1) L'article 6, paragraphe 1, premier alinéa, sous b) et f), du règlement général sur la protection des données, lu en combinaison avec l’article 5, paragraphe 1, sous c), de ce règlement doit être interprété en ce sens que :

• le traitement de données à caractère personnel relatives à la civilité des clients d’une entreprise de transport, ayant pour finalité une personnalisation de la communication commerciale fondée sur leur identité de genre, ne paraît ni objectivement indispensable ni essentiel afin de permettre l'exécution correcte d'un contrat et, partant, ne peut pas être considéré comme étant nécessaire à l'exécution de ce contrat ;
• le traitement de données à caractère personnel relatives à la civilité des clients d’une entreprise de transport, ayant pour finalité une personnalisation de la communication commerciale fondée sur leur identité de genre, ne peut pas être considéré comme étant nécessaire aux fins des intérêts légitimes poursuivis par le responsable de ce traitement ou par un tiers lorsque :
• l'intérêt légitime poursuivi n'a pas été indiqué à ces clients lors de la collecte de ces données ;
• ledit traitement n'est pas opéré dans les limites du strict nécessaire pour la réalisation de cet intérêt légitime ;
• au regard de l'ensemble des circonstances pertinentes, les libertés et droits fondamentaux desdits clients sont susceptibles de prévaloir sur ledit intérêt légitime, notamment en raison d'un risque de discrimination fondée sur l'identité de genre.

2) L'article 6, paragraphe 1, premier alinéa, sous f), du règlement général sur la protection des données doit être interprété en ce sens que, afin d'apprécier la nécessité d'un traitement de données à caractère personnel au titre de cette disposition, il n'y a pas lieu de prendre en considération l'existence éventuelle d'un droit d'opposition de la personne concernée, au titre de l'article 21 de ce règlement.

L'article 6, paragraphe 1, premier alinéa, sous f), du règlement 2016/679 doit être interprété en ce sens que le traitement de données à caractère personnel effectué par un opérateur d'un réseau social en ligne, consistant en la Collecte de données des utilisateurs d'un tel réseau issues d'autres services du groupe auquel appartient cet opérateur ou issues de la consultation par ces utilisateurs de sites Internet ou d'applications tiers, en la mise en relation de ces données avec le compte du réseau social désignés utilisateurs et en l'utilisation des données, ne peut être considéré comme étant nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, au sens de cette disposition, qu'à la condition que ledit opérateur ait indiqué aux utilisateurs auprès desquels les données ont été collectées un intérêt légitime poursuivi par leur traitement, que ce traitement est opéré dans les limites du strict nécessité pour la réalisation de cet intérêt légitime et qu'il ressort d'une pondération des intérêts opposés, au regard de l'ensemble des circonstances pertinentes, que les intérêts ou les libertés et les droits fondamentaux de ces utilisateurs ne prévalent pas sur ledit intérêt légitime du responsable du traitement ou d'un tiers.

L'article 6, paragraphe 1, sous c) et l'article 7, sous f) de la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995, lus à la lumière des articles 7 et 8 de la Charte des droits fondamentaux de l'Union européenne, doivent être interprétés en ce sens qu'ils ne s'opposent pas à des dispositions nationales qui autorisent la mise en place d'un système de vidéosurveillance, tel que le système en cause, principalement installé dans les parties communes d'un immeuble à usage d'habitation, aux fins de poursuivre des intérêts légitimes consistant à assurer la garde et la protection des personnes et des biens, sans le consentement des personnes concernées, si le traitement de données à caractère personnel opéré au moyen du système de vidéosurveillance en cause répond aux conditions posées par cet article 7, sous f), ce qu'il incombe à la juridiction de renvoi de vérifier.

Lorsque le gestionnaire d'un site internet insère sur ledit site un module social permettant au navigateur du visiteur de ce site de solliciter des contenus du fournisseur dudit module et de transmettre à cet effet audit fournisseur des données à caractère personnel du visiteur (bouton « j'aime » de Facebook), ce site, comme le réseau social, doit être regardé comme co‑responsable du traitement consistant dans le recueil et la transmission à Facebook de données à caractère personnel des visiteurs du site.

Pour que ce traitement soit licite au titre de l’intérêt légitime, il est nécessaire que ce gestionnaire et ce fournisseur poursuivent chacun, avec ces opérations de traitement (communication et transmission des données), un intérêt légitime, au sens de l'article 7, sous f), de la directive 95/46, afin que celles‑ci soient justifiées dans son chef.

