CC30 septembre 2011CC, 2011-173 QPC, 30 septembre 2011, M. Louis C. et autre s, point 6(source)
Conditions de réalisation des expertises génétiques sur une personne décédée à des fins d'actions en matière de filiation
En interdisant l'identification par les empreintes génétiques d'une personne décédée qui n'y avait pas expressément consenti de son vivant, la dernière phrase du cinquième alinéa de l'article 16‑11 du code civil n'a pas porté atteinte au respect dû à la vie privée. La clause interdit également toute expertise génétique sans consentement préalable et ne remet pas en cause les droits fondamentaux liés à la filiation.
CE2 décembre 2019CE, Formation spécialisée, 2 décembre 2019, M. B… A…, n° 420917, Inédit., point 4(source)
Qualité d'ayant droit d'un père décédé dont les données figurent dans un fich ier intéressant la sûreté de l' État ou la défense – Qualité de personne concernée dudit ayant droit – Absence
La loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés n'ouvre la possibilité de demander la communication de données à caractère personnel figurant dans un traitement automatisé ou de solliciter un accès indirect à de telles données qu'à la personne concernée par celles-ci. La seule qualité d'ayant droit de son père décédé dont se prévaut une personne ne lui confère pas la qualité de personne concernée par les données susceptibles de concerner son père dans un fichier intéressant la sûreté de l'État ou la défense.
CE7 juin 2017CE, 10-9 chambres réunies, 7 juin 2017, M. X, n° 399446, T., points 2-3(source)
Ayant - droit d'une personne à laquelle se rapportent des données à caractère personnel – 1) Personne concernée (art.2 et 39 de la loi du 6 janvier 1978) – Absence en principe – 2) Exception – Héritiers de la victime d'un dommage ayant engagé une action en réparation avant son décès ou ayant eux - mêmes engagé ultérieurement une telle action
1) Il résulte des dispositions des articles 2 et 39 de la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés que la communication de données à caractère personnel n’est possible qu’à la personne concernée par ces données. Par suite, la seule qualité d’ayant droit d’une personne à laquelle se rapportent des données ne confère pas la qualité de « personne concernée » par leur traitement au sens de ces dispositions. 2) Toutefois, lorsque la victime d’un dommage décède, son droit à la réparation de ce dommage, entré dans son patrimoine, est transmis à ses héritiers, saisis de plein droit des biens, droits et actions du défunt en application du premier alinéa de l’article 724 du code civil. Par suite, lorsque la victime a engagé une action en réparation avant son décès ou lorsque ses héritiers ont ultérieurement eux‑mêmes engagé une telle action, ces derniers doivent être regardés comme des « personnes concernées » au sens des articles 2 et 39 de la loi du 6 janvier 1978 pour l’exercice de leur droit d’accès aux données à caractère personnel concernant le défunt, dans la mesure nécessaire à l’établissement du préjudice que ce dernier a subi en vue de sa réparation et pour les seuls besoins de l’instance engagée.
CE19 juillet 2019CE, Assemblée, 19 juillet 2019, Association des Américains accidentels, n° 424216, Rec., points 8, 18(source)
1) RGPD et directive (UE) 2016/680 – Champs d'application respectifs – a) Principe – Appréciation en fonction de la finalité du traitement – b) Application – Traitement ayant pour finalité le transfert de données fiscales vers l'administration fiscale américaine – Finalité d'amélioration du respect par les contribuables de leurs obligations fiscales – Conséquence – Traitement relevant du RGPD – 2) Appréciation de cette finalité sans incidence sur le champ des traitements soumis, en raison de leur objet, à des modalités procédurales particulières définies en droit interne
1) a) Un traitement de données à caractère personnel relève du champ d'application du règlement (UE) n° 2016/679 du 27 avril 2016 (RGPD) ou de la directive (UE) n° 2016/680 du même jour selon sa finalité.
b) Accord conclu le 14 novembre 2013 entre le Gouvernement de la République française et le États-Unis d'Amérique en vue d'améliorer le respect des obligations fiscales à l'échelle internationale et de mettre en œuvre la loi relative au respect des obligations fiscales concernant les comptes étrangers (dite « loi FATCA »). Traitement d'échange automatique d'informations organisant notamment la collecte et le transfert de données à caractère personnel aux autorités fiscales américaines créé pour la mise en œuvre de cet accord.
