Constitue une mesure de nature à ne plus permettre la réidentification des personnes, la mise en place d'une procédure d'anonymisation automatique des données clients à l'issue de la période d'archivage intermédiaire, par laquelle les données – nom, prénom, numéro de téléphone, adresse électronique, adresse postale et coordonnées bancaires – sont remplacées par des données non identifiantes qui correspondent à une série de « X ». D'autres données sont supprimées, et seules sont conservées les données clients correspondant à la civilité, au code postal et à la ville. Ces dernières données, seules ou en lien avec d’autres données accessibles par le responsable de traitement ou des tiers, ne permettent pas, en l'espèce, de réidentifier la personne concernée.

Il y a lieu, lorsque des dispositions législatives ou réglementaires font référence à la notion d’anonymisation, de rechercher quelle est l’intention de l’auteur du texte pour comprendre la portée de ses exigences, et notamment si les dispositions en cause exigent une anonymisation au sens du RGPD ou une pseudonymisation, par occultation des données directement identifiantes. La Commission invite le législateur et le pouvoir réglementaire à tenir systématiquement compte de la distinction posée par le RGPD et à employer le mot d’anonymisation dans le seul sens restrictif que lui donne le RGPD.

L'anonymisation peut être considérée comme un moyen permettant de se conformer aux obligations en matière de limitation de la durée de conservation lorsqu'à l'issue d'une période de conservation en base active pendant la durée d'une relation contractuelle, une société procède à un premier tri des données en anonymisant les données non pertinentes et en conservant, en base d'archivage intermédiaire, les données permettant de répondre aux obligations légales ou lorsqu'elles présentent un intérêt administratif pour la société, et lorsqu'à l'issue de cette période d'archivage intermédiaire les données sont automatiquement anonymisées.

La durée de conservation des données à caractère personnel doit être déterminée en fonction de la finalité poursuivie par le traitement. Lorsque cette finalité est atteinte, les données doivent en principe être supprimées, anonymisées ou faire l'objet d'un archivage intermédiaire lorsque leur conservation est nécessaire pour le respect d'obligations légales ou à des fins précontentieuses ou contentieuses.

L'effectivité de la mise en œuvre d'une politique de durée de conservation des données est le pendant nécessaire de sa définition et permet d'assurer que les données sont conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées. Cela permet notamment de réduire les risques d'usage non autorisé des données en cause, par un salarié ou par un tiers.

L'article L. 411 - 10 du c ode de la construction et de l'habitation prévoit que le ministère chargé du logement tient un répertoire des logements locatifs sociaux et de leurs habitants, pour permettre l'élaboration et la mise en œuv re des politiques publiques de l'habitat.

Le c du 1° du paragraphe I de l'article 78 de la loi relative à l'égalité et à la citoyenneté complète cet article L. 411 - 10. Il prévoit que, pour alimenter ce répertoire, les bailleurs sociaux transmettent au min istère chargé du logement le numéro d'immatriculation au répertoire national d'identification des personnes physiques de chaque occupant majeur d'un logement locatif social.

En adoptant les dispositions contestées, le législateur a entendu que le ministère chargé du logement soit en mesure d'établir une cartographie de l'occupation socio - économique du parc de logements sociaux, afin d'améliorer la mise en œuvre de la politique en matière d'attribution de ces logements. Il a ainsi poursuivi un objectif d'int érêt général.

Si les collectivités territoriales et certains de leurs établissements publics peuvent obtenir du représentant de l'État dans la région les informations relatives aux logements situés sur leur territoire contenues dans le répertoire, c'est, e n vertu du huitième alinéa de l'article L. 411 - 10, à la condition que ces informations aient été préalablement rendues anonymes.

Par ailleurs, le législateur a prévu au 4° du paragraphe I de l'article 78 que l'exploitation des données du répertoire par le groupement d'intérêt public mentionné à l'article L. 441 - 2 - 1 du c ode de la construction et de l'habitation est réalisée de manière à rendre impossible l'identification des intéressés.

Il en résulte que le législateur a retenu des modalités de collecte, d' enregistrement, de conservation, et de communication du numéro d'immatriculation au répertoire national d'identification des personnes physiques adéquates et proportionnées à l'objectif poursuivi. Par conséquent, le grief tiré de la méconnaissance du droit au respect de la vie privée doit être écarté.

