1) L'article 6, paragraphe 1, premier alinéa, sous b) et f), du règlement général sur la protection des données, lu en combinaison avec l'article 5, paragraphe 1, sous c), de ce règlement doit être interprété en ce sens que:

• le traitement de données à caractère personnel relatives à la civilité des clients d'une entreprise de transport, ayant pour finalité une personnalisation de la communication commerciale fondée sur leur identité de genre, ne paraît ni objectivement indispensable ni essentiel afin de permettre l'exécution correcte d'un contrat et, partant, ne peut pas être considéré comme étant nécessaire à l'exécution de ce contrat;
• le traitement de données à caractère personnel relatives à la civilité des clients d'une entreprise de transport, ayant pour finalité une personnalisation de la communication commerciale fondée sur leur identité de genre, ne peut pas être considéré comme étant nécessaire aux fins des intérêts légitimes poursuivis par le responsable de ce traitement ou par un tiers, lorsque:
• l'intérêt légitime poursuivi n'a pas été indiqué à ces clients lors de la collecte de ces données;
• ledit traitement n'est pas opéré dans les limites du strict nécessaire pour la réalisation de cet intérêt légitime;
• au regard de l'ensemble des circonstances pertinentes, les libertés et droits fondamentaux desdits clients sont susceptibles de prévaloir sur ledit intérêt légitime, notamment en raison d'un risque de discrimination fondée sur l'identité de genre.

2) L'article 6, paragraphe 1, premier alinéa, sous f), du règlement général sur la protection des données doit être interprété en ce sens que, afin d'apprécier la nécessité d'un traitement de données à caractère personnel au titre de cette disposition, il n'y a pas lieu de prendre en considération l'existence éventuelle d'un droit d'opposition de la personne concernée, au titre de l'article 21 de ce règlement.

1) L’article 5, paragraphe 1, sous c), du RGPD (principe de minimisation) doit être interprété en ce sens que le principe de la « minimisation des données », prévu à cette disposition, s’oppose à ce que l’ensemble des données à caractère personnel qui ont été obtenues par un responsable du traitement, tel que l’exploitant d’une plateforme de réseau social en ligne, auprès de la personne concernée ou de tiers et qui ont été collectées tant sur cette plateforme qu’en dehors de celle‑ci, soient agrégées, analysées et traitées à des fins de publicité ciblée, sans limitation dans le temps et sans distinction en fonction de la nature de ces données.

2) L’article 9, paragraphe 2, sous e), du RGPD doit être interprété en ce sens que la circonstance qu’une personne se soit exprimée sur son orientation sexuelle lors d’une table ronde, dont la participation est ouverte au public, n’autorise pas l’exploitant d’une plateforme de réseau social en ligne à traiter d’autres données relatives à l’orientation sexuelle de cette personne, obtenues, le cas échéant, en dehors de cette plateforme à partir d’applications et de sites Internet de tiers partenaires, en vue de l’agrégation et de l’analyse de celles‑ci, afin de lui proposer de la publicité personnalisée.

1) Pour l'examen de l'existence de la base légale de l'obligation légale, la condition tenant à la nécessité du traitement portant publication en ligne sur le site internet d'une autorité publique de données à caractère personnel contenues dans une déclaration d'intérêts privés que tout directeur d'établissement percevant des fonds publics est tenu de déposer auprès de cette autorité en vue d'assurer la prévalence de l'intérêt public, l'impartialité des décisions, la prévention des situations de conflits d'intérêts et la lutte contre la corruption doit être examinée conjointement avec le principe dit de la « minimisation des données » consacré à l'article 5, paragraphe 1, sous‑c), du RGPD.

2) Seules les données dont la publication est effectivement de nature à renforcer les garanties de probité et d'impartialité des responsables publics, à prévenir les conflits d'intérêts et à lutter contre la corruption dans le secteur public peuvent faire l'objet d'un tel traitement. La divulgation publique, en ligne, de données nominatives relatives au conjoint, concubin ou partenaire ainsi qu'aux personnes proches ou connues du déclarant susceptibles de donner lieu à un conflit d'intérêts, ou encore sur toute transaction conclue au cours des douze derniers mois dont la valeur excède 3000 euros paraît aller au-delà de ce qui est strictement nécessaire.

La réglementation nationale régissant une demande de communication de données à caractère personnel adressée par l'administration d'un État membre à un opérateur économique doit se fonder sur des critères objectifs pour définir les circonstances et les conditions dans lesquelles un prestataire de services en ligne est tenu de transmettre des données à caractère personnel relatives à ses utilisateurs (voir, en ce sens, arrêt du 6 octobre 2020, Privacy International, C ‑ 623/17, EU:C:2020:790, point 78 et jurisprudence citée). Les dispositions du RGPD doivent être interprétées en ce sens qu'elles ne s'opposent pas à ce que l'administration fiscale d'un État membre impose à un prestataire de services d'annonces publiées sur internet de lui communiquer des informations relatives aux contribuables ayant publié des annonces dans l'une des rubriques de son portail Internet pour autant, notamment, que ces données soient nécessaires au regard des finalités spécifiques pour lesquelles elles sont collectées et que la période sur laquelle porte la collecte desdites données n'excède pas la durée strictement nécessaire pour atteindre l'objectif d'intérêt général visé.

