Les dispositions du dernier alinéa du paragraphe I de l'article L. 612-3 du code de l'éducation ne sauraient, sans méconnaître le droit d'accès aux documents administratifs garanti par l'article 15 de la Déclaration de 1789, être interprétées comme dispensant chaque établissement d'enseignement supérieur de publier, à l'issue de la procédure nationale de préinscription à l'entrée en premier cycle et dans le respect de la vie privée des candidats, le cas échéant sous la forme d'un rapport, les critères d'examen des candidatures en fonction desquels les candidatures ont été examinées et précisant, le cas échéant, dans quelle mesure traitements algorithmiques ont été utilisés pour procéder à cet examen.

Dans le cadre de rapports employeur/employés, le fait d'effectuer des recherches sur des personnes portant sur des données à caractère personnel telles qu'antécédents judiciaires, renseignements bancaires et téléphoniques, véhicules, propriétés, qualité de locataire ou de propriétaire, situation matrimoniale, santé, déplacement à l'étranger est susceptible de constituer un moyen de collecte déloyal dès lors que, issues de la capture et du recoupement d'informations diffusées sur des sites publics tels que sites web, annuaires, forums de discussion, réseaux sociaux, sites de presse régionale, ces données ont fait l'objet d'une utilisation sans rapport avec l'objet de leur mise en ligne et ont été recueillies à l'insu des personnes concernées, ainsi privées du droit d'opposition institué par la loi informatique et libertés.

En effet, le fait que les données à caractère personnel collectées en l'espèce par le prévenu aient été pour partie en accès libre sur internet ne retire rien au caractère déloyal de cette collecte, dès lors qu'une telle collecte, de surcroît réalisée à des fins dévoyées de profilage des personnes concernées et d'investigation dans leur vie privée, à l'insu de celles-ci, ne pouvait s'effectuer sans qu'elles en soient informées.

L'article R. 221‑15‑8 du code de l'action sociale et des familles, créé par le décret attaqué, dispose que, préalablement à la collecte de ses données, la personne se déclarant mineure et privée temporairement ou définitivement de la protection de sa famille est informée de la nature des données et informations collectées ainsi que des conséquences d'un refus de les communiquer ou d'une évaluation concluant à sa majorité. Elle reçoit également des informations relatives à la protection des données personnelles. Cette information est assurée par un formulaire dédié, rédigé dans une langue qu'elle comprend ou dont il est raisonnable de supposer qu’elle la comprend. À défaut, notamment lorsque l'intéressé ne sait pas lire, l'information est donnée sous forme orale. Le décret attaqué a ainsi prévu une information effective et adaptée des personnes sollicitant une protection en qualité de mineur, qui doit en outre satisfaire, sans que le pouvoir réglementaire ait eu à le rappeler, à l'exigence de clarté prévue par l'article 12 du RGPD.

1) L’article 5, paragraphe 3, de la directive 2002/58 doit être interprété en ce sens que les informations que le fournisseur de services doit donner à l’utilisateur d’un site internet incluent la durée de fonctionnement des cookies ainsi que la possibilité ou non pour des tiers d’avoir accès aux cookies.

2) L’article 10 de la directive 95/46, à laquelle fait référence l’article 5, paragraphe 3, de la directive 2002/58, ainsi que l’article 13 du RGPD énoncent les informations que le responsable du traitement doit fournir à la personne auprès de laquelle il collecte des données la concernant. Ces informations comprennent notamment, en vertu de l'article 10 de la directive, outre l’identité du responsable du traitement et les finalités du traitement auquel les données sont destinées, toute information supplémentaire telle que les destinataires ou les catégories de destinataires des données, dans la mesure où, compte tenu des circonstances particulières dans lesquelles les données sont collectées, ces informations supplémentaires sont nécessaires pour assurer à l’égard de la personne concernée un traitement loyal des données.

