CJUE10 juillet 2018CJUE, grande chambre, 10 juillet 2018, Jehovan Todistajat, C-25/17(source)

Accès aux données personnelles et consignes écrites relative s aux traitements – Condition s non nécessaire s pour retenir la responsabilité

L'article 2, sous d), de la directive 95/46/CE, lu à la lumière de l'article 10, paragraphe 1, de la Charte des droits fondamentaux, doit être interprété en ce sens qu'il permet de considérer une communauté religieuse comme étant responsable, conjointement avec ses membres prédicateurs, des traitements de données personnelles effectués par ces derniers dans le cadre d'une activité de prédication de porte‑à‑porte organisée, coordonnée et encouragée par cette communauté, sans qu'il soit nécessaire que ladite communauté ait Accès aux données ni qu'il doive être établi qu'elle a donné à ses membres des lignes directrices écrites ou des consignes relativement à ces traitements.

• finalités du traitement
• cookies et traceurs

CJUE5 juin 2018CJUE, grande chambre, 5 juin 2018, Wirtschaftsakademie Schleswig-Holstein, C-210/16, points 25-44(source)

La notion de « responsable du traitement » au sens de la directive 95/46/CE du 24 octobre 1995 englobe l'administrateur d'une page fan hébergée sur un réseau social.

Une société offrant des services par l'intermédiaire d'une page fan hébergée sur Facebook peut obtenir des données statistiques anonymes sur les visiteurs de ces pages, à l'aide d'une fonction « Facebook Insight » mise gratuitement à sa disposition par Facebook, selon des conditions d'utilisation non modifiables. Ces données sont collectées grâce à des cookies comportant chacun un code utilisateur unique, actifs pendant 2 ans et sauvegardés par Facebook sur le disque dur de l'utilisateur visiteur. Ce code peut être mis en relation avec les données de connexion des utilisateurs enregistrés sur Facebook et être collecté et traité au moment de l'ouverture des pages fans.

Si la Cour relève que le réseau social et sa filiale irlandaise doivent être regardés comme responsables du traitement des données à caractère personnel des utilisateurs ainsi que des personnes ayant visité les pages fan hébergées, elle considère que l'administrateur de cette page, eu égard à ces caractéristiques, doit être regardé comme conjointement responsable de ces données.

Pour qualifier l'administrateur de responsable du traitement, la Cour relève qu'il participe, par son action de paramétrage, en fonction d'une audience cible ainsi que d'objectifs de gestion ou de promotion de ses activités, à la détermination des finalités et des moyens du traitement des données personnelles des visiteurs de sa page. En particulier, l'administrateur peut demander l'obtention, et, par construction, le traitement :

• de données démographiques concernant son audience cible (tendances en matière d'âge, de sexe, de situation amoureuse et de profession) ;
• d'informations sur le style de vie et les centres d'intérêt de cette audience (informations sur les achats et le comportement d'achat en ligne ainsi que sur les catégories de produits ou de services qui l'intéressent le plus) ;
• de données géographiques lui permettant d'effectuer des promotions spéciales ou organiser des événements et de cibler son offre d'informations.

En outre, les pages fan peuvent être visitées par des personnes qui ne sont pas utilisateurs de Facebook. Dans ce cas, la responsabilité de l'administrateur est encore plus marquée puisque la simple consultation de sa page déclenche le traitement de ses données à caractère personnel.

Enfin, si les données ne sont transmises à l'administrateur que sous une forme anonymisée, l'établissement de ces statistiques repose sur la collecte préalable de données personnelles. Or, la directive n'exige pas, lorsqu'il y a une responsabilité conjointe de plusieurs opérateurs, que chacun ait accès aux données à caractère personnel concernées.

Dès lors, l'administrateur de la page ne saurait s'exonérer du respect de ses obligations en matière de protection des données, quand bien même il utiliserait la plateforme mise en place par Facebook. En revanche, la reconnaissance d'une responsabilité conjointe ne se traduit pas par une responsabilité équivalente. Le niveau de responsabilité de chacun doit être évalué en tenant compte de toutes les circonstances pertinentes du cas d'espèce.

