La directive 2017/1132 relative à certains aspects du droit des sociétés, en particulier l'article 16 de celle‑ci, ainsi que l'article 17 du règlement 2016/679 du 27 avril 2016 (RGPD), doivent être interprétés en ce sens qu'ils s'opposent à une réglementation ou à une pratique d'un État membre conduisant l'autorité chargée de la tenue du registre du commerce de cet État membre à refuser toute demande d'effacement des données à caractère personnel, non requises par cette directive ou par le droit dudit État membre, figurant dans un contrat de société publié dans ce registre, lorsqu'une copie de ce contrat occultant ces données n'a pas été fournie à cette autorité, contrairement aux modalités procédurales prévues par cette réglementation.

1) Les dispositions du règlement 2016/679, notamment l'article 6, paragraphe 1, sous‑e), et l'article 10 de celui‑ci, doivent être interprétées en ce sens qu’elles s’opposent à ce que des données relatives à des condamnations pénales d’une personne physique figurant dans un fichier tenu par une juridiction puissent être communiquées oralement à toute personne aux fins de garantir un accès du public à des documents officiels, sans que la personne demandant la communication ait à justifier d’un intérêt spécifique à obtenir lesdites données. 2) La circonstance que cette personne soit une société commerciale ou un particulier n’ayant pas d’incidence à cet égard.

1) L'article 17, paragraphe 3, sous a), du RGPD doit être interprété en ce sens que dans le cadre de la mise en balance qu'il convient d'opérer entre les droits visés aux articles 7 et 8 de la Charte des droits fondamentaux de l'Union européenne, d'une part, et ceux visés à l'article 11 de la Charte des droits fondamentaux, d'autre part, aux fins de l'examen d'une demande de déréférencement adressée à l'exploitant d'un moteur de recherche et tendant à ce que soit supprimé de la liste de résultats d'une recherche le lien menant vers un contenu comportant des allégations que la personne ayant introduit la demande estime inexactes, ce déréférencement n'est pas soumis à la condition que la question de l'exactitude du contenu référencé ait été résolue, au moins à titre provisoire, dans le cadre d'un recours intenté par cette personne contre le fournisseur de contenu.

2) L'article 12, sous b), et l'article 14, premier alinéa, sous a), de la directive 95/46/CE et l'article 17, paragraphe 3, sous a) du règlement 2016/679 doivent être interprétés s'en ce sens que dans le cadre de la mise en balance qu'il convient d'opérer entre les droits visés aux articles 7 et 8 de la Charte des droits fondamentaux, d'une part, et ceux visés à l'article 11 de la Charte des droits fondamentaux, d'autre part, aux fins de l'examen d'une demande de déréférencement adressée à l'exploitant d'un moteur de recherche et tendant à ce que soient supprimés des résultats d'une recherche d'images effectuée à partir du nom d'une personne physique les photographies affichées sous la forme de vignettes qui représentent cette personne, il y a lieu de tenir compte de la valeur informative de ces photographies indépendamment du contexte de leur publication sur la page Internet d'où elles sont extraites, mais en prenant en considération tout élément textuel qui accompagne directement l'affichage de ces photographies dans les résultats de recherche et qui est susceptible d'apporter un éclairage sur la valeur informative de celles-ci.

