CE22 mars 2024CE, 10 chambre, 22 mars 2024, Centre hospitalier Le Vinatie r, n°471369, Inédit, point 6 Données concernant la vie sexuelle(source)
Droit d'accès aux documents administratifs - Communication à un tiers d'un registre de contention et d'isolement avec occultation des éléments permettant d'identifier les patients et les soignants, mais sans occultation des identifiants "a nonymisés" des patients – Atteinte à la protection de la vie privée et du secret médical – Illicéité
Demande de communication d'un registre de contentieux et d'isolement au titre du droit d'accès aux documents administratifs. Dans le cas où l'identité des patients a fait l'objet d'une pseudonymisation, laquelle ne permet l'identification des personnes en cause qu'après recoupement d'informations, il appartient au juge administratif d'apprécier si, eu égard à la sensibilité des informations en cause et aux efforts nécessaires pour identifier les personnes concernées, leur communication est susceptible de porter atteinte à la protection de la vie privée et au secret médical. En l'espèce, compte tenu de la nature des informations en cause, qui touchent à la santé mentale des patients, et du nombre restreint de personnes pouvant faire l'objet d'une mesure de contention et d'isolement, facilitant ainsi leur identification, alors, au demeurant que les autorités énumérées à la dernière phrase du deuxième alinéa de l'article L. 3222‑5‑1 du code de la santé publique peuvent accéder à l'ensemble des informations figurant sur les registres et contrôler l'activité des établissements concernés, l'identifiant dit "anonymisé" figurant dans ces registres, qu'il s'agisse, selon la pratique du centre hospitalier, de "l'identifiant permanent du patient" (IPP) ou d'un identifiant spécialement défini, doit être regardé comme une information dont la communication est susceptible de porter atteinte à la protection de la vie privée et au secret médical. Cet identifiant n'est donc communicable qu'au seul intéressé en vertu des dispositions de l'article L. 311‑6 du code des relations entre le public et l'administration.
CJUE11 janvier 2024CJUE, 11 janvier 2024, Schrems (Communication de données au grand public), C‑446/21(source)
1) Réseaux sociaux – Conditions générales d'utilisation relatives aux contrats conclus entre une plate‑forme numérique et un utilisateur – Publicité personnalisée – Principe de minimisation des données – 2) Traitement portant sur des catégories particulières de données à caractère personnel – Données concernant l'orientation sexuelle – Données rendues publiques par la personne concernée
1) L'article 5, paragraphe 1, sous c), du RGPD (principe de minimisation) doit être interprété en ce sens que le principe de minimisation des données, prévu à cette disposition, s'oppose à ce que l'ensemble des données à caractère personnel qui ont été obtenues par un responsable du traitement, tel que l'exploitant d'une plateforme de réseau social en ligne, auprès de la personne concernée ou de tiers et qui ont été collectées tant sur cette plateforme qu'en dehors de celle‑ci, soient agrégées, analysées et traitées à des fins de publicité ciblée, sans limitation dans le temps et sans distinction en fonction de la nature de ces données.
2) L'article 9, paragraphe 2, sous e), du RGPD doit être interprété en ce sens que la circonstance qu'une personne se soit exprimée sur son orientation sexuelle lors d'une table ronde, dont la participation est ouverte au public, n'autorise pas l'exploitant d'une plateforme de réseau social en ligne à traiter d'autres données relatives à l'orientation sexuelle de cette personne, obtenues, le cas échéant, en dehors de cette plateforme à partir d'applications et de sites Internet de tiers partenaires, en vue de l'agrégation et l'analyse de celles‑ci, afin de lui proposer de la publicité personnalisée.