• vidéosurveillance
• responsabilité du responsable
• traitement pour le compte de l’État
• finalités du traitement

CE8 janvier 2019CE, Section de l'intérieur, 8 janvier 2019, Avis, n° 396340, Projet de décret relatif à la mise en œuvre de traitements provenant des caméras individuelles des agents de la police municipale(source)

Caméras individuelles des agents de la police municipale – Traitement pour le compte de l’État au sens de l’article 31 de la loi Informatique et Libertés – Existence – Responsabilité de traitement du ministre de l’intérieur – Absence

À l’occasion de l’examen d’un projet de décret relatif à la mise en œuvre de traitements de données à caractère personnel provenant des caméras individuelles des agents de la police municipale, le Conseil d’État (section de l’intérieur) estime qu’il résulte tant des finalités poursuivies par les dispositifs en cause que des missions confiées aux agents de police municipale, que les traitements projetés relèvent des dispositions de la directive (UE) n° 2016/680 du 27 avril 2016 telle que transposée aux articles 70‑1 et suivants de la loi n° 78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

Compte tenu de leurs finalités ils doivent être regardés comme mis en œuvre pour le compte de l’État au sens de l’article 31 de la loi « Informatique et Libertés ». Le traitement étant mis en œuvre au niveau des collectivités locales ou des établissements de coopérations intercommunales, le ministre de l’intérieur ne peut être regardé comme le responsable du traitement au sens du premier alinéa de l’article 70‑4, alors même que cette mise en œuvre est faite pour le compte de l’État.

• cookies et traceurs
• responsable de traitement
• sous-traitant

CE6 juin 2018CE, 10-9 chambres réunies, 6 juin 2018, Société Éditions Croque Futur, n° 412589412589, Rec., point 11 412589, Rec., point 11(source)

Traitement de données consistant en l'utilisation de témoins de connexio n ( « cookies » ) répondant aux caractéristiques définies au II de l'article 32 de la loi du 6 janvier 1978 – 1) « Cookies » déposés par l'éditeur du site ou mis en place pour son compte par un sous - traitant – Responsable de traitement – É diteur du site – 2) a) « Cookies » déposés par des tiers – Responsables de traitement – b) Cookies déposés par des tiers autorisés par l'éditeur du site – Responsables de traitement – Tiers et éditeur du site – Obligations pesant sur l'éditeur du site

1) Lorsque des cookies sont déposés par l’éditeur du site, il doit être considéré comme responsable de traitement au sens de la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dite loi Informatique et Libertés. Il en va de même lorsque l’éditeur du site sous‑traite à des tiers la gestion de cookies mis en place pour son compte.

2) a) Les autres tiers qui déposent des cookies à l’occasion de la visite du site d’un éditeur du site doivent être considérés comme responsables de traitement.

b) Toutefois, les éditeurs de site qui autorisent le dépôt et l’utilisation de tels cookies par des tiers à l’occasion de la visite de leur site doivent également être considérés comme responsables de traitement, alors même qu’ils ne sont pas soumis à l’ensemble des obligations qui s’imposent au tier qui a émis le « cookie », notamment lorsque ce dernier conserve seul la maîtrise du respect de sa finalité ou de sa durée de conservation. Au titre des obligations qui pèsent sur l’éditeur de site dans une telle hypothèse, figurent celle de s’assurer auprès de ses partenaires qu’ils n’émettent pas, par l’intermédiaire de son site, des cookies qui ne respectent pas la réglementation applicable en France et celle d’effectuer toute démarche utile auprès d’eux pour mettre fin à des manquements.