Les dispositions du RGPD, notamment l'article 5, paragraphe 1, l'article 6, paragraph e 1, sous e), et l'article 10 de celui‑ci, doivent être interprétées en ce sens qu'elles s'opposent à une législation nationale qui fait obligation à l'organisme public chargé du registre dans lequel sont inscrits les points de pénalité imposés aux conducteurs de véhicules pour des infractions routières de rendre ces données à caractère personnel accessibles au public, sans que la personne demandant l'accès ait à justifier d'un intérêt spécifique à obtenir lesdites données. L'amélioration de la sécurité routière constitue un objectif d'intérêt général reconnu par l'Union et, partant, les États membres peuvent qualifier la sécurité routière de « mission d'intérêt public ». Cependant, dans le cas d'espèce, la nécessité du régime letton de communication de données à caractère personnel relatives aux points de pénalité pour assurer l'objectif visé n'est pas établie. En effet, d'une part, le législateur letton dispose d'une multitude de voies d'actions qui lui auraient permis d'atteindre cet objectif par d'autres moyens moins attentatoires aux droits fondamentaux des personnes concernées. D'autre part, il convient de tenir compte de la sensibilité des données relatives aux points de pénalité et du fait que leur communication au public est susceptible de constituer une ingérence grave dans les droits au respect de la vie privée et à la protection des données à caractère personnel, dès lors qu'elle peut provoquer la désapprobation de la société et entraîner la stigmatisation de la personne concernée.

La Cour considère que, compte tenu de la sensibilité de ces données et de la gravité de cette ingérence dans ces deux droits fondamentaux, ces droits prévalent tant sur l'intérêt du public à avoir accès à des documents officiels, tels que le registre national des véhicules et de leurs conducteurs, que sur le droit à la liberté d'information.

L'ingérence dans le droit à la vie privée et à la protection des données à caractère personnel qu'emporte la publicité des données nominatives contenues dans le regi stre des sociétés n'est pas disproportionnée eu égard au nombre de données concernées et au fait qu'elle vise à assurer la sécurité juridique dans les rapports entre les sociétés et les tiers ainsi qu'à protéger les intérêts des tiers par rapport aux socié tés par actions et aux sociétés à responsabilité limitée.

Il ne peut donc être garanti aux personnes physiques dont les données sont inscrites dans le registre des sociétés le droit d'obtenir, après un certain délai à compter de la dissolution de la socié té, l'effacement des données à caractère personnel les concernant.

En revanche, les États membres peuvent exceptionnellement déroger à cette exigence de publicité. Il leur appartient de déterminer si les personnes physiques, visées à l'article 2, paragrap he 1, sous d) e t j) de la directive 68/151/CEE, à savoir, d'une part, les personnes qui ont le pouvoir d'engager une société à l'égard des tiers et de la représenter en justice et celles qui participent à l'administration, à la surveillance ou au contrôle de la société et, d'autre part, les liquidateurs d'une société, peuvent demander à l'autorité chargée de la tenue, respectivement, du registre central, du registre du commerce ou du registre des sociétés de vérifier, sur la base d'une appréciation au cas p ar cas, s'il est exceptionnellement justifié, pour des raisons prépondérantes et légitimes tenant à leur situation particulière, de limiter, à l'expiration d'un délai suffisamment long après la dissolution de la société concernée, l'accès aux données à car actère personnel les concernant, inscrites dans ce registre, aux tiers justifiant d'un intérêt spécifique à la consultation de ces données.

Il découle des exigences, prévues à l'article 6, paragraphe 1, sous c) à e), de la Directive 95/46, que même un traitement initialement licite de données exactes peut devenir, avec le temps, incompatible avec cette directive lorsque ces données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées. Ainsi, dans l'hypothèse où il est constaté, à la suite d'une demande de la personne concernée en application de l'article 12, sous b), de la Directive 95/46, que l'inclusion dans la liste de résultats, affichée à la suite d'une recherche effectuée à partir de son nom, des liens vers des pages web publiées légalement par des tiers et contenant des informations véridiques relatives à sa personne, est, au stade actuel, incompatible avec ledit article 6, paragraphe 1, sous c) à e), en raison du fait que ces informations apparaissent, eu égard à l'ensemble des circonstances caractérisant le cas d'espèce, inadéquates, pas ou plus pertinentes ou excessives au regard des finalités du traitement en cause réalisé par l'exploitant du moteur de recherche, les informations et les liens concernés de ladite liste de résultats doivent être effacés.

