En cas de responsabilité conjointe, l'article 26 du RGPD oblige les responsables de traitement conjoints à s'assurer, par le biais d'un accord, qu'ils respectent mutuellement le RGPD et notamment qu'ils organisent entre eux la meilleure façon de répondre aux droits des personnes concernées, en fonction de la nature du traitement et de leur responsabilité respective vis‑à‑vis de ce traitement.

En l'espèce, il a été constaté que la collecte du consentement des internautes pour la mise en œuvre du traitement en cause revenait aux partenaires de la société mise en cause n'exonérait pas cette dernière de son obligation, en application de l'article 7 du RGPD, d'être en mesure de démontrer que la personne concernée avait donné son consentement et de procéder à certaines vérifications à cette fin. En effet, la seule clause issue des conditions générales d'utilisation aux termes desquelles la société exigeait de ses partenaires, « lorsque la loi le prévoit », que la politique de confidentialité de leur site inclue « des mentions et des mécanismes de choix conformes aux lois et réglementations applicables » ne permettait pas de garantir l'existence d'un consentement valide et il convient à tout le moins qu'elle soit complétée pour préciser que l'organisme qui recueille le consentement doit mettre à disposition de l'autre partie la preuve du consentement.

Lorsque des courtiers en données sont en charge de la collecte du consentement aux fins de prospection commerciale pour le compte d'un responsable de traitement, un simple engagement contractuel desdits courtiers visant à « respecter le RGPD et les règles applicables en matière de prospection commerciale » n'est pas une mesure suffisante pour s'assurer que le consentement a été valablement donné par les prospects avant d'être démarchés lorsqu'un tel engagement ne se double pas d'un contrôle des formulaires de recueil utilisés ou d'audits portant sur les sociétés partenaires mobilisées. Une telle insuffisance est susceptible de constituer un manquement du responsable du traitement aux obligations résultant des articles L. 34‑5 du code des postes et des communications électroniques et 7, paragraphe 1, du RGPD, tel qu'éclairé par les dispositions de l'article 4, paragraphe 11 de ce même règlement.

Pour vendre les données à des partenaires en vue qu'ils les utilisent pour de la prospection commerciale par voie électronique, un responsable du traitement doit recueillir, sur le support de collecte des données, le consentement libre, spécifique, informé et univoque par lequel les personnes concernées acceptent, par une déclaration ou un acte positif clair, une telle transmission de leurs données.

Le consentement à la revente des données ne dispense pas que le consentement des personnes soit également recueilli, en application de l’article L. 34‑5 du code des postes et des communications électroniques, pour l'utilisation de leurs données à des fins de prospection commerciale par voie électronique. Ce consentement à la réception de prospection peut être recueilli soit par les opérateurs ayant acheté ou reçu les données et qui les utiliseront concrètement pour envoyer des messages de prospection, soit par le primo‑collectant qui souhaite les transmettre à des partenaires. Dans ce dernier cas, ce consentement peut alors être recueilli globalement pour la transmission et la prospection commerciale, mais cela implique que le primo‑collectant puisse fournir la liste exhaustive des partenaires ainsi autorisés, comme responsables de traitement, à utiliser les données pour de la prospection électronique.

Dans le cadre d’un système d'identification électronique auprès d'organismes publics ou privés, pour apprécier si le consentement à un traitement de données biométriques est libre, il y a lieu de vérifier si le recours à ce traitement est exigé par sa finalité et si l’usage est susceptible de subir un préjudice en l’absence de consentement. En l’espèce, il ne ressort pas des pièces du dossier qu’il existait, à la date du décret attaqué, d’alternative à la reconnaissance faciale pour authentifier, avec le même niveau de garantie au regard du règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014, l’identité d’une personne de manière entièrement dématérialisée. Les usagers refusant de recourir à l’application Alicem ne subissent pas de préjudice au sens du RGPD dans la mesure où ils peuvent accéder à l’ensemble des téléservices accessibles par le biais de cette application, à travers un identifiant unique, grâce au dispositif FranceConnect, dont l’utilisation ne présuppose pas le consentement à un traitement de reconnaissance faciale. Le décret du 13 mai 2019 a donc pu légalement autoriser le ministre de l’intérieur à mettre en œuvre un traitement d’identification en ligne s’appuyant sur une application mobile, dont l’usage est conditionné au consentement au recours à un système de reconnaissance faciale.