• finalités du traitement
• durée de conservation
• DPO désignation

CE12 mars 2014CE, 10ème/9ème SSR, 12 mars 2014, Société Foncia Groupe, n° 354629, T., point 5(source)

1) Société déterminant la nature des données collectées, les droits d'accès des entités qui lui sont liées ainsi que la durée de conservation des données – Inclusion – 2) Entités liées ayant désigné un correspondant à la protection des données – Exclusion

Société ayant mis un traitement de données à caractère personnel à disposition des entités qui lui sont liées, déterminant la nature des données collectées et déterminé les droits d'accès à celles-ci puis, après le contrôle de la Commission nationale de l'informatique et des libertés (CNIL), ayant fixé la durée de conservation des données et apporté des correctifs à leur traitement. Ainsi, cette société, qui détermine les finalités et les moyens du traitement, doit être regardée comme le responsable du traitement, la désignation d'un correspondant à la protection des données par les autres entités n'ayant pas, par elle‑même, pour effet de rendre celles‑ci responsables des traitements.

• responsabilité du responsable
• finalités du traitement
• obligations d'information

CE27 juillet 2012CE, 10ème/9ème SSR, 27 juillet 2012, Société AIS 2, n° 340026, T., point 7(source)

Identification – Méthode du faisceau d'indices

Cas d'une filiale d'une société X qui exerce son activité sous la marque X.

Afin de déterminer si cette filiale doit être regardée comme le responsable de traitement, et non la société X, plusieurs éléments sont pris en compte : l'exploitation par ses propres soins des fichiers pour l'exercice de sa propre activité commerciale ; la détermination effective du champ des données renseignées ; l'indication au cours de la procédure devant la CNIL de la volonté de renoncer à la collecte de différentes données ou encore.

Sont sans incidence d'une part, l'indication, sous le timbre de la société X, qu'après la sanction, des instructions correctives ont été données dans la circonstance que d'autres filiales ou franchises utilisent lesdites données ; et d'autre part, l'indication au juge d'avoir accompli les nécessaires à la régularisation de l'exploitation des fichiers au regard des dispositions de la loi.

ème ème

• mesure d'audience
• responsabilité du responsable
• finalités du traitement

CNIL3 février 2022CNIL, P, 3 février 2022, Mise en demeure, Société X, n° MED-2022-005, non publié

Responsabilité du traitement dans la mise en œuvre de traitements à des fins de mesure d'audience en ligne

Une société gestionnaire du site web qui, d'une part, décide de mettre en œuvre une fonctionnalité d'un prestataire de service, laquelle conduit à traiter des données à caractère personnel, à des fins de mesure d'audience, de performance des campagnes médias de la société, d'évaluation et d'optimisation du site web (détermination de la finalité), et qui, d'autre part, a déterminé les moyens de la collecte et du traitement des données collectées dans le cadre de l'intégration de cette fonctionnalité sur son site web (détermination des moyens), est responsable de traitement au sens de l'article 4.7 du RGPD.

• finalités du traitement
• responsabilité du responsable

CNIL12 janvier 2021CNIL, P, 12 janvier 2021, Mise en demeure, Agence régionale de santé X, n° MED-2021-003, non publié

Fichier de gestion de la crise sanitaire – Agences régionales de santé – Traitement de suivi des patients zéro et des cas contact

Si le décret n° 2020‑551 du 12 mai 2020 modifié réglemente des traitements placés sous la responsabilité du traitement de la caisse nationale de l'assurance maladie, il se borne, s’agissant des Agences régionales de santé, à autoriser la mise en œuvre d’autres traitements de données personnelles par celles‑ci, pour la mise en place d’un système d’information aux fins d’enquêtes sanitaires.