Dans ce contexte, la constatation d'un droit de la personne concernée à ce que l'information relative à sa personne ne soit plus liée à son nom par une liste de résultats ne présuppose pas que l'inclusion de l'information en question dans la liste de résultats cause un préjudice à la personne concernée.

La personne concernée, pouvant, eu égard à ses droits fondamentaux au titre des articles 7 et 8 de la Charte des droits fondamentaux de l'Union européenne, demander à ce que l'information en question ne soit plus mise à la disposition du grand public par son inclusion dans une telle liste de résultats, ces droits prévalent, en principe, non seulement sur l'intérêt économique de l'exploitant du moteur de recherche, mais également sur l'intérêt de ce public à trouver ladite information lors d'une recherche portant sur le nom de cette personne. Cependant, tel ne serait pas le cas s'il apparaissait, pour des raisons particulières, telles que le rôle joué par ladite personne dans la vie publique, que l'ingérence dans ses droits fondamentaux est justifiée par l'intérêt prépondérant dudit public à avoir, du fait de cette inclusion, accès à l'information en question.

Conformité à la Constitution d'un dispositif autorisant à titre expérimental et pour une durée de trois ans, les administrations fiscales et douanières à collecter et à exploiter de manière automatisée les contenus accessibles publiquement sur les sites internet de certains opérateurs de plateforme, aux fins de recherche de manquements et d'infractions en matière fiscale et douanière malgré l'atteinte au droit au respect de la vie privée dès lors que : le dispositif poursuit l'objectif à valeur constitutionnelle de lutte contre la fraude et l'évasion fiscale ; les traitements de données autorisés par les dispositions contestées peuvent être mis en œuvre, d'une part, pour les besoins de la recherche de certains manquements et certaines infractions dont la commission est rendue possible ou favorisée par l'usage d'internet et, d'autre part, pour rechercher l'insuffisance de déclaration découlant d'un manquement aux règles de domiciliation fiscale. Si la commission de ce manquement n'est pas rendue possible ou favorisée par l'usage d'internet, il résulte des travaux parlementaires que le législateur, qui a souhaité limiter le nombre de manquements susceptibles d'être recherchés, a entendu viser un des cas les plus graves de soustraction à l'impôt, qui peut être particulièrement difficile à déceler ; les données susceptibles d'être collectées et exploitées doivent répondre à deux conditions cumulatives. D'une part, il doit s'agir de contenus librement accessibles sur un service de communication au public en ligne d'une des plateformes précitées, à l'exclusion donc des contenus accessibles seulement après saisie d'un mot de passe ou après inscription sur le site en cause. D'autre part, ces contenus doivent être manifestement rendus publics par les utilisateurs de ces sites. Il en résulte que ne peuvent être collectés et exploités que les contenus se rapportant à la personne qui les a délibérément divulgués. En outre, les données sensibles au sens du paragraphe I de l'article 6 de la loi du 6 janvier 1978, c'est‑à‑dire celles qui révèlent la prétendue origine raciale ou l'origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale d'une personne, les données génétiques et biométriques et celles concernant la santé et la vie ou l'orientation sexuelle, ne peuvent faire l'objet d'aucune exploitation à des fins de recherche de manquements ou d'infractions ; d'une part, les traitements de données autorisés par les dispositions contestées ne peuvent comporter aucun système de reconnaissance faciale. D'autre part, ils ne peuvent être mis en œuvre que par des agents des administrations fiscales et douanières ayant au moins le grade de contrôleur et spécialement habilités ; les données qui s'avèrent manifestement sans lien avec les manquements et infractions recherchés ou qui constituent des données sensibles sont détruites au plus tard dans les cinq jours suivant leur collecte, sans aucune autre exploitation possible de ces données pendant ce délai. Les autres données doivent être détruites dans les trente jours si elles ne sont pas de nature à concourir à la constatation des manquements ou infractions. Seules peuvent être conservées les données strictement nécessaires à une telle constatation, dans la limite d'une année ou, le cas échéant, jusqu'au terme de la procédure pénale, fiscale ou douanière dans le cadre de laquelle elles sont utilisées ; aucune procédure pénale, fiscale ou douanière ne peut être engagée sans qu'ait été portée une appréciation individuelle de la situation de la personne par l'administration, qui ne peut alors se fonder exclusivement sur les résultats du traitement automatisé ; le traitement instauré par les dispositions contestées est mis en œuvre dans le respect de la loi du 6 janvier 1978, à l'exception du droit d'opposition prévu à son article 110 ; la mise en œuvre des traitements de données, tant lors de leur création que lors de leur utilisation, doit être proportionnée aux finalités poursuivies. Il appartiendra notamment, à ce titre, au pouvoir réglementaire, sous le contrôle du juge, de veiller à ce que les algorithmes utilisés par ces traitements ne permettent de collecter, d'exploiter et de conserver que les données strictement nécessaires à ces finalités.