Saisi d'un projet de décret autorisant la création d'un moyen d'identification électroniqu e dénommé « Application de Lecture de l'Identité d'un Citoyen En Mobilité », le Conseil d'État (section de l'intérieur) lui donne un avis favorable.

Ce traitement permet aux titulaires d'un passeport comportant un composant électronique, ou d'un titre de séjour comportant un composant électronique, de s'authentifier auprès d'organismes publics ou privés, au moyen d'un équipement terminal de communications électroniques doté d'un dispositif permettant la lecture sans contact du composant électronique de ces titres.

L'article 9 du RGPD in terdit le traitement des données biométriques aux fins d'identifier une personne physique de manière unique, sauf si l'intéressé a donné son consentement. Ces dispositions sont éclairées par son considérant 42 selon lequel « le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d'une véritable liberté de choix ou n'est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice ».

Le Conseil d'État considère que ces dispositions ne sont pas méconnues par le projet dès lors que le recours à ALICEM pour s'authentifier auprès d'organismes publics ou privés est une faculté, les usagers ou clients ayant la possibilité de recourir à d'autres disposi tifs d'authentification électronique ou d'entrer en contact avec ces organismes par des voies autres qu'électroniques. Le projet prévoit également la possibilité pour l'intéressé de désinstaller l'application de son équipement terminal de communications él ectroniques à tout moment. Les données biométriques sont elles - mêmes supprimées du traitement sitôt l'enrôlement dans le traitement terminé.

Le Conseil d'État ajoute dans le projet la précision selon laquelle l'Agence nationale des titres sécurisés procèd e, au moment de la demande d'ouverture du compte, au recueil du consentement de l'usager au traitement de ses données biométriques.

1) Il résulte du 11 de l'article 4 et des articles 6 et 7 du RGPD, tels qu'interprétés par la Cour de justice de l'Union européenne dans son arrêt C‑673/17 du 1er octobre 2019 que le consentement libre, spécifique, éclairé ne peut être un consentement exprès de l'utilisateur, donné en toute connaissance de cause et après une information adéquate sur l'usage qui sera fait de ses données personnelles.

a) Un consentement donné au moyen d'une case cochée par défaut n'implique pas un comportement actif de la part de l'utilisateur et ne peut dès lors être considéré comme procédant d'un acte positif clair permettant valablement le recueil du consentement.

b) En outre, un consentement recueilli dans le cadre de l'acceptation globale de conditions générales d'utilisation d'un service ne revêt pas un caractère spécifique au sens du RGPD.

c) Enfin, indépendamment des modalités dans lesquelles il est recueilli, le consentement n'est valide que s'il est précédé d'une présentation claire et distincte de l'ensemble des finalités poursuivies par le traitement.

1) Lorsque les données des prospects n'ont pas été collectées directement auprès d'eux par l'organisme qui prospecte, le consentement peut avoir été recueilli au moment de la collecte initiale des données par le primo-collectant, pour le compte de l'organisation qui réalisera les opérations de prospection ultérieures ou par l'organisme qui prospecte avant de procéder à des actes de prospection. Le prospecteur doit alors être en mesure de prouver qu'il dispose de ce consentement au sens de l'article 7, paragraphe 1 du RGPD.