Les logiciels de suivi des patients utilisés dans ce cadre le sont sous la seule responsabilité des Agences régionales de santé, ces dernières devant être considérées comme responsables du traitement de suivi des patients zéro et des cas contacts qu’elles mettent en œuvre. Ce traitement est soumis aux dispositions du RGPD et de la loi n° 78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

• mise à disposition
• stockage local
• traitement local

CNIL17 décembre 2020CNIL, SP, 17 décembre 2020, Avis sur projet de décret, TousAntiCovid, n° 2020-135, publié, point 38(source)

Personne mettant à disposition du public un logiciel – Exclusion sous conditions

La seule mise à disposition d'un logiciel au public, dès lors que les données à caractère personnel sont stockées et traitées uniquement localement, sur le terminal de l'utilisateur, à la discrétion et pour le seul compte de ce dernier, n'implique pas la mise en œuvre d'un traitement de données dont la responsabilité incomberait à celui qui le met à disposition.

CNIL24 novembre 2020CNIL, P, 24 novembre 2020, Mise en demeure, LAPI Commune X, n° MED-2020-040, non publié Responsable conjoint

Concession de service public – Qualification du concessionnaire – Qualification de l'autorité publique concédante

La qualification de responsable de traitement est reconnue au concessionnaire dès lors qu'il agit pour son propre compte avec une autonomie certaine sur les traitements des données d'usagers qu'il met en œuvre dans l'exécution de ses missions, en déterminant les finalités et les moyens essentiels du traitement. Cependant, l'autorité publique concédante est également qualifiée de responsable des traitements des données à caractère personnel des usagers mis en œuvre par le concessionnaire dans le cadre de l'exécution du service, dès lors que le traitement de ces données est nécessaire à la satisfaction des finalités poursuivies par la collectivité et que cette dernière a substantiellement défini les traitements de données en cause et leurs conditions de réalisation par le concessionnaire, notamment à travers des clauses contractuelles ou des instructions précises quant à leur mise en œuvre durant l'exécution du contrat.

• responsabilité du responsable
• finalités du traitement

CJUE7 mars 2024CJUE, 7 mars 2024, IAB Europe, Affaire e C-604/22(source)

Organisation sectorielle proposant un cadre de règle sur un traitement à ses membres – Qualité de responsable conjoint de t raitement – Conditions – Portée

L'article 4, point 7, et l'article 26, paragraphe 1, du RGPD doivent être interprétés en ce sens que :

• d’une part, une organisation sectorielle, dans la mesure où elle propose à ses membres un cadre de règle qu’elle a établi relatif au consentement en matière de traitement de données à caractère personnel, qui contient non seulement des règles techniques contraignantes mais également des règles précisant de façon détaillée les modalités de stockage et de diffusion des données à caractère personnel relatives à ce consentement, doit être qualifiée de « responsable conjoint du traitement », au sens de ces dispositions, si, compte tenu des circonstances particulières du cas d’espèce, elle influe, à des fins qui lui sont propres, sur le traitement de données à caractère personnel concerné et détermine, de ce fait, conjointement avec ses membres, les finalités et les moyens d’un tel traitement. La circonstance qu’une telle organisation sectorielle n’a pas elle‑même directement accès aux données à caractère personnel traitées par ses membres dans le cadre desdites règles ne fait pas obstacle à ce qu’elle puisse présenter la qualité de responsable conjoint du traitement, au sens desdites dispositions ;

• d’autre part, la responsabilité conjointe de ladite organisation sectorielle ne s’étend pas automatiquement aux traitements ultérieurs de données à caractère personnel effectués par des tiers, tels que les fournisseurs de sites Internet ou d’applications, pour ce qui concerne les préférences des utilisateurs aux fins de la publicité ciblée en ligne.

• finalités du traitement
• consentement explicite
• responsabilité du responsable
• collecte indirecte

CJUE29 juillet 2019CJUE, 29 juillet 2019, Fashion ID, C-40/17(source)

Le gestionnaire d'un site internet équipé du bouton « j’aime » de Facebook peut être regardé comme conjointement responsable avec Facebook de la collecte et de la transmission à Facebook des données à caractère personnel des visiteurs de son site. En revanche, il n'est, en principe, pas responsable du traitement ultérieur de ces données par Facebook seul.