Demande de communication d'un registre de contentieux et d'isolation au titre du droit d'accès aux documents administratifs. Dans le cas où l'identité des patients a fait l'objet d'une pseudonymisation, laquelle ne permet l'identification des personnes en cause qu'après recoupement d'informations, il appartient au juge administratif d'apprécier si, eu égard à la sensibilité des informations en cause et aux efforts nécessaires pour identifier les personnes concernées, leur communication est susceptible de porter atteinte à la protection de la vie privée et au secret médical. En l'espèce, compte tenu de la nature des informations en cause, qui touchent à la santé mentale des patients, et du nombre restreint de personnes pouvant faire l'objet d'une mesure de contention et d'isolement, facilitant ainsi leur identification, alors que les autorités énumérées à la dernière phrase du deuxième alinéa de l'article L. 3222‑5‑1 du code de la santé publique peuvent accéder à l'ensemble des informations figurant sur les registres et contrôler l'activité des établissements concernés, l'identifiant dit "anonymisé" figurant dans ces registres, qu'il s'agisse, selon la pratique du centre hospitalier, de "l'identifiant permanent du patient" (IPP) ou d'un identifiant spécialement défini, doit être regardé comme une information dont la communication est susceptible de porter atteinte à la protection de la vie privée et au secret médical. Cet identifiant n'est donc communicable qu'au seul intéressé en vertu des dispositions de l'article L. 311‑6 du code des relations entre le public et l'administration.

1) Il résulte de l'article 21-1 de la loi n° 71‑1130 du 31 décembre 1971 que le législateur a voulu confier au CNB une nouvelle fonction, liée à sa mission de service public relative à l'organisation de la profession réglementée d'avocat : constituer et rendre accessible au public la liste à jour des avocats inscrits au tableau d'un barreau. L’Annuaire national des avocats qu’il doit établir et mettre à jour constitue ainsi, dans son intégralité, un Document administratif.

2) a) Si, en vertu de ces dispositions, il appartient au CNB de rendre accessible en ligne un annuaire national des avocats inscrits au tableau d'un barreau selon les modalités qu’il fixe, l’absence de dispositions réglementaires le précisant notamment, ainsi que la manière dont il y est procédé, se traduit par le biais d’un moteur de recherche sur son site internet permettant à l’internaute d’interroger la base de données à partir de certains champs de recherche et d’obtenir des résultats extraits de l’annuaire.

b) Il ne résulte pas de ces dispositions, éclairées par les travaux préparatoires de la loi n° 2016‑1547 du 18 novembre 2016 dont elles sont issues, que le législateur aurait voulu déroger aux règles de droit commun régissant la publication en ligne des documents administratifs, rappelées aux articles L. 300‑2, L. 300‑4, L. 311‑1, L. 311‑9, L. 312‑1‑1 et au 3° de l’article D. 312‑1‑3 du code des relations entre le public et l’administration (CRPA) et, en particulier, soustraire le CNB, saisi d’une demande en ce sens, à l’obligation de publier en ligne le fichier correspondant à l’annuaire national des avocats dans son intégralité dans un standard ouvert, aisément réutilisable et exploitable par un système de traitement automatisé, ainsi que, spontanément, chaque mise à jour.