Si la durée du traitement des données ne figure pas parmi ces informations, il ressort toutefois de l’expression « au moins » figurant à l’article 10 de la directive 95/46 que celles‑ci ne sont pas énumérées de manière exhaustive. Or, la durée de fonctionnement des cookies doit être considérée comme répondant à l’exigence d’un traitement loyal des données prévue par ledit article, en ce que, dans une situation telle que celle en cause au principal, une durée longue, voire illimitée, implique la collecte de nombreuses informations sur les habitudes de navigation et la fréquence des visites éventuelles de l’utilisateur sur les sites des partenaires publicitaires de l’organisateur du jeu promotionnel.

Cette interprétation est corroborée par l’article 13, paragraphe 2, sous a), du règlement 2016/679, qui prévoit que le responsable du traitement doit fournir à la personne concernée, pour garantir un traitement équitable et transparent, une information portant notamment sur la durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée.

Quant à la possibilité ou non pour des tiers d’avoir accès aux cookies, il s’agit d’une information comprise dans les informations mentionnées à l’article 10, sous c), de la directive 95/46, ainsi qu’à l’article 13, paragraphe 1, sous e), du règlement 2016/679, dès lors que ces dispositions mentionnent explicitement les destinataires ou les catégories de destinataires des données.

L'article 13, paragraphe 1, de la directive 95/46/CE du 24 octobre 1995 doit être interprété en ce sens que les États membres n'ont pas l'obligation, mais la faculté de transposer dans leur droit national une ou plusieurs des exceptions qu'il prévoit à l'obligation d'informer les personnes concernées du traitement de leurs données à caractère personnel.

L’information fournie au moyen d’une politique de confidentialité disponible uniquement en anglais, relative à des traitements de données ciblant majoritairement un public francophone, ne permet pas aux personnes concernées d’apprécier à l’avance la portée et les conséquences des traitements et n’est par conséquent pas conforme aux exigences de transparence de l’information posées par l’article 12 du RGPD. Il en va de même du renvoi opéré vers une politique de confidentialité uniquement en anglais depuis un formulaire de création de compte.

1) Il résulte de l'article 14 du RGPD que, lorsqu'un prospecteur récupère un numéro de téléphone d'un tiers, par exemple un fournisseur d'accès à internet (FAI), à des fins de prospection téléphonique, il doit informer la personne prospectée du traitement de ces données pour cette finalité, au plus tard lors de l'appel téléphonique.

2) Lorsqu'une information prévue par le RGPD est fournie dans le cadre d'échanges téléphoniques, il est admis que cette information puisse se limiter aux éléments les plus importants pour l'interlocuteur, afin de rester brève, à condition d'indiquer un moyen d'obtenir les informations complètes (exemples : touche à activer sur le téléphone, courriel reçu par l'interlocuteur, renvoi vers une page web). L'information sur le traitement des données transmises par les FAI, notamment les coordonnées téléphoniques des personnes, à des fins de prospection téléphonique en application de l'article 14 du RGPD, et celle relative à l'enregistrement de la conversation, en application de l'article 13 du RGPD, peuvent par ailleurs être fusionnées.

Un courrier de prospection commerciale doit être suffisamment précis dans l'indication de la source des données dont proviennent les prospects, cette information étant de nature à garantir un traitement équitable et transparent à son égard, en particulier dans un contexte de reventes successives de données entre multiples acteurs et dans l'hypothèse où le prospect souhaiterait exercer ses droits auprès du courtier en données dont il ignore l'identité. La seule mention que les données ont été collectées auprès d'un « organisme spécialisé dans l'enrichissement de données » n'est pas suffisamment précise et est susceptible de caractériser un manquement à l'information des personnes, au sens de l'article 14 du RGPD.

