CNIL10 novembre 2022CNIL, FR, 10 novembre 2022, Sanction, Société X, n° SAN-2022-020, publié, point 25(source)
« Guichet unique » applicable aux traitements transfrontaliers (art. 56 RGPD) – 1) Champ d'application – Absence d'établissement sur le territoire d'un État membre de l'Union européenne – Exclusion – 2) Conséquence – Compétence de la CNIL pour le contrôle de la conformité au RGPD des traitements visant des personnes résidant sur le territoire national
1) Le mécanisme du guichet unique prévu par l'article 56 du RGPD n'a pas vocation à s'appliquer à une société ne disposant pas d'établissement sur le territoire d'un État membre de l'Union européenne. Dès lors, chaque autorité de contrôle nationale est compétente pour contrôler le respect du RGPD sur le territoire de l’État membre dont elle relève conformément à l'article 55 du RGPD, pour les traitements visant des personnes résidant sur ce territoire.
2) La CNIL est ainsi compétente pour contrôler la conformité au RGPD des traitements mis en œuvre par tout responsable de traitement ou sous‑traitant ne disposant pas d'établissement dans l’UE dont les opérations de traitement visent des personnes résidant sur le territoire français.
CJUE10 juillet 2018CJUE, grande chambre, 10 juillet 2018, Jehovan Todistajat, C-25/17(source)
Activité de prédication de porte à porte comportant des noms et des adresses – Données structurées selon des critères déterminés – Inclusion
L'article 2, sous c), de la directive 95/46/CE doit être interprété en ce sens que la notion de « fichier », visée par cette disposition, couvre un ensemble de données à caractère personnel collectées dans le cadre d'une activité de prédication de porte à porte, comportant des noms et adresses ainsi que d'autres informations concernant les personnes démarchées, dès lors que ces données sont structurées selon des critères déterminés permettant, en pratique, de les retrouver aisément aux fins d'une utilisation ultérieure. Pour qu'un tel ensemble relève de cette notion, il n'est pas nécessaire qu'il comprenne des fiches, des listes spécifiques ou d'autres systèmes de recherche.
CJUE28 avril 2022CJUE, 28 avril 2022, Meta Platforms Ireland Limited, C‑319/20, points 48‑83(source)
Qualité pour agir – Association de défense des intérêts des consommateurs – Action représentative intentée par cette association en l’absence d’un mandat et indépendamment de la violation de droits concrets d’une personne concernée – Action fondée sur la violation des règles relatives à la protection des consommateurs ou à la lutte contre les pratiques commerciales déloyales – Admissibilité – Condition
En ouvrant la possibilité aux États membres de prévoir un mécanisme d’action représentative contre l’auteur présumé d’une atteinte à la protection des données à caractère personnel, l’article 80, paragraphe 2, du RGPD prévoit un certain nombre d’exigences à respecter.
Ainsi, premièrement, la qualité pour agir est reconnue à un organisme, à une organisation ou à une association qui remplit les critères énumérés par le RGPD. Peut relever de cette notion, une association de défense des intérêts des consommateurs qui poursuit un objectif d’intérêt public consistant à assurer les droits et les libertés des personnes concernées en leur qualité de consommateurs, dès lors que la réalisation d’un tel objectif est susceptible d’être connexe à la protection des données à caractère personnel de ces dernières. Deuxièmement, l’exercice de ladite action représentative présuppose que l’entité en cause, indépendamment de tout mandat qui lui a été confié, considère que les droits qu’une personne concernée tire du RGPD ont été violés du fait du traitement de ses données à caractère personnel.
Ainsi, d’une part, l’exercice d’une action représentative n’exige pas l’identification individuelle préalable par l’entité en cause de la personne spécifiquement concernée par un traitement de données prétendument contraire aux dispositions du RGPD. À cette fin, la désignation d’une catégorie ou d’un groupe de personnes affectées par un tel traitement peut être également suffisante.
D’autre part, l’exercice d’une telle action n’exige pas l’existence d’une violation concrète des droits qu’une personne tire du RGPD. En effet, afin de reconnaître la qualité pour agir d’une entité, il suffit de faire valoir que le traitement de données concerné est susceptible d’affecter les droits que des personnes physiques identifiées ou identifiables tirent dudit règlement, sans qu’il soit nécessaire de prouver un préjudice réel subi par la personne concernée, dans une situation déterminée, par l’atteinte à ses droits. Ainsi, au vu de l’objectif poursuivi par le RGPD, le fait d’habiliter des associations de défense des intérêts des consommateurs, telle que l’Union fédérale, à introduire, par un mécanisme de recours représentatif, des actions visant à faire cesser des traitements contraires aux dispositions du RGPD, indépendamment de la violation des droits d’une personne individuellement et concrètement affectée par cette violation, contribue incontestablement à renforcer les droits des personnes concernées et à leur assurer un niveau élevé de protection.