Le gestionnaire d'un site internet qui insère sur ledit site un module social permettant au navigateur du visiteur de ce site de solliciter des contenus du fournisseur dudit module et de transmettre à cet effet à ce fournisseur des données à caractère personnel du visiteur (bouton « j’aime » de Facebook), peut être considéré comme étant conjointement responsable du traitement, au sens de l’article 2, sous d), de la directive 95/46. Cette responsabilité est cependant limitée à l’opération ou à l’ensemble des opérations de traitement des données à caractère personnel dont il détermine effectivement les finalités et les moyens, à savoir la collecte et la communication par transmission des données en cause.

Ainsi, le gestionnaire du site insérant un bouton (bouton « j’aime ») peut être considéré comme étant responsable, conjointement avec Facebook, des opérations de collecte et de communication à Facebook de ces données, dès lors qu’il peut être considéré que le gestionnaire et Facebook déterminent, conjointement, les finalités et les moyens de cette collecte et de cette transmission. En effet, l’insertion du bouton (bouton « j’aime ») sur son site permet d’optimiser la publicité pour les produits en les rendant plus visibles sur le réseau social lorsqu’un visiteur clique dessus. Ce faisant, le gestionnaire du site a consenti, implicitement du moins, à la collecte et à la communication de ces données, qui s’opère dans son intérêt économique et dans celui de Facebook. Il en résulte que le coresponsable de ces opérations doit fournir certaines informations à ses visiteurs au moment de la collecte de ces données, comme son identité et les finalités du traitement:

• Lorsqu’il le traitement repose sur le consentement, le gestionnaire du site doit recueillir le consentement au préalable pour les opérations dont il est coresponsable (collecte et transmission des données);
• Lorsque le traitement est nécessaire à la réalisation d’un intérêt légitime, chacun des coresponsables doit poursuivre, avec la collecte et la transmission des données, un intérêt légitime.

• sous-traitance
• clause de sous-traitance
• sous-traitant ultérieur

CNIL4 mars 2021CNIL, P, 4 mars 2021, Mise en demeure, n° MED-2021-009, non publié

Mise à disposition de plateforme en ligne pour la publication d’annonces immobilières – Sous‑traitance et sous‑traitance de second rang – Formalisation des relations entre responsable du traitement et sous‑traitants

Un organisme de représentation professionnelle qui met à disposition des entités indépendantes qu’il représente une plateforme en ligne de publication d’annonces immobilières et d’hébergement des documents annexés à ces annonces via un site web – en tant qu’activité accessoire et non réglementée de cette profession – doit être considéré comme sous‑traitant de ces entités, considérées comme responsable du traitement, dès lors que ces dernières conservent dans ce cadre une entière liberté de choix quant aux moyens mis en œuvre pour exercer cette activité et publier des annonces immobilières, et dans la mesure où elles déterminent seules les finalités et les moyens du traitement.

En outre, lorsque les entités responsables du traitement confient à l’organisme sous‑traitant la charge de publier leurs annonces immobilières et d’héberger les documents annexés à ces annonces sur un site web dont l’organisme sous‑traitant se déclare éditeur, et lorsque l’hébergement, l’exploitation, la maintenance et l’évolution de ce site, qui impliquent le traitement des données personnelles contenues dans les documents annexés aux annonces, ont été confiés par l’organisme sous‑traitant à une autre société, cette dernière intervient dès lors en qualité de sous‑traitant de second rang recruté par l’organisme sous‑traitant.

Dès lors que, d’une part, aucun acte juridique ne formalise ni les relations entre les responsables du traitement de publication d’annonces immobilières et l’organisme sous‑traitant, ni les relations entre l’organisme sous‑traitant et la société intervenant en tant que sous‑traitant de second rang, et que, d’autre part, aucune autorisation écrite préalable des responsables de traitement ne prévoit le recrutement, par l’organisme sous‑traitant, de la société intervenant en tant que sous‑traitant de second rang, ces faits constituent un manquement à l’article 28 du RGPD.

