Le caractère erroné des adresses électroniques communiquées sur le site web d’un responsable de traitement destinées à recueillir les demandes relatives à l'exercice des droits conférés à la personne en vertu des articles 15 à 22 du RGPD, lorsqu’il n’a été pleinement réparé qu’à l’issue d’un délai de plus de six mois et postérieurement à un contrôle diligenté par les services de la CNIL, ainsi que la procédure d'exercice de ces mêmes droits effectuée par voie postale par un prestataire du responsable de traitement ne permettant pas de faciliter les démarches des personnes concernées, en l’absence de transmission directe des demandes de droit d’accès du responsable de traitement à son prestataire, sont de nature à caractériser un manquement aux dispositions de l’article 12 du RGPD.

1) Il ressort du considérant 41 du RGPD, que la référence, dans ce règlement, à une « mesure législative » n’implique pas nécessairement que l’adoption d’un acte législatif par un parlement est exigée.

Toute mesure adoptée en vertu de l’article 23 du RGPD doit, ainsi que le législateur de l’Union l’a souligné au considérant 41 de ce règlement, être claire et précise, et son application prévisible pour les justiciables. En particulier, ces derniers doivent pouvoir identifier les circonstances et conditions dans lesquelles la portée des droits qu’ils confère ledit règlement est susceptible d’être limitée.

Il découle des considérations qui précèdent que l’administration fiscale d’un État‑membre ne saurait déroger aux dispositions de l’article 5, paragraphe 1, du RGPD en l’absence d’une base juridique claire et précise du droit de l’Union ou du droit national, dont l’application est prévisible pour les justiciables, prévoyant les circonstances et conditions dans lesquelles la portée des obligations et des droits prévues à cet article 5 peut être limitée.

2) a) Les dispositions du RGPD doivent être interprétées en ce sens que l’administration fiscale d’un État‑membre ne saurait déroger aux dispositions de l’article 5, paragraphe 1, de ce règlement, qui fixe les principes à respecter par tout traitement, alors qu’un tel droit ne lui a pas été octroyé par le droit national, au sens de l’article 23, paragraphe 1, de ce même texte.

b) Les dispositions du RGPD doivent être interprétées en ce sens qu’elles ne s’opposent pas à ce que l’administration fiscale d’un État‑membre impose à un prestataire de services d’annonces publiées sur internet de lui communiquer des informations relatives aux contribuables ayant publié des annonces dans l’une des rubriques de son portail en ligne, dès lors que cela est nécessaire à la mission d’intérêt public poursuivie par cette administration. Néanmoins, les données demandées doivent être nécessaires au regard des finalités spécifiques pour lesquelles elles sont collectées et la période sur laquelle porte leur collecte ne saurait excéder la durée strictement nécessaire pour atteindre l’objectif d’intérêt général visé.

1) Le traitement de données à caractère personnel mis en œuvre par la administration fiscale aux fins d'obtenir l'autorisation de procéder à des opérations de visite et saisies sur le fondement de l'article L. 16 B du livre des procédures fiscales, qui a pour finalité d'obtenir le droit de procéder à une mesure d'enquête pouvant donner lieu à la constatation d'une infraction ou d'un manquement à la législation fiscale, dans le but de percevoir l'impôt et de lutter contre la fraude fiscale, entre dans le champ d'application matériel du RGPD.

2) Dès lors, le juge doit notamment vérifier si, dans le litige qui lui est soumis, le responsable du traitement est tenu de fournir à la personne concernée les informations prévues à son article 14 ou si sont réunies les conditions des exemptions ou limitations à cette obligation d'information qu'il prévoit. En effet, si l'article 14 du RGPD soumet le responsable du traitement à l'obligation de fournir un certain nombre d'informations à la personne concernée lorsque les données à caractère personnel n'ont pas été collectées auprès d'elle, il résulte du paragraphe 5 de ce texte que cette obligation ne s'applique pas dans la mesure où elle est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement.

3) En outre, l'article 23 du RGPD prévoit que le droit de l'État membre auquel le responsable du traitement est soumis peut, par la voie de mesures législatives, limiter la portée de l'obligation d'informer la personne concernée par le traitement de données à caractère personnel prévue à l'article 14 du RGPD lorsqu'une telle limitation respecte l'essence des libertés et droits fondamentaux et qu'elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir la prévention et la détection d'infractions pénales, les enquêtes et les poursuites en la matière et d'autres objectifs importants d'intérêt public général d'un État membre, notamment un intérêt économique ou financier important, y compris dans les domaines monétaire, budgétaire et fiscal.

Ainsi, l'administration fiscale n'a pas l'obligation de fournir à la personne concernée les informations prévues à l'article 14 de ce règlement si sont réunies les conditions de l'exception prévue au paragraphe 5 de ce texte ou des limitations prévues à l'article 23.

Le Premier ministre est compétent pour l'adoption d'un décret se bornant à autoriser la collecte de données nécessaires au développement d’un algorithme en matière d’indemnisation du préjudice corporel, sans déroger à la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Cette loi n’a ni pour objet, ni pour effet de fixer des règles relatives aux garanties fondamentales accordées aux citoyens pour l’exercice des libertés publiques, y compris en ce qu’elle exclut l’exercice des droits d’information et d’opposition des personnes dont les données personnelles sont collectées.

L’article 23 du RGPD selon lequel le droit de l’Union ou le droit d’un État membre peut apporter des limitations aux droits prévus par le règlement « par la voie de mesures législatives », ne saurait être entendu comme imposant l’intervention du législateur, le droit de l’Union européenne ne régissant pas la répartition des compétences au sein des États membres.

1) L’article 23 du RGPD permet de limiter ou d’écarter le droit d’opposition à un traitement, à certaines conditions, par une mesure législative. Le considérant 41 du RGPD précise que cette mesure législative n’est pas nécessairement un acte adopté par le Parlement, mais doit être déterminée par le droit national de chaque État membre. En France, il peut en particulier s’agir d’un acte réglementaire. La CNIL estime que, s’agissant des traitements participant à l’exécution d’une mission d’intérêt public, tant l’État que les collectivités territoriales ou les établissements publics peuvent, dans leurs domaines de compétence respectifs et s’ils disposent d’un pouvoir réglementaire, limiter ou exclure le droit d’opposition.

2) Cependant, l’exercice de cette faculté est soumis à une double limite : d’une part, s’agissant de la compétence, il convient de ne pas empiéter sur le domaine réservé à la loi en application de l’article 34 de la Constitution; d’autre part, de veiller à ce que les conditions prévues à l’art. 23 RGPD soient respectées. Dans ses lignes directrices 10/2020 du 13 octobre 2021 sur l’article 23, le Comité européen pour la protection des données a notamment rappelé l’obligation pour le responsable de traitement de veiller au caractère strictement nécessaire et proportionné de la limitation envisagée au regard de l’objectif poursuivi. Il a également souligné que l’acte écartant l’opposition doit faire l’objet d’une publicité suffisante et être accessible.