Alors même que le traitement litigieux a plusieurs objets, dont la prévention, la détection et la répression des infractions pénales, sa finalité est de permettre, en luttant contre la fraude et l'évasion fiscales, l'amélioration du respect de leurs obligations fiscales par les contribuables franco‑américains. Il s'ensuit qu'il relève du champ d'application du RGPD et non de celui de la directive (UE) n° 2016/680.
2) Un traitement ayant pour finalité de lutter contre la fraude et l'évasion fiscales est au nombre des traitements visés à l'article 31 de la loi n° 78‑17 du 6 janvier 1978 dès lors qu'il a parmi ses objets la prévention, la recherche, la constatation ou la poursuite des infractions pénales.
CE7 décembre 2017CE, Assemblée générale (section de l'intérieur), 7 décembre 2017, Avis, n° 393836, Projet de loi d'adaptation au droit de l'Union européenne de la loi, n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés(source)
Traitements de données relevant à la fois du champ de la directive et de celui du règlement ou du droit interne – 1) Finalités mixtes – Mise en œuvre par un acte législatif ou réglementaire – 2) Double régime et droits des personnes concernées – a) Traitements directive – Règlement – Conditions – Diminution de la portée du droit à l'oubli et droit à la portabilité des données prévue par l'acte – b) Traitements directive – Droit interne – Condition – Restriction limitée des droits
Le Conseil d'État constate qu'existent des traitements de données à caractère personnel qui relèvent à la fois du champ de la directive, en raison de certaines de leurs finalités mixtes, et du champ du règlement (UE) 2016/679 ou du droit interne, en raison de leurs autres finalités. Cette situation est traitée par l'article 9 de la directive (UE) 2016/680, qui dispose que le traitement à d’autres fins de données collectées dans le champ de la directive n'est possible que si un tel traitement est autorisé par le droit de l'Union ou le droit de l'État‑membre et que, dès lors que les données sont traitées à d'autres fins, le règlement s'applique, à moins que le traitement ne soit effectué dans le cadre d'une activité ne relevant pas du champ d'application du droit de l'Union.
1) D’une part, le Conseil d'État en conclut que, lorsqu’un traitement de données répond à des finalités mixtes, il convient que sa mise en œuvre soit prévue par un acte législatif ou réglementaire ou un acte répondant aux exigences de clarté, de précision et d’éventail rappelées au considérant 33 de la directive. Le Conseil d'État relève d'ailleurs que l'existence d'un tel acte est également nécessaire lorsqu'il est envisagé d'apporter des restrictions aux droits des personnes concernées en application des articles 13, 15 et 16 de la directive, transposés à l'article 70‑21 de la loi du 6 janvier 1978.
2) D’autre part, le Conseil d'État estime que l'article 9 de la directive impose un double régime aux traitements de données à finalités mixtes.
S’agissant des traitements relevant à la fois du champ de la directive et de celui du règlement, ce double régime paraît complexe à mettre en œuvre pour les droits des personnes concernées. Le Conseil d'État relève en effet qu'existent deux droits prévus par le règlement et absents de la directive : le droit à l'oubli et le droit à la portabilité des données. Dans les deux cas, le règlement prévoit que ces droits ne sont pas applicables lorsque le traitement est nécessaire « à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement ». Ces droits devraient donc être inapplicables aux traitements de données dont les finalités mixtes. Les autres droits des personnes concernées (information, accès, opposition…) sont plus ouverts dans le règlement que dans la directive.
Le Conseil d'État estime que, dès lors que les données sur lesquelles la personne concernée demande à exercer ses droits ne pourront pas être exclusivement rattachées aux finalités prévues par la directive, soit aux autres finalités du traitement de données, il convient que l'acte ayant autorisé le traitement de données à finalités mixtes s'appuie sur l'article 23 du règlement, qui permet une diminution de la portée des droits de la personne concernée sous plusieurs conditions, dont la sécurité publique et la préservation des procédures pénales, afin de déterminer un régime des droits des personnes concernées cohérent pour l'ensemble des données traitées pour les diverses finalités. Pour être conforme aux exigences du second paragraphe de l'article 23 du règlement, les dispositions apportant de telles limitations doivent être précises et ne sauraient prendre la forme d'habilitations générales.
