce, inadéquates, pas ou plus pertinentes ou excessives au regard des finalités du traitement en cause réalisé par l'exploitant du moteur de recherche, les informations et les liens concernés de ladite liste de résultats doivent être effacés.

Dans ce contexte, la constatation d'un droit de la personne concernée à ce que l'information relative à sa personne ne soit plus liée à son nom par une liste de résultats ne présuppose pas que l'inclusion de l'information en question dans la liste de résultats cause un préjudice à la personne concernée.

La personne concernée, pouvant, eu égard à ses droits fondamentaux au titre des articles 7 et 8 de la Charte des droits fondamentaux de l'Union européenne, demander à ce que l'information en question ne soit plus mise à la disposition du grand public par son inclusion dans une telle liste de résultats, ces droits prévalent, en principe, non seulement sur l'intérêt économique de l'exploitant du moteur de recherche, mais également sur l'intérêt de ce public à trouver ladite information lors d'une recherche portant sur le nom de cette personne. Cependant, tel ne serait pas le cas s'il apparaissait, pour des raisons particulières, telles que le rôle joué par ladite personne dans la vie publique, que l'ingérence dans ses droits fondamentaux est justifiée par l'intérêt prépondérant dudit public à avoir, du fait de cette inclusion, accès à l'information en question.

Conformité à la Constitution d'un dispositif autorisant à titre expérimental et pour une durée de trois ans, les administrations fiscales et douanières à collecter et à exploiter de manière automatisée les contenus accessibles publiquement sur les sites internet de certains opérateurs de plateforme, aux fins de recherche de manquements et d'infractions en matière fiscale et douanière malgré l'atteinte au droit au respect de la vie privée dès lors que : le dispositif poursuit l'objectif à valeur constitutionnelle de lutte contre la fraude et l'évasion fiscale ; les traitements de données autorisés par les dispositions contestées peuvent être mis en œuvre, d'une part, pour les besoins de la recherche de certains manquements et certaines infractions dont la commission est rendue possible ou favorisée par l'usage d'internet et, d'autre part, pour rechercher l'insuffisance de déclaration découlant d'un manquement aux règles de domiciliation fiscale. Si la commission de ce manquement n'est pas rendue possible ou favorisée par l'usage d'internet, il résulte des travaux parlementaires que le législateur, qui a souhaité limiter le nombre de manquements susceptibles d'être recherchés, a entendu viser un des cas les plus graves de soustraction à l'impôt, qui peut être particulièrement difficile à déceler ; les données susceptibles d'être collectées et exploitées doivent répondre à deux conditions cumulatives. D'une part, il doit s'agir de contenus librement accessibles sur un service de communication au public en ligne d'une des plateformes précitées, à l'exclusion donc des contenus accessibles seulement après saisie d'un mot de passe ou après inscription sur le site en cause. D'autre part, ces contenus doivent être manifestement rendus publics par les utilisateurs de ces sites. Il en résulte que ne peuvent être collectés et exploités que les contenus se rapportant à la personne qui les a délibérément divulgués. En outre, les données sensibles au sens du paragraphe I de l'article 6 de la loi du 6 janvier 1978, c'est‑à‑dire celles qui révèlent la prétendue origine raciale ou l'origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale d'une personne, les données génétiques et biométriques et celles concernant la santé et la vie ou l'orientation sexuelle, ne peuvent faire l'objet d'aucune exploitation à des fins de recherche de manquements ou d'infractions ; d'une part, les traitements de données autorisés par les dispositions contestées ne peuvent comporter aucun système de reconnaissance faciale. D'autre part, ils ne peuvent être mis en œuvre que par des agents des administrations fiscales et douanières ayant au moins le grade de contrôleur et spécialement habilités ; les données qui s'avèrent manifestement sans lien avec les manquements et infractions recherchés ou qui constituent des données sensibles sont détruites au plus tard dans les cinq jours suivant leur collecte, sans aucune autre exploitation possible de ces données pendant ce délai. Les autres données doivent être détruites dans les trente jours si elles ne sont pas de nature à concourir à la constatation des manquements ou infractions. Seules peuvent être conservées les données strictement nécessaires à une telle constatation, dans la limite d'une année ou, le cas échéant, jusqu'au terme de la procédure pénale, fiscale ou douanière dans le cadre de laquelle elles sont utilisées ; aucune procédure pénale, fiscale ou douanière ne peut être engagée sans qu'ait été portée une appréciation individuelle de la situation de la personne par l'administration, qui ne peut alors se fonder exclusivement sur les résultats du traitement automatisé ; le traitement instauré par les dispositions contestées est mis en œuvre dans le respect de la loi du 6 janvier 1978, à l'exception du droit d'opposition prévu à son article 110 ; la mise en œuvre des traitements de données, tant lors de leur création que lors de leur utilisation, doit être proportionnée aux finalités poursuivies. Il appartiendra notamment, à ce titre, au pouvoir réglementaire, sous le contrôle du juge, de veiller à ce que les algorithmes utilisés par ces traitements ne permettent de collecter, d'exploiter et de conserver que les données strictement nécessaires à ces finalités.

