L'article 6, paragraphe 1, sous c) et l'article 7, sous f) de la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995, lus à la lumière des articles 7 et 8 de la Charte des droits fondamentaux de l'Union européenne, doivent être interprétés en ce sens qu'ils ne s'opposent pas à des dispositions nationales qui autorisent la mise en place d'un système de vidéosurveillance, tel que le système en cause, principalement installé dans les parties communes d'un immeuble à usage d'habitation, aux fins de poursuivre des intérêts légitimes consistant à assurer la garde et la protection des personnes et des biens, sans le consentement des personnes concernées, si le traitement de données à caractère personnel opéré au moyen du système de vidéosurveillance en cause répond aux conditions posées par cet article 7, sous f), ce qu'il incombe à la juridiction de renvoi de vérifier.

Lorsque le gestionnaire d'un site internet insère sur ledit site un module social permettant au navigateur du visiteur de ce site de solliciter des contenus du fournisseur dudit module et de transmettre à cet effet audit fournisseur des données à caractère personnel du visiteur (bouton « j'aime » de Facebook), ce site, comme le réseau social, doit être regardé comme co‑responsable du traitement consistant dans le recueil et la transmission à Facebook de données à caractère personnel des visiteurs du site.

Pour que ce traitement soit licite au titre de l’intérêt légitime, il est nécessaire que ce gestionnaire et ce fournisseur poursuivent chacun, avec ces opérations de traitement (communication et transmission des données), un intérêt légitime, au sens de l'article 7, sous f), de la directive 95/46, afin que celles‑ci soient justifiées dans son chef.

L'article 7, sous f), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, doit être interprété en ce sens qu'il n'impose pas l'obligation de communiquer des données à caractère personnel à un tiers afin de lui permettre d'introduire un recours en indemnisation devant une juridiction civile pour un dommage causé par la personne concernée par la protection de ces données. Toutefois, l'article 7, sous f), de cette directive ne s'oppose pas à une telle communication sur la base du droit national.

L'article 7, sous f), de la directive 95/46 doit être interprété en ce sens qu'il s'oppose à une réglementation d'un État membre en vertu de laquelle un fournisseur de services de médias en ligne ne peut collecter et utiliser des données à caractère personnel afférentes à un utilisateur de ces services, en l'absence du consentement de celui-ci, que dans la mesure où cette collecte et cette utilisation sont nécessaires pour permettre et facturer l'utilisation concrète des désdites services par cet utilisateur, sans que l'objectif visant à garantir la capacité générale de fonctionnement des mêmes services puisse justifier l'utilisation desdites données après une session de consultation de ceux-ci.

L'article 7, sous f) de la directive 95/46/CE du 24 octobre 1995 s'oppose à une réglementation nationale qui, en l'absence du consentement de la personne concernée et pour autoriser le traitement de ses données à caractère personnel nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable de ce traitement ou par les tiers auxquels ces données sont communiquées, exige, outre le respect des droits et libertés fondamentaux de cette dernière, que lesdites données figurent dans des sources accessibles au public, excluant ainsi de façon catégorique et généralisée tout traitement de données ne figurant pas dans de telles sources.

L'intérêt légitime que peut avoir une société à conserver les informations bancaires d'un client qui a procédé à un achat en ligne, notamment son numéro de carte bancaire, afin de faciliter des paiements ultérieurs en le dispensant de saisir à nouveau cette information, ne saurait prévaloir sur l'intérêt des personnes concernées de protéger ces données, compte tenu de la sensibilité de ces informations bancaires et des préjudices susceptibles de résulter pour eux de leur captation et d'une utilisation détournée, et alors que de nombreux clients qui utilisent des sites de commerce en ligne en vue de réaliser des achats ponctuels ne peuvent raisonnablement s'attendre à ce que les entreprises concernées conservent de telles données sans leur consentement.

Si elles peuvent raisonnablement s'attendre à ce que des tiers accèdent ponctuellement aux photographies mises en ligne par la personne concernée, le caractère publiquement accessible de celles-ci ne suffit pas pour considérer que les personnes concernées puissent raisonnablement s’attendre à ce que leurs images alimentent un logiciel de reconnaissance faciale, d'autant plus lorsque ce logiciel n'est pas public et que la grande majorité des personnes concernées ignorent son existence.