Dans la symbolique couramment utilisée en informatique, le fait de cliquer sur « X » en haut à droite de la dernière fenêtre visible d’une application permet généralement de la quitter. En l’espèce, le fait de cliquer sur « X » ne fait en réalité que mettre l’application en arrière‑plan et non la quitter. Eu égard au fait que des données à caractère personnel de l’utilisateur peuvent être communiquées à des tiers sans qu’il en ait nécessairement conscience, soit l’utilisateur doit se voir délivrer une information spécifique sur ce point, soit le comportement de réduction en arrière‑plan ne doit pas être activé par défaut et c’est à l’utilisateur de le paramétrer manuellement. Tout autre fonctionnement ne saurait correspondre aux attentes de l'utilisateur.

L’information aux personnes concernées ne figurant pas sur un support distinct des mentions légales et conditions générales, mais étant uniquement accessible via des liens intitulés « Conditions générales » ou « Mentions légales », insérés au pied de formulaires de collecte des données à caractère personnel mis en ligne sur un site internet, ne permet pas à l’utilisateur de bénéficier d’une information suffisamment claire et accessible sur le traitement de ses données.

Une telle modalité de délivrance de l'information aux personnes concernées ne répond pas aux exigences de transparence et d'accessibilité prévues par le RGPD.

L'article 14, paragraphe 5, sous‑c), du règlement général sur la protection des données doit être interprété en ce sens que l'exception à l'obligation d'information de la personne concernée par le responsable du traitement, prévue à cette disposition, concerne indistinctement toutes les données à caractère personnel que le responsable du traitement n'a pas collectées directement auprès de la personne concernée, que ces données aient été obtenues par le responsable du traitement auprès d'une personne autre que la personne concernée ou qu'elles aient été générées par le responsable du traitement lui‑même, même dans le cadre de l'exercice de ses missions.

Les articles 10, 11 et 13 de la directive 95/46/CE du 24 octobre 1995 doivent être interprétés en ce sens qu'ils s'opposent à des mesures nationales qui permettent à une administration publique d'un État membre de transmettre des données à caractère personnel à une autre administration publique et leur traitement subséquent, sans que les personnes concernées n'aient été informées de cette transmission ou de ce traitement.

1) Le traitement de données à caractère personnel mis en œuvre par l’administration fiscale aux fins d'obtenir l'autorisation de procéder à des opérations de visite et saisies sur le fondement de l'article L. 16‑B du livre des procédures fiscales, qui a pour finalité d'obtenir le droit de procéder à une mesure d'enquête pouvant donner lieu à la constatation d'une infraction ou d'un manquement à la législation fiscale, dans le but de percevoir l'impôt et de lutter contre la fraude fiscale, entre dans le champ d'application matériel du RGPD.

2) Dès lors, le juge doit notamment vérifier si, dans le litige qui lui est soumis, le responsable du traitement est tenu de fournir à la personne concernée les informations prévues à son article 14 ou s'il sont réunies les conditions des exceptions ou limitations à cette obligation d'information qu'il prévoit. En effet, si l'article 14 du RGPD soumet le responsable du traitement à l'obligation de fournir un certain nombre d'informations à la personne concernée lorsque les données à caractère personnel n'ont pas été collectées auprès d'elle, il résulte du paragraphe 5 de ce texte que cette obligation ne s'applique pas dans la mesure où elle est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement.

3) En outre, l'article 23 du RGPD prévoit que le droit de l'État membre auquel le responsable du traitement est soumis peut, par la voie de mesures législatives, limiter la portée de l'obligation d'informer la personne concernée par le traitement de données à caractère personnel prévue à l'article 14 du RGPD lorsqu'une telle limitation respecte l'essence des libertés et droits fondamentaux et qu'elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir la prévention et la détection d'infractions pénales, les enquêtes et les poursuites en matière et d'autres objectifs importants d'intérêt public général d'un État membre, notamment un intérêt économique ou financier important, y compris dans les domaines monétaire, budgétaire et fiscal.

Ainsi, l’administration fiscale n'a pas l'obligation de fournir à la personne concernée les informations prévues à l'article 14 de ce règlement si sont réunies les conditions de l'exception prévue au paragraphe 5 de ce texte ou des limitations prévues à l'article 23.

