• collecte
• conservation
• consultation
• empreintes digitales

CE18 novembre 2015CE, 10ème/9ème SSR, 18 novembre 2015, Mme X et Mme Y, n° 372111, T., point 3(source)

Traitements non automatisés de données à caractère personnel soumis à la loi du 6 janvier 1978 – 1) Notion – 2) Collecte, conservation et consultation des empreintes digitales relevées lors d'une demande de carte nationale d'identité – Inclusion

1) Il résulte des dispositions de l'article 2 de la loi n° 78‑17 du 6 janvier 1978, dans sa rédaction issue de la loi n° 2004‑801 du 6 août 2004, que cette loi s'applique y compris aux traitements non automatisés de données à caractère personnel, entendus comme toute opération ou ensemble d'opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction.

2) Par suite, la collecte, la conservation et la consultation des empreintes digitales effectuées sur le fondement de l'article 5 du décret n° 55‑1397 du 22 octobre 1955 instituant la carte nationale d'identité, sous la responsabilité du ministre de l'intérieur, entrent dans le champ d'application de la loi du 6 janvier 1978, nonobstant la circonstance que ces fichiers ne sont pas numérisés et qu'ils ne sont constitués et conservés qu'au seul niveau des préfectures, pour l'arrondissement du chef‑lieu d'un département, ou des sous‑préfectures, et des consulats.

• exercice pouvoir de contrôle
• commission d'enquête parlementaire
• autorité policière protection de l’État

CJUE16 janvier 2024CJUE, 16 janvier 2024, Österreichische Datenschutzbehörde, C-33/22(source)

Activités d'une commission d'enquête mise en place par le parlement d'un État membre dans l'exercice de son pouvoir de contrôle du pouvoir exécutif, ayant pour objet d'enquêter sur les activités d'une autorité policière de protection de l'État en raison d'un soupçon d'influence politique sur cette autorité – Inclusion

L'article 16, paragraphe 2, première phrase, TFUE et l'article 2, paragraphe 2, sous a) du RGPD doivent être interprétés en ce qu'une activité ne saurait être considérée comme située en dehors du champ d'application du droit de l'Union et comme échappant dès lors à l'application de ce règlement pour la seule raison qu'elle est exercée par une commission d'enquête mise en place par le parlement d'un État membre dans l'exercice de son pouvoir de contrôle du pouvoir exécutif.

L'article 2, paragraphe 2, sous a) du RGPD, lu à la lumière du considérant 16 de ce règlement, doit être interprété en ce que ne sauraient être considérées, en tant que telles, comme des activités relatives à la sécurité nationale situées en dehors du champ d'application du droit de l'Union, au sens de cette disposition, les activités d'une commission d'enquête mise en place par le parlement d'un État membre dans l'exercice de son pouvoir de contrôle du pouvoir exécutif, ayant pour objet d'enquêter sur les activités d'une autorité policière de protection de l'État en raison d'un soupçon d'influence politique sur cette autorité.

• traitement données élections
• sécurité nationale exclusion

CJUE20 octobre 2022CJUE, 20 octobre 2022, Koalitsia « Demokratichna Bulgaria – Obedinenie », C-306/21, points 40-42 Voir aussi: CJUE, grande chambre, 22 juin 2021, Latvijas Republikas Saeima, C-439/19, points 66-67(source)

Traitement de données à caractère personnel dans le contexte de l'organisation d'élections dans un État membre – Application du RGPD

Les activités ayant pour but de préserver la sécurité nationale au sens de l'article 2, paragraphe 2, sous a), du RGPD couvrent, en particulier, celles ayant pour objet de protéger les fonctions essentielles de l’État et les intérêts fondamentaux de la société.

Or, les activités relatives à l'organisation d'élections dans un État membre ne poursuivent pas un tel objectif et ne sauraient, en conséquence, être rangées dans la catégorie des activités ayant pour but la préservation de la sécurité nationale, visées à l'article 2, paragraphe 2, sous a), du RGPD. Eu égard à ces considérations, l’article 2, paragraphe 2, sous a), du RGPD doit être interprété en ce sens que n’est pas exclu du champ d’application de ce règlement le traitement de données à caractère personnel dans le contexte de l’organisation d’élections dans un État membre.