Un traitement de données à caractère personnel relatives aux citoyens de l'Union non-ressortissants de l'État membre visé ayant pour objectif le soutien des autorités nationales en charge de l'application de la réglementation sur le droit de séjour ne répond pas à l'exigence de nécessité prévue à l'article 7, § e), de la directive 95/46/CE du 24 octobre 1995 interprétée à la lumière de l'interdiction de toute discrimination exercée en raison de la nationalité, que :

• il contient uniquement les données nécessaires à l'application par ces autorités de cette réglementation ;

• son caractère centralisé permet une application plus efficace de cette réglementation en ce qui concerne le droit de séjour des citoyens de l'Union non-ressortissants de cet État membre.

Il appartient à la juridiction de vérifier ces éléments dans l'espèce au principal.

Aux termes de l'article L. 1121‑1 du Code du travail, nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives des restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché.

La cour d’appel a constaté que le salarié, qui exerçait seul son activité en cuisine, était soumis à la surveillance constante de la caméra qui y était installée. Elle en a déduit à bon droit que les enregistrements issus de ce dispositif de vidéosurveillance, attentatoire à la vie personnelle du salarié et disproportionné au but allégué par l’employeur de sécurité des personnes et des biens, n’étaient pas opposables au salarié et, par ces seuls motifs, légalement justifié sa décision.

Il résulte des articles 6 de la loi n° 78‑17 du 6 janvier 1978 et L. 1121‑1 du code du travail que l'utilisation par un employeur d’un système de géolocalisation pour assurer le contrôle de la durée du travail de ses salariés n’est licite que lorsque ce contrôle ne peut pas être fait par un autre moyen, même moins efficace que la géolocalisation. En dehors de cette hypothèse, la collecte et le traitement de telles données à des fins de contrôle du temps de travail doivent être considérés comme excessifs au sens du 3° de l’article 6 de la loi du 6 janvier 1978.

Est disproportionné et peut légalement faire l'objet d'une sanction un dispositif de vidéosurveillance plaçant sous surveillance en permanence au moins un salarié. En l'espèce, la circonstance que la société ait voulu lutter contre des vols susceptibles d'être perpétrés par ses propres salariés ne permet pas de considérer que le dispositif était proportionné alors qu'en outre il était installé dans des locaux sécurisés, dont l'entrée ne peut s'effectuer qu'après autorisation et vérification d'identité.

Il résulte des dispositions de l’article 6 de la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dans sa rédaction applicable au litige que, pour être compatible avec les finalités d’un traitement, la transmission des données à caractère personnel doit être strictement limitée à celles qui permettent aux destinataires de poursuivre les finalités du traitement. Par suite, un traitement relatif à la prévention des atteintes à la sécurité publique en marge d’événements sportifs ne peut pas légalement prévoir que les associations et fédérations sportives, qui n’exercent aucune mission relative aux finalités poursuivies, puissent être destinataires des données collectées.

Constitution d'un traitement automatisé centralisé des données à caractère personnel (état civil, image numérisée du visage et empreintes de huit doigts) recueillies auprès des personnes âgées d'au moins six ans lors de l'établissement ou du renouvellement des passeports.

La finalité de la consultation des empreintes digitales contenues dans le traitement automatisé (confirmer que la personne présentant une demande de renouvellement d'un passeport est bien celle à laquelle le passeport a été initialement délivré ou s'assurer de l'absence de falsification des données contenues dans le composant électronique du passeport) peut être atteinte de manière suffisamment efficace en comparant les empreintes figurant dans le composant électronique du passeport avec celles conservées dans le traitement, sans qu'il soit nécessaire que ce dernier en contienne davantage.

Dès lors, le Conseil d'État annule l'article litigieux du fait de l'inconventionalité de la collecte et de la conservation d'un plus grand nombre d'empreintes digitales que celles figurant dans le composant électronique, ces données n'étant ni adéquates, ni pertinentes et apparaissant excessives au regard des finalités du traitement informatisé.

1) Pour l'application de l'article 6 de la loi n°78‑17 du 6 janvier 1978, les données pertinentes au regard de la finalité d'un traitement automatisé de données à caractère personnel sont celles qui sont en adéquation avec la finalité du traitement et qui sont proportionnées à cette finalité.