L'article 7, sous f), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, doit être interprété en ce sens qu'il n'impose pas l'obligation de communiquer des données à caractère personnel à un tiers afin de lui permettre d'introduire un recours en indemnisation devant une juridiction civile pour un dommage causé par la personne concernée par la protection de ces données. Toutefois, l'article 7, sous f), de cette directive ne s'oppose pas à une telle communication sur la base du droit national.

L'article 7, sous f), de la directive 95/46 doit être interprété en ce sens qu'il s'oppose à une réglementation d'un État membre en vertu de laquelle un fournisseur de services de médias en ligne ne peut collecter et utiliser des données à caractère personnel afférentes à un utilisateur de ces services, en l'absence du consentement de celui-ci, que dans la mesure où cette collecte et cette utilisation sont nécessaires pour permettre et facturer l'utilisation concrète des désdites services par cet utilisateur, sans que l'objectif visant à garantir la capacité générale de fonctionnement des mêmes services puisse justifier l'utilisation desdites données après une session de consultation de ceux-ci.

L'article 7, sous f) de la directive 95/46/CE du 24 octobre 1995 s'oppose à une réglementation nationale qui, en l'absence du consentement de la personne concernée et pour autoriser le traitement de ses données à caractère personnel nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable de ce traitement ou par les tiers auxquels ces données sont communiquées, exige, outre le respect des droits et libertés fondamentaux de cette dernière, que lesdites données figurent dans des sources accessibles au public, excluant ainsi de façon catégorique et généralisée tout traitement de données ne figurant pas dans de telles sources.

L'intérêt légitime que peut avoir une société à conserver les informations bancaires d'un client qui a procédé à un achat en ligne, notamment son numéro de carte bancaire, afin de faciliter des paiements ultérieurs en le dispensant de saisir à nouveau cette information, ne saurait prévaloir sur l'intérêt des personnes concernées de protéger ces données, compte tenu de la sensibilité de ces informations bancaires et des préjudices susceptibles de résulter pour eux de leur captation et d'une utilisation détournée, et alors que de nombreux clients qui utilisent des sites de commerce en ligne en vue de réaliser des achats ponctuels ne peuvent raisonnablement s'attendre à ce que les entreprises concernées conservent de telles données sans leur consentement.

Si elles peuvent raisonnablement s'attendre à ce que des tiers accèdent ponctuellement aux photographies mises en ligne par la personne concernée, le caractère publiquement accessible de celles-ci ne suffit pas pour considérer que les personnes concernées puissent raisonnablement s’attendre à ce que leurs images alimentent un logiciel de reconnaissance faciale, d'autant plus lorsque ce logiciel n'est pas public et que la grande majorité des personnes concernées ignorent son existence.

Les personnes qui ont publié des photographies les représentant sur des sites web, ou consenti à cette publication auprès d'un autre responsable de traitement, ne s'attendent pas à ce que celles-ci soient réutilisées pour la création d’un logiciel de reconnaissance faciale (qui associe l'image d'une personne à un profil contenant l'ensemble des photographies sur lesquelles elle figure, les informations que ces photographies contiennent ainsi que les sites web sur lesquels elles se trouvent) et la commercialisation de ce logiciel à des forces de l'ordre.

Un traitement de données à caractère personnel, consistant en la collecte d'informations visant à recenser les personnes influentes auprès desquelles une entreprise souhaite représenter ses intérêts peut, sous réserve de certaines conditions, être réalisé sur le fondement de l’intérêt légitime poursuivi par le responsable de traitement. En effet, un tel traitement peut être justifié par la poursuite de l’intérêt légitime du responsable de traitement sous réserve que les intérêts et droits fondamentaux des personnes concernées ne prévalent pas sur les intérêts du responsable de traitement. Cette mise en balance entre les différents intérêts en présence impose notamment de prendre en compte les attentes raisonnables des personnes concernées quant à la nature des données collectées et la façon dont elles sont traitées pour la constitution du traitement litigieux, comme le prévoit le considérant 47 du RGPD.

Dans tous les cas, le responsable de traitement qui met en œuvre un tel traitement doit s’assurer du respect des obligations prévues par le RGPD et notamment de la obligation d'information des personnes afin que celles‑ci puissent exercer leurs droits.