Les personnes qui ont publié des photographies les représentant sur des sites web, ou consenti à cette publication auprès d'un autre responsable de traitement, ne s'attendent pas à ce que celles-ci soient réutilisées pour la création d’un logiciel de reconnaissance faciale (qui associe l'image d'une personne à un profil contenant l'ensemble des photographies sur lesquelles elle figure, les informations que ces photographies contiennent ainsi que les sites web sur lesquels elles se trouvent) et la commercialisation de ce logiciel à des forces de l'ordre.

Un traitement de données à caractère personnel, consistant en la collecte d'informations visant à recenser les personnes influentes auprès desquelles une entreprise souhaite représenter ses intérêts peut, sous réserve de certaines conditions, être réalisé sur le fondement de l’intérêt légitime poursuivi par le responsable de traitement. En effet, un tel traitement peut être justifié par la poursuite de l’intérêt légitime du responsable de traitement sous réserve que les intérêts et droits fondamentaux des personnes concernées ne prévalent pas sur les intérêts du responsable de traitement. Cette mise en balance entre les différents intérêts en présence impose notamment de prendre en compte les attentes raisonnables des personnes concernées quant à la nature des données collectées et la façon dont elles sont traitées pour la constitution du traitement litigieux, comme le prévoit le considérant 47 du RGPD.

Dans tous les cas, le responsable de traitement qui met en œuvre un tel traitement doit s’assurer du respect des obligations prévues par le RGPD et notamment de la obligation d'information des personnes afin que celles‑ci puissent exercer leurs droits.

1) L'article 6, paragraphe 1, premier alinéa, sous b) et f), du règlement général sur la protection des données, lu en combinaison avec l'article 5, paragraphe 1, sous c), de ce règlement doit être interprété en ce sens que:

• le traitement de données à caractère personnel relatives à la civilité des clients d'une entreprise de transport, ayant pour finalité une personnalisation de la communication commerciale fondée sur leur identité de genre, ne paraît ni objectivement indispensable ni essentiel afin de permettre l'exécution correcte d'un contrat et, partant, ne peut pas être considéré comme étant nécessaire à l'exécution de ce contrat;
• le traitement de données à caractère personnel relatives à la civilité des clients d'une entreprise de transport, ayant pour finalité une personnalisation de la communication commerciale fondée sur leur identité de genre, ne peut pas être considéré comme étant nécessaire aux fins des intérêts légitimes poursuivis par le responsable de ce traitement ou par un tiers, lorsque:
• l'intérêt légitime poursuivi n'a pas été indiqué à ces clients lors de la collecte de ces données;
• ledit traitement n'est pas opéré dans les limites du strict nécessaire pour la réalisation de cet intérêt légitime;
• au regard de l'ensemble des circonstances pertinentes, les libertés et droits fondamentaux desdits clients sont susceptibles de prévaloir sur ledit intérêt légitime, notamment en raison d'un risque de discrimination fondée sur l'identité de genre.

2) L'article 6, paragraphe 1, premier alinéa, sous f), du règlement général sur la protection des données doit être interprété en ce sens que, afin d'apprécier la nécessité d'un traitement de données à caractère personnel au titre de cette disposition, il n'y a pas lieu de prendre en considération l'existence éventuelle d'un droit d'opposition de la personne concernée, au titre de l'article 21 de ce règlement.

1) L’article 5, paragraphe 1, sous c), du RGPD (principe de minimisation) doit être interprété en ce sens que le principe de la « minimisation des données », prévu à cette disposition, s’oppose à ce que l’ensemble des données à caractère personnel qui ont été obtenues par un responsable du traitement, tel que l’exploitant d’une plateforme de réseau social en ligne, auprès de la personne concernée ou de tiers et qui ont été collectées tant sur cette plateforme qu’en dehors de celle‑ci, soient agrégées, analysées et traitées à des fins de publicité ciblée, sans limitation dans le temps et sans distinction en fonction de la nature de ces données.

2) L’article 9, paragraphe 2, sous e), du RGPD doit être interprété en ce sens que la circonstance qu’une personne se soit exprimée sur son orientation sexuelle lors d’une table ronde, dont la participation est ouverte au public, n’autorise pas l’exploitant d’une plateforme de réseau social en ligne à traiter d’autres données relatives à l’orientation sexuelle de cette personne, obtenues, le cas échéant, en dehors de cette plateforme à partir d’applications et de sites Internet de tiers partenaires, en vue de l’agrégation et de l’analyse de celles‑ci, afin de lui proposer de la publicité personnalisée.