La violation d’une règle relative à la protection des données à caractère personnel peut simultanément entraîner la violation de règles relatives à la protection des consommateurs ou aux pratiques commerciales déloyales. En effet, le RGPD permet aux États membres d’exercer leur faculté de prévoir que les associations de défense des intérêts des consommateurs sont habilitées à agir contre des violations des droits prévus par le RGPD par l’intermédiaire de règles ayant pour objet de protéger les consommateurs ou de lutter contre les pratiques commerciales déloyales.
CJUE26 janvier 2023CJUE, 26 janvier 2023, Ministerstvo na vatreshnite raboti, C-205/21(source)
Traitements relevant de la directive Police justice - Exigence d'une autorisation du traitement par le droit de l'Etat membre – Circonstance que la disposition légale se réfère également au RGPD - Circonstance sans incidence sur la validité de la base juridique
L'article 10, sous a), de la directive (UE) 2016/680 du Parlement européen et du Conseil, du 27 avril 2016, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, lu à la lumière de l'article 52 de la Charte des droits fondamentaux de l'Union européenne, doit être interprété en ce sens que le traitement de données biométriques et génétiques par les autorités de police en vue de leurs activités de recherche, à des fins de lutte contre la criminalité et de maintien de l'ordre public, est autorisé par le droit d'un État membre, au sens de l'article 10, sous a), de cette directive, dès lors que le droit de cet État membre contient une base juridique suffisamment claire et précise pour autoriser ledit traitement. Le fait que l'acte législatif national contenant une telle base juridique se réfère, par ailleurs, au règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et non à la directive 2016/680, n'est pas de nature, en lui‑même, à remettre en cause l'existence d'une telle autorisation, pour autant qu'il ressort, de manière suffisamment claire, précise et dénuée d'équivoque de l'interprétation de l'ensemble des dispositions applicables du droit national que le traitement de données biométriques et génétiques en cause relève du champ d'application de cette directive, et non de ce règlement.
CE6 avril 2018CE, 10-9 chambres réunies, 6 avril 2018, Association française des sociétés financières, n° 406664, T., point 4(source)
Enregistrement dans un traitement de données à caractère personnel en l'absence de procédure contradictoire préalable – Admission
Aucune disposition législative ou réglementaire ni aucun principe n'impose que le enregistrement, dans un traitement, de données à caractère personnel soit précédé d'une procédure contradictoire menée avec la personne dont les données sont recueillies.
CE15 décembre 2017CE, 10-9 chambres réunies, 15 décembre 2017, Société Odeolis, n° 403776, Rec., point 7(source)
Utilisation par un employeur d'un système de géolocalisation pour le contrôle de la durée du travail de ses salariés – Caractère excessif – Existence, sauf lorsque ce contrôle ne peut pas être fait par un autre moyen, même moins efficace
Il résulte des articles 6 de la loi n° 78‑17 du 6 janvier 1978 et L. 1121‑1 du code du travail que l'utilisation par un employeur d'un système de géolocalisation pour assurer le contrôle de la durée du travail de ses salariés n'est licite que lorsque ce contrôle ne peut pas être fait par un autre moyen, même moins efficace. En dehors de cette hypothèse, la collecte et le traitement de telles données à des fins de contrôle du temps de travail doivent être regardés comme excessifs au sens du 3° de l'article 6 de la loi du 6 janvier 1978.
CE30 octobre 2001CE, Section, 30 octobre 2001, Association française des sociétés financières, n° 204909, Rec., points 5-8(source)
Données à caractère personnel pouvant faire l'objet d'un traitement automatisé – Nationalité d'un demandeur de prêt bancaire – a) Donnée pertinente au sens de l'article 5 de la convention du 28 janvier 1981 – Notion – Existence – b) Donnée dont la prise en compte constitue une discrimination au sens des stipulations du traité instituant la Communauté européenne ou au sens des articles 225 - 1 et 225 - 2 du code pénal – Absence
a) Au sein d'un traitement automatisé d'informations nominatives destiné à aider à la prise des décisions d'octroi ou de refus d'un prêt, en contribuant à évaluer le risque qu'une demande présente pour l'établissement prêteur et consistant à combiner dans un calcul automatisé divers critères tirés des renseignements que les auteurs de demandes fournissent sur leur situation familiale, professionnelle et bancaire, la référence à la nationalité comme l'un des éléments de pur fait d'un calcul automatisé du risque, dont la mise en œuvre n'entraîne pas le rejet d'une demande sans l'examen individuel de celle-ci, ne constitue pas une discrimination et dès lors n'entre pas dans le champ d'application de l'article 6 du traité instituant la Communauté économique européenne (traité CE) devenu, après modification, l'article 12 du traité CE.