2) Lorsque le consentement est recueilli par le primo-collectant pour le compte de prospecteurs, celui‑là doit clairement informer les personnes de l'identité du ou des prospecteurs pour le compte duquel le consentement est collecté et des finalités pour lesquelles les données seront utilisées. À défaut, il revient à l'organisme qui prospecte de recueillir un tel consentement avant de procéder à des actes de prospection afin que le consentement soit éclairé. Pour ce faire, une liste exhaustive et mise à jour doit être tenue à la disposition des personnes au moment du recueil de leur consentement, par exemple directement sur le support de collecte ou, si celle‑ci est trop longue, via un lien hypertexte renvoyant vers ladite liste et les politiques de confidentialité des prestataires et fournisseurs.

Dans le contexte d'une transmission de données à des tiers afin qu'ils les utilisent pour de la prospection commerciale, le recueil d'un consentement spécifique implique que la personne soit en mesure de marquer son assentiment particulier à la transmission de ses données à des tiers, qui l'utiliseront pour de la prospection commerciale. L'exigence de spécificité du consentement exclut l'obtention d'un consentement global donné à la fois aux conditions générales contractuelles régissant un service et pour l'ensemble des finalités d'un traitement.

1) L’article 5, paragraphe 3, de la directive 2002/58 doit être interprété en ce sens que les informations que le fournisseur de services doit donner à l’utilisateur d’un site internet incluent la durée de fonctionnement des cookies ainsi que la possibilité ou non pour des tiers d’avoir accès aux cookies.

L’article 10 de la directive 95/46, à laquelle fait référence l’article 5, paragraphe 3, de la directive 2002/58, ainsi que l’article 13 du RGPD énoncent les informations que le responsable du traitement doit fournir à la personne auprès de laquelle il collecte des données la concernant. Ces informations comprennent notamment, en vertu de l’article 10 de la directive, outre l’identité du responsable du traitement et les finalités du traitement auquel les données sont destinées, toute information supplémentaire telle que les destinataires ou les catégories de destinataires des données, dans la mesure où, compte tenu des circonstances particulières dans lesquelles les données sont collectées, ces informations supplémentaires sont nécessaires pour assurer à l’égard de la personne concernée un traitement loyal des données.

2) Si la durée du traitement des données ne figure pas parmi ces informations, il ressort toutefois de l’expression « au moins » figurant à l’article 10 de la directive 95/46 que celles‑ci ne sont pas énumérées de manière exhaustive. Or, la durée de fonctionnement des cookies doit être considérée comme répondant à l’exigence d’un traitement loyal des données prévue par ledit article, en ce que, dans une situation telle que celle en cause au principal, une durée longue, voire illimitée, implique la collecte de nombreuses informations sur les habitudes de navigation et la fréquence des visites éventuelles de l’utilisateur sur les sites des partenaires publicitaires de l’organisateur du jeu promotionnel.

Cette interprétation est corroborée par l’article 13, paragraphe 2, sous a), du règlement 2016/679, qui prévoit que le responsable du traitement doit fournir à la personne concernée, pour garantir un traitement équitable et transparent, une information portant, notamment, sur la durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée.

Quant à la possibilité ou non pour des tiers d’avoir accès aux cookies, il s’agit d’une information comprise dans les informations mentionnées à l’article 10, sous c), de la directive 95/46, ainsi qu’à l’article 13, paragraphe 1, sous e), du règlement 2016/679, dès lors que ces dispositions mentionnent explicitement les destinataires ou les catégories de destinataires des données.

1) Il résulte clairement des articles 12 et 13 du règlement (UE) n° 2016/679 du 27 avril 2016 (RGPD) que l'information fournie aux utilisateurs doit les mettre en mesure de déterminer à l'avance la portée et les conséquences du traitement afin d'éviter qu'ils soient pris au dépourvu quant à la façon dont leurs données à caractère personnel sont destinées à être utilisées. Si les exigences de concision, d'intelligibilité, de clarté et de simplicité de l'information posées par le RGPD justifient que celle‑ci ne soit pas excessivement détaillée afin de ne pas décourager l'utilisateur d'en prendre connaissance, tous les éléments pertinents relatifs aux différentes finalités et à l'ampleur du traitement doivent lui être aisément accessibles.

