CJUE7 mars 2024CJUE, 7 mars 2024, Endemol Shine Finland, C-740/22, point 59(source)
Communication orale de données à caractère personnel – Traitement de données à caractère personnel – Inclusion si ces données sont contenues dans un fichier.
L'article 2, paragraphe 1, et l'article 4, point 2, du règlement général sur la protection des données doivent être interprétés en ce sens que la communication orale d'informations relatives à d'éventuelles condamnations pénales en cours ou déjà purgées dont une personne physique a fait l'objet constitue un traitement de données à caractère personnel, au sens de l'article 4, point 2, de ce règlement, qui relève du champ d'application matériel de ce règlement dès lors que ces informations sont contenues ou appelées à figurer dans un fichier.
CJUE14 février 2019CJUE, 14 février 2019, Buivids, C-345/17(source)
Enregistrement vidéo publié sur internet et que les utilisateurs peuvent envoyer, regarder et partager – Inclusion
L'article 3 de la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 doit être interprété en ce sens que relèvent du champ d'application de cette directive l’enregistrement vidéo de membres de la police dans un commissariat, lors d’une prise de déposition, et la publication de la vidéo ainsi enregistrée sur un site internet de vidéos sur lequel les utilisateurs peuvent envoyer, regarder et partager celles‑ci.
CJUE9 mars 2017CJUE, 9 mars 2017, Manni, C‑398/15, point 35(source)
Registre des sociétés – Inclusion
En transcrivant et en conservant les indications relatives à l'identité des personnes qui, en tant que membres d'organe légalement prévu ou membres de tel organe, ont le pouvoir d'engager la société concernée à l’égard des tiers et de la représenter en justice ou participent à l'administration, à la surveillance ou au contrôle de cette société dans le registre et en communiquant celles‑ci, le cas échéant, sur demande à des tiers, l'autorité chargée de la tenue de ce registre effectue un « traitement de données à caractère personnel », pour lequel elle est le « responsable », au sens des définitions fournies à l'article 2, sous b) et d), de la directive 95/46.
CJUE16 décembre 2008CJUE, grande chambre, 16 décembre 2008, Satakunnan Markkinapörssi et Satamedia, C-73/07, point 37(source)
Collecte, publication, cession ou traitement dans un service de SMS des documents publics d'une administration fiscale contenant des données relatives aux revenus du travail et du capital et au patrimoine de personnes physiques – Inclusion
Constitue un traitement de données à caractère personnel relevant du champ de la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995, l'activité consistant à : collecter dans les documents publics de l’administration fiscale des données relatives aux revenus du travail et du capital ainsi qu’au patrimoine de personnes physiques et à les traiter en vue de leur publication, y compris lorsque ces documents ne contiennent que des informations préalablement publiées dans les médias, les publier dans l’ordre alphabétique et par classe de revenus, sous la forme de listes détaillées établies commune par commune, les céder sous la forme de disques CD‑ROM pour qu’elles soient utilisées à des fins commerciales, les traiter dans un service de SMS qui permet aux utilisateurs de téléphones mobiles, en envoyant le nom et la commune de résidence d’une personne, de recevoir des informations concernant les revenus du travail et du capital ainsi que le patrimoine de cette personne.
CE10 juin 2021CE, 10 – 9 chambres réunies, 10 juin 2021, M. B... A... - C..., n° 431875, T., point 3(source)
Publication sur un site internet de données à caractère personnel – Inclusion
La seule publication sur un site internet de données à caractère personnel constitue un traitement de ces données au sens des règles nationales et européennes.
CE22 décembre 2020CE, 10 – 9 chambres réunies, 22 décembre 2020, La Quadrature du Net, n° 446155, T., points 6-7(source)
Dispositif de surveillance par drone transmettant, après floutage, des images au centre de commandement de la préfecture de police pour un visionnage en temps réel – Traitement de données à caractère personnel au sens de la directive (UE) 2016/680 – Existence, sans qu'ait d'incidence la circonstance que seules les images floutées parviennent au centre de commandement
Il résulte de l'article 3 de la directive (UE) 2016/680 du 27 avril 2016 qu’un dispositif de surveillance qui consiste à collecter des données, grâce à la captation d’images par drone, afin de les transmettre, après application d'un procédé de floutage, au centre de commandement de la préfecture de police pour un visionnage en temps réel, constitue un traitement au sens de cette directive. Si ce dispositif permet de ne renvoyer à la direction opérationnelle que des images ayant fait l'objet d’un floutage, il ne constitue que l’une des opérations d'un traitement d’ensemble des données à caractère personnel, qui va de la collecte des images par le drone à leur envoi vers la salle de commandement, après transmission des flux vers le serveur de floutage, décomposition de ces flux image par image aux fins d’identifier celles qui correspondent à des données à caractère personnel pour procéder à l’opération de floutage, puis à la recomposition du flux vidéo comportant les éléments floutés. Dès lors que les images collectées par les appareils sont susceptibles de comporter des données identifiantes, la circonstance que seules les données traitées par le logiciel de floutage parviennent au centre de commandement n’est pas de nature à modifier la nature des données faisant l’objet du traitement, qui doivent être regardées comme des données à caractère personnel.
