CNIL17 février 2022CNIL, P, 17 février 2022, Avis sur projet de décret, CESE, n° 2022-023, publié, point 6 Voir au ssi: CJUE, 9 juillet 2020, Land Hessen, C-272/19(source)
Traitements mis en œuvre par le CESE dans le cadre des saisines par voie de pétition
Si certains traitements mettant en œuvre des dispositions constitutionnelles françaises et n'intéressant ni la défense nationale, ni la sûreté de l'État relèvent du seul titre I er de la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (v. CNIL, SP, 14 janvier 2021, Avis sur projet de décret, Répertoire électoral unique, n° 2021‑008, publié), le RGPD est applicable aux traitements mis en œuvre par le Conseil économique, social et environnemental dans le cadre des saisines par voie de pétition. En effet, la Cour de justice de l’Union européenne a estimé que le RGPD était applicable aux traitements de données à caractère personnel effectués par la Commission des pétitions du parlement d’un État fédéré d’un État membre dans le cadre de ses activités.
CJUE4 février 2022CJUE, 24 février 2022, Valsts ieņēmumu dienests, C-175/20, points 44-45(source)
Perception de l'impôt et lutte contre la fraude fiscale – Collecte de données personnelles par l'administration fiscale d'un opérateur économique – Champ d'application de la directive « Police - Justice » – Absence
Lorsqu'elle demande à un opérateur économique de lui communiquer des données à caractère personnel relatives à certains contribuables aux fins de la perception de l'impôt et de la lutte contre la fraude fiscale, il n'apparaît pas que l'administration fiscale d'un État membre puisse être considérée comme une « autorité compétente », au sens de l'article 3, point 7, de la directive 2016/680, ni, partant, que de telles demandes d'informations puissent relever de l'exception prévue à l'article 2, paragraphe 2, sous d), du RGPD. En outre, même s'il n'est pas exclu que les données à caractère personnel en cause au principal puissent être utilisées dans le cadre de poursuites pénales qui pourraient être exercées, en cas d'infraction dans le domaine fiscal, contre certaines des personnes concernées, il n'apparaît pas que ces données soient collectées dans l'objectif spécifique d'exercer de telles poursuites pénales ou dans le cadre des activités de l'État relatives à des domaines du droit pénal.
CJUE26 janvier 2023CJUE, 26 janvier 2023, Ministerstvo na vatreshnite raboti, C-205/21(source)
Traitements relevant de la directive Police justice - Exigence d'une autorisation du traitement par le droit de l'Etat membre – Circonstance que la disposition légale se réfère également au RGPD - Circonstance sans incidence sur la validité de la base juridique
L'article 10, sous a), de la directive (UE) 2016/680 du Parlement européen et du Conseil, du 27 avril 2016, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, lu à la lumière de l'article 52 de la Charte des droits fondamentaux de l'Union européenne, doit être interprété en ce sens que le traitement de données biométriques et génétiques par les autorités de police en vue de leurs activités de recherche, à des fins de lutte contre la criminalité et de maintien de l'ordre public, est autorisé par le droit d'un État membre, au sens de l'article 10, sous a), de cette directive, dès lors que le droit de cet État membre contient une base juridique suffisamment claire et précise pour autoriser ledit traitement. Le fait que l'acte législatif national contenant une telle base juridique se réfère, par ailleurs, au règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et non à la directive 2016/680, n'est pas de nature, en lui‑même, à remettre en cause l'existence d'une telle autorisation, pour autant qu'il ressort, de manière suffisamment claire, précise et dénuée d'équivoque de l'interprétation de l'ensemble des dispositions applicables du droit national que le traitement de données biométriques et génétiques en cause relève du champ d'application de cette directive, et non de ce règlement.
CJUE4 mai 2017CJUE, 4 mai 2017, Rïgas satiksme, C‑13/16(source)
Directive 95/46/CE – Demande par un particulier de communication des données personnelles d'une personne responsable d'un accident de la circulation afin d'exercer un droit en justice – Possibilité pour le responsable du traitement de faire droit à une telle demande
L'article 7, sous f), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, doit être interprété en ce sens qu'il n'impose pas l'obligation de communiquer des données à caractère personnel à un tiers afin de lui permettre d'introduire un recours en indemnisation devant une juridiction civile pour un dommage causé par la personne concernée par la protection de ces données. Toutefois, l'article 7, sous f), de cette directive ne s'oppose pas à une telle communication sur la base du droit national.