2) Il résulte des articles 4, 6 et 7 du RGPD, tels qu'interprétés par la Cour de justice de l'Union européenne dans son arrêt C‑673/17 du 1er octobre 2019, que le consentement libre, spécifique, éclairé et univoque ne peut être qu'un consentement exprès de l'utilisateur, donné en toute connaissance de cause et après une information adéquate sur l'usage qui sera fait de ses données personnelles.

c) Indépendamment des modalités dans lesquelles il est recueilli, le consentement n'est valide que s'il est précédé d'une présentation claire et distincte de l'ensemble des finalités poursuivies par le traitement.

En l'espèce, l'arborescence choisie par Google apparaît de nature, par l'éparpillement de l'information qu'elle organise, à nuire à la accessibilité et à la clarté de celle‑ci pour les utilisateurs, alors même que les traitements en cause sont particulièrement intrusifs eu égard au nombre et à la nature des données collectées.

Dans le contexte d'une transmission de données à des partenaires en vue qu'ils les utilisent pour de la prospection commerciale, le recueil d'un consentement éclairé requiert en particulier d'informer les personnes concernées de l'étendue de la transmission de leurs données. À cet égard, des indications relatives au nombre et au secteur d'activité des partenaires rendus destinataires des données avant toute transmission sont de nature à éclairer les personnes concernées quant à l'utilisation ultérieure qui sera faite de leurs données.

En cas de responsabilité conjointe, l'article 26 du RGPD oblige les responsables de traitement conjoints à s'assurer, par le biais d'un accord, qu'ils respectent mutuellement le RGPD et notamment qu'ils organisent entre eux la meilleure façon de répondre aux droits des personnes concernées, en fonction de la nature du traitement et de leur responsabilité respective vis‑à‑vis de ce traitement.

En l'espèce, le fait que la collecte du consentement des internautes pour la mise en œuvre du traitement en cause revenait aux sociétés partenaires de la société mise en cause n'exonérait pas cette dernière de son obligation, en application de l'article 7 du RGPD, d'être en mesure de démontrer que la personne concernée avait donné son consentement et de procéder à certaines vérifications à cette fin.

En effet, la seule clause issue de conditions générales d'utilisation aux termes desquelles la société exigeait de ses partenaires, « lorsque la loi le prévoit », que la politique de confidentialité de leur site inclue « des mentions et des mécanismes de choix conformes aux lois et réglementations applicables » ne permettait pas de garantir l'existence d'un consentement valide et il convenait à tout le moins qu'elle soit complétée pour préciser que l'organisme qui recueille le consentement doit mettre à disposition de l'autre partie la preuve du consentement.

L'article 6, paragraphe 1, premier alinéa, sous b), du règlement 2016/679 doit être interprété en ce sens que le traitement de données à caractère personnel effectué par un opérateur d'un réseau social en ligne, consistant en la collecte de données des utilisateurs d'un tel réseau issues d'autres services du groupe auquel appartient cet opérateur ou issues de la consultation par ces utilisateurs de sites Internet ou d'applications tiers, en la mise en relation de ces données avec le compte du réseau social desdites utilisateurs et en l'utilisation desdites données, ne peut être considéré comme étant nécessaire à l'exécution d'un contrat auquel les personnes concernées sont parties, au sens de cette disposition, qu'à la condition que ce traitement soit objectivement indispensable pour réaliser une finalité faisant partie intégrante de la prestation contractuelle destinée à ces mêmes utilisateurs, de telle sorte que l'objet principal du contrat ne pourrait être atteint en l'absence de ce traitement.