3) Lorsqu’une personne demande à accéder à l’Annuaire national des avocats selon la modalité d’une publication en ligne, en application du 4° de l’article L. 311‑9 du CRPA, et que le CNB n’a rendu accessible l’annuaire qu’il établit et met à jour uniquement par le biais d’un moteur de recherche sur son site internet, permettant à l’internaute d’interroger la base de données à partir de certains champs de recherche et d’obtenir un nombre limité de résultats,

a) une telle mise à disposition ne peut être considérée comme une publication en ligne du document administratif au sens de l’article L. 311‑9 du CRPA.

b) ni comme une diffusion publique du document au sens de l’article L. 312‑1‑1 du CRPA, diffusion qui est de droit pour les documents disponibles sous forme électronique communiqués en application des procédures prévues au titre 3 du CRPA, alors que cette publication en ligne n’est pas réalisée dans un standard ouvert, aisément réutilisable et exploitable par un système de traitement automatisé, comme l’exige l’article L. 300‑4 du même code.

Dans le cas particulier d'une demande d'effacement, fondée sur une opposition au traitement, relative à certains éléments figurant dans une décision de justice publiée sur internet, il y a lieu de tenir compte de la possibilité d'anonymiser la décision sans la rendre incompréhensible ou diminuer sa valeur doctrinale pour le public. Si tel est le cas et si la publication porte atteinte à la vie privée du demandeur, il doit en principe être procédé à l'effacement des données à caractère personnel publiées. Dans les autres cas, il y a lieu de mettre en balance l'atteinte que cette publication porte à la vie privée du demandeur avec les droits et intérêts du responsable de traitement, ainsi que l’intérêt du public à connaître cette décision, au regard notamment de son apport jurisprudentiel.

En l'espèce, la requérante avait souhaité s'opposer au traitement de ses données par la publication d'une décision de justice, en application de l'article 21 du RGPD, afin d'obtenir l'effacement des données permettant de l'identifier dans la décision, sur le fondement de l'article 17 du RGPD.

L'article R.112-1-3 dispose que la Réutilisation de ces informations ne doit avoir ni pour objet ni pour effet de permettre la réidentification des personnes concernées par les mutations immobilières. 1) Dès lors qu'un site internet se contente de reprendre les données en open data pour les publier, sans croisement, le traitement repose sur un intérêt légitime et est conforme à la réglementation de cette base de données. 2) En cas d'exercice du droit d'opposition, en application des articles 21 du RGPD et R.112-1-3, les personnes qui indiquent que les données publiées par l'État, même limitées à celles publiées par l'État, ont pour effet de permettre leur réidentification (par exemple lorsqu'une recherche sur un moteur de recherche avec l'adresse du bien permet de retrouver la personne ayant acquis) ont le droit à ce que des mesures empêchant la réidentification soient mises en œuvre. En particulier, il est possible de ne plus lier le prix du bien immobilier en question à une adresse précise mais à une zone géographique plus large.

La mise en ligne de la notation individuelle d'enseignants et de leur établissement d'activité est susceptible de porter atteinte à la réputation professionnelle et à la notoriété de l'enseignant de façon disproportionnée. En effet, la société proposant un système de notation des enseignants qui ne s'inscrit pas dans le cadre juridique de la notation des enseignants fixé par leurs autorités hiérarchiques mais poursuit une activité commerciale reposant sur l'audience d'un site internet qui ne lui confère aucune légitimité pour procéder ou faire procéder à une notation individuelle des enseignants est susceptible de créer une confusion, dans l'esprit du public, avec un régime de notation officiel. Faute de légitimité, ce type de traitement est susceptible de constituer un manquement à l'obligation d'adéquation, de pertinence et du caractère non excessif des données.