• finalités du traitement
• limitation des finalités
• obligation légale

CJUE24 février 2022CJUE, 24 février 2022, Valsts ieņēmumu dienests, C‑175/20, points 42-47(source)

Traitement de données à caractère personnel à des fins fiscales – Demande de communication d'informations à des fins de lutte contre la fraude fiscale – Application du RGPD, en l'absence d'objectif spécifique d'exercer des poursuites pénales

L'accès aux numéros de châssis des véhicules faisant l'objet d'une annonce publiée sur le portail Internet d'un opérateur économique par l'administration fiscale d'un État membre en vue de se voir fournir des informations sur les annonces publiées sur ce portail aux fins de la perception de l'impôt et de la lutte contre la fraude fiscale relève du champ d'application du RGPD dans la mesure où, dans ces circonstances, l'administration n'agit pas en tant qu'« autorité compétente », au sens de l'article 3, point 7, de la directive 2016/680 dite « Police - Justice » et que ces données à caractère personnel ne sont pas collectées dans l'objectif spécifique d'exercer des poursuites pénales ou dans le cadre des activités de l'État relatives à des domaines du droit pénal.

• transfert hors UE
• sûreté de l'État

CJUE16 juillet 2020CJUE, grande chambre, 16 juillet 2020, Facebook Ireland et Schrems, C‑311/18(source)

Transferts de données à caractère personnel effectués à des fins commerciales par un opérateur économique établi dans un État membre vers un autre opérateur établi dans un pays tiers – Inclusion – Données susceptibles d'être traitées par les autorités du pays tiers concerné à des fins de sécurité nationale – Absence d'incidence

L'article 2, paragraphes 1 et 2, du RGPD doit être interprété en ce sens que relève du champ d'application de ce règlement un transfert de données à caractère personnel effectué à des fins commerciales par un opérateur économique établi dans un État membre vers un autre opérateur économique établi dans un pays tiers, nonobstant le fait que, au cours ou à la suite de ce transfert, ces données sont susceptibles d'être traitées par les autorités du pays tiers concerné à des fins de sécurité publique, de défense et de sûreté de l'État.

• responsable du traitement
• finalités du traitement
• droit d'accès

CJUE9 juillet 2020CJUE, 9 juillet 2020, Land Hessen, C-272/19, points 72-74(source)

Notion de « responsable du traitement » – Commission des pétitions du parlement d'un État fédéré d'un État membre – Inclusion – Article 15 – Droit d'accès de la perso nne concernée – Application

Aucune exception n'est prévue dans le RGPD en ce qui concerne les activités parlementaires. Par conséquent, dans la mesure où la Commission des pétitions du Parlement du Land de Hesse détermine, seule ou avec d'autres, les finalités et les moyens du traitement, cette commission doit être qualifiée de « responsable du traitement », au sens de l'article 4, point 7, du règlement. Le traitement de données à caractère personnel effectué par une telle commission relève du champ d'application de ce règlement, notamment de l'article 15 de celui-ci (droit d'accès) et de la Commission des pétitions.

• responsable du traitement
• finalités du traitement
• collecte indirecte

CJUE10 juillet 2018CJUE, grande chambre, 10 juillet 2018, Jehovan Todistajat, C-25/17(source)

Collecte de données à caractère personnel par les membres d'une communauté religieuse dans le cadre de leur activité de prédication de porte - à - porte – Notion de « fichier de données à caractère personnel » – Notion de « responsable du traitement » – Article 10, paragraphe 1, de la Charte des droits fondamentaux de l'Union européenne

La collecte de données à caractère personnel effectuée par des membres d'une communauté religieuse dans le cadre d'une activité de prédication de porte - à - porte et les traitements ultérieurs de ces données relèvent de la directive 95/46/CE. En particulier, il ne s'agit ni de traitements de données à caractère personnel mis en œuvre pour l'exercice d'activités visées à l'article 3, paragraphe 2, premier tiret (traitements ne relevant pas du champ du droit de l'UE ou ayant pour objet la sécurité publique, la défense, la sûreté de l'État et les activités de l'État relatives au droit pénal), de la directive, ni de traitements de données à caractère personnel effectués par des personnes physiques pour l'exercice d'activités exclusivement personnelles ou domestiques, au sens de l'article 3, paragraphe 2, second tiret (traitements effectués par une personne physique pour l'exercice d'activités exclusivement personnelles ou domestiques), de ladite directive. La communauté religieuse doit être regardée comme étant responsable, conjointement avec ses membres prédicateurs, de ces traitements.