Demande de communication d'un registre de contentieux et d'isolation au titre du droit d'accès aux documents administratifs. Dans le cas où l'identité des patients a fait l'objet d'une pseudonymisation, laquelle ne permet l'identification des personnes en cause qu'après recoupement d'informations, il appartient au juge administratif d'apprécier si, eu égard à la sensibilité des informations en cause et aux efforts nécessaires pour identifier les personnes concernées, leur communication est susceptible de porter atteinte à la protection de la vie privée et au secret médical. En l'espèce, compte tenu de la nature des informations en cause, qui touchent à la santé mentale des patients, et du nombre restreint de personnes pouvant faire l'objet d'une mesure de contention et d'isolement, facilitant ainsi leur identification, alors que les autorités énumérées à la dernière phrase du deuxième alinéa de l'article L. 3222‑5‑1 du code de la santé publique peuvent accéder à l'ensemble des informations figurant sur les registres et contrôler l'activité des établissements concernés, l'identifiant dit "anonymisé" figurant dans ces registres, qu'il s'agisse, selon la pratique du centre hospitalier, de "l'identifiant permanent du patient" (IPP) ou d'un identifiant spécialement défini, doit être regardé comme une information dont la communication est susceptible de porter atteinte à la protection de la vie privée et au secret médical. Cet identifiant n'est donc communicable qu'au seul intéressé en vertu des dispositions de l'article L. 311‑6 du code des relations entre le public et l'administration.

1) Il résulte de l'article 21-1 de la loi n° 71‑1130 du 31 décembre 1971 que le législateur a voulu confier au CNB une nouvelle fonction, liée à sa mission de service public relative à l'organisation de la profession réglementée d'avocat : constituer et rendre accessible au public la liste à jour des avocats inscrits au tableau d'un barreau. L’Annuaire national des avocats qu’il doit établir et mettre à jour constitue ainsi, dans son intégralité, un Document administratif.

2) a) Si, en vertu de ces dispositions, il appartient au CNB de rendre accessible en ligne un annuaire national des avocats inscrits au tableau d'un barreau selon les modalités qu’il fixe, l’absence de dispositions réglementaires le précisant notamment, ainsi que la manière dont il y est procédé, se traduit par le biais d’un moteur de recherche sur son site internet permettant à l’internaute d’interroger la base de données à partir de certains champs de recherche et d’obtenir des résultats extraits de l’annuaire.

b) Il ne résulte pas de ces dispositions, éclairées par les travaux préparatoires de la loi n° 2016‑1547 du 18 novembre 2016 dont elles sont issues, que le législateur aurait voulu déroger aux règles de droit commun régissant la publication en ligne des documents administratifs, rappelées aux articles L. 300‑2, L. 300‑4, L. 311‑1, L. 311‑9, L. 312‑1‑1 et au 3° de l’article D. 312‑1‑3 du code des relations entre le public et l’administration (CRPA) et, en particulier, soustraire le CNB, saisi d’une demande en ce sens, à l’obligation de publier en ligne le fichier correspondant à l’annuaire national des avocats dans son intégralité dans un standard ouvert, aisément réutilisable et exploitable par un système de traitement automatisé, ainsi que, spontanément, chaque mise à jour.

3) Lorsqu’une personne demande à accéder à l’Annuaire national des avocats selon la modalité d’une publication en ligne, en application du 4° de l’article L. 311‑9 du CRPA, et que le CNB n’a rendu accessible l’annuaire qu’il établit et met à jour uniquement par le biais d’un moteur de recherche sur son site internet, permettant à l’internaute d’interroger la base de données à partir de certains champs de recherche et d’obtenir un nombre limité de résultats,

a) une telle mise à disposition ne peut être considérée comme une publication en ligne du document administratif au sens de l’article L. 311‑9 du CRPA.

b) ni comme une diffusion publique du document au sens de l’article L. 312‑1‑1 du CRPA, diffusion qui est de droit pour les documents disponibles sous forme électronique communiqués en application des procédures prévues au titre 3 du CRPA, alors que cette publication en ligne n’est pas réalisée dans un standard ouvert, aisément réutilisable et exploitable par un système de traitement automatisé, comme l’exige l’article L. 300‑4 du même code.

Dans le cas particulier d'une demande d'effacement, fondée sur une opposition au traitement, relative à certains éléments figurant dans une décision de justice publiée sur internet, il y a lieu de tenir compte de la possibilité d'anonymiser la décision sans la rendre incompréhensible ou diminuer sa valeur doctrinale pour le public. Si tel est le cas et si la publication porte atteinte à la vie privée du demandeur, il doit en principe être procédé à l'effacement des données à caractère personnel publiées. Dans les autres cas, il y a lieu de mettre en balance l'atteinte que cette publication porte à la vie privée du demandeur avec les droits et intérêts du responsable de traitement, ainsi que l’intérêt du public à connaître cette décision, au regard notamment de son apport jurisprudentiel.

En l'espèce, la requérante avait souhaité s'opposer au traitement de ses données par la publication d'une décision de justice, en application de l'article 21 du RGPD, afin d'obtenir l'effacement des données permettant de l'identifier dans la décision, sur le fondement de l'article 17 du RGPD.

L'article R.112-1-3 dispose que la Réutilisation de ces informations ne doit avoir ni pour objet ni pour effet de permettre la réidentification des personnes concernées par les mutations immobilières. 1) Dès lors qu'un site internet se contente de reprendre les données en open data pour les publier, sans croisement, le traitement repose sur un intérêt légitime et est conforme à la réglementation de cette base de données. 2) En cas d'exercice du droit d'opposition, en application des articles 21 du RGPD et R.112-1-3, les personnes qui indiquent que les données publiées par l'État, même limitées à celles publiées par l'État, ont pour effet de permettre leur réidentification (par exemple lorsqu'une recherche sur un moteur de recherche avec l'adresse du bien permet de retrouver la personne ayant acquis) ont le droit à ce que des mesures empêchant la réidentification soient mises en œuvre. En particulier, il est possible de ne plus lier le prix du bien immobilier en question à une adresse précise mais à une zone géographique plus large.