CJUE24 novembre 2011CJUE, 24 novembre 2011, ASNEF, C‑468/10 et C‑469/10(source)
Réglementation nationale conditionnant la légitimité de l'intérêt conditionnée à un consentement ou au caractère public de la donnée – Inconventionnalité
L'article 7, sous f) de la directive 95/46/CE du 24 octobre 1995 s'oppose à une réglementation nationale qui, en l'absence du consentement de la personne concernée et pour autoriser le traitement de ses données à caractère personnel nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable de ce traitement ou par les tiers auxquels ces données sont communiquées, exige, outre le respect des droits et libertés fondamentaux de cette dernière, que lesdites données figurent dans des sources accessibles au public, excluant ainsi de façon catégorique et généralisée tout traitement de données ne figurant pas dans de telles sources.
CJUE21 décembre 2023CJUE, 21 décembre 2023, Krankenversicherung Nordrhein, C-667/21(source)
Traitement de données concernant la santé fondé sur l'article 9, paragraphe 2, sous h) du RGPD – Double condition de licéité – Respect des exigences de l'article 9, paragraphe 2, sous h) et de l'article 6, paragraphe 1 du RGPD
L’article 9, paragraphe 2, sous h), et l’article 6, paragraphe 1, du règlement 2016/679 doivent être interprétés en ce sens qu’un traitement de données concernant la santé fondé sur cette première disposition doit, afin d’être licite, non seulement respecter les exigences découlant de celle‑ci, mais aussi remplir au moins l’une des conditions de licéité énoncées à cet article 6, paragraphe 1.
CJUE21 mars 2024CJUE, 21 mars 2024, Landhauptstadt Wiesbaden, C-61/22(source)
Règlement (UE) 2019/1157 – Renforcement de la sécurité des cartes d’identité des citoyens de l’Union européenne – Validité – Absence – Maintien des effets d’un règlement déclaré invalide dans le temps
Le Règlement (UE) 2019/1157, relatif au renforcement de la sécurité des cartes d'identité des citoyens de l'Union, est invalide en ce qu'il a été adopté sur une base juridique erronée. Toutefois, l'insertion obligatoire dans les cartes d'identité de deux empreintes digitales, prévue par ce règlement, est compatible notamment avec les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel. Les effets sont donc maintenus jusqu'à l'entrée en vigueur d'un nouveau règlement, fondé sur la base juridique spécifique appropriée, appelé à le remplacer.
CJUE4 février 2022CJUE, 24 février 2022, Valsts ieņēmumu dienests, C‑175/20, points 52, 56‑57(source)
Traitement de données à caractère personnel à des fins fiscales – 1) «Mesure législative» limitant la portée des obligations et des droits au sens du RGPD – Mesure nécessairement adoptée par un parlement – Absence – Conditions – Clarté, précision et prévisibilité de la limitation pour les justiciables – 2) Demande de communication d'informations relatives à des annonces de vente de véhicules mises en ligne – a) Application des principes de l'article 5 du RGPD – Application, en l'absence d mention expresse inverse dans le droit national – b) Licéité – Existence
1) Il ressort du considérant 41 du RGPD, que la référence, dans ce règlement, à une « mesure législative » n’implique pas nécessairement que l’adoption d’un acte législatif par un parlement est exigée.
Toute mesure adoptée en vertu de l’article 23 du RGPD doit, ainsi que le législateur de l’Union l’a souligné au considérant 41 de ce règlement, être claire et précise, et son application prévisible pour les justiciables. En particulier, ces derniers doivent pouvoir identifier les circonstances et conditions dans lesquelles la portée des droits qu’ils confère ledit règlement est susceptible d’être limitée.