• finalités du traitement
• limitation des finalités

Cass1 juin 2023Cass, com., 1 juin 2023, n° 21-18.558, B., point 10(source)

Administration fiscale – Traitement aux fins d'obtenir le droit de procéder à une mesure d'enquête – Fraude fiscale – Champ d'application matériel du RGPD

Le traitement de données à caractère personnel mis en œuvre par l'administration fiscale aux fins d'obtenir l'autorisation de procéder à des opérations de visite et saisies sur le fondement de l'article L. 16‑B du livre des procédures fiscales, qui a pour finalité d’obtenir le droit de procéder à une mesure d'enquête pouvant donner lieu à la constatation d'une infraction ou d'un manquement à la législation fiscale, dans le but de percevoir l'impôt et de lutter contre la fraude fiscale, entre dans le champ d'application matériel du RGPD.

CE27 novembre 2018CE, Section de l'intérieur, 27 novembre 2018, Avis, n° 396212, Projet de décret relatif à la validation du visa long séjour valant titre de séjour(source)

Application de gestion des dossiers des ressortissants étrangers en France – Adoption d'un téléservice visant à recenser les données relatives au droit au séjour de l'étranger titulaire d'un visa de long séjour valant titre de séjour – RGPD

Un projet de décret relatif à la validation du visa de long séjour valant titre de séjour complète notamment les objectifs du traitement de données à caractère personnel dénommé « Application de gestion des dossiers des ressortissants étrangers en France » (AGDREF 2), pour y ajouter la possibilité, pour le titulaire d'un visa de long séjour valant titre de séjour, de procéder, par voie électronique au moyen d’un téléservice adossé au traitement de données AGDREF 2, aux formalités prévues à l’article R. 311‑3 du code de l’entrée et du séjour des étrangers et du droit d’asile (CESEDA) qui prévoyait que certains titulaires de visa puissent déclarer la date de leur entrée en France et leur domicile au moyen d’un téléservice afin de séjourner au-delà d’une période de trois mois (dispositions abrogées en 2021). Le Conseil d’État (section de l’intérieur) estime que cette nouvelle fonctionnalité du traitement de données, dont l’objet est de recenser les données relatives au droit au séjour de l’étranger titulaire d’un visa de long séjour valant titre de séjour, n’a pas pour finalité première la prévention et la détection d’infractions pénales, la conduite d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et ne relève pas de la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 mais du règlement 2016/679 du Parlement européen et du Conseil (règlement général sur la protection des données).

• base légale
• finalités du traitement

CNIL17 février 2022CNIL, P, 17 février 2022, Avis sur projet de décret, CESE, n° 2022-023, publié, point 6 Voir au ssi: CJUE, 9 juillet 2020, Land Hessen, C-272/19(source)

Traitements mis en œuvre par le CESE dans le cadre des saisines par voie de pétition

Si certains traitements mettant en œuvre des dispositions constitutionnelles françaises et n'intéressant ni la défense nationale, ni la sûreté de l'État relèvent du seul titre I er de la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (v. CNIL, SP, 14 janvier 2021, Avis sur projet de décret, Répertoire électoral unique, n° 2021‑008, publié), le RGPD est applicable aux traitements mis en œuvre par le Conseil économique, social et environnemental dans le cadre des saisines par voie de pétition. En effet, la Cour de justice de l’Union européenne a estimé que le RGPD était applicable aux traitements de données à caractère personnel effectués par la Commission des pétitions du parlement d’un État fédéré d’un État membre dans le cadre de ses activités.

CJUE20 octobre 2022CJUE, 20 octobre 2022, Koalitsia « Demokratichna Bulgaria – Obedinenie », C-306/21, points 39-42(source)

Activités ne relevant pas du droit de l'Union – 1) Portée – Activités qui vise à préserver la sécurité nationale ou activité pouvant être rangée dans la même catégorie – Exclusion du champ d'application du RGPD – 2) Application – Cas de traitement de données à caractère personnel dans le contexte de l'organisation d'élections dans un État membre – Application du RGPD

L'article 2, paragraphe 2, sous a) du RGPD, lu à la lumière du considérant 16 de ce règlement, a pour seul objet d'exclure du champ d'application dudit règlement les traitements de données à caractère personnel effectués par les autorités étatiques dans le cadre d'une activité qui vise à préserver la sécurité nationale ou d'une activité pouvant être rangée dans la même catégorie, de telle sorte que le seul fait qu'une activité soit propre à l'État ou à une autorité publique ne suffit pas pour que cette exception soit automatiquement applicable à une telle activité.

