La collecte de données à caractère personnel effectuée par des membres d'une communauté religieuse dans le cadre d'une activité de prédication de porte - à - porte et les traitements ultérieurs de ces données relèvent de la directive 95/46/CE. En particulier, il ne s'agit ni de traitements de données à caractère personnel mis en œuvre pour l'exercice d'activités visées à l'article 3, paragraphe 2, premier tiret (traitements ne relevant pas du champ du droit de l'UE ou ayant pour objet la sécurité publique, la défense, la sûreté de l'État et les activités de l'État relatives au droit pénal), de la directive, ni de traitements de données à caractère personnel effectués par des personnes physiques pour l'exercice d'activités exclusivement personnelles ou domestiques, au sens de l'article 3, paragraphe 2, second tiret (traitements effectués par une personne physique pour l'exercice d'activités exclusivement personnelles ou domestiques), de ladite directive. La communauté religieuse doit être regardée comme étant responsable, conjointement avec ses membres prédicateurs, de ces traitements.

La collecte de données à caractère personnel effectuée par des membres d'une communauté religieuse dans le cadre d'une activité de prédication de porte-à-porte et les traitements ultérieurs de ces données relèvent de la directive 95/46/CE. En particulier, il ne s'agit ni de traitements de données à caractère personnel mis en œuvre pour l'exercice d'activités visées à l'article 3, paragraphe 2, premier tiret (traitements ne relevant pas du champ du droit de l'UE ou ayant pour objet la sécurité publique, la défense, la sûreté de l'État et les activités de l'État relatives au droit pénal), de la directive, ni de traitements de données à caractère personnel effectués par des personnes physiques pour l'exercice d'activités exclusivement personnelles ou domestiques, au sens de l'article 3, paragraphe 2, second tiret (traitements effectués par une personne physique pour l'exercice d'activités exclusivement personnelles ou domestiques), de ladite directive. La communauté religieuse doit être regardée comme étant responsable, conjointement avec ses membres prédicateurs, de ces traitements.

La Collecte et le traitement des données à caractère personnel de personnes physiques en France impliquées dans le débat sur le renouvellement de l'autorisation d'utilisation d'une substance phytopharmaceutique dans l'Union européenne procède du suivi du comportement des personnes concernées qui se trouve sur le territoire de l'Union au sens des dispositions de l'article 3-2)-b) du RGPD et relève en conséquence du champ d'application territorial du RGPD et des dispositions de la loi n°78‑17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, indépendamment du lieu d'établissement du responsable de traitement.

La formation restreinte considère que l'adresse postale peut constituer une donnée à caractère personnel indirectement identifiante dans la mesure où, notamment combinée à d’autres informations, elle peut, dans certaines conditions, permettre l’identification d’une personne. C’est par exemple le cas lorsqu’une seule personne habite à cette adresse ou lorsque l’adresse est combinée à un numéro de téléphone ou à des données de réseaux telles que l’identifiant Wi‑Fi ou l’adresse MAC d’un routeur.

Le gestionnaire d'un site internet qui insère sur ledit site un module social permettant au navigateur du visiteur de ce site de solliciter des contenus du fournisseur dudit module et de transmettre à cet effet à ce fournisseur des données à caractère personnel du visiteur (bouton « j’aime » de Facebook), peut être considéré comme étant conjointement responsable du traitement, au sens de l’article 2, sous d), de la directive 95/46. Cette responsabilité est cependant limitée à l’opération ou à l’ensemble des opérations de traitement des données à caractère personnel dont il détermine effectivement les finalités et les moyens, à savoir la collecte et la communication par transmission des données en cause.

Ainsi, le gestionnaire du site insérant un bouton (bouton « j’aime ») peut être considéré comme étant responsable, conjointement avec Facebook, des opérations de collecte et de communication à Facebook de ces données, dès lors qu’il peut être considéré que le gestionnaire et Facebook déterminent, conjointement, les finalités et les moyens de cette collecte et de cette transmission. En effet, l’insertion du bouton (bouton « j’aime ») sur son site permet d’optimiser la publicité pour les produits en les rendant plus visibles sur le réseau social lorsqu’un visiteur clique dessus. Ce faisant, le gestionnaire du site a consenti, implicitement du moins, à la collecte et à la communication de ces données, qui s’opère dans son intérêt économique et dans celui de Facebook. Il en résulte que le coresponsable de ces opérations doit fournir certaines informations à ses visiteurs au moment de la collecte de ces données, comme son identité et les finalités du traitement:

• Lorsqu’il le traitement repose sur le consentement, le gestionnaire du site doit recueillir le consentement au préalable pour les opérations dont il est coresponsable (collecte et transmission des données);
• Lorsque le traitement est nécessaire à la réalisation d’un intérêt légitime, chacun des coresponsables doit poursuivre, avec la collecte et la transmission des données, un intérêt légitime.