2) En l'espèce, les données enregistrées dans la « Base élèves 1 degré », relatives à l'identification de l'élève, de ses responsables légaux et des autres personnes à contacter en cas d'urgence ou autorisées à le prendre en charge à la sortie de l'école, ainsi qu'à la gestion des établissements, de la scolarité des élèves et de leurs activités parascolaires et périscolaires, sont en adéquation avec la finalité du traitement, qui est la gestion de l'enseignement scolaire de premier cycle, et sont proportionnées à cette finalité.

Conservation des données d'opposition d'une personne à recevoir de la prospection commerciale.

1) Afin d'assurer l'effectivité du droit d'opposition, le responsable de traitement peut créer une « liste repoussoir » lui permettant de ne pas utiliser à nouveau les données de contact si elles venaient à lui être transmises à nouveau par une autre personne que la personne concernée. La CNIL recommande de conserver l'inscription à la « liste repoussoir » de la personne ayant fait opposition pendant une durée minimale de trois ans et de ne conserver que les empreintes de l'adresse ou du numéro utilisé pour la prospection. Cela permet de prendre en compte l'opposition dans le temps sans conserver de données directement identifiantes.

2) En l'espèce, la liste repoussoir comprenait la civilité, le nom, le prénom, la date de naissance, le numéro de téléphone, l'adresse électronique, la ville ou le code postal, le niveau d'imposition et la situation familiale alors que l'ensemble de ces données n'apparaissaient pas nécessaires au regard de la finalité liée à la prise en compte de l'opposition des prospects à recevoir de la prospection. Seules les données nécessaires à la prise en compte de l'opposition dans le temps et qui correspondent en l'espèce au numéro de téléphone et à l'adresse électronique de la personne concernée auraient dû être conservées sous une forme hachée. Il en résulte une méconnaissance de l'article 5‑1‑c) du RGPD.

Un responsable du traitement, qui souhaite enregistrer des conversations téléphoniques à des fins probatoires, doit démontrer qu'il ne dispose pas d'autres moyens moins intrusifs pour prouver que le contrat conclu à distance ait bien été conclu avec la personne concernée. En application de l'article L.221‑16 du Code de la consommation, dès lors que la preuve de la souscription d'un contrat conclu à distance, à la suite d'un démarchage téléphonique, peut être apportée par la confirmation écrite de l'offre, l'enregistrement des conversations téléphoniques passées entre les téléopérateurs et les prospects, à des fins de preuve de la formation du contrat, n'apparaît pas nécessaire.

enregistrement intégral et systématique par une société de l'ensemble des appels téléphoniques sortants passés entre ses téléopérateurs et ses prospects commerciaux à des fins finalité probatoire et de finalité de formation constitue un manquement à l'article 5‑1‑c du RGPD, qui dispose que les données à caractère personnel doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ».

1) Concernant la finalité probatoire, l'article L.221‑16 du code de la consommation dispose qu'« à la suite d'un démarchage par téléphone, le professionnel adresse au consommateur, sur papier ou sur support durable, une confirmation de l'offre qu'il a faite et reprenant toutes les informations prévues à l'article L. 221‑5. Le consommateur n'est engagé par cette offre qu'après l'avoir signée et acceptée par écrit ou avoir donné son consentement par voie électronique ». Il en résulte que la souscription d'un contrat conclu à distance est prouvée par un autre moyen que l'enregistrement des appels téléphoniques passés avec les prospects.

2) Concernant la finalité relative à la formation, un enregistrement aléatoire de seulement quelques conversations téléphoniques permettrait à la personne chargée de la formation de disposer des éléments nécessaires à la réalisation de sa mission.

Dans le cadre d’un projet de décret autorisant la mise en œuvre par le ministère de l’éducation nationale d’un traitement ayant pour finalité d’améliorer la prise en charge et le parcours scolaire des élèves à besoins éducatifs particuliers, de mieux individualiser les réponses pédagogiques et de garantir aux familles la mise en place d’adaptations pédagogiques dès le repérage de difficultés d’apprentissage, la CNIL considère que la création et l’utilisation d’un identifiant spécifique et distinct de l’identifiant national élève (INE) permettra, conformément à sa doctrine, de segmenter les traitements afin d’éviter des interconnexions ou rapprochements de données qui ne sont pas nécessaires, et de limiter les risques de réidentification des personnes en cas de fuite de données.

Les principes de nécessité d'un traitement fondé sur l'intérêt public et de minimisation des données s'opposent à la mise en œuvre de systèmes d'identification par reconnaissance faciale d'enfants à des fins de contrôle d'accès à des établissements scolaires, dès lors que les objectifs de sécurisation et la fluidification des entrées dans de tels établissements peuvent être atteints par des moyens aussi efficaces et moins intrusifs, compte tenu de la protection particulière dont doivent bénéficier les enfants, même si ces systèmes étaient mis en œuvre à titre expérimental et reposeraient sur le consentement des élèves concernés.