Les activités ayant pour but de préserver la sécurité nationale au sens de l'article 2, paragraphe 2, sous a), du RGPD couvrent, en particulier, celles ayant pour objet de protéger les fonctions essentielles de l'État et les intérêts fondamentaux de la société.

Or, les activités relatives à l'organisation d'élections dans un État membre ne poursuivent pas un tel objectif et ne sauraient, en conséquence, être rangées dans la catégorie des activités ayant pour but la préservation de la sécurité nationale, visées à l'article 2, paragraphe 2, sous a), du RGPD. Eu égard à ces considérations, l'article 2, paragraphe 2, sous a), du RGPD doit être interprété en ce sens que n'est pas exclu du champ d'application de ce règlement le traitement de données à caractère personnel dans le contexte de l'organisation d'élections dans un État membre.

• sûreté de l’État
• défense nationale

CJUE22 juin 2021CJUE, grande chambre, 22 juin 2021, Latvijas Republikas Saeima, C-439/19, po ints 64-68(source)

Activités visant à préserver la sécurité nationale ou relevant de cette catégorie – Notion – Activité visant à améliorer la sécurité routière – Exclusion

L'exception relative à la non‑application du RGPD à un traitement effectué dans le cadre d'une activité ne relevant pas du droit de l'Union est à considérer comme ayant pour seul objet d'exclure du champ d'application de ce règlement les traitements de données à caractère personnel effectués par les autorités étatiques dans le cadre d'une activité visant à préserver la sécurité nationale ou d'une activité pouvant être rangée dans la même catégorie. Ces activités couvrent, en particulier, celles visant à protéger les fonctions essentielles de l'État et les intérêts fondamentaux de la société.

Les activités relatives à la sécurité routière ne poursuivent pas cet objectif et ne sauraient donc être rangées dans la catégorie des activités ayant pour but la préservation de la sécurité nationale.

CJUE27 septembre 2017CJUE, 27 septembre 2017, Puškár, C-73/16, points 36-38 Voir aussi: CJUE, 6 novembre 2003, Lindqvist, C-101/01, points 43-44; CJUE, grande chambre, 16 décembre 2008, Satakunnan Markkinapörssi et Satamedia, C-73/07, point 41(source)

Directive 95/46 – Dérogations – Traitement de données ayant pour objet la sécurité publique, la défense, la sûreté de l'État et les activités de l'État relatives à des domaines du droit pénal – Interprétation stricte

En tant que celle rend inapplicable le régime de protection des données à caractère personnel prévu par Directive 95/46 et s'écarte ainsi de l'objectif sous-jacent à celle‑ci, consistant à assurer la protection des libertés et des droits fondamentaux des personnes physiques à l’égard du traitement des données à caractère personnel, l'exception prévue à l'article 3, paragraphe 2, premier tiret (traitements mis en œuvre pour l'exercice d'activités qui ne relèvent pas du champ d'application du droit communautaire et, en tout état de cause, traitements ayant pour objet la sécurité publique, la défense, la sûreté de l'État – y compris le bien‑être économique de l'État lorsque ces traitements sont liés à des questions de sûreté de l'État – et les activités de l'État relatives à des domaines du droit pénal) de cette directive doit faire l'objet d'une Interprétation stricte.

À cet égard, il convient de rappeler que les activités mentionnées à titre d'exemples par ladite disposition sont, dans tous les cas, des activités propres aux États ou aux autorités étatiques, étrangères aux domaines d'activité des particuliers.

Par ailleurs, les activités mentionnées en tant qu'exemples à l'article 3, paragraphe 2, premier tiret, de la directive 95/46 sont destinées à définir la portée de l'exception qui y est prévue, de telle sorte que cette exception ne s'applique qu'aux activités qui y sont ainsi expressément mentionnées ou qui peuvent être rangées dans la même catégorie.

• finalités du traitement
• données fiscales personnes morales

CJUE10 décembre 2021CJUE, 10 décembre 2021, J & S Service, C-620/19, points 47-52 Exception domestique(source)

Réglementation nationale renvoyant aux dispositions du droit de l'Union – Droit national différant substantiellement de la finalité et du contexte du droit de l'Union – Données fiscales concernant une personne morale – Incompétence de la Cour

Cas d'une législation nationale renvoyant au RGPD pour ce qui est de la protection des données des personnes morales. La Cour estime qu'une interprétation de dispositions du RGPD ne saurait être effectuée de la même manière selon qu'il s'agit de personnes physiques, seules entrant dans le champ du RGPD, ou de personnes morales, le droit à la protection des données de ces dernières n'ayant pas été défini par le RGPD.

Le droit national ne se borne donc pas à rendre applicables les dispositions du RGPD en dehors du champ d'application de ce règlement, mais en modifie l'objet et la portée. Par suite, ces dispositions ne peuvent être regardées comme ayant été rendues applicables en dehors du champ du droit de l'Union et la Cour est incompétente.

• collecte indirecte
• finalités du traitement
• responsabilité du responsable

CJUE10 juillet 2018CJUE, grande chambre, 10 juillet 2018, Jehovan Todistajat, C-25/17(source)

Collecte de données à caractère personnel effectuée par des membres d'une communauté religieuse dans le cadre d'une activité de prédication de porte-à-porte et traitements ultérieurs de ces données – Traitements de données à caractère personnel effectués par des personnes physiques pour l'exercice d'activités exclusivement personnelles ou domestiques – Exclusion

La collecte de données à caractère personnel effectuée par des membres d'une communauté religieuse dans le cadre d'une activité de prédication de porte-à-porte et les traitements ultérieurs de ces données relèvent de la directive 95/46/CE. En particulier, il ne s'agit ni de traitements de données à caractère personnel mis en œuvre pour l'exercice d'activités visées à l'article 3, paragraphe 2, premier tiret (traitements ne relevant pas du champ du droit de l'UE ou ayant pour objet la sécurité publique, la défense, la sûreté de l'État et les activités de l'État relatives au droit pénal), de la directive, ni de traitements de données à caractère personnel effectués par des personnes physiques pour l'exercice d'activités exclusivement personnelles ou domestiques, au sens de l'article 3, paragraphe 2, second tiret (traitements effectués par une personne physique pour l'exercice d'activités exclusivement personnelles ou domestiques), de ladite directive. La communauté religieuse doit être regardée comme étant responsable, conjointement avec ses membres prédicateurs, de ces traitements.

• videosurveillance
• videoprotection

CJUE11 décembre 2014CJUE, 11 décembre 2014, Ryneš, C-212/13(source)

Caméra de surveillance à l'intérieur d'une maison familiale – Surveillance partielle de l'espace public – Exception domestique – Absence

L'exploitation d'un système de caméra, donnant lieu à un enregistrement vidéo des personnes stocké dans un disque dur, installé par une personne physique dans sa maison familiale afin de protéger les biens, la santé et la vie des propriétaires de la maison ne constitue pas un traitement de données effectué pour l'exercice d'activités exclusivement personnelles ou domestiques, dès lors que ce système surveille également, même partiellement, l'espace public.

CJUE13 mai 2014CJUE, 13 mai 2014, Google Spain, C-131/12(source)

Succursale ou filiale de l'exploitant d'un moteur de recherche installée dans un État membre destinée à assurer la promotion et la vente d'espaces publicitaires – Activités visant les habitants de cet État membre – Traitement de données effectué dans ce cadre

L'article 4, paragraphe 1, sous a), de la directive 95/46 doit être interprété en ce sens qu'un traitement de données à caractère personnel est effectué dans le cadre des activités d'un établissement du responsable de ce traitement sur le territoire d'un État membre, au sens de cette disposition, lorsque l'exploitant d'un moteur de recherche crée dans un État membre une succursale ou une filiale destinée à assurer la promotion et la vente des espaces publicitaires proposés par ce moteur et dont l'activité vise les habitants de cet État membre.

