1) Afin de déterminer si l'accès aux données à caractère personnel relatives aux infractions routières, telles que les points de pénalité imposés aux conducteurs de véhicules qui ont commis une infraction routière et auxquels une sanction, pécuniaire ou autre, a été infligée, constitue un traitement de données à caractère personnel relatives à des « infractions », qui jouissent d'une protection accrue, la Cour juge que cette notion renvoie exclusivement aux infractions pénales. Toutefois, le fait que, dans le système juridique d'un État membre, les infractions routières soient qualifiées d'administratives n'est pas déterminant pour apprécier si ces infractions relèvent de la notion d'« infraction pénale » dans la mesure où il s'agit d'une notion autonome du droit de l'Union qui requiert, dans toute l'Union, une interprétation autonome et uniforme.

2) Ainsi, après avoir rappelé les trois critères pertinents pour apprécier le caractère pénal d'une infraction, à savoir la qualification juridique de l'infraction en droit interne, la nature de l'infraction et le degré de sévérité de la sanction encourue, la Cour juge que les infractions routières en cause relèvent de la notion d'« infraction » au sens du RGPD. S'agissant des deux premiers critères, la Cour constate que, même si les infractions ne sont pas qualifiées de « pénales » en droit national, un tel caractère peut découler de la nature de l'infraction, et notamment de la finalité répressive poursuivie par la sanction que l'infraction est susceptible d'entraîner. Or, en l'espèce, l'attribution de points de pénalité pour des infractions routières, tout comme les autres sanctions que leur commission peut entraîner, poursuivent, entre autres, une telle finalité répressive. Quant au troisième critère, la Cour observe que seules des infractions routières d'une certaine gravité comportent l'imposition de points de pénalité, et que, partant, celles-ci sont susceptibles d'entraîner des sanctions d'une certaine sévérité. De plus, l'imposition de tels points se rajoute généralement à la sanction infligée, et la cumulation de ces points entraîne des conséquences juridiques pouvant même aller jusqu'à l'interdiction de conduire.

Les données collectées relèvent du champ de l'article 25 de la loi n°78‑17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés dans sa rédaction applicable (dispositions abrogées) et sont par conséquent soumises au régime d'autorisation prévu par cet article mais également au régime de déclaration de l'article 22 (dispositions abrogées), les données collectées dans le but d'établir l'existence ou de prévenir la commission d'infractions.

Par conséquent, n'en relèvent pas les traitements créés par le décret du 28 décembre 2016, qui sont, ainsi que le prévoit le 2° de l'article R. 332‑15 du code du sport créé par ce dernier, relatifs à des manquements « aux dispositions des conditions générales de vente ou du règlement intérieur concernant la sécurité des manifestations sportives », qui exploitent les données collectées dans le seul but d'assurer la sécurité des manifestations sportives en permettant aux organisateurs de telles manifestations d'empêcher certaines personnes d'accéder à leurs enceintes sportives, en raison de comportements dangereux correspondant à des manquements à des obligations de nature contractuelle, même si certains faits ou comportements susceptibles d'être enregistrés dans ces traitements sont pénalement réprimés.

Limitation des autorités susceptibles de mettre en œuvre des traitements de données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté par l'article 9 de la loi n° 78‑17 du 6 janvier 1978.

1) Doivent être regardées comme entrant dans le champ d'application de cet article, non seulement les données relatives aux infractions, condamnations ou mesures de sûreté elles‑mêmes, mais également les données qui, en raison des finalités du traitement automatisé, ne sont collectées que dans le but d’d'établir l'existence ou de prévenir la commission d'infractions, y compris par des tiers.

2) En revanche, ces dispositions ne font pas obstacle à la mise en œuvre de traitements de données à caractère personnel relatives à des infractions par les personnes qui en ont été victimes ou sont susceptibles de l'être.

l'existence