Cas d’un annuaire ayant enrichi ses données en collectant les données publiquement accessibles sur des réseaux sociaux. La circonstance que, dans le cadre de leur politique de confidentialité, certains réseaux sociaux auraient averti leurs membres de la possible indexation de données à caractère personnel par des moteurs de recherche ne saurait les faire considérer comme déjà informés, au sens de la loi du 6 janvier 1978, de la possible agrégation de leurs données à caractère personnel à un service d’annuaire. Eu égard à l’intérêt qui s’attache au respect des libertés et droits fondamentaux des vingt‑cinq millions de personnes touchées par le traitement litigieux, et notamment au respect de leur vie privée, la société responsable du traitement n’est pas fondée à soutenir que l’information de ces personnes, dont elle avait les coordonnées dans son annuaire, exigeait des efforts disproportionnés par rapport à l’intérêt de la démarche au sens des dispositions du III de l’article 32 de la loi du 6 janvier 1978.

Il résulte des articles 13 et 15 du RGPD, des dispositions des titres II et III de la loi informatique et libertés relatives aux obligations d'information et au droit d'accès, et des dispositions du code de la sécurité intérieure régissant spécifiquement la vidéoprotection, notamment l'article R. 253‑6, que le responsable de traitement, s’il est tenu d’informer, d’une façon adaptée au contexte et aux objectifs poursuivis, sur l’existence de la vidéoprotection d’un territoire, d’une zone ou d’un bâtiment, et de fournir l’ensemble des mentions et informations prévues par ces textes, n’est pas tenu à ce titre de communiquer l’emplacement exact de chaque caméra. Ainsi, en l’espèce, la commune n’était pas tenue de fournir à la personne concernée une carte avec l'emplacement des caméras et des zones surveillées.

Le droit d’accès au dossier médical du mineur, fondé sur l’article L. 1111‑7 du code de la santé publique, peut être exercé par chacun des titulaires de l’autorité parentale, dans les conditions précisées par ce texte et après occultation des éventuelles mentions relatives à la vie privée de l’autre titulaire, aux données médicales. Le parent ne perd ce droit d’accès qu’en cas de retrait de la qualité de titulaire de l’autorité parentale prévue aux articles 378 et suivants du code civil.

Dans le cadre d'une collecte indirecte de données à caractère personnel, la CNIL considère, conformément à la délibération n°2024-041 du 25 janvier 2024 portant adoption de deux recommandations relatives à la réutilisation de données publiées sur internet, que ce n'est que dans des hypothèses limitées que les éditeurs doivent pouvoir se prévaloir des dispositions de l'article 14.5.b du RGPD, autorisant les organismes ne collectant pas les données directement auprès des personnes concernées à ne pas informer celles-ci lorsqu'une telle information exigerait des « efforts disproportionnés ». En particulier, dès lors qu'une information individuelle peut être effectuée au moyen de l'envoi automatisé de courriels à chacune des adresses présentes dans la base de données, la Commission considère que l'effort à fournir pour y procéder n'est en principe pas « effort disproportionné » et ce même lorsque les risques associés à la mise en œuvre du traitement sont faibles.

Lorsque des données à caractère personnel sont collectées par un responsable de traitement de manière indirecte à partir de sources publiques, il résulte de l'article 14 du RGPD que le responsable de traitement est tenu d'en informer individuellement les personnes concernées, sauf notamment si la fourniture de cette information est impossible en pratique ou requiert des efforts disproportionnés.

Pour apprécier le caractère proportionné des efforts requis pour la fourniture de l'information, il y a lieu d'apprécier notamment les ressources financières et humaines dont dispose le responsable du traitement, les moyens et renseignements dont dispose déjà le responsable du traitement pour procéder à cette information, ainsi que l'intérêt pour les personnes concernées de disposer de cette information, en prenant en compte le volume de données traitées, les usages qui peuvent en être faits et les éventuelles atteintes à la vie privée qui pourraient en résulter.