• sous-traitance
• clause de sous-traitance
• sécurité applicative

CNILDate non renseignéeCNIL, FR, 8 janvier 2021, Sanction, Société X, n°SAN-2021-002, non publié Destinataire et accédant

Répartition des responsabilités entre responsable de traitement et sous‑traitant – Solutions techniques et organisationnelles adéquates – Responsabilité du sous‑traitant – Existence

Si, aux termes de l’article 32 du RGPD, les obligations en matière de sécurité des traitements de données à caractère personnel s’adressent tant au responsable de traitement qu’au sous‑traitant, la répartition des responsabilités entre ces deux acteurs résulte également du contrat de sous‑traitance qu’ils doivent conclure au titre de l’article 28 du RGPD. En ce sens, l’article 28‑3‑f impose que ce contrat prévoit que le sous‑traitant « aide le responsable du traitement à garantir le respect des obligations prévues aux articles 32 à 36, compte tenu de la nature du traitement et des informations à la disposition du sous‑traitant ». La CNIL déduit de la combinaison de ces dispositions qu’il revient au sous‑traitant de proposer au responsable de traitement les solutions techniques et organisationnelles adéquates, notamment en ce qui concerne la sécurité des traitements, et ce, indépendamment des obligations qui pèsent en propre sur le responsable du traitement.

CE24 février 2022CE, 10 chambre, 24 février 2022, M. A... B..., n° 447495, Inédit., point 6(source)

Droit d’obtenir communication des informations relatives aux « destinataires ou catégories de destinataires » – Connaissance de l’identité des agents publics ou des salariés ayant consulté les données – Exclusion

Les dispositions du c) du paragraphe 1 de l’article 15 du RGPD, qui prévoient le droit d’obtenir communication des informations relatives aux « destinataires ou catégories de destinataires » auxquels les données à caractère personnel la concernant ont été communiquées, n’ont ni pour objet, ni pour effet d’autoriser une personne à connaître l’identité des agents publics ou des salariés ayant consulté les données à caractère personnel la concernant dans l’exercice de leurs fonctions au sein de la personne morale ou du service destinataire.

• interconnexion
• mise en relation
• limitation des finalités

CE4 juillet 2017CE, Section de l'intérieur, 4 juillet 2017, Avis, n°393336, Projet de décret portant création d'un traitement automatisé d'énommé « Automatisation de la consultation centralisée de renseignements et de données » (ACCReD)(source)

Distinction entre interconnexion et mise en relation – Inclusion des services autorisés à mettre en œuvre le traitement dans les destinataires des données du traitement – Limitation de la consultation des traitements relevant du titre II de l'article 26 de la loi Informatique et Libertés

Le Conseil d'État a donné un avis favorable à un projet de décret portant création d'un traitement automatisé de données à caractère personnel, dénommé « Automatisation de la consultation centralisée de renseignements et de données » (ACCReD). Le projet crée un traitement automatisé de données à caractère personnel permettant, à l'occasion de la réalisation d'enquêtes administratives sur le fondement des articles L. 114‑1, L. 114‑2 et L. 211‑11‑1 du code de la sécurité intérieure, de consulter automatiquement d'autres traitements automatisés de données à caractère personnel ou d'entrer en relation avec eux. Cette consultation peut prendre la forme d'une consultation automatique ou d'une mise en relation. Le Conseil d'État relève que la consultation automatique d'un traitement aux fins de vérifier si l'identité d'une personne y est enregistrée, suivie de l'inscription automatique de cette information au nombre des données qui peuvent être enregistrées dans le nouveau traitement, constitue une interconnexion. En revanche, l'interrogation, par les services autorisés à mettre en œuvre le nouveau traitement, des services autorisés à mettre en œuvre d'autres traitements, dont la réponse prend la forme d'un courriel, n'est pas une interconnexion, mais une mise en relation, alors même que le contenu de cette réponse peut consister en des données enregistrées dans ces autres traitements et pourra figurer au nombre des données enregistrées dans le nouveau traitement. Le Conseil d'État estime que les services autorisés à mettre en œuvre le nouveau traitement doivent figurer au nombre des destinataires des données du traitement au sens des dispositions du 4° de l'article 29 de la loi n°78‑17 du 6 janvier 1978, dans l'acte autorisant chacun des traitements qui fait l'objet d'une consultation automatique ou avec lequel le nouveau traitement est mis en relation. La consultation de traitements automatisés de données à caractère personnel relevant du III de l'article 26 de la même loi, qu'elle prenne la forme d'une consultation automatique ou d'une mise en relation, doit être limitée à certaines des enquêtes administratives réalisées sur le fondement de l'article L. 114‑1. Est à cet égard légitime une consultation opérée dans le cadre d'enquêtes administratives relatives à des emplois ou activités comportant l'exercice de prérogatives de puissance publique ou pour lesquels le port d'une arme est prescrit ou autorisé, ou encore comportant des risques au regard de l'interdiction du blanchiment.

