1) L'article 9, paragraphe 1, du règlement 2016/679 doit être interprété en ce sens que dans le cas où un utilisateur d'un réseau social en ligne consulte des sites Internet ou des applications en rapport a vec une ou plusieurs des catégories visées à cette disposition et, le cas échéant, y insère des données en s'inscrivant ou en effectuant des commandes en ligne, le traitement de données à caractère personnel par l'opérateur de ce réseau social en ligne, co nsistant en la collecte, au moyen d'interfaces intégrées, de cookies ou de technologies d'enregistrement similaires, des données issues de la consultation de ces sites et de ces applications ainsi que des données insérées par l'utilisateur, en la mise en r elation de l'ensemble de ces données avec le compte du réseau social de celui - ci et en l'utilisation desdites données par cet opérateur, doit être considéré comme un « traitement portant sur des catégories particulières de données à caractère personnel », au sens de ladite disposition, qui est en principe interdit, sous réserve des dérogations prévues à cet article 9, paragraphe 2, lorsque ce traitement de données permet de révéler des informations relevant d'une de ces catégories, que ces informations conc ernent un utilisateur de ce réseau ou toute autre personne physique.

2) L'article 9, paragraphe 2, sous e), du règlement 2016/679 doit être interprété en ce sens que lorsqu'un utilisateur d'un réseau social en ligne consulte des sites Internet ou des appli cations en rapport avec une ou plusieurs des catégories visées à l'article 9, paragraphe 1, de ce règlement, il ne rend pas manifestement publiques, au sens de la première de ces dispositions, les données relatives à cette consultation, collectées par l'op érateur de ce réseau social en ligne à travers des cookies ou des technologies d'enregistrement similaires.

3) Lorsqu'il insère des données dans de tels sites Internet ou dans de telles applications ou lorsqu'il active des boutons de sélection intégrés à c es sites et à ces applications, tels que les boutons « j'aime » ou « partager » ou les boutons permettant à l'utilisateur de s'identifier sur ces sites ou ces applications en utilisant les identifiants de connexion liés à son compte d'utilisateur du réseau social, son numéro de téléphone ou son adresse électronique, un tel utilisateur ne rend manifestement publiques, au sens de cet article 9, paragraphe 2, sous e), les données ainsi insérées ou résultant de l'activation de ces boutons que dans le cas où il a explicitement exprimé son choix au préalable, le cas échéant sur la base d'un paramétrage individuel effectué en toute connaissance de cause, de rendre les données le concernant publiquement accessibles à un nombre illimité de personnes.

Expérimentation autorisant les administrations fiscales et douanières à collecter et exploiter les contenus données librement accessibles sur les sites internet des opérateurs plateformes en ligne et manifestement rendus publics par leurs utilisateurs. Le Conseil d'État rappelle qu'en vertu de la décision du Conseil constitutionnel n° 2019-796 DC du 17 décembre 2019, les sites ou les plateformes dont les données ne sont accessibles qu'après inscription ou saisie d'un mot de passe ne peuvent donner lieu à collecte et exploitation. Il précise en outre que les commentaires rédigés par des tiers et relatifs au titulaire du compte ne peuvent faire l'objet d'aucune exploitation. Le Conseil d'État écarte des dispositions permettant : de collecter des contenus qui ne seraient accessibles qu'après inscription tout en précisant que la création de comptes est possible aux seules fins de pouvoir collecter de façon automatique des contenus autrement accessibles sans inscription préalable, la collecte et l'exploitation des commentaires figurant sur les pages des utilisateurs de plateformes.

En vertu de l’article 6 de la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dite loi Informatique et Libertés, le traitement des données sensibles n’est possible, sauf disposition législative spéciale l’autorisant, que s’il s’inscrit dans le cadre de l’exception prévue à l’article 9 du RGPD ou, s’agissant de traitements relevant du champ d’application des articles 31 et 32 de la loi Informatique et Libertés (en particulier le champ d’application de la directive « Police‑Justice » et les traitements intéressant la sûreté et la défense nationale), s’il est autorisé selon les modalités prévues à ces articles, à savoir un décret en Conseil d’État après avis de la CNIL.

Il y a lieu d’interpréter le titre I er de la loi Informatique et Libertés de façon à ce que ses dispositions ne portent pas une atteinte disproportionnée aux droits ou objectifs de valeur constitutionnelle. Dès lors, il est nécessaire de lire la loi de sorte que les traitements ne relevant que du titre I er puissent bénéficier de certaines exceptions à l’interdiction de traiter des données sensibles, notamment pour les données manifestement rendues publiques, pour les traitements d’intérêt public, ou en cas de consentement de la personne. Le renvoi aux exceptions de l’article 9 du RGPD opéré par l’article 6 de la loi Informatique et Libertés doit être entendu comme ayant vocation à s’appliquer non seulement aux traitements relevant du RGPD mais aussi aux traitements relevant des autres titres, et notamment ceux relevant du seul titre I.

Cette question ne se pose que pour le titre I er dès lors que, pour les traitements du titre III (directive « Police‑Justice »), la loi a prévu des dispositions spéciales, transposant la directive sur ce point et que, pour ceux du titre IV, tous les traitements relèveront du champ des articles 31 et 32 et seront autorisés par décret en Conseil d’État.

La possibilité offerte aux utilisateurs d'un réseau social de paramétrer la confidentialité de leurs comptes ne confère pas un caractère public à leurs données dès lors que celles-ci sont traitées dans le cadre d'une communauté d'intérêts fermée et accessible à ses seuls membres.