CE17 mai 2006CE, 5ème/4ème SSR, 17 mai 2006, Association Comité télévision et libertés et autres, n° 263081, Inédit., point 9(source)
Données relatives au choix d’un abonné d’un service de télévision de recevoir certains programmes – Exclusion
Les données relatives au choix d'un abonné d'un service de télévision pour recevoir certains programmes définis comme « œuvres cinématographiques interdites aux mineurs de moins de dix‑huit ans ainsi que les programmes pornographiques ou de très grande violence, réservés à un public adulte averti et susceptibles de nuire à l'épanouissement physique, mental ou moral des mineurs de moins de dix‑huit ans » ne peuvent être regardées comme étant relatives à la vie sexuelle des personnes concernées ou comme étant de nature à faire apparaître, même indirectement, leurs mœurs au sens des dispositions de la loi n°78‑17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
CJUE22 juin 2021CJUE, grande chambre, 22 juin 2021, Latvijas Republikas Saeima, C-439/19, points 54-94(source)
1) Notion – Donnée relative aux infractions de nature pénale – Notion autonome du droit de l'Union européenne – 2) Données relatives à des points de pénalité infligés à la suite d'un manquement à la réglementation routière – Inclusion
1) Afin de déterminer si l'accès aux données à caractère personnel relatives aux infractions routières, telles que les points de pénalité imposés aux conducteurs de véhicules qui ont commis une infraction routière et auxquels une sanction, pécuniaire ou autre, a été infligée, constitue un traitement de données à caractère personnel relatives à des « infractions », qui jouissent d'une protection accrue, la Cour juge que cette notion renvoie exclusivement aux infractions pénales. Toutefois, le fait que, dans le système juridique d'un État membre, les infractions routières soient qualifiées d'administratives n'est pas déterminant pour apprécier si ces infractions relèvent de la notion d'« infraction pénale » dans la mesure où il s'agit d'une notion autonome du droit de l'Union qui requiert, dans toute l'Union, une interprétation autonome et uniforme.
2) Ainsi, après avoir rappelé les trois critères pertinents pour apprécier le caractère pénal d'une infraction, à savoir la qualification juridique de l'infraction en droit interne, la nature de l'infraction et le degré de sévérité de la sanction encourue, la Cour juge que les infractions routières en cause relèvent de la notion d'« infraction » au sens du RGPD. S'agissant des deux premiers critères, la Cour constate que, même si les infractions ne sont pas qualifiées de « pénales » en droit national, un tel caractère peut découler de la nature de l'infraction, et notamment de la finalité répressive poursuivie par la sanction que l'infraction est susceptible d'entraîner. Or, en l'espèce, l'attribution de points de pénalité pour des infractions routières, tout comme les autres sanctions que leur commission peut entraîner, poursuivent, entre autres, une telle finalité répressive. Quant au troisième critère, la Cour observe que seules des infractions routières d'une certaine gravité comportent l'imposition de points de pénalité, et que, partant, celles-ci sont susceptibles d'entraîner des sanctions d'une certaine sévérité. De plus, l'imposition de tels points se rajoute généralement à la sanction infligée, et la cumulation de ces points entraîne des conséquences juridiques pouvant même aller jusqu'à l'interdiction de conduire.
CE6 avril 2018CE, 10-9 chambres réunies, 6 avril 2018, Association nationale des supporters et autres, n° 406664, T., point 6(source)
Données collectées dans le seul but d'assurer la sécurité des manifestations sportives – Exclusion
Les données collectées relèvent du champ de l'article 25 de la loi n°78‑17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés dans sa rédaction applicable (dispositions abrogées) et sont par conséquent soumises au régime d'autorisation prévu par cet article mais également au régime de déclaration de l'article 22 (dispositions abrogées), les données collectées dans le but d'établir l'existence ou de prévenir la commission d'infractions.
Par conséquent, n'en relèvent pas les traitements créés par le décret du 28 décembre 2016, qui sont, ainsi que le prévoit le 2° de l'article R. 332‑15 du code du sport créé par ce dernier, relatifs à des manquements « aux dispositions des conditions générales de vente ou du règlement intérieur concernant la sécurité des manifestations sportives », qui exploitent les données collectées dans le seul but d'assurer la sécurité des manifestations sportives en permettant aux organisateurs de telles manifestations d'empêcher certaines personnes d'accéder à leurs enceintes sportives, en raison de comportements dangereux correspondant à des manquements à des obligations de nature contractuelle, même si certains faits ou comportements susceptibles d'être enregistrés dans ces traitements sont pénalement réprimés.
CE11 mai 2015CE, 10ème/9ème SSR, 11 mai 2015, Société Renault Trucks, n° 375669, Rec., point 6(source)
1) Champ d'application – Données collectées dans le but d'établir ou de prévenir une infraction – Inclusion – 2) Possibilité pour les victimes d'infractions de traiter ces données – Existence
Limitation des autorités susceptibles de mettre en œuvre des traitements de données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté par l'article 9 de la loi n° 78‑17 du 6 janvier 1978.
1) Doivent être regardées comme entrant dans le champ d'application de cet article, non seulement les données relatives aux infractions, condamnations ou mesures de sûreté elles‑mêmes, mais également les données qui, en raison des finalités du traitement automatisé, ne sont collectées que dans le but d’d'établir l'existence ou de prévenir la commission d'infractions, y compris par des tiers.
