La liberté proclamée par l'article 2 de la Déclaration de 1789 implique le droit au respect de la vie privée. Ce droit requiert que soit observée une particulière vigilance dans la transmission des informations nominatives à caractère médical entre les médecins prescripteurs, les professionnels de santé et les organismes de sécurité sociale. Il appartient toutefois au législateur de concilier, d'une part, le droit au respect de la vie privée et, d'autre part, les exigences de valeur constitutionnelle qui s'attachent tant à la protection de la santé qu'à l'équilibre financier de la sécurité sociale.

Considérant, en deuxième lieu, que les Articles 6 et 9 de la convention pour la protection des personnes à l’égard du traitement automatisé de données à caractère personnel signée à Strasbourg le 28 janvier 1981, ratifiée en vertu de la loi du 19 octobre 1982 et publiée au Journal Officiel en vertu du décret du 15 novembre 1985, n’autorisent le traitement des données nominatives qui font apparaître les origines raciales ou les opinions politiques, les convictions religieuses ou autres convictions, les données à caractère personnel relatives à la santé ou à la vie sexuelle que si ce traitement dérogatoire prévu « par la loi de la partie » constitue une mesure nécessaire, dans une société démocratique : a) à la protection de l’État, à la sûreté publique, aux intérêts monétaires de l’État ou à la répression des infractions pénales…

Les données relatives à la santé des personnes atteintes par le virus responsable de la covid‑19 et des personnes en contact avec elles sont, le cas échéant sans leur consentement, traitées et tagées à travers un système d'information ad hoc. Ne méconnaît pas le droit au respect de la vie privée l'extension de l'accès à ces données à certains professionnels de santé qui participent à l'établissement du diagnostic et à l'identification des chaînes de contamination, sans consentement préalable, dès lors que ces professionnels ne peuvent avoir accès qu'aux seules données nécessaires à leur intervention et dans la stricte mesure où leur intervention sert les finalités poursuivies par le système d'information ; aux organismes assurant l'accompagnement social des personnes infectées ou susceptibles de l'être, lorsque cet accès est subordonné au recueil préalable du consentement des intéressés et ne peut porter que sur les données strictement nécessaires à l'exercice de la mission de ces organismes (voir à ce sujet la censure sous DC 2020‑800).

L’ensemble des propos tenus dans le cadre d’une conversation téléphonique enregistrée sont susceptibles de constituer des données à caractère personnel concernant les deux parties à cette conversation.

Un traitement de données à caractère personnel susceptible de dévoiler, de manière indirecte, des informations sensibles concernant une personne physique peut relever de la protection renforcée du régime des catégories particulières de données au sens de l'article 9, paragraphe 1, du RGPD. Tel est le cas de la publication, sur le site internet de l'autorité publique chargée de collecter et de contrôler la teneur des déclarations d'intérêts privés, de données à caractère personnel susceptibles de divulguer indirectement l'orientation sexuelle d'une personne physique.

Un enregistrement vidéo, quoiqu’il puisse contenir des images révélant des données sensibles ou des données d’infraction, n’est pas considéré en soