CJUE2 décembre 2025CJUE, 2 décembre 2025, Russmedia Digital et Inform Media Press, aff. C‑492/23(source)
Responsabilité de l'exploitant d'une place de marché en ligne pour la publication des données à caractère personnel contenues dans des annonces placées par des utilisateurs annonceurs – 1) Responsabilité conjointe avec ces utilisateurs annonceurs – Existence - 2) Obligations du responsable du traitement avant la publication des annonces – a) Identification préalable des annonces contenant des données sensibles – b) Vérification préalable de l'identité de l'utilisateur annonceur – c) Refus de la publication d'annonces illicites – 3) Obligations du responsable de traitement en termes de mesures de sécurité de nature à empêcher la copie des annonces et leur publication sur d'autres sites Internet – 4) Possibilité pour l'exploitant de se prévaloir, à l'égard d'une violation de ces obligations, de l'exonération de responsabilité des prestataires intermédiaires - Absence
1) L'article 5, paragraphe 2, ainsi que les articles 24 à 26 du [RGPD] doivent être interprétés en ce sens que l'exploitant d'une place de marché en ligne est co‑responsable du traitement, au sens de l’article 4, point 7, de ce règlement, des données à caractère personnel contenues dans les annonces publiées sur sa place de marché. 2) Il est à ce titre tenu, avant la publication des annonces et au moyen de mesures techniques et organisationnelles appropriées : a) d’identification préalable des annonces qui contiennent des données sensibles, au sens de l’article 9, paragraphe 1, du règlement ; b) de vérifier si l’utilisateur annonceur s’apprêtant à placer une telle annonce est la personne dont les données sensibles figurent dans cette annonce ; c) si tel n’est pas le cas, de refuser la publication de ladite annonce, à moins que cet utilisateur annonceur ne puisse démontrer que la personne concernée a donné son consentement explicite à ce que les données en question soient publiées sur cette place de marché, au sens de l’article 9, paragraphe 2, sous‑a), ou que l’une des autres exceptions prévues à l’article 9, paragraphe 2, sous‑b) à j), soit remplie. 3) L'article 32 du [RGPD] doit être interprété en ce sens que l'exploitant d'une place de marché en ligne, en tant que responsable du traitement des données à caractère personnel contenues dans les annonces publiées sur sa place de marché, est tenu de mettre en œuvre des mesures de sécurité techniques et organisationnelles appropriées afin d’empêcher que des annonces y étant publiées et contenant des données sensibles soient copiées et illicitement publiées sur d’autres sites Internet. 4) L’article 1, paragraphe 5, sous‑b), de la directive 2000/31/CE sur le commerce électronique, et l'article 2, paragraphe 4, du RGPD doivent être interprétés en ce sens que l'exploitant d'une place de marché en ligne, en tant que responsable du traitement, au sens de l’article 4, point 7, du RGPD, des données à caractère personnel contenues dans les annonces publiées sur sa place de marché, ne peut pas se prévaloir, à l’égard d’une violation des obligations découlant de l’article 5, paragraphe 2, ainsi que des articles 24 à 26 et 32 de ce règlement, des articles 12 à 15 de cette directive, relatifs à la responsabilité des prestataires intermédiaires.
CJUE5 juin 2023CJUE, grande chambre, 5 juin 2023, Commission c/ Pologne, C-204/21, points 344-345 er Voir aussi: CJUE, grande chambre, 1 août 2022, Vyriausioji tarnybines etikos komisija, C-184/20(source)
Article 9 RGPD – Données dévoilant indirectement des informations sensibles – Application
L'article 9 RGPD s'applique à des traitements portant non seulement sur les données intrinsèquement sensibles auxquelles il est traité, mais également sur des données dévoilant indirectement, au terme d'une opération intellectuelle de déduction ou de recoupement, des informations de cette nature. Une interprétation large de la notion de « données sensibles » est confortée par l'objectif du RGPD qui est de garantir un niveau élevé de protection des libertés et des droits fondamentaux des personnes physiques, notamment de leur vie privée, à l'égard du traitement des données à caractère personnel les concernant. Une telle interprétation est également conforme à la finalité de l'article 9, paragraphe 1, du RGPD, consistant à assurer une protection accrue à l'encontre de traitements qui, en raison de la sensibilité particulière des données qui en sont l'objet, sont susceptibles de constituer, comme il ressort du considérant 51 de ce règlement, une ingérence particulièrement grave dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel, garantis aux articles 7 et 8 de la Charte.
CJUEDate non renseignéeCJUE, grande chambre, 1er août 2022, Vyriausioji tarnybinės etikos komisija, C-184/20, points 127-128(source)
Données nominatives relatives au conjoint, concubin ou partenaire publiées en ligne dans la déclaration d'intérêts privés susceptibles de divulguer indirectement l'orientation sexuelle – Inclusion
Un traitement de données à caractère personnel susceptible de dévoiler, de manière indirecte, des informations sensibles concernant une personne physique peut relever de la protection renforcée du régime des catégories particulières de données au sens de l'article 9, paragraphe 1, du RGPD. Tel est le cas de la publication, sur le site internet de l'autorité publique chargée de collecter et de contrôler la teneur des déclarations d'intérêts privés, de données à caractère personnel susceptibles de divulguer indirectement l'orientation sexuelle d'une personne physique.
CNIL31 mars 2022CNIL, P, 31 mars 2022, A vis sur projet d'arrêté, VidéoCRA, n° 2022-045, publié, point 12 Voir aussi: CNIL, SP, 25 juin 2020, Avis sur projet de décret, PASP, n° 2020-064, publié(source)
Enregistrement de vidéosurveillance susceptible de contenir des données sensibles ou des données d’infraction – Absence de qualification automatique
Un enregistrement vidéo, quoiqu’il puisse contenir des images révélant des données sensibles ou des données d’infraction, n’est pas considéré en soi comme relevant de ces catégories particulières de données à caractère personnel. En revanche, si les images font l’objet d’un traitement spécifique sur des données sensibles ou d’infraction, l’article 6 de la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ou l’article 10 du RGPD seraient susceptibles de s’appliquer.
CNIL17 février 2022CNIL, P, 17 février 2022, A vis sur projet de décret, n° 2022-021, non publié
Conditions applicables aux traitements de données sensibles relevant du seul titre I – Application des exceptions prévues à l'article 9 du RGPD aux traitements relevant du RGPD mais aussi aux traitements relevant du seul titre I de la loi Informatique et Libertés
En vertu de l’article 6 de la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dite loi Informatique et Libertés (ci‑après LIL), le traitement des données sensibles n’est possible, sauf disposition législative spéciale l’autorisant, que s’il s’inscrit dans le cadre de l’une des exceptions prévues à l’article 9 du RGPD ou, s’agissant de traitements relevant du champ d’application des articles 31 et 32 de la loi Informatique et Libertés (en particulier le champ d’application de la directive « Police‑Justice » et les traitements intéressant la sûreté et la défense nationale), s’il est autorisé selon les modalités prévues à ces articles, à savoir un décret en Conseil d’État après avis de la CNIL.
Il y a lieu d’interpréter le titre I de la LIL de façon à ce que ses dispositions ne portent pas une atteinte disproportionnée à des droits ou objectifs de valeur constitutionnelle. Dès lors, il est nécessaire de lire la loi de sorte que les traitements ne relevant que du titre I puissent bénéficier de certaines exceptions à l’interdiction de traiter des données sensibles, notamment pour les données manifestement rendues publiques, pour les traitements d’intérêt public, ou en cas de consentement de la personne. Le renvoi aux exceptions de l’article 9 du RGPD opéré par l’article 6 de la LIL doit être entendu comme ayant vocation à s’appliquer non seulement aux traitements relevant du RGPD mais aussi aux traitements relevant des autres titres, et notamment ceux relevant du seul titre I.
Cette question ne se pose que pour le titre I dès lors que, pour les traitements du titre III (directive « Police‑Justice »), la loi a prévu des dispositions spéciales, transposant la directive sur ce point et que, pour ceux du titre IV, tous les traitements relèveront du champ des articles 31 et 32 et seront autorisés par décret en Conseil d’État.
CE10 mars 2004CE, Section, 10 mars 2004, M.C, n° 252691, T., point 3(source)
Les données relatives à l'abstention électorale ne sont pas de nature à faire apparaître les opinions politiques.
Les informations individuelles détenues par l'Institut national de la statistique et des études économiques (INSEE), collectées à partir des listes d'émargement de scrutins électoraux et relatives à la participation électorale ou aux abstentions constatées lors de ces scrutins, ne peuvent être regardées comme de nature à faire apparaître, même indirectement, les opinions politiques ou philosophiques des individus concernés, au sens et pour l'application de l'article 31 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. Par suite, la création d'un traitement automatisé de ces informations ne figure pas parmi les mesures qui, en vertu de cet article, ne peuvent être prises qu'avec le consentement exprès des intéressés ou par décret en Conseil d'État pris sur proposition ou avis conforme de la Commission nationale de l'informatique et des libertés.
CE5 juin 1987CE, S'ection, 5 juin 1987, M.X, n° 59674, Rec., point 3er Voir aussi: CJUE, grande chambre, 1 août 2022, Vyriausioji tarnybinės etikos komisija, C-184/20(source)
Enregistrement et traitement automatisé de données nominatives sensibles [article 31 de la loi n° 78 - 17 du 6 janvier 1978] – Fichier informatique contenant des données nominatives faisant apparaître les origines raciales, les opinions politiques, philosophiques ou religieuses ou les appartenances syndicales des personnes – Existence
Le fichier créé par l’arrêté du 28 février 1984 du secrétaire d’État auprès du ministère des affaires sociales et de la solidarité nationale chargé des rapatriés concerne exclusivement des personnes visées à l’article 2 de l’ordonnance du 21 juillet 1962 qui définit les conditions dans lesquelles les « personnes de statut civil de droit local originaires d'Algérie » peuvent se faire reconnaître la nationalité française. Ce fichier fait ainsi apparaître indirectement les opinions religieuses des personnes intéressées.
CE28 mars 2014CE, 10ème/9ème SSR, 28 mars 2014, Syndicat National des Enseignements de Second Degré (SNES), n° 361042, T., point 15(source)
Donnée faisant état d'un handicap sans donner d'information sur sa nature – Exclusion
La mention du taux d'incapacité permanente ou du taux d'invalidité du « conjoint ou partenaire » et des personnes à la charge de l'agent n'est pas une donnée « relative à la santé » au sens des dispositions précitées de l'article 8 de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dès lors qu'il n'est même allégué qu'elle donnerait une information sur la nature du handicap.
CE19 juillet 2010CE, 10e/9e SSR, 19 juillet 2010, M. A et Mme B, n° 317182, Rec., point 18(source)
Catégorie de classe d'intégration scolaire (CLIS) – Inclusion – Structure de soins accueillant des élèves – Exclusion
La mention exacte, dans la « Base élèves 1ᵉʳ degré », de la catégorie de classe d’intégration scolaire (CLIS) dont relève l'élève, identifiée par l'un des quatre chiffres codant le type de handicap ou de déficience de l'élève, ce qui permet d'identifier la nature de l'affection ou du handicap dont il souffre, est une donnée relative à la santé au sens de l'article 8 de la loi n°78‑17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. Tel n'est pas le cas, en revanche, de la structure de soins qui l'accueille ; celle‑ci ne permettant qu'en très rares cas, où sa dénomination est explicite, d'identifier directement la pathologie de l'élève.
CE19 juillet 2010CE, 10ème/9ème SSR, 19 juillet 2010, M. F et Mme C, n° 334014, T., point 10(source)
Code d’identification d’un établissement scolaire accueillant des enfants handicapés – Absence
Les codes d’identification propres aux établissements dans lesquels sont scolarisés les enfants, y compris dans les cas où l’enfant est scolarisé dans une structure hospitalière ou dans un établissement de santé, permettent de savoir que l’élève a été souffrant mais ne fournissent par eux‑mêmes aucune information sur la nature, la durée ou la gravité de l’affection de l’élève, information qui ne peut être obtenue qu’en accédant à un autre fichier mettant en correspondance les codes et la dénomination de l’établissement. Ce n’est que dans de très rares cas que la dénomination de l’établissement est explicite quant à la nature des pathologies qu’il soigne. Par conséquent, ces données ne sont pas relatives à la santé au sens de l’article 8 de la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dite loi Informatique et Libertés.
CNIL11 mai 2023CNIL, FR, 11 mai 2023, Sanction, Société X, n° SAN-2023-006, publié, point 56 Données contenant la santé(source)
Traitement impliquant nécessairement des données de santé – Information explicite de l'utilisateur – Obligation
Lorsque le service demandé par l'utilisateur implique nécessairement le traitement de données de santé, il est cependant indispensable que l'utilisateur ait pleinement conscience de ce que ses données de santé seront traitées et parfois conservées par le responsable de traitement, ce qui implique en principe une information explicite sur ce point lors du recueil du consentement.
CE22 mars 2024CE, 10 chambre, 22 mars 2024, Centre hospitalier Le Vinatie r, n°471369, Inédit, point 6 Données concernant la vie sexuelle(source)
Droit d'accès aux documents administratifs - Communication à un tiers d'un registre de contention et d'isolement avec occultation des éléments permettant d'identifier les patients et les soignants, mais sans occultation des identifiants "a nonymisés" des patients – Atteinte à la protection de la vie privée et du secret médical – Illicéité
Demande de communication d'un registre de contentieux et d'isolement au titre du droit d'accès aux documents administratifs. Dans le cas où l'identité des patients a fait l'objet d'une pseudonymisation, laquelle ne permet l'identification des personnes en cause qu'après recoupement d'informations, il appartient au juge administratif d'apprécier si, eu égard à la sensibilité des informations en cause et aux efforts nécessaires pour identifier les personnes concernées, leur communication est susceptible de porter atteinte à la protection de la vie privée et au secret médical. En l'espèce, compte tenu de la nature des informations en cause, qui touchent à la santé mentale des patients, et du nombre restreint de personnes pouvant faire l'objet d'une mesure de contention et d'isolement, facilitant ainsi leur identification, alors, au demeurant que les autorités énumérées à la dernière phrase du deuxième alinéa de l'article L. 3222‑5‑1 du code de la santé publique peuvent accéder à l'ensemble des informations figurant sur les registres et contrôler l'activité des établissements concernés, l'identifiant dit "anonymisé" figurant dans ces registres, qu'il s'agisse, selon la pratique du centre hospitalier, de "l'identifiant permanent du patient" (IPP) ou d'un identifiant spécialement défini, doit être regardé comme une information dont la communication est susceptible de porter atteinte à la protection de la vie privée et au secret médical. Cet identifiant n'est donc communicable qu'au seul intéressé en vertu des dispositions de l'article L. 311‑6 du code des relations entre le public et l'administration.
CJUE11 janvier 2024CJUE, 11 janvier 2024, Schrems (Communication de données au grand public), C‑446/21(source)
1) Réseaux sociaux – Conditions générales d'utilisation relatives aux contrats conclus entre une plate‑forme numérique et un utilisateur – Publicité personnalisée – Principe de minimisation des données – 2) Traitement portant sur des catégories particulières de données à caractère personnel – Données concernant l'orientation sexuelle – Données rendues publiques par la personne concernée
1) L'article 5, paragraphe 1, sous c), du RGPD (principe de minimisation) doit être interprété en ce sens que le principe de minimisation des données, prévu à cette disposition, s'oppose à ce que l'ensemble des données à caractère personnel qui ont été obtenues par un responsable du traitement, tel que l'exploitant d'une plateforme de réseau social en ligne, auprès de la personne concernée ou de tiers et qui ont été collectées tant sur cette plateforme qu'en dehors de celle‑ci, soient agrégées, analysées et traitées à des fins de publicité ciblée, sans limitation dans le temps et sans distinction en fonction de la nature de ces données.
2) L'article 9, paragraphe 2, sous e), du RGPD doit être interprété en ce sens que la circonstance qu'une personne se soit exprimée sur son orientation sexuelle lors d'une table ronde, dont la participation est ouverte au public, n'autorise pas l'exploitant d'une plateforme de réseau social en ligne à traiter d'autres données relatives à l'orientation sexuelle de cette personne, obtenues, le cas échéant, en dehors de cette plateforme à partir d'applications et de sites Internet de tiers partenaires, en vue de l'agrégation et l'analyse de celles‑ci, afin de lui proposer de la publicité personnalisée.
CE17 mai 2006CE, 5ème/4ème SSR, 17 mai 2006, Association Comité télévision et libertés et autres, n° 263081, Inédit., point 9(source)
Données relatives au choix d’un abonné d’un service de télévision de recevoir certains programmes – Exclusion
Les données relatives au choix d'un abonné d'un service de télévision pour recevoir certains programmes définis comme « œuvres cinématographiques interdites aux mineurs de moins de dix‑huit ans ainsi que les programmes pornographiques ou de très grande violence, réservés à un public adulte averti et susceptibles de nuire à l'épanouissement physique, mental ou moral des mineurs de moins de dix‑huit ans » ne peuvent être regardées comme étant relatives à la vie sexuelle des personnes concernées ou comme étant de nature à faire apparaître, même indirectement, leurs mœurs au sens des dispositions de la loi n°78‑17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