2) En revanche, ces dispositions ne font pas obstacle à la mise en œuvre de traitements de données à caractère personnel relatives à des infractions par les personnes qui en ont été victimes ou sont susceptibles de l'être.
l'existence
CJUE7 mars 2024CJUE, 7 mars 2024, Endemol Shine Finland, C-740/22, point 59(source)
Communication orale de données à caractère personnel – Traitement de données à caractère personnel – Inclusion si ces données sont contenues dans un fichier.
L'article 2, paragraphe 1, et l'article 4, point 2, du règlement général sur la protection des données doivent être interprétés en ce sens que la communication orale d'informations relatives à d'éventuelles condamnations pénales en cours ou déjà purgées dont une personne physique a fait l'objet constitue un traitement de données à caractère personnel, au sens de l'article 4, point 2, de ce règlement, qui relève du champ d'application matériel de ce règlement dès lors que ces informations sont contenues ou appelées à figurer dans un fichier.
CJUE14 février 2019CJUE, 14 février 2019, Buivids, C-345/17(source)
Enregistrement vidéo publié sur internet et que les utilisateurs peuvent envoyer, regarder et partager – Inclusion
L'article 3 de la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 doit être interprété en ce sens que relèvent du champ d'application de cette directive l’enregistrement vidéo de membres de la police dans un commissariat, lors d’une prise de déposition, et la publication de la vidéo ainsi enregistrée sur un site internet de vidéos sur lequel les utilisateurs peuvent envoyer, regarder et partager celles‑ci.
CJUE9 mars 2017CJUE, 9 mars 2017, Manni, C‑398/15, point 35(source)
Registre des sociétés – Inclusion
En transcrivant et en conservant les indications relatives à l'identité des personnes qui, en tant que membres d'organe légalement prévu ou membres de tel organe, ont le pouvoir d'engager la société concernée à l’égard des tiers et de la représenter en justice ou participent à l'administration, à la surveillance ou au contrôle de cette société dans le registre et en communiquant celles‑ci, le cas échéant, sur demande à des tiers, l'autorité chargée de la tenue de ce registre effectue un « traitement de données à caractère personnel », pour lequel elle est le « responsable », au sens des définitions fournies à l'article 2, sous b) et d), de la directive 95/46.
CJUE16 décembre 2008CJUE, grande chambre, 16 décembre 2008, Satakunnan Markkinapörssi et Satamedia, C-73/07, point 37(source)
Collecte, publication, cession ou traitement dans un service de SMS des documents publics d'une administration fiscale contenant des données relatives aux revenus du travail et du capital et au patrimoine de personnes physiques – Inclusion
Constitue un traitement de données à caractère personnel relevant du champ de la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995, l'activité consistant à : collecter dans les documents publics de l’administration fiscale des données relatives aux revenus du travail et du capital ainsi qu’au patrimoine de personnes physiques et à les traiter en vue de leur publication, y compris lorsque ces documents ne contiennent que des informations préalablement publiées dans les médias, les publier dans l’ordre alphabétique et par classe de revenus, sous la forme de listes détaillées établies commune par commune, les céder sous la forme de disques CD‑ROM pour qu’elles soient utilisées à des fins commerciales, les traiter dans un service de SMS qui permet aux utilisateurs de téléphones mobiles, en envoyant le nom et la commune de résidence d’une personne, de recevoir des informations concernant les revenus du travail et du capital ainsi que le patrimoine de cette personne.
CE10 juin 2021CE, 10 – 9 chambres réunies, 10 juin 2021, M. B... A... - C..., n° 431875, T., point 3(source)
Publication sur un site internet de données à caractère personnel – Inclusion
La seule publication sur un site internet de données à caractère personnel constitue un traitement de ces données au sens des règles nationales et européennes.