• données de santé
• secret médical
• droit à l'information

CNIL21 avril 2022CNIL, P, 21 avril 2022, Avis sur projet de décret, n° 2022-051, non publié

Personnes accédants au traitement ou destinataires de données de santé – Secret médical et droit d'en connaître

Dans le cadre d'un traitement mis en œuvre pour le compte de l'État et contenant des données de santé recueillies par des professionnels de santé, couvertes par le secret médical, il revient au responsable du traitement de s'assurer que les personnes accédants au traitement ou destinataires des données qui pourraient avoir connaissance des données couvertes par le secret médical ont bien le droit d'en connaître.

Excepté dans les cas de dérogation expressément prévus par la loi, ce secret couvre l'ensemble des informations concernant la personne portée à la connaissance d'un professionnel de santé, de tout membre du personnel d'un établissement, service ou organisme concourant à la prévention ou aux soins, et de toute autre personne en relation, de par ses activités, avec ces établissements ou organismes. La Commission rappelle que ce secret s'impose à tous les professionnels intervenant dans le système de santé qui pourraient être amenés à transmettre des informations afin qu'elles soient enregistrées dans le traitement.

• habilitations
• accédants
• destinataires
• contrôle des accès
• gestion des habilitations

CNIL13 janvier 2022CNIL, P, 13 janvier 2022, A vis sur projet de décret, C'améras installées sur des aéronefs circulant sans personne à bord, n° 2022-006, publié Voir aussi: CNIL, P, 20 janvier 2022, A vis sur projet de décret, Titre IV du livre II du code de la sécurité intérieure, n° 2022-005, publié(source)

Notions d'accédants et de destinataires – Habilitations des accédants

Le terme « accédant », que n’utilise ni le RGPD, ni la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés mais qui a été créé par la doctrine, désigne, s’agissant d’un traitement automatisé de données mis en œuvre par une administration et encadré par un acte réglementaire, les personnes qui, au sein du responsable de traitement, seront appelées à effectuer les diverses opérations de traitement et, à ce titre, à accéder au système informatique en cause.

Les habilitations des différents accédants peuvent être définies par l’acte réglementaire, et ne se limitent généralement pas à la seule consultation des données mais incluent aussi l’enregistrement, la correction ou l’effacement des données. Par ailleurs, au sens de la réglementation, et notamment du RGPD, les « destinataires » sont les personnes à qui le responsable de traitement peut être amené à communiquer les données et sur lesquelles il doit fournir une information aux personnes concernées. En pratique, cette communication peut prendre plusieurs formes, qu’il s’agisse d’une transmission d’un extrait des données ou d’une simple faculté de consultation par un accès sécurisé au système informatique. Lorsqu’un projet de décret mentionne des personnes comme « accédants aux données » alors qu’elles ne seront pas seulement chargées de consulter les données mais également de décider de leur recueil, ce point doit être précisé pour éviter toute ambiguïté.