1) Dans le cas particulier d'une demande d'effacement, fondée sur une opposition au traitement, relative à certains éléments figurant dans une décision de justice publiée sur internet, il y a lieu de tenir compte de la possibilité d'anonymiser la décision sans la rendre incompréhensible ou diminuer sa valeur doctrinale pour le public. Si tel est le cas et si la publication porte atteinte à la vie privée du demandeur, il doit en principe être procédé à l'effacement des données à caractère personnel publiées.

2) Dans les autres cas, il y a lieu de mettre en balance l'atteinte que cette publication porte à la vie privée du demandeur avec les droits et intérêts du responsable de traitement, ainsi que l'intérêt du public à connaître cette décision, au regard notamment de son apport jurisprudentiel.

Il résulte des dispositions des articles 2 et 38 de la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dite loi Informatique et Libertés, que la mise en ligne sur le réseau internet d’une base de données de jurisprudence non totalement anonymisée doit être regardée comme un traitement automatisé de données à caractère personnel au sens de la loi Informatique et Libertés, auquel s’applique le droit d’opposition qu’elle ouvre aux personnes concernées.

Dans le cas particulier d'une demande d'effacement, fondée sur une opposition au traitement, relative à certains éléments figurant dans une décision de justice publiée sur internet, il y a lieu de tenir compte de la possibilité d'anonymiser la décision sans la rendre incompréhensible ou diminuer sa valeur doctrinale pour le public. Si tel est le cas et si la publication porte atteinte à la vie privée du demandeur, il doit en principe être procédé à l'effacement des données à caractère personnel publiées. Dans les autres cas, il y a lieu de mettre en balance l'atteinte que cette publication porte à la vie privée du demandeur avec les droits et intérêts du responsable de traitement, ainsi que l’intérêt du public à connaître cette décision, au regard notamment de son apport jurisprudentiel.

En l'espèce, la requérante avait souhaité s'opposer au traitement de ses données par la publication d'une décision de justice, en application de l'article 21 du RGPD, afin d'obtenir l'effacement des données permettant de l'identifier dans la décision, sur le fondement de l'article 17 du RGPD.

En vertu de l'article 5‑1‑e du RGPD, il incombe au responsable de traitement de définir une durée de conservation conforme à la finalité du traitement. Lorsque cette finalité est atteinte, les données doivent être supprimées ou anonymisées ou faire l'objet d'un archivage intermédiaire pour les seules données pertinentes, lorsque leur conservation est nécessaire, par exemple pour le respect d'obligations légales ou à des fins précontentieuses ou contentieuses notamment. Au-delà des durées de conservation des données versées en archives intermédiaires, les données à caractère personnel doivent, sauf exception, être supprimées ou anonymisées.

À ce titre, la CNIL recommande une durée de conservation des images issues de la vidéosurveillance de quelques jours. Lorsqu'un incident survient et le justifie, les images pertinentes peuvent être conservées plus longtemps. La durée de conservation des images issues d'un dispositif de protection vidéo est quant à elle fixée à un mois maximum en application de l'article L 252‑5 du code de la sécurité intérieure.

1) Si l’article 17 de la loi n°78‑17 du 6 janvier 1978 stipule que la formation restreinte de la Commission nationale informatique et libertés (CNIL), autorité investie du pouvoir de sanction, est seule compétente pour réexaminer les sanctions qu’elle a prononcées et, le cas échéant, pour mettre fin à tout ou partie de leurs effets, il n’est en revanche pas question d’examiner la demande d’un tiers aux poursuites visant l’absence de publication des mentions le concernant figurant dans une décision de sanction ou l’anonymisation de telles mentions. Cette démarche ne se rattache pas à l’exercice, par l’autorité investie du pouvoir de sanction, de ses fonctions répressives réservées par la loi, en ce qui concerne la CNIL et sa formation restreinte. Ainsi, le président de la CNIL peut compétemment se prononcer sur une telle demande.

2) Lorsqu’un tiers demande soit qu’il ne soit pas procédé à la publication des mentions le concernant figurant dans une décision de sanction prononcée par la CNIL dont le dispositif ne lui fait pas grief, soit l’anonymisation de telles mentions dans la version publiée de cette sanction, l’autorité compétente est tenue de faire droit à cette demande, sous la seule réserve de vérifier l’existence des mentions en litige.

3) Le Conseil d'État est compétent en premier et dernier ressort pour connaître d’un recours contre la décision prise sur une telle demande.

Lorsqu'une délibération de la formation restreinte relative à la clôture d'une injonction prononcée à l'encontre d’une société est rendue publique, cette délibération ne devra plus identifier nommément la société à l'expiration du délai de publication de la sanction, afin d'éviter que la clôture de l'injonction ne prolonge la publicité de la condamnation.