CE27 mars 2020CE, 10 – 9 chambres réunies, 27 mars 2020, Cercle de réflexion et de proposition d'actions sur l'a psychiatrie, n° 431350, T., point 9(source)
Traitement de données à caractère personnel (art.2 de la loi du 6 janvier 1978) – Mise en relation de traitements existants en vue de leur utilisation au regard de la finalité poursuivie par l'un d'entre eux ou d'une finalité propre – 1) Inclusion – 2) Cadre juridique applicable dépendant de la finalité poursuivie
1) Une mise en relation de deux traitements existants qui consiste à rapprocher des données conservées dans l'un et l'autre en vue de leur utilisation au regard de la finalité poursuivie par l'un d'entre eux ou d'une finalité propre constitue, en elle‑même, un traitement au sens de l'article 2 de la loi n°78-17 du 6 janvier 1978.
2) Le cadre juridique applicable à un tel traitement dépend de la finalité ainsi poursuivie.
CE6 juin 2018CE, 10 – 9 chambres réunies, 6 juin 2018, Société Editions Croque Futur, n° 412589, Rec., point 11(source)
Utilisation de témoins de connexion (« cookies ») répondant aux caractéristiques définies au II de l’article 32 de la loi du 6 janvier 1978 – Inclusion
L’utilisation de « cookies » répondant aux caractéristiques définies au II de l’article 32 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés constitue un traitement de données qui doit respecter les prescriptions de l’article 6 de cette même loi.
CJUE13 mai 2014CJUE, 13 mai 2014, Google Spain et Google, C‑131/12, points 29, 30, 38, 41(source)
Activité d'un moteur de recherche consistant à trouver des informations publiées ou placées sur Internet par des tiers, à les indexer de manière automatique, à les stocker temporairement et à les mettre à disposition des internautes selon un ordre de préférence donné – Traitement de données à caractère personnel – Inclusion
L'article 2, sous b), de la directive 95/46, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens que, d'une part, l'activité d'un moteur de recherche consistant à trouver des informations publiées ou placées sur Internet par des tiers, à les indexer de manière automatique, à les stocker temporairement et, enfin, à les mettre à disposition des internautes selon un ordre de préférence donné doit être qualifiée de traitement de données à caractère personnel lorsque ces informations contiennent des données à caractère personnel.
Par ailleurs, l'exploitant d'un moteur de recherche doit être considéré comme le responsable dudit traitement des données à caractère personnel au sens dudit article 2, sous d), de ladite directive. En effet, dans la mesure où l'activité d'un moteur de recherche est susceptible d'affecter significativement et de manière additionnelle par rapport à celle des éditeurs de sites web les droits fondamentaux de la vie privée et de la protection des données à caractère personnel, l'exploitant de ce moteur en tant que personne qui détermine les finalités et les moyens de cette activité doit assurer, dans le cadre de ses responsabilités, de ses compétences et de ses possibilités, que celle-ci satisfait aux exigences de la directive 95/46 pour que les garanties prévues par celle‑ci puissent développer leur plein effet et qu'une protection efficace et complète des personnes concernées, notamment de leur droit au respect de leur vie privée, puisse effectivement être réalisée.
CJUE6 novembre 2003CJUE, 6 novembre 2003, Lindqvist, C‑101/01, point 27 Traitement ultérieur(source)
Référence, sur une page Internet, à diverses personnes identifiées par leur nom ou d'autres moyens – Inclusion
L'opération consistant à faire Référence, sur une page Internet, à diverses personnes, à les identifier soit par leur nom, soit par d’autres moyens (numéro de téléphone ou informations relatives à leurs conditions de travail et aux loisirs) constitue un « traitement de données à caractère personnel, automatisé en tout ou en partie » au sens de la directive 95/46.