• autorité chef de file
• établissement principal

CE4 mai 2023CE, 10-9 chambres réunies, 4 mai 2023, Mme E…D…, n° 464445, T., point 4(source)

Traitement transfrontalier – 1) a) Autorité de contrôle compétente – b) Conditions – 2) a) Modalités de détermination de l'autorité chef de file – Lieu de l'établissement principal – b) Administration centrale du responsable du traitement sauf compétence d'un autre établissement pour prendre les décisions relatives aux finalités et aux moyens du traitemen t

1) a) Il résulte clairement des 7, 16 et 23 de l'article 4 du RGPD et de ses articles 51, 55 et 56 que, lorsqu'est en cause un traitement transfrontalier de données à caractère personnel opéré au sein de l'Union européenne, l'autorité de contrôle de l'établissement principal dans l'Union du responsable de ce traitement est en principe compétente, en ta nt qu'autorité chef de file, pour contrôler le respect des exigences du RGPD, b) sous réserve du cas, prévu au paragraphe 2 de l'article 56 de ce règlement, dans lequel l'objet de la réclamation concerne uniquement un établissement de l' État membre dont re lève une autre autorité de contrôle ou affecte sensiblement des personnes concernées dans cet État membre uniquement.

2) a) Pour la détermination de l'autorité chef de file, l'administration centrale du responsable du traitement, c'est - à - dire le lieu de s on siège réel, doit en principe être regardée comme son établissement principal.

b) Il en va autrement si un autre de ses établissements est compétent pour prendre les décisions relatives aux finalités et aux moyens du traitement et dispose du pouvoir de les faire appliquer à l'échelle de l'Union.

ème ème

• autorité chef de file
• transfert hors UE
• compétence nationale

CE19 juin 2020CE, 10‑9 chambres réunies, 19 juin 2020, Google LLC, n° 430810, Rec., point 4(source)

Traitement transfrontalier – 1) Autorité de contrôle compétente – Conditions – a) Modalités de détermination de l'autorité chef de file – Lieu de l'établissement principal – b) Administration centrale du responsable du traitement sauf compétence d'un autre établissement pour prendre les décisions relatives aux finalités et aux moyens du traitement – 2) Responsable de traitement hors UE sans administration centrale et établissement doté d’un pouvoir décisionnel – Compétence de chaque autorité de contrôle nationale

1) Il résulte clairement du 7) de l’article 4 et des articles 16, 55 et 56 du règlement (UE) n° 2016/679 du 27 avril 2016 (RGPD) que lorsqu’un traitement transfrontalier de données à caractère personnel est opéré au sein de l’Union européenne, l’autorité de contrôle de l’établissement principal dans l'Union du responsable de ce traitement est, en tant qu’autorité chef de file, compétente pour contrôler le respect des exigences du RGPD.

a) Pour la détermination de l’autorité de contrôle compétente, l’administration centrale du responsable du traitement, c’est‑à‑dire le lieu de son siège réel, doit en principe être regardée comme son établissement principal.

b) Il en va autrement si un autre de ses établissements est compétent pour prendre les décisions relatives aux finalités et aux moyens du traitement et dispose du pouvoir de les faire appliquer à l’échelle de l’Union.

2) Dans l’hypothèse où un responsable de traitement implanté en dehors de l'Union européenne met en œuvre un traitement transfrontalier sur le territoire de l'Union, mais qu’il n’y dispose ni d’administration centrale, ni d’établissement doté d’un pouvoir décisionnel quant à ses finalités et à ses moyens, le mécanisme de l’autorité chef de file prévu à l’article 56 du RGPD ne peut être mis en œuvre. Dans pareil cas, chaque autorité de contrôle nationale est compétente pour contrôler le respect du RGPD sur le territoire de l’État membre dont elle relève, conformément à l’article 55 précité.