1) Pour l'examen de l'existence de la base légale de l'obligation légale, la condition tenant à la nécessité du traitement portant publication en ligne sur le site internet d'une autorité publique de données à caractère personnel contenues dans une déclaration d'intérêts privés que tout directeur d'établissement percevant des fonds publics est tenu de déposer auprès de cette autorité en vue d'assurer la prévalence de l'intérêt public, l'impartialité des décisions, la prévention des situations de conflits d'intérêts et la lutte contre la corruption doit être examinée conjointement avec le principe dit de la « minimisation des données » consacré à l'article 5, paragraphe 1, sous‑c), du RGPD.

2) Seules les données dont la publication est effectivement de nature à renforcer les garanties de probité et d'impartialité des responsables publics, à prévenir les conflits d'intérêts et à lutter contre la corruption dans le secteur public peuvent faire l'objet d'un tel traitement. La divulgation publique, en ligne, de données nominatives relatives au conjoint, concubin ou partenaire ainsi qu'aux personnes proches ou connues du déclarant susceptibles de donner lieu à un conflit d'intérêts, ou encore sur toute transaction conclue au cours des douze derniers mois dont la valeur excède 3000 euros paraît aller au-delà de ce qui est strictement nécessaire.

La réglementation nationale régissant une demande de communication de données à caractère personnel adressée par l'administration d'un État membre à un opérateur économique doit se fonder sur des critères objectifs pour définir les circonstances et les conditions dans lesquelles un prestataire de services en ligne est tenu de transmettre des données à caractère personnel relatives à ses utilisateurs (voir, en ce sens, arrêt du 6 octobre 2020, Privacy International, C ‑ 623/17, EU:C:2020:790, point 78 et jurisprudence citée). Les dispositions du RGPD doivent être interprétées en ce sens qu'elles ne s'opposent pas à ce que l'administration fiscale d'un État membre impose à un prestataire de services d'annonces publiées sur internet de lui communiquer des informations relatives aux contribuables ayant publié des annonces dans l'une des rubriques de son portail Internet pour autant, notamment, que ces données soient nécessaires au regard des finalités spécifiques pour lesquelles elles sont collectées et que la période sur laquelle porte la collecte desdites données n'excède pas la durée strictement nécessaire pour atteindre l'objectif d'intérêt général visé.

Un traitement de données à caractère personnel relatives aux citoyens de l'Union non-ressortissants de l'État membre visé ayant pour objectif le soutien des autorités nationales en charge de l'application de la réglementation sur le droit de séjour ne répond pas à l'exigence de nécessité prévue à l'article 7, § e), de la directive 95/46/CE du 24 octobre 1995 interprétée à la lumière de l'interdiction de toute discrimination exercée en raison de la nationalité, que :

• il contient uniquement les données nécessaires à l'application par ces autorités de cette réglementation ;

• son caractère centralisé permet une application plus efficace de cette réglementation en ce qui concerne le droit de séjour des citoyens de l'Union non-ressortissants de cet État membre.

Il appartient à la juridiction de vérifier ces éléments dans l'espèce au principal.

Aux termes de l'article L. 1121‑1 du Code du travail, nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives des restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché.

La cour d’appel a constaté que le salarié, qui exerçait seul son activité en cuisine, était soumis à la surveillance constante de la caméra qui y était installée. Elle en a déduit à bon droit que les enregistrements issus de ce dispositif de vidéosurveillance, attentatoire à la vie personnelle du salarié et disproportionné au but allégué par l’employeur de sécurité des personnes et des biens, n’étaient pas opposables au salarié et, par ces seuls motifs, légalement justifié sa décision.

Il résulte des articles 6 de la loi n° 78‑17 du 6 janvier 1978 et L. 1121‑1 du code du travail que l'utilisation par un employeur d’un système de géolocalisation pour assurer le contrôle de la durée du travail de ses salariés n’est licite que lorsque ce contrôle ne peut pas être fait par un autre moyen, même moins efficace que la géolocalisation. En dehors de cette hypothèse, la collecte et le traitement de telles données à des fins de contrôle du temps de travail doivent être considérés comme excessifs au sens du 3° de l’article 6 de la loi du 6 janvier 1978.