S'agissant des traitements relevant à la fois du champ de la directive et de celui du droit interne, dès lors que les données sur lesquelles la personne concernée demande à exercer ses droits ne peuvent être exclusivement rattachées à l'un ou l'autre de ces deux champs, les restrictions apportées à ces droits ne pourront excéder celles prévues par la directive.
CNIL31 mars 2022CNIL, P, 31 mars 2022, A vis sur projet d'arrêté, VidéoCRA, n° 2022-045, publié, points 5, 7(source)
Traitements automatisés de données à caractère personnel provenant de dispositifs de vidéosurveillance installés dans les emprises des locaux et centres de rétention administrative et des zones d'attente
Dans la mesure où dispositifs de vidéosurveillance ont été installés dans les emprises des locaux et centres de rétention administrative ainsi que des zones d'attente relevant de la compétence de la police et de la gendarmerie nationales, il s'agit de dispositifs de « vidéosurveillance » car ces derniers filment des lieux non ouverts au public. À ce titre, le code de la sécurité intérieure, qui régit les dispositifs de « vidéoprotection » filmant la voie publique ou des lieux ouverts au public, n'est pas applicable et seules les dispositions de l'a loi n°78‑17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée et du RGPD encadrent la mise en œuvre de tels traitements automatisés. Le placement en centre ou en lieu de rétention est indépendant de toute qualification pénale. Le contrôle du respect des règles de sécurité du règlement intérieur de chaque local de rétention administrative et des règles de contrôle d'accès ne relève pas non plus d'une finalité pénale. Il en va de même de la finalité relative à la collecte de preuves dans le cadre des procédures administratives et disciplinaires. En revanche, les missions de maintien de la sécurité publique par les forces de l'ordre au sein des centres et lieux de rétention sont susceptibles de relever de la directive « Police‑Justice ». Les traitements automatisés de données à caractère personnel provenant de dispositifs de vidéosurveillance installés dans les emprises des locaux et centres de rétention administrative ainsi que des zones d'attente devraient donc relever d'un régime mixte (RGPD et directive « Police‑Justice » tel que transposée au titre III de la loi du 6 janvier 1978 dite « Informatique et Libertés ») en fonction des finalités poursuivies.
CNIL12 mai 2021CNIL, SP, 12 mai 2021, Avis sur projet de décret, n° 2021-055, non publié Voir aussi: CE, Assemblée, 19 juillet 2019, Association des Américains accidentels, n° 424216, Rec.(source)
Crise sanitaire – Traitement mis en œuvre dans le cadre du suivi de mesures individuelles de quarantaine et d'isolement et à l'accompagnement des personnes – Régime mixte
Les finalités d'un traitement mis en œuvre, mis en œuvre dans un contexte de crise sanitaire, liées au suivi du respect de mesures individuelles de quarantaine et d'isolement et à l’accompagnement des personnes, relèvent du RGPD par leur visée sanitaire. Lorsque le contrôle de ces mesures individuelles, entendu notamment par la constatation des infractions pénales associées, apparaît également au titre des finalités du même traitement, que celui‑ci est placé sous la responsabilité conjointe du ministre chargé de la santé et du ministre de l’intérieur et que plusieurs services du ministère de l’intérieur accèdent ou sont rendus destinataires des données qui y sont enregistrées, il y a lieu de considérer que la prévention, la recherche et la constatation d’infractions pénales constituent une des finalités dudit traitement, et non un objet de ce traitement sans incidence sur son régime juridique.
Dans ces conditions, et dès lors que le critère de l’autorité compétente prévu par la Directive « Police – Justice » est rempli, un tel traitement relève d’un régime mixte, à savoir le RGPD pour la finalité de suivi des mesures individuelles et le titre III de la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée, pour la finalité de contrôle du respect de ces mesures par la constatation des infractions pénales associées, ce qui doit notamment apparaître dans les dispositions réglementaires encadrant le traitement en cause.
CE10 novembre 2021CE, 10ème – 9ème chambres réunies, 10 novembre 2021, M. M... B..., n° 444992, Inédit., point 7(source)
Juridictions compétentes pour le contentieux portant sur les traitements mixtes
Il résulte des articles L. 841‑2 et R. 841‑2 du code de la sécurité intérieure que la formation spécialisée du Conseil d’État statuant au contentieux n’est compétente, en ce qui concerne les litiges relatifs à l’accès indirect aux données recueillies dans le fichier STARTRAC, que pour celles de ces données qui intéressent la sûreté de l’État. Le tribunal administratif et la cour administrative d’appel restent compétents en première instance et en appel pour connaître des litiges relatifs à l’accès indirect aux données recueillies dans ce même fichier n’intéressant pas la sûreté de l’État.
CE3 mars 2020CE, Section de l'intérieur, 3 mars 2020, Avis, n° 401352, 401354, 401355, Projets de décrets modifiant les dispositions du code de la sécurité intérieure relatives aux traitements de données à caractère personnel dénommés « Prévention des atteintes à la sécurité publique » (PASP), « Enquêtes administratives liées à la sécurité publiques » (EASP), « Gestion de l'information et prévention des(source)
Traitement de données à caractère personnel – Fichier mixte – Traitements dont la finalité relève pour partie de la sécurité publique et pour partie de la sûreté de l' État – Nécessité de définir les données intéressant la sûreté de l' État
Le Conseil d'État (section de l'intérieur) a donné un avis favorable à trois projets de décret modifiant les dispositions du code de la sécurité intérieure relatives aux traitements dénominés « Enquêtes administratives liées à la sécurité publique » (EASP), « Prévention des atteintes à la sécurité publique » (PASP) et « Gestion de l'information et prévention des atteintes à la sécurité publique » (GIPASP ).
En premier lieu ces projets ajoutent à la finalité de « sécurité publique » des trois traitements, celle de « sûreté de l'État ». Par suite, les trois traitements deviennent des fichiers mixtes, les données intéressant la sécurité publique relevant du titre III de la loi n° 78‑17 du 6 janvier 1978 et de la directive 2016/680, et celles intéressant la sûreté de l'État du titre IV de la loi du 6 janvier 1978 dite « Informatique et Libertés », et du RGPD.
Ces deux groupes de données étant ainsi soumis à dés régimes juridiques distincts, notamment quant aux droits d'accès, de rectification et d'effacement des personnes concernées, le Conseil d'État a considéré nécessaire que les trois projets de décret comportent une définition des données intéressant la sûreté de l'État, la notion de sûreté de l'État n'ayant jamais été définie par une disposition législative ou réglementaire, ni par la jurisprudence. S'inspirant des dispositions de l'article 410‑1 du code pénal et de l'article L. 811‑1 du code de la sécurité intérieure qui traitent des intérêts fondamentaux de la Nation, et aux seules fins de préciser les finalités des traitements concernés, le Conseil d'État propose que les articles 1ers des trois projets de décret soient complétés afin de prévoir que « Les données intéressant la sûreté de l'État sont celles qui révèlent des activités susceptibles de porter atteinte aux intérêts fondamentaux de la Nation ou de constituer une menace terroriste portant atteinte à ces mêmes intérêts (…) ».
En second lieu le Conseil d'État a considéré que l'indication de l'enregistrement ou non d'une personne dans les traitements de données énumérées par les articles modifiés R. 236‑2, R. 236‑12 et R. 236‑22 du code de la sécurité intérieure, ainsi que l'enregistrement de données à caractère personnel issues d'autres traitements, constituaient une mise en relation de fichier et non une interconnexion. En effet, ces enregistrements ne procèdent ni d'une consultation automatique d'un des traitements énumérés, aux fins de vérifier si l'identité d'une personne y est enregistrée, ni d'une inscription automatique de cette information ou d'autres informations la concernant au nombre des données pouvant être enregistrées dans l'un des trois traitements examinés.
CC13 novembre 2020CC, 2020-808 DC, 13 novembre 2020, Loi autorisant la prorogation de l'état d'urgence sanitaire et portant diverses mesures de gestion de la crise sanitaire, points 16-24(source)
Extension de l'accès aux données des personnes atteintes de la covid‑19 – Respect du droit à la vie privée – Conditions
Les données relatives à la santé des personnes atteintes par le virus responsable de la covid‑19 et des personnes en contact avec elles sont, le cas échéant sans leur consentement, traitées et tagées à travers un système d'information ad hoc. Ne méconnaît pas le droit au respect de la vie privée l'extension de l'accès à ces données à certains professionnels de santé qui participent à l'établissement du diagnostic et à l'identification des chaînes de contamination, sans consentement préalable, dès lors que ces professionnels ne peuvent avoir accès qu'aux seules données nécessaires à leur intervention et dans la stricte mesure où leur intervention sert les finalités poursuivies par le système d'information ; aux organismes assurant l'accompagnement social des personnes infectées ou susceptibles de l'être, lorsque cet accès est subordonné au recueil préalable du consentement des intéressés et ne peut porter que sur les données strictement nécessaires à l'exercice de la mission de ces organismes (voir à ce sujet la censure sous DC 2020‑800).
CC11 mai 2020CC, 2020-800 DC, 11 mai 2020, Loi prolongant l'état d'urgence sanitaire et complétant ses dispositions, points 62-78(source)
Traitement des données relatives à la santé des personnes atteintes par le covid-19 et des personnes en contact avec elles sans consentement préalable – OVC de protection de la santé – Contrôle de la proportionnalité du traitement Stop Covid
L'article 11 contesté prévoit que, par dérogation à l'exigence fixée à l'article L. 1110‑4 du code de la santé publique, les données à caractère personnel relatives à la santé des personnes atteintes par le covid-19 et des personnes en contact avec elles peuvent être traitées et partagées, sans le consentement des intéressés, dans le cadre d'un système d'information ad hoc ainsi que dans le cadre d'une adaptation des systèmes d'information relatifs aux données de santé déjà existants. La collecte, le traitement et le partage d'informations portent donc non seulement sur les données médicales personnelles des intéressés, mais aussi sur certains éléments d'identification et sur les contacts qu'ils ont noués avec d'autres personnes. Ce faisant, les dispositions contestées portent atteinte au droit au respect de la vie privée. Toutefois ce dispositif n'est pas contraire à la Constitution dès lors que : le législateur a entendu renforcer les moyens de lutte contre l'épidémie et poursuit l'objectif de valeur constitutionnelle (OVC) de protection de la santé ; le traitement des données ne peut être mis en œuvre que dans la mesure strictement nécessaire à quatre finalités précisément définies en lien avec cet objectif de valeur constitutionnel ; le champ des données susceptibles de faire l'objet du traitement en cause est circonscrit aux seules données relatives au covid-19 et strictement nécessaires à la poursuite de ces finalités ; le champ des personnes pouvant accéder aux données collectées, bien que large, est proportionné compte tenu de l'étendue des démarches à entreprendre pour organiser la collecte des informations nécessaires à la lutte contre le développement de l'épidémie. Par ailleurs, diverses garanties sont prévues par la loi (secret professionnel, encadrement de l'accès aux données pour les seules finalités dont relèvent les organismes concernés…) ; le traitement de ces données reste soumis aux règles issues du RGPD et de la loi du 6 janvier 1978 dite « Informatique et Libertés » ; ce dispositif ne peut s'appliquer au-delà du temps strictement nécessaire à la lutte contre la propagation de l'épidémie de covid-19 et les données à caractère personnel collectées, qu'elles soient ou non médicales, doivent, quant à elles, être supprimées trois mois après leur collecte ; le décret d'application de la loi est pris après avis public de la Commission nationale de l'informatique et des libertés. Le Conseil constitutionnel émet néanmoins des réserves : l'anonymisation prévue des données nominatives pour ce qui concerne la finalité de surveillance épidémiologique et de recherche contre le virus doit s'étendre aux coordonnées de contact électronique et téléphonique ; le recueil de ces données sans consentement préalable par des organismes d'accompagnement social méconnaît le droit au respect de la vie privée dans la mesure où l'accompagnement ne relève pas directement de la lutte contre l'épidémie ; il appartiendra au pouvoir réglementaire de définir des modalités de collecte, de traitement et de partage des informations assurant leur stricte confidentialité et, notamment, l'habilitation spécifique des agents chargés, au sein de chaque organisme, de participer à la mise en œuvre du système d'information ainsi que la traçabilité des accès à ce système d'information ; le recours à des sous‑traitants, qui agissent pour leur compte et sous leur responsabilité, doit s'effectuer en conformité avec les exigences de nécessité et de confidentialité des données.
CJUE4 octobre 2024CJUE, 4 octobre 2024, Agentsia po vpisvaniyata, C 200/23(source)
Signature manuscrite – Inclusion
L'article 4, point 1, du règlement 2016/679 du 27 avril 2016 (RGPD) doit être interprété en ce sens que la signature manuscrite d'une personne physique relève de la notion de « données à caractère personnel » au sens de cette disposition.