Dans le cadre de rapports employeur/employés, le fait d'effectuer des recherches sur des personnes portant sur données à caractère personnel telles qu'antécédents judiciaires, renseignements bancaires et téléphoniques, véhicules, propriétés, qualité de locataire ou de propriétaire, situation matrimoniale, santé, déplacement à l'étranger est susceptible de constituer un moyen déloyal dès lors que, issues de la capture et du recoupement d'informations diffusées sur des sites publics tels que sites web, annuaires, forums de discussion, réseaux sociaux, sites de presse régionale, ces données ont fait l'objet d'une utilisation sans rapport avec l'objet de leur mise en ligne et ont été recueillies à l'insu des personnes concernées, ainsi privées du droit d'opposition institué par la loi informatique et libertés. En effet, le fait que les données à caractère personnel collectées en l'espèce par le prévenu aient été pour partie en accès libre sur internet ne retire rien au caractère déloyal de cette collecte, dès lors qu'une telle collecte, de surcroît réalisée à des fins dévoyées de profilage des personnes concernées et d'investigation dans leur vie privée, à l'insu de celles-ci, ne pouvait s'effectuer sans qu'elles en soient informées.

L'article 6, paragraphe 1, premier alinéa, sous f), du règlement 2016/679 doit être interprété en ce sens que le traitement de données à caractère personnel effectué par un opérateur d'un réseau social en ligne, consistant en la Collecte de données des utilisateurs d'un tel réseau issues d'autres services du groupe auquel appartient cet opérateur ou issues de la consultation par ces utilisateurs de sites Internet ou d'applications tiers, en la mise en relation de ces données avec le compte du réseau social désignés utilisateurs et en l'utilisation des données, ne peut être considéré comme étant nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, au sens de cette disposition, qu'à la condition que ledit opérateur ait indiqué aux utilisateurs auprès desquels les données ont été collectées un intérêt légitime poursuivi par leur traitement, que ce traitement est opéré dans les limites du strict nécessité pour la réalisation de cet intérêt légitime et qu'il ressort d'une pondération des intérêts opposés, au regard de l'ensemble des circonstances pertinentes, que les intérêts ou les libertés et les droits fondamentaux de ces utilisateurs ne prévalent pas sur ledit intérêt légitime du responsable du traitement ou d'un tiers.

Lorsque l'enregistrement de signalements dans un fichier est possible par le biais de zones de texte libre pouvant conduire à enregistrer des données variées et parfois sensibles, il est recommandé d'assurer qu'il ne soit pas possible d'effectuer des recherches dans le fichier à partir des mots rédigés dans ces signalements, afin de limiter les mésusages possibles de ces données.

L'article 14, paragraphe 5, sous‑c), du règlement général sur la protection des données doit être interprété en ce sens que l'exception à l'obligation d'information de la personne concernée par le responsable du traitement, prévue à cette disposition, concerne indistinctement toutes les données à caractère personnel que le responsable du traitement n'a pas collectées directement auprès de la personne concernée, que ces données aient été obtenues par le responsable du traitement auprès d'une personne autre que la personne concernée ou qu'elles aient été générées par le responsable du traitement lui‑même, même dans le cadre de l'exercice de ses missions.

Dans le cadre d'une collecte indirecte de données à caractère personnel, la CNIL considère, conformément à la délibération n°2024-041 du 25 janvier 2024 portant adoption de deux recommandations relatives à la réutilisation de données publiées sur internet, que ce n'est que dans des hypothèses limitées que les éditeurs doivent pouvoir se prévaloir des dispositions de l'article 14.5.b du RGPD, autorisant les organismes ne collectant pas les données directement auprès des personnes concernées à ne pas informer celles-ci lorsqu'une telle information exigerait des « efforts disproportionnés ». En particulier, dès lors qu'une information individuelle peut être effectuée au moyen de l'envoi automatisé de courriels à chacune des adresses présentes dans la base de données, la Commission considère que l'effort à fournir pour y procéder n'est en principe pas « effort disproportionné » et ce même lorsque les risques associés à la mise en œuvre du traitement sont faibles.