Il découle des considérations qui précèdent que l’administration fiscale d’un État‑membre ne saurait déroger aux dispositions de l’article 5, paragraphe 1, du RGPD en l’absence d’une base juridique claire et précise du droit de l’Union ou du droit national, dont l’application est prévisible pour les justiciables, prévoyant les circonstances et conditions dans lesquelles la portée des obligations et des droits prévues à cet article 5 peut être limitée.
2) a) Les dispositions du RGPD doivent être interprétées en ce sens que l’administration fiscale d’un État‑membre ne saurait déroger aux dispositions de l’article 5, paragraphe 1, de ce règlement, qui fixe les principes à respecter par tout traitement, alors qu’un tel droit ne lui a pas été octroyé par le droit national, au sens de l’article 23, paragraphe 1, de ce même texte.
b) Les dispositions du RGPD doivent être interprétées en ce sens qu’elles ne s’opposent pas à ce que l’administration fiscale d’un État‑membre impose à un prestataire de services d’annonces publiées sur internet de lui communiquer des informations relatives aux contribuables ayant publié des annonces dans l’une des rubriques de son portail en ligne, dès lors que cela est nécessaire à la mission d’intérêt public poursuivie par cette administration. Néanmoins, les données demandées doivent être nécessaires au regard des finalités spécifiques pour lesquelles elles sont collectées et la période sur laquelle porte leur collecte ne saurait excéder la durée strictement nécessaire pour atteindre l’objectif d’intérêt général visé.
CE30 décembre 2021CE, 10ème – 9 chambres réunies, 30 décembre 2021, Société B… Avocat Victimes et Préjudices et autres, n° 440376, Inédit., points 5, 28ème Voir aussi: CE, 10 – 9 chambres réunies, 18 octobre 2018, M. K… et autres, n° 404996, Re c.;(source)
Décret du Premier ministre autorisant la collecte de données nécessaires au développement d'un algorithme pour l'indemnisation du préjudice corporel – « Mesure législative » pour la limitation des droits au sens du RGPD – Inclusion
Le Premier ministre est compétent pour l'adoption d'un décret se bornant à autoriser la collecte de données nécessaires au développement d’un algorithme en matière d’indemnisation du préjudice corporel, sans déroger à la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Cette loi n’a ni pour objet, ni pour effet de fixer des règles relatives aux garanties fondamentales accordées aux citoyens pour l’exercice des libertés publiques, y compris en ce qu’elle exclut l’exercice des droits d’information et d’opposition des personnes dont les données personnelles sont collectées.
L’article 23 du RGPD selon lequel le droit de l’Union ou le droit d’un État membre peut apporter des limitations aux droits prévus par le règlement « par la voie de mesures législatives », ne saurait être entendu comme imposant l’intervention du législateur, le droit de l’Union européenne ne régissant pas la répartition des compétences au sein des États membres.
CNIL16 février 2023CNIL, SP, 16 février 2023, A vis sur un projet de décision, C création d'un fichier central des titres permanents du permis de chasser, n° 2023-015, publié, point 16(source)
Exclusion du droit d’opposition (art. 23 RGPD) – 1) Autorités pouvan t écarter le droit d'opposition – Collectivités territoriales et établissements publics – Inclusion – 2) Conditions et garanties
1) L’article 23 du RGPD permet de limiter ou d’écarter le droit d’opposition à un traitement, à certaines conditions, par une « mesure législative ». Le considérant 41 du RGPD précise que cette « mesure législative » n’est pas nécessairement un acte adopté par le Parlement, mais doit être déterminée par le droit national de chaque État membre. En France, il peut en particulier s’agir d’un acte réglementaire. La CNIL estime que, s’agissant des traitements participant à l’exécution d’une mission d’intérêt public, tant l’État que les collectivités territoriales ou les établissements publics peuvent, dans leurs domaines de compétence respectifs et s’ils disposent d’un pouvoir réglementaire, limiter ou exclure le droit d’opposition.
2) Cependant, l’exercice de cette faculté est soumis à une double limite : d’une part, s’agissant de la compétence, ne pas empiéter sur le domaine réservé à la loi en application de l’article 34 de la Constitution ; d’autre part, veiller à ce que les conditions prévues à l’article 23 soient respectées. Dans ses lignes directrices 10/2020 du 13 octobre 2021 sur l’article 23, le Comité européen pour la protection des données a notamment rappelé l’obligation pour le responsable de traitement de veiller au caractère strictement nécessaire et proportionné de la limitation envisagée au regard de l’objectif poursuivi. Il a également souligné que l’acte écartant l’opposition doit faire l’objet d’une publicité suffisante et être accessible.
