CE24 décembre 2021CE, 10-9 chambres réunies, 24 décembre 2021, Ligue des droits de l'homme et autres, n° 447513, T., point 12ème Voir aussi: CE, 10ème – 9 chambres réunies, 24 décembre 2021, Ligue des droits de l'homme et(source)
Traitement relevant de la directive « Police - Justice » susceptible d'engendrer un risque élevé pour les droits et les libertés des personnes physiques et mis en œuvre pour le compte de l'État – Analyse d’impact devant être réalisée et transmise à la CNIL avant l'édiction de l'acte définissant le traitement
Il résulte de l'article 90 de la loi du 6 janvier 1978 applicable aux traitements à caractère personnel relevant de la directive (UE) 2016/80 du 27 avril 2016, mis en œuvre à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces. Lorsque l'analyse d'impact est exigée préalablement à la création ou à la modification d'un tel traitement mis en œuvre pour le compte de l'État, il appartient à l'administration, à peine d'irrégularité de l'acte instituant ou modifiant ce traitement, de la réaliser et de la transmettre à la Commission nationale de l'informatique et des libertés (CNIL) dans le cadre de la demande d'avis prévue à l'article 33 de la loi du 6 janvier 1978.
CE4 octobre 2019CE, 10-9 chambres réunies, 4 octobre 2019, Association C'ercle de réflexion et de proposition d'actions sur la psychiatrie, n° 421329, 422497, 424818, Rec., point 22(source)
Mention des modalités d'information des personnes dont les données sont recueillies – Absence d'obligation
Il ne résulte pas des dispositions des articles 29 et 32 de la loi du 6 janvier 1978 que l'acte portant création d'un traitement de données à caractère personnel doive mentionner les modalités d'information des personnes dont les données sont recueillies.
CE19 juillet 2019CE, Assemblée, 19 juillet 2019, Association des Américains accidentels, n° 424216, Rec., point 8(source)
Traitement relevant du RGPD ayant pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou des mesures de sûreté (art. 31 de la loi du 6 janvier 1978) – Notion – Traitement ayant pour finalité le transfert de données fiscales vers l'administration fiscale américaine – Inclusion
Accord conclu le 14 novembre 2013 entre le Gouvernement de la République française et le Gouvernement des États-Unis d’Amérique en vue d’améliorer le respect des obligations fiscales à l’échelle internationale et de mettre en œuvre la loi relative au respect des obligations fiscales concernant les comptes étrangers (dite « loi FATCA »). Traitement d’échange automatique d’informations organisant notamment la collecte et le transfert de données à caractère personnel aux autorités fiscales américaines créé pour la mise en œuvre de cet accord. Si le traitement créé par l’arrêté du 5 octobre 2015 a pour finalité de lutter contre la fraude et l’évasion fiscales et relève à ce titre du RGPD et non de la directive n° 2016/680, il doit être regardé comme ayant parmi ses objets la prévention, la recherche, la constatation ou la poursuite des infractions pénales. Il s’ensuit, eu égard à cet objet, qu’il est au nombre des traitements visés à l’article 31 de la loi n° 78‑17 du 6 janvier 1978.
CE24 avril 2019CE, 10-9 chambres réunies, 24 avril 2019, Caisse d'épargne et de prévoyance Languedoc-Roussillon, n° 419498, T., point 8(source)
Traitement mis en œuvre par l'administration fiscale, permettant à des tiers de consulter les données fiscales d'un particulier pour vérifier l'authenticité des données que celui-ci leur a fournies – Définition insuffisamment précise des personnes susceptibles de consulter ce traitement – Conséquence – Méconnaissance de l'article 29 de la loi du 6 janvier 1978 dans sa rédaction applicable au litige
Arrêté créant un traitement ayant pour objet de permettre à des tiers à qui un contribuable a communiqué une copie de son avis d'impôt sur le revenu ou de son justificatif d'impôt sur le revenu, de vérifier l'authenticité des données qui y figurent au moyen d'une consultation directe du justificatif d'impôt sur le revenu du contribuable certifié par l'administration fiscale.
Les destinataires du traitement ne sont définis, par les dispositions de l'arrêté attaqué, que comme les personnes ayant besoin, dans le cadre de leurs activités, de connaître et de vérifier l'authenticité des informations contenues dans le justificatif d'impôt sur le revenu d'un contribuable. Une telle définition ne peut être regardée, eu égard à l'importance des données en cause, comme précisant suffisamment les destinataires ou catégories de destinataires habilités à en recevoir communication, comme l'exige l'article 29 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dite loi Informatique et Libertés. Dès lors que les dispositions en cause ne sont pas divisibles du reste de l'arrêté attaqué, celui-ci doit être déclaré illégal.
CE23 octobre 2017CE, 10-9 chambres réunies, 23 octobre 2017, Conseil national des barreaux, n° 394474, Rec., point 5(source)
Traitement destiné au recensement, à la gestion et au suivi des déclarations rectificatives – Mise en conformité avec la législation fiscale – Création subordonnée à la prise d'un arrêté du ministre compétent après avis de la CNIL
Doit être regardé comme ayant parmi ses objets celui de prévenir la continuation et la réitération d'infractions pénales, au sens des dispositions du 2° du I de l'article 26 de la loi du 6 janvier 1978 applicable au litige, le traitement destiné au recensement, à la gestion et au suivi des déclarations rectificatives faites spontanément par les contribuables en vue de la mise en conformité avec la législation fiscale de leurs avoirs détenus à l'étranger non déclarés à l'administration fiscale, qui contribue à éviter la continuation et la réitération de comportements susceptibles d'être constitutifs de fraude fiscale et pouvant, le cas échéant, faire l'objet de poursuites pénales. Par suite, la création subordonnée à la prise d'un arrêté du ministre compétent après avis de la CNIL ne peut résulter que d'un arrêté du ministre compétent, pris après avis motivé de la CNIL.
CE11 avril 2014CE, 10ème/9ème SSR, 11 avril 2014, Union générale des syndicats pénitentiaires CGT, n° 355624, Inédit., point 7(source)
Traitement mis en œuvre pour le compte de l'État relatif à la sûreté de l'État, la défense ou la sécurité publique faisant apparaître directement ou indirectement des données sensibles – Autorisation par décret en Conseil d'État pris après avis motivé et publié de la CNIL – Caractère consultatif de ce avis
Les traitements de données à caractère personnel mis en œuvre pour le compte de l'État, qui intéressent la sûreté de l'État, la défense ou la sécurité publique et qui portent sur des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci, sont autorisés par décret en Conseil d'État pris après avis motivé et publié de la CNIL. Cet avis ne saurait lier l'autorité administrative, mais celle-ci doit en toute hypothèse respecter les exigences de la loi du 6 janvier 1978 et les intérêts que le législateur a entendu protéger.