L'obligation qui incombe à l'employeur, en vertu du code du travail, de diligenter une enquête interne aux fins de protéger la santé et la sécurité des travailleurs ne saurait être regardée comme constituant une obligation légale au sens du c) de l'article 6 du RGPD et ne peut donc servir de base juridique au traitement de données personnelles éventuellement mis en œuvre dans une telle occasion.

C E, 10ᵉ - 9ᵉ chambres réunies, 01/12/2025, n° 498023

L'obligation légale ne peut être retenue comme base légale du traitement que si ledit traitement répond effectivement à une obligation légale qui s'impose au responsable de traitement sans viser d'autre objectif que celui poursuivi par l'auteur de l'obligation et sans qu'il existe un moyen moins intrusif d'atteindre cet objectif, et que la disposition légale en question institue une obligation suffisamment claire, précise et impérative pour le responsable de traitement de traiter des données à caractère personnel.

1) Pourvu que les finalités énoncées dans une demande de communication de données à caractère personnel adressée par l'administration d'un État membre à un opérateur économique soient nécessaires à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investie l'administration fiscale, cette circonstance suffit, ainsi qu'il découle de l'article 6, paragraphe 1, premier alinéa, initio et sous e), du règlement 2016/679, lu conjointement avec l'article 6, paragraphe 3, second alinéa, de ce règlement, pour que lesdits traitements satisfassent également à l'exigence de licéité. 2) La perception de l'impôt et la lutte contre la fraude fiscale doivent être considérées comme étant des missions d'intérêt public, au sens de l'article 6, paragraphe 1, premier alinéa, sous e), du règlement 2016/679 (voir, par analogie, arrêt du 27 septembre 2017, Puškár, C‑73/16, EU:C:2017:725, point 108). 3) Dans un cas où la communication des données à caractère personnel en cause n'est pas directement fondée sur la disposition légale qui en constitue le fondement du traitement, mais résulte d'une demande de l'autorité publique compétente, il est nécessaire que cette demande précise quelles sont les finalités spécifiques de cette collecte de données au regard de la mission d'intérêt public ou de l'exercice de l'autorité publique, afin de permettre au destinataire de ladite demande de s'assurer que la transmission des données à caractère personnel en cause est licite et aux juridictions nationales d'opérer un contrôle de la légalité des traitements concernés.

L'article 24, paragraphe 1, second alinéa, du règlement d'exécution (UE) 2015/2447 de la Commission, du 24 novembre 2015, établissant les modalités d'application de certaines dispositions du règlement (UE) n° 952/2013 du Parlement européen et du Conseil établissant le code des douanes de l'Union, lu à la lumière de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, et du RGPD, doit être interprété en ce sens que les autorités douanières peuvent exiger du demandeur du statut d'opérateur économique agréé qu'il communique les numéros d'identification fiscale, attribués aux fins du prélèvement de l'impôt sur le revenu, concernant uniquement les personnes physiques qui sont responsables du demandeur ou exercent le contrôle sur la gestion de celui‑ci et celles qui sont responsables des questions douanières en son sein, ainsi que les coordonnées des centres des impôts compétents à l'égard de l'ensemble de ces personnes, pour autant que ces données permettent à ces autorités d'obtenir des informations relatives aux infractions graves ou répertoriées à la législation douanière ou aux dispositions fiscales ou aux infractions pénales graves commises par ces personnes physiques en lien avec leur activité économique.

L'article 7, § e), de la directive 95/46/CE doit être interprété en ce sens qu'il ne s'oppose pas à un traitement de données à caractère personnel par les autorités d'un État membre aux fins de la perception de l'impôt et de la lutte contre la fraude fiscale tel que celui auquel il est procédé par l’établissement d’une liste de personnes telle que celle en cause dans l'affaire principale, sans le consentement des personnes concernées. À condition, d'une part, que ces autorités aient été investies par la législation nationale de missions d'intérêt public au sens de cette disposition, que l’établissement de cette liste et l'inscription sur celle‑ci du nom des personnes concernées soient effectivement aptes et nécessaires aux fins de la réalisation des objectifs poursuivis, et qu'il existe des indices suffisants pour présumer que les personnes concernées figurent à juste titre sur ladite liste ; d'autre part, que toutes les conditions de licéité de ce traitement de données à caractère personnel imposées par la directive 95/46/CE soient satisfaites.