CE22 décembre 2020CE, 10 – 9 chambres réunies, 22 décembre 2020, La Quadrature du Net, n° 446155, T., points 6-7(source)
Dispositif de surveillance par drone transmettant, après floutage, des images au centre de commandement de la préfecture de police pour un visionnage en temps réel – Traitement de données à caractère personnel au sens de la directive (UE) 2016/680 – Existence, sans qu'ait d'incidence la circonstance que seules les images floutées parviennent au centre de commandement
Il résulte de l'article 3 de la directive (UE) 2016/680 du 27 avril 2016 qu’un dispositif de surveillance qui consiste à collecter des données, grâce à la captation d’images par drone, afin de les transmettre, après application d'un procédé de floutage, au centre de commandement de la préfecture de police pour un visionnage en temps réel, constitue un traitement au sens de cette directive. Si ce dispositif permet de ne renvoyer à la direction opérationnelle que des images ayant fait l'objet d’un floutage, il ne constitue que l’une des opérations d'un traitement d’ensemble des données à caractère personnel, qui va de la collecte des images par le drone à leur envoi vers la salle de commandement, après transmission des flux vers le serveur de floutage, décomposition de ces flux image par image aux fins d’identifier celles qui correspondent à des données à caractère personnel pour procéder à l’opération de floutage, puis à la recomposition du flux vidéo comportant les éléments floutés. Dès lors que les images collectées par les appareils sont susceptibles de comporter des données identifiantes, la circonstance que seules les données traitées par le logiciel de floutage parviennent au centre de commandement n’est pas de nature à modifier la nature des données faisant l’objet du traitement, qui doivent être regardées comme des données à caractère personnel.
CE27 mars 2020CE, 10 – 9 chambres réunies, 27 mars 2020, Cercle de réflexion et de proposition d'actions sur l'a psychiatrie, n° 431350, T., point 9(source)
Traitement de données à caractère personnel (art.2 de la loi du 6 janvier 1978) – Mise en relation de traitements existants en vue de leur utilisation au regard de la finalité poursuivie par l'un d'entre eux ou d'une finalité propre – 1) Inclusion – 2) Cadre juridique applicable dépendant de la finalité poursuivie
1) Une mise en relation de deux traitements existants qui consiste à rapprocher des données conservées dans l'un et l'autre en vue de leur utilisation au regard de la finalité poursuivie par l'un d'entre eux ou d'une finalité propre constitue, en elle‑même, un traitement au sens de l'article 2 de la loi n°78-17 du 6 janvier 1978.
2) Le cadre juridique applicable à un tel traitement dépend de la finalité ainsi poursuivie.
CE6 juin 2018CE, 10 – 9 chambres réunies, 6 juin 2018, Société Editions Croque Futur, n° 412589, Rec., point 11(source)
Utilisation de témoins de connexion (« cookies ») répondant aux caractéristiques définies au II de l’article 32 de la loi du 6 janvier 1978 – Inclusion
L’utilisation de « cookies » répondant aux caractéristiques définies au II de l’article 32 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés constitue un traitement de données qui doit respecter les prescriptions de l’article 6 de cette même loi.
CJUE13 mai 2014CJUE, 13 mai 2014, Google Spain et Google, C‑131/12, points 29, 30, 38, 41(source)
Activité d'un moteur de recherche consistant à trouver des informations publiées ou placées sur Internet par des tiers, à les indexer de manière automatique, à les stocker temporairement et à les mettre à disposition des internautes selon un ordre de préférence donné – Traitement de données à caractère personnel – Inclusion
L'article 2, sous b), de la directive 95/46, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens que, d'une part, l'activité d'un moteur de recherche consistant à trouver des informations publiées ou placées sur Internet par des tiers, à les indexer de manière automatique, à les stocker temporairement et, enfin, à les mettre à disposition des internautes selon un ordre de préférence donné doit être qualifiée de traitement de données à caractère personnel lorsque ces informations contiennent des données à caractère personnel.
Par ailleurs, l'exploitant d'un moteur de recherche doit être considéré comme le responsable dudit traitement des données à caractère personnel au sens dudit article 2, sous d), de ladite directive. En effet, dans la mesure où l'activité d'un moteur de recherche est susceptible d'affecter significativement et de manière additionnelle par rapport à celle des éditeurs de sites web les droits fondamentaux de la vie privée et de la protection des données à caractère personnel, l'exploitant de ce moteur en tant que personne qui détermine les finalités et les moyens de cette activité doit assurer, dans le cadre de ses responsabilités, de ses compétences et de ses possibilités, que celle-ci satisfait aux exigences de la directive 95/46 pour que les garanties prévues par celle‑ci puissent développer leur plein effet et qu'une protection efficace et complète des personnes concernées, notamment de leur droit au respect de leur vie privée, puisse effectivement être réalisée.