• reconnaissance faciale
• biométrie
• profil comportemental
• suivi du comportement des personnes en ligne

CNIL17 octobre 2022CNIL, P, 26 novembre 2021, Mise en demeure, Société X, n° MED 2021-134, publié, points 27, 24, 30-31, 26 Voir aussi: CNIL, FR, 17 octobre 2022, Sanction, Société X, n° SAN-2022-019, publié(source)

Collecte systématique et généralisée d'images sur des sites web – Base à des fins d'identification biométrique par reconnaissance faciale – Suivi du comportement des personnes en ligne

Cas d'un responsable du traitement ne disposant d'aucun établissement sur le territoire d'un État membre de l'Union européenne, qui procède à la collecte systématique et généralisée, à partir de millions de sites web à travers le monde, d'images contenant des visages, afin de constituer une base de données et de permettre la recherche des photographies dans cette base à partir d'une autre image, et ainsi procéder à l’identification biométrique des personnes concernées par reconnaissance faciale.

Le résultat de recherche qui est associé à une photographie doit être qualifié, au moins en partie, de profil comportemental de la personne concernée dans la mesure où il contient de nombreuses informations relatives à cette personne et en particulier à son comportement. La mise en relation des photographies et du contexte dans lequel elles sont présentées sur un site web permet en effet de recueillir de nombreuses informations sur une personne, ses habitudes ou ses préférences. La recherche peut par ailleurs être renouvelée dans le temps, ce qui permet de constater une évolution des informations relatives à une personne ; la base de données étant mise à jour régulièrement, des recherches successives permettent de suivre l'évolution d'un profil dans le temps.

Ce traitement doit être considéré comme une activité de traitement liée au suivi du comportement des personnes en ligne et il est donc soumis au RGPD.

Par ailleurs, dans ce contexte, la mise en ligne de photographies peut être considérée en soi comme un comportement de la personne concernée, reflétant des choix sur le niveau d'exposition qu'elle souhaite donner à des éléments de sa vie privée ou professionnelle.

• collecte indirecte
• finalités du traitement
• données de connexion

CNIL26 juillet 2021CNIL, FR, 26 juillet 2021, Sanction, Société X, n° SAN-2021-012, publié, point 55(source)

Collecte et traitement de données de personnes physiques en France impliquées dans le débat sur le renouvellement de l'autorisation d'utilisation d'une substance phytopharmaceutique dans l'Union européenne – Traitement de données procédant du suivi de comportement au sens de l'article 3-2)-b) du RGPD

La Collecte et le traitement des données à caractère personnel de personnes physiques en France impliquées dans le débat sur le renouvellement de l'autorisation d'utilisation d'une substance phytopharmaceutique dans l'Union européenne procède du suivi du comportement des personnes concernées qui se trouve sur le territoire de l'Union au sens des dispositions de l'article 3-2)-b) du RGPD et relève en conséquence du champ d'application territorial du RGPD et des dispositions de la loi n°78‑17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, indépendamment du lieu d'établissement du responsable de traitement.

• base légale
• finalités du traitement
• limitation des finalités

CJUE4 février 2022CJUE, 24 février 2022, Valsts ieņēmumu dienests, C-175/20, points 44-45(source)

Perception de l'impôt et lutte contre la fraude fiscale – Collecte de données personnelles par l'administration fiscale d'un opérateur économique – Champ d'application de la directive « Police - Justice » – Absence

Lorsqu'elle demande à un opérateur économique de lui communiquer des données à caractère personnel relatives à certains contribuables aux fins de la perception de l'impôt et de la lutte contre la fraude fiscale, il n'apparaît pas que l'administration fiscale d'un État membre puisse être considérée comme une « autorité compétente », au sens de l'article 3, point 7, de la directive 2016/680, ni, partant, que de telles demandes d'informations puissent relever de l'exception prévue à l'article 2, paragraphe 2, sous d), du RGPD. En outre, même s'il n'est pas exclu que les données à caractère personnel en cause au principal puissent être utilisées dans le cadre de poursuites pénales qui pourraient être exercées, en cas d'infraction dans le domaine fiscal, contre certaines des personnes concernées, il n'apparaît pas que ces données soient collectées dans l'objectif spécifique d'exercer de telles poursuites pénales ou dans le cadre des activités de l'État relatives à des domaines du droit pénal.