Les articles 6, paragraphe 1, sous b) et c), ainsi que 7, sous c) de la directive 95/46/CE ne s'opposent pas à une réglementation nationale qui impose à l'employeur l'obligation de mettre à la disposition de l'autorité nationale compétente en matière de surveillance des conditions de travail le registre du temps de travail afin d'en permettre la consultation immédiate, pour autant que cette obligation soit nécessaire aux fins de l'exercice par cette autorité de ses missions de surveillance de l'application de la réglementation en matière de conditions de travail, notamment en ce qui concerne le temps de travail.

1) L'article 6, paragraphe 1, premier alinéa, sous b) et f), du règlement général sur la protection des données, lu en combinaison avec l’article 5, paragraphe 1, sous c), de ce règlement doit être interprété en ce sens que :

• le traitement de données à caractère personnel relatives à la civilité des clients d’une entreprise de transport, ayant pour finalité une personnalisation de la communication commerciale fondée sur leur identité de genre, ne paraît ni objectivement indispensable ni essentiel afin de permettre l'exécution correcte d'un contrat et, partant, ne peut pas être considéré comme étant nécessaire à l'exécution de ce contrat ;
• le traitement de données à caractère personnel relatives à la civilité des clients d’une entreprise de transport, ayant pour finalité une personnalisation de la communication commerciale fondée sur leur identité de genre, ne peut pas être considéré comme étant nécessaire aux fins des intérêts légitimes poursuivis par le responsable de ce traitement ou par un tiers lorsque :
• l'intérêt légitime poursuivi n'a pas été indiqué à ces clients lors de la collecte de ces données ;
• ledit traitement n'est pas opéré dans les limites du strict nécessaire pour la réalisation de cet intérêt légitime ;
• au regard de l'ensemble des circonstances pertinentes, les libertés et droits fondamentaux desdits clients sont susceptibles de prévaloir sur ledit intérêt légitime, notamment en raison d'un risque de discrimination fondée sur l'identité de genre.

2) L'article 6, paragraphe 1, premier alinéa, sous f), du règlement général sur la protection des données doit être interprété en ce sens que, afin d'apprécier la nécessité d'un traitement de données à caractère personnel au titre de cette disposition, il n'y a pas lieu de prendre en considération l'existence éventuelle d'un droit d'opposition de la personne concernée, au titre de l'article 21 de ce règlement.

L'article 6, paragraphe 1, premier alinéa, sous f), du règlement 2016/679 doit être interprété en ce sens que le traitement de données à caractère personnel effectué par un opérateur d'un réseau social en ligne, consistant en la Collecte de données des utilisateurs d'un tel réseau issues d'autres services du groupe auquel appartient cet opérateur ou issues de la consultation par ces utilisateurs de sites Internet ou d'applications tiers, en la mise en relation de ces données avec le compte du réseau social désignés utilisateurs et en l'utilisation des données, ne peut être considéré comme étant nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, au sens de cette disposition, qu'à la condition que ledit opérateur ait indiqué aux utilisateurs auprès desquels les données ont été collectées un intérêt légitime poursuivi par leur traitement, que ce traitement est opéré dans les limites du strict nécessité pour la réalisation de cet intérêt légitime et qu'il ressort d'une pondération des intérêts opposés, au regard de l'ensemble des circonstances pertinentes, que les intérêts ou les libertés et les droits fondamentaux de ces utilisateurs ne prévalent pas sur ledit intérêt légitime du responsable du traitement ou d'un tiers.