CJUE7 mars 2024CJUE, 7 mars 2024, IAB Europe, Affaire C-604/22(source)
Chaîne de lettre s et caractères captant, de manière structurée et lisible par une machine, les préférences d'un utilisateur d'Internet relatives au consentement de cet utilisateur quant au traitement de ses données personnelles – Inclusion –
L'article 4, point 1, du RGPD doit être interprété en ce sens qu'une chaîne composée d'une combinaison de lettres et de caractères, telle que la TC String (Transparency and Consent String), contenant les préférences d'un utilisateur d'Internet ou d'une application relatives au consentement de cet utilisateur au traitement des données à caractère personnel le concernant par des fournisseurs de sites Internet ou d'applications ainsi que par des courtiers de telles données et par des plateformes publicitaires, constitue une donnée à caractère personnel au sens de cette disposition dans la mesure où, lorsque celle‑ci peut, par des moyens raisonnables, être associée à un identifiant, tels que notamment l'adresse IP de l'appareil dudit utilisateur, elle permet d'identifier la personne concernée. Dans de telles conditions, la circonstance que, sans une contribution extérieure, une organisation sectorielle détenant cette chaîne ne puisse ni accéder aux données qui sont traitées par ses membres dans le cadre des règles qu'elle a établies ni combiner ladite chaîne avec d'autres éléments ne fait pas obstacle à ce que la même chaîne constitue une donnée à caractère personnel au sens de ladite disposition.
CJUE9 novembre 2023CJUE, 9 novembre 2023, Gesamtverband Autoteile-Handel, C-319/22, points 46-50(source)
VIN (Vehicule Identification Number) – Inclusion sous conditions – Moyens raisonnables de rattacher un VIN à une personne physique ou identifiable
Le VIN (Vehicule Identification Number), code alphanumérique attribué au véhicule par son constructeur afin d’assurer l’identification adéquate de ce véhicule et qui, en tant que tel, est dépourvu de caractère « personnel », acquiert ce caractère à l’égard de quiconque dispose raisonnablement de moyens permettant de l’associer à une personne déterminée.
Or, il résulte de l’annexe I, point II.5, de la directive 1999/37 que le VIN doit figurer dans le certificat d’immatriculation d’un véhicule, tout comme le numéro et l’adresse du titulaire de ce certificat. En outre, en vertu des points II.5 et II.6 de cette annexe, une personne physique peut être désignée dans ledit certificat comme propriétaire du véhicule ou comme une personne pouvant disposer du véhicule à un titre juridique autre que celui de propriétaire. Dans ces conditions, le VIN constitue une donnée à caractère personnel, au sens de l’article 4, point 1, du RGPD, de la personne physique mentionnée dans le même certificat, dans la mesure où celui qui y a accès pourrait disposer de moyens lui permettant de l’utiliser pour identifier le propriétaire du véhicule auquel il se rapporte ou la personne pouvant disposer de ce véhicule à un titre juridique autre que celui de propriétaire.
Lorsque les opérateurs indépendants (personnes physiques ou morales, autres qu’un concessionnaire ou réparateur agréé, qui sont directement ou indirectement engagées dans la réparation et l’entretien de véhicules) peuvent raisonnablement disposer des moyens leur permettant de rattacher un VIN à une personne physique identifiée ou identifiable, ce VIN constitue pour eux une donnée à caractère personnel, au sens de l’article 4, point 1, du RGPD, ainsi que, indirectement, pour les constructeurs automobiles qui le mettent à disposition, même si le VIN n’est pas, en soi, pour ces derniers une donnée à caractère personnel et ne l’est pas, en particulier, lorsque le véhicule auquel ce VIN a été attribué n’appartient pas à une personne physique.