Est disproportionné et peut légalement faire l'objet d'une sanction un dispositif de vidéosurveillance plaçant sous surveillance en permanence au moins un salarié. En l'espèce, la circonstance que la société ait voulu lutter contre des vols susceptibles d'être perpétrés par ses propres salariés ne permet pas de considérer que le dispositif était proportionné alors qu'en outre il était installé dans des locaux sécurisés, dont l'entrée ne peut s'effectuer qu'après autorisation et vérification d'identité.

Il résulte des dispositions de l’article 6 de la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dans sa rédaction applicable au litige que, pour être compatible avec les finalités d’un traitement, la transmission des données à caractère personnel doit être strictement limitée à celles qui permettent aux destinataires de poursuivre les finalités du traitement. Par suite, un traitement relatif à la prévention des atteintes à la sécurité publique en marge d’événements sportifs ne peut pas légalement prévoir que les associations et fédérations sportives, qui n’exercent aucune mission relative aux finalités poursuivies, puissent être destinataires des données collectées.

Constitution d'un traitement automatisé centralisé des données à caractère personnel (état civil, image numérisée du visage et empreintes de huit doigts) recueillies auprès des personnes âgées d'au moins six ans lors de l'établissement ou du renouvellement des passeports.

La finalité de la consultation des empreintes digitales contenues dans le traitement automatisé (confirmer que la personne présentant une demande de renouvellement d'un passeport est bien celle à laquelle le passeport a été initialement délivré ou s'assurer de l'absence de falsification des données contenues dans le composant électronique du passeport) peut être atteinte de manière suffisamment efficace en comparant les empreintes figurant dans le composant électronique du passeport avec celles conservées dans le traitement, sans qu'il soit nécessaire que ce dernier en contienne davantage.

Dès lors, le Conseil d'État annule l'article litigieux du fait de l'inconventionalité de la collecte et de la conservation d'un plus grand nombre d'empreintes digitales que celles figurant dans le composant électronique, ces données n'étant ni adéquates, ni pertinentes et apparaissant excessives au regard des finalités du traitement informatisé.

1) Pour l'application de l'article 6 de la loi n°78‑17 du 6 janvier 1978, les données pertinentes au regard de la finalité d'un traitement automatisé de données à caractère personnel sont celles qui sont en adéquation avec la finalité du traitement et qui sont proportionnées à cette finalité.

2) En l'espèce, les données enregistrées dans la « Base élèves 1 degré », relatives à l'identification de l'élève, de ses responsables légaux et des autres personnes à contacter en cas d'urgence ou autorisées à le prendre en charge à la sortie de l'école, ainsi qu'à la gestion des établissements, de la scolarité des élèves et de leurs activités parascolaires et périscolaires, sont en adéquation avec la finalité du traitement, qui est la gestion de l'enseignement scolaire de premier cycle, et sont proportionnées à cette finalité.

Conservation des données d'opposition d'une personne à recevoir de la prospection commerciale.

1) Afin d'assurer l'effectivité du droit d'opposition, le responsable de traitement peut créer une « liste repoussoir » lui permettant de ne pas utiliser à nouveau les données de contact si elles venaient à lui être transmises à nouveau par une autre personne que la personne concernée. La CNIL recommande de conserver l'inscription à la « liste repoussoir » de la personne ayant fait opposition pendant une durée minimale de trois ans et de ne conserver que les empreintes de l'adresse ou du numéro utilisé pour la prospection. Cela permet de prendre en compte l'opposition dans le temps sans conserver de données directement identifiantes.

2) En l'espèce, la liste repoussoir comprenait la civilité, le nom, le prénom, la date de naissance, le numéro de téléphone, l'adresse électronique, la ville ou le code postal, le niveau d'imposition et la situation familiale alors que l'ensemble de ces données n'apparaissaient pas nécessaires au regard de la finalité liée à la prise en compte de l'opposition des prospects à recevoir de la prospection. Seules les données nécessaires à la prise en compte de l'opposition dans le temps et qui correspondent en l'espèce au numéro de téléphone et à l'adresse électronique de la personne concernée auraient dû être conservées sous une forme hachée. Il en résulte une méconnaissance de l'article 5‑1‑c) du RGPD.