b) Elle ne saurait davantage, en l'absence d'élément intentionnel, être regardée comme tombant sous le coup des articles 225‑1 et 225‑2 du code pénal.
CNIL3 juin 2021CNIL, FR, 3 juin 2021, Sanction, Société X, n° SAN-2021-007, non publié
Disposition limitant expressément les finalités d'un traitement – Traitement mis en œuvre illicite au regard de cette disposition – Article 5 - 1 – a) RGPD – Compétence de la formation restreinte de la CNIL – 2) Application – Article L. 37 du code électoral
Les articles 5‑1 a) du RGPD et 4‑1° de la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dite loi Informatique et Liberté, disposent que tout traitement de données à caractère personnel doit être « licite » et, d’autre part, que l’article 16 de cette loi donne compétence à la formation restreinte de la Commission nationale de l’informatique et des libertés pour sanctionner les responsables de traitement ou sous‑traitants qui ne respectent pas les obligations découlant du RGPD et de la loi Informatique et Liberté.
Il en résulte que, lorsqu’une disposition limite expressément les finalités d’un traitement de données à caractère personnel, qu’elle soit contenue dans un acte réglementaire autorisant et régissant un traitement particulier de données sur le fondement des articles 31 et suivants de la loi Informatique et Liberté ou des dispositions qui y renvoient, ou qu’elle résulte d’une disposition législative ou réglementaire spéciale limitant la ou les finalités d’un traitement ou d’une catégorie de traitement, la formation restreinte de la CNIL est compétente pour sanctionner le traitement illicite que constitue la méconnaissance de cette disposition.
La formation restreinte est donc compétente en l’espèce pour examiner le manquement à l’article 5‑1 a) du RGPD qui résulterait, selon la rapporteure, de la méconnaissance de l’article L. 37 du code électoral prohibant l’utilisation des listes électorales, qui contiennent des données personnelles, pour des finalités commerciales.
Cass30 avril 2024Cass, crim., 30 avril 2024, n° 23-80.962, B., points 8,10(source)
Caractérisation du délit de collecte de données à caractère personnel par un moyen déloyal dans le cadre de rapports employeur/employés - Données disponibles en accès libre sur internet – Utilisation sans rapport avec l'objet de leur mise en ligne – Collecte à l'insu des personnes concernées – Méconnaissance de l'obligation d'information des personnes et de leur droit d'opposition
Dans le cadre de rapports employeur/employés, le fait d'effectuer des recherches sur des personnes portant sur données à caractère personnel telles qu'antécédents judiciaires, renseignements bancaires et téléphoniques, véhicules, propriétés, qualité de locataire ou de propriétaire, situation matrimoniale, santé, déplacement à l'étranger est susceptible de constituer un moyen déloyal dès lors que, issues de la capture et du recoupement d'informations diffusées sur des sites publics tels que sites web, annuaires, forums de discussion, réseaux sociaux, sites de presse régionale, ces données ont fait l'objet d'une utilisation sans rapport avec l'objet de leur mise en ligne et ont été recueillies à l'insu des personnes concernées, ainsi privées du droit d'opposition institué par la loi informatique et libertés. En effet, le fait que les données à caractère personnel collectées en l'espèce par le prévenu aient été pour partie en accès libre sur internet ne retire rien au caractère déloyal de cette collecte, dès lors qu'une telle collecte, de surcroît réalisée à des fins dévoyées de profilage des personnes concernées et d'investigation dans leur vie privée, à l'insu de celles-ci, ne pouvait s'effectuer sans qu'elles en soient informées.
Cass14 mars 2006Cass, crim., 14 mars 2006, n° 05-83.423, B., points 11-12(source)
Collecte d'adresses électroniques personnelles de personnes physiques, à leur insu, sur l'espace public d'internet – Caractère déloyal – Existence
Constitue une collecte de données nominatives le fait d'identifier des adresses électroniques et de les utiliser, même sans les enregistrer dans un fichier, pour adresser à leurs titulaires des messages électroniques.