CJUE17 juin 2021CJUE, 17 juin 2021, M.I.C.M., C-597/19(source)
Enregistrement, par un titulaire de droits de propriété intellectuelle ou par un tiers, d'adresses IP d'utilisateurs d'un réseau de pair à pair aux fins d'une action en indemnisation – Inclusion – Condition de licéité – Demande justifiée, proportionnée et non abusive formulée sur le fondement d'une mesure législative nationale qui limite la portée de certains droits et obligations au sens de l'article 15§1 de la directive ePrivacy
L'article 6, paragraphe 1, premier alinéa, sous f), du RGPD, lu en combinaison avec l'article 15, paragraphe 1, de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002 (directive vie privée et communications électroniques), doit être interprété en ce sens qu'il ne s'oppose, en principe, ni à l’enregistrement systématique, par le titulaire de droits de propriété intellectuelle ainsi que par un tiers pour son compte, d'adresses IP d'utilisateurs de réseaux de pair à pair (peer‑to‑peer) dont les connexions internet ont été prétendument utilisées dans des activités contrefaisantes ni à la communication des noms et des adresses postales de ces utilisateurs à ce titulaire ou à un tiers afin de lui permettre d'introduire un recours en indemnisation devant une juridiction civile pour un dommage prétendument causé par lesdits utilisateurs, à condition toutefois que les initiatives et les demandes en ce sens dudit titulaire ou d'un tel tiers soient justifiées, proportionnées et non abusives et trouvent leur fondement juridique dans une mesure législative nationale, au sens de l'article 15, paragraphe 1, de la directive 2002/58, qui limite la portée des règles énoncées aux articles 5 et 6 de cette directive.
CJUE14 février 2019CJUE, 14 février 2019, Buivids, C‑34 5/17, point 31 Voir aussi: CJUE, 11 décembre 2014, Ryneš, C‑212/13, point 22(source)
Image d'une personne enregistrée par une caméra – Donnée à caractère personnel – Inclusion
L image d'une personne enregistrée par une caméra constitue une « donnée à caractère personnel », au sens de l'article 2, sous a), de la directive 95/46, dans la mesure où elle permet d'identifier la personne concernée.
CJUE20 décembre 2017CJUE, 20 décembre 2017, Nowak, C-434/16(source)
Réponses écrites fournies par le candidat à un examen professionnel – Annotations de l'examinateur relatives à ces réponses – Inclusion
Les réponses écrites fournies par un candidat lors d'un examen professionnel et les éventuelles annotations de l'examinateur relatives à ces réponses constituent des données à caractère personnel. Le candidat a, en principe, un droit d'accès à ces données.
CJUE19 octobre 2016CJUE, 19 octobre 2016, Breyer, C‑582/14 Voir aussi : CJUE, 17 juin 2021, M.I.C.M., C‑597/19, point 102(source)
Adresse de protocole internet dynamique – Inclusion
Une adresse IP dite « adresse IP », enregistrée par un fournisseur de services de médias en ligne à l'occasion de la consultation par une personne d'un site internet que ce fournisseur rend accessible au public, constitue, à l'égard dudit fournisseur, une donnée à caractère personnel au sens de l'article 2, sous a), de la directive 95/46, lorsqu'il dispose de moyens légaux lui permettant de faire identifier la personne concernée grâce aux informations supplémentaires dont dispose le fournisseur d'accès à internet de cette personne.
CJUE17 juillet 2014CJUE, 17 juillet 2014, YS, C-141/12, C-372/12(source)
Données relatives à une personne physique contenues dans un document administratif préparatoire – Données figurant dans l'analyse juridique de la décision – Inclusion
Les données relatives au demandeur d'un titre de séjour figurant dans un document administratif, telle que la « minute » en cause au principal, exposant les motifs que l'agent instructeur avance à l'appui du projet de décision qu'il est chargé de rédiger dans le cadre de la procédure préalable à l'adoption d'une décision relative à la demande d'un tel titre, et, le cas échéant, celles figurant dans l’analyse juridique que contient ce document constituent des « données à caractère personnel », au sens de la directive 95/46/CE du 24 octobre 1995. Tel n'est pas le cas en revanche de ladite analyse juridique : si celle-ci peut certes contenir des données à caractère personnel, elle ne constitue pas pour autant en elle‑même une telle donnée.
CJUE30 mai 2013CJUE, 30 mai 2013, Worten, C‑342/12(source)
Registre de temps de travail – Conditions – Inclusion
Un registre du temps de travail qui comporte l'indication pour chaque travailleur des heures de début et de fin du travail, ainsi que des interruptions ou des pauses correspondantes, relève de la notion de « données à caractère personnel », au sens de l'article 2 de la directive 95/46/CE.