CNIL17 décembre 2020CNIL, SP, 17 décembre 2020, Avis sur projet de décret, Vidéo-port du masque, n° 2020-136, publié, point 19(source)
Notion d'acte « instaurant le traitement » permettant d'écarter le droit d'opposition au sens de l'article 56 de la loi Informatique et Libertés
La notion d'acte « instaurant le traitement » peut renvoyer, s'agissant de traitements mis en œuvre par les autorités publiques, à des normes contenant l'ensemble de la réglementation d'un traitement, notamment en application de l'article 35 de la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. S'agissant de traitements décidés et mis en place par des opérateurs privés, la limitation du droit d'opposition doit être prévue dans un acte législatif ou réglementaire autorisant la mise en œuvre des traitements par ces opérateurs, qui doit comporter les dispositions spécifiques prescrites par l'article 23.2 du RGPD.
CNIL1 août 2024CNIL, P, 1 août 2024, Rappel aux obligations légales, Société X, n°ROL231090, non publié
Consultation obligatoire du fichier des incidents de remboursement des crédits aux particuliers (FICP) – Obligation légale – Consultation facultative du FICP – Base légale – Intérêt légitime – Mise en balance des intérêts
1) Le II de l’article 2 de l’arrêté du 26 octobre 2010 relatif au fichier national des incidents de remboursement des crédits aux particuliers (FICP), combiné aux articles L. 751‑2 et L. 312‑16 du code de la consommation, prévoient les cas obligatoires de consultation du FICP par les établissements et organismes dans le cadre de l’octroi d’un crédit. Les traitements de données à caractère personnel mis en œuvre dans le cadre des opérations de consultation obligatoire du FICP, telles que définies par ces dispositions, ne peuvent être fondés que sur la base légale prévue à l’article 6, paragraphe 1, point c) du RGPD, à savoir le respect d’une obligation légale.
2) Le III de l’article 2 de l’arrêté du 26 octobre 2010 relatif au fichier national des incidents de remboursement des crédits aux particuliers (FICP) prévoit les cas de consultation facultative. Les traitements de données à caractère personnel mis en œuvre dans ce cadre peuvent, à certaines conditions, reposer sur la base légale de l’intérêt légitime poursuivi par le responsable de traitement (art. 6, §1, f). Dans ce cas, le responsable de traitement est tenu de réaliser, au cas par cas, une mise en balance entre l’intérêt légitime poursuivi et les intérêts, libertés et droits fondamentaux des personnes concernées afin de s’assurer que la consultation n’est pas de nature à porter une atteinte disproportionnée à leur vie privée.
CE2 juillet 2007CE, Section, 2 juillet 2007, Association AC! et autres, n° 290593, Rec., point 4(source)
Fichier organisant les modalités selon lesquelles les agents chargés du contrôle de la recherche d'emploi ont accès à certaines données dont le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques (art. R. 351 - 30 du code du travail) – Consultation obligatoire de la CNIL
Les dispositions de l'article R. 351‑30 du Code du Travail issues du décret n° 2005‑1624 du 22 décembre 2005 relatif au suivi de la recherche d’emploi organisent les modalités selon lesquelles les agents chargés du contrôle de la recherche d’emploi, par les travailleurs involontairement privés d’emploi, ont accès, pour l’exercice de leur mission, à certaines de ces données, parmi lesquelles figure le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques. Elles autorisent des traitements de données à caractère personnel et relèvent, ains‑i, eu égard à la nature des données en cause, des dispositions de l’article 27 de la loi n° 78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
En conséquence, le Gouvernement était tenu de recueillir l’avis motivé de la Commission nationale de l’informatique et des libertés dès lors que les modifications apportées au traitement antérieurement autorisé par décret en Conseil d’État, qui portent tant sur le champ des personnes ayant accès à ces données que sur les finalités de ce traitement, étaient substantielles.