Est déloyal le fait de recueillir, à leur insu, les adresses électroniques personnelles de personnes physiques sur l'espace public d'internet, ce procédé faisant obstacle à leur droit d'opposition.
CEDate non renseignéeCE, 10ème/9ème SSR, 9 novembre 2015, Société les Éditions Néressis, n° 384673, T., point 7(source)
Obligation de collecter de manière loyale les données à caractère personnel – Méconnaissance en l’espèce
Une société qui a constitué un traitement à partir de données recueillies sur un site internet concurrent et malgré l’opposition des personnes concernées à l’utilisation de leurs données à des fins de prospection commerciale ne saurait être regardée comme ayant respecté les principes énoncés au 1° de l’article 6 de la loi n°78‑17 du 6 janvier 1978, qui imposent à l’auteur d’un traitement de collecter de manière loyale les données à caractère personnel sur lesquelles porte le traitement.
CC26 juillet 2019CC, 2019-797 QPC, 26 juillet 2019, Unicef France et autres, point 8(source)
Traitement poursuivant plusieurs finalités – Conformité
Aucune norme constitutionnelle ne s'oppose par principe à ce qu'un traitement automatisé poursuit plusieurs finalités.
CNIL1 décembre 2021CNIL, P, 1 décembre 2021, Mise en demeure, Société X, n° MED-2021-131, non publié
Collecte de données non utilisées – Manquement au principe de limitation des finalités
La collecte de données à caractère personnel issues de sites internet, sans que cette collecte puisse être justifiée par un usage de ces données, constitue un traitement dépourvu de finalités, en violation de l’article 5 § 1, b) du RGPD.
CE5 octobre 2020CE, 10 – 9 chambres réunies, 5 octobre 2020, Office public de l'habitat de Rennes Métropole-Archipel Habitat, n° 424440, Rec., point 6(source)
Courrier méconnaissant la finalité informative du traitement pour laquelle il a été autorisé – Incompatibilité
Un office public de l'habitat exploitant un traitement ayant pour finalité informative l'information de ses locataires méconnaît l'obligation de respecter les finalités pour lesquelles le traitement a été autorisé lorsqu'il adresse un courrier aux locataires qui n'est pas de nature purement informative et comporte une critique « virulente » d'une réforme en cours, appelant à la mobilisation des locataires contre ce projet.
CE21 septembre 2015CE, 10ème/9ème SSR, 21 septembre 2015, Association de défense et d’assistance juridique des intérêts des supporters, n° 389815, Inédit., points 16‑17(source)
Transmission de données – Condition de limitation des données transmises à celles strictement nécessaires aux destinataires pour poursuivre les finalités du traitement
Il résulte des dispositions de l’article 6 de la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dans sa rédaction applicable au litige que, pour être compatible avec les finalités du traitement, la transmission des données à caractère personnel doit être strictement limitée à celles qui permettent aux destinataires de poursuivre les finalités du traitement. Par suite, un traitement relatif à la prévention des atteintes à la sécurité publique en marge d’événements sportifs ne peut pas légalement prévoir que les associations et fédérations sportives, qui n’exercent aucune mission relative aux finalités poursuivies, puissent être destinataires des données collectées.
CJUE12 janvier 2023CJUE, 12 janvier 2023, Österreichische Post, C-154/21(source)
Droit d’accès à l’information sur les destinataires et les catégories de destinataires des données – Obligation de fournir l'identité même des destinataires, sauf impossibilité ou demande abusive
Le droit d'accès de la personne concernée aux données à caractère personnel la concernant, prévu par l’article 15, paragraphe 1, sous c) du RGPD, implique, lorsque ces données ont été ou seront communiquées à des destinataires, l’obligation pour le responsable du traitement de fournir à cette personne l’identité même de ces destinataires, à moins qu’il ne soit impossible de les identifier ou que ledit responsable du traitement ne démontre que les demandes d’accès de la personne concernée sont manifestement infondées ou excessives, au sens de l’article 12, paragraphe 5, du RGPD. Dans ces cas, celui‑ci peut indiquer à cette personne uniquement les catégories de destinataires en cause.
CJUE1 octobre 2015CJUE, 1 octobre 2015, Bara e.a., C-201/14(source)
Transfert par une administration publique d'un État membre de données fiscales à caractère personnel en vue de leur traitement par une autre administration publique sans information de la personne – I llicéité
Les articles 10, 11 et 13 de la directive 95/46/CE du 24 octobre 1995 doivent être interprétés en ce sens qu'ils s'opposent à des mesures nationales qui permettent à une administration publique d'un État membre de transmettre des données fiscales à caractère personnel à une autre administration publique et leur traitement subséquent, sans que les personnes concernées n'aient été informées de cette transmission ou de ce traitement, alors qu'aucune disposition législative ou réglementaire interne ne prévoit une telle transmission.