CJUE6 novembre 2003CJUE, 6 novembre 2003, Lindqvist, C‑101/01, point 27 Traitement ultérieur(source)
Référence, sur une page Internet, à diverses personnes identifiées par leur nom ou d'autres moyens – Inclusion
L'opération consistant à faire Référence, sur une page Internet, à diverses personnes, à les identifier soit par leur nom, soit par d’autres moyens (numéro de téléphone ou informations relatives à leurs conditions de travail et aux loisirs) constitue un « traitement de données à caractère personnel, automatisé en tout ou en partie » au sens de la directive 95/46.
CE8 février 2017CE, 10-9 chambres réunies, 8 février 2017, Société JCDecaux France, n° 393714, T., point 7(source)
Conditions d’anonymisation d’une donnée à caractère personnel
Il résulte de la définition de la donnée à caractère personnel donnée par les dispositions de l’article 2 de la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés dans sa version applicable au litige qu’une telle donnée ne peut être regardée comme rendue anonyme que lorsque l’identification de la personne concernée, directement ou indirectement, empêche toute possibilité d’être identifiée par le responsable du traitement ou par un tiers. Tel n’est pas le cas lorsqu’il demeure possible d’individualiser une personne ou de relier entre elles des données résultant de deux enregistrements qui la concernent.
CNIL23 juin 2022CNIL, FR, 23 juin 2022, Clôture d'injonction, Société X, n° SAN-2022-012, non publié(source)
Mesures permettant d'assurer une anonymisation effective
Constitue une mesure de nature à ne plus permettre la réidentification des personnes, la mise en place d'une procédure d'anonymisation automatique des données clients à l'issue de la période d'archivage intermédiaire, par laquelle les données – nom, prénom, numéro de téléphone, adresse électronique, adresse postale et coordonnées bancaires – sont remplacées par des données non identifiantes qui correspondent à une série de « X ». D'autres données sont supprimées, et seules sont conservées les données clients correspondant à la civilité, au code postal et à la ville. Ces dernières données, seules ou en lien avec d’autres données accessibles par le responsable de traitement ou des tiers, ne permettent pas, en l'espèce, de réidentifier la personne concernée.
CNIL11 juin 2020CNIL, SP, 11 juin 2020, Avis sur projet de décret, n° 2020-062, non publié
Distinction anonymisation et pseudonymisation – Sens restrictif du terme anonymisation pour le RGPD
Il y a lieu, lorsque des dispositions législatives ou réglementaires font référence à la notion d’anonymisation, de rechercher quelle est l’intention de l’auteur du texte pour comprendre la portée de ses exigences, et notamment si les dispositions en cause exigent une anonymisation au sens du RGPD ou une pseudonymisation, par occultation des données directement identifiantes. La Commission invite le législateur et le pouvoir réglementaire à tenir systématiquement compte de la distinction posée par le RGPD et à employer le mot d’anonymisation dans le seul sens restrictif que lui donne le RGPD.
CJUE11 janvier 2024CJUE, 11 janvier 2024, État belge c. Autorité de protection des données, C‑231/22(source)
1) Service ou organisme chargé du Journal officiel d'un État membre – Obligation de publier tels quels des actes de tiers – Inclusion – 2) Traitement successif, par plusieurs personnes ou entités distinctes, des données à caractère personnel figurant dans de tels actes – Détermination des responsabilités
1) L'article 4, point 7, du RGPD doit être interprété en ce sens que le service ou l'organisme chargé du Journal officiel d'un État membre, qui est notamment tenu, en vertu de la législation de cet État, de publier tels quels des actes et des documents officiels préparés par des tiers sous leur propre responsabilité dans le respect des règles applicables, puis déposés auprès d'une autorité judiciaire qui les lui adresse pour publication, peut, nonobstant son défaut de personnalité juridique, être qualifié de « responsable du traitement » des données à caractère personnel figurant dans ces actes et ces documents, lorsque le droit national concerné détermine les finalités et les moyens du traitement des données à caractère personnel effectué par ce Journal officiel.
2) L'article 5, paragraphe 2, du règlement 2016/679, lu en combinaison avec l'article 4, point 7, et l'article 26, paragraphe 1, de celui‑ci, doit être interprété en ce sens que le service ou l'organisme chargé du Journal officiel d'un État membre, qualifié de « responsable du traitement », au sens de l'article 4, point 7, de ce règlement, est seul responsable du respect des principes visés à l'article 5, paragraphe 1, de celui‑ci en ce qui concerne les opérations de traitement des données à caractère personnel qu'il est tenu d'effectuer en vertu du droit national, à moins qu'une responsabilité conjointe avec d'autres entités au regard de ces opérations ne découle de ce droit.