CJUE21 décembre 2023CJUE, 21 décembre 2023, Krankenversicherung Nordrhein, C-667/21(source)
Traitement de données concernant la santé fondé sur l'article 9, paragraphe 2, sous h) du RGPD – Double condition de licéité – Respect des exigences de l'article 9, paragraphe 2, sous h) et de l'article 6, paragraphe 1 du RGPD
L’article 9, paragraphe 2, sous h), et l’article 6, paragraphe 1, du règlement 2016/679 doivent être interprétés en ce sens qu’un traitement de données concernant la santé fondé sur cette première disposition doit, afin d’être licite, non seulement respecter les exigences découlant de celle‑ci, mais aussi remplir au moins l’une des conditions de licéité énoncées à cet article 6, paragraphe 1.
CJUE1 octobre 2019CJUE, grande chambre, 1 octobre 2019, Planet49, C-673/17(source)
Cookies – Consentement de la personne concernée – Déclaration de consentement au moyen d'une case pré‑cochée par défaut – Exclusion, que les informations stockées ou consultées soient des données à caractère personnel ou non
Le consentement à l'utilisation de cookies en ligne obtenu par le biais d'une case pré‑cochée n'est pas valablement recueilli, sans qu'ait d'incidence la circonstance que les informations stockées ou consultées par ce biais constituent ou non des données à caractère personnel.
L'article 2, sous f), et l'article 5, paragraphe 3, de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002 dite directive vie privée et communications électroniques, telle que modifiée par la directive 2009/136/CE du Parlement européen et du Conseil, du 25 novembre 2009, lus conjointement avec l'article 2, sous h), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, ainsi qu'avec l'article 4, point 11, et l'article 6, paragraphe 1, sous a), du RGPD doivent être interprétés en ce sens que le consentement visé à ces dispositions n'est pas valablement donné lorsque le stockage d'informations ou l'accès à des informations déjà stockées dans l'équipement terminal de l'utilisateur d'un site Internet, par l'intermédiaire de cookies, est autorisé au moyen d'une case cochée par défaut que cet utilisateur doit décocher pour refuser de donner son consentement.
L'article 2, sous f), et l'article 5, paragraphe 3, de la directive 2002/58, telle que modifiée par la directive 2009/136, lus conjointement avec l'article 2, sous h), de la directive 95/46 ainsi qu'avec l'article 4, point 11, et l'article 6, paragraphe 1, sous a), du règlement 2016/679 ne doivent pas être interprétés différemment selon que les informations stockées ou consultées dans l'équipement terminal de l'utilisateur d'un site Internet constituent ou non des données à caractère personnel, au sens de la directive 95/46/CE et du RGPD.
CJUE29 juillet 2019CJUE, 29 juillet 2019, Fashion ID, C-40/17(source)
Gestionnaire d'un site internet équipé du bouton « j’aime » de Facebook – Responsabilité conjointe – Consentement uniquement recueilli par le gestionnaire et obligation d’information pesant sur lui pour le traitement dont il détermine les finalités
L’article 2, sous h), et l’article 7, sous a), de la directive 95/46/CE doivent être interprétés en ce sens que, lorsque le gestionnaire d’un site internet insère sur ledit site un module social permettant au navigateur du visiteur de ce site de solliciter des contenus du fournisseur dudit module et de transmettre à cet effet audit fournisseur des données à caractère personnel du visiteur (bouton « j’aime » de Facebook), ce site, comme le réseau social, doit être regardé comme co‑responsable du traitement consistant dans le recueil et la transmission à Facebook de données à caractère personnel des visiteurs du site. Pour que ce traitement soit licite au titre du consentement, celui-ci doit être recueilli par ce gestionnaire uniquement en ce qui concerne l’opération ou l’ensemble des opérations de traitement des données à caractère personnel dont ledit gestionnaire détermine les finalités et les moyens.
En outre, l’article 10 de cette directive doit être interprété en ce sens que, dans une telle situation, l’obligation d’information prévue par cette disposition pèse également sur ledit gestionnaire; l’information que ce dernier doit fournir à la personne concernée ne devant toutefois porter que sur l’opération ou l’ensemble des opérations de traitement des données à caractère personnel dont il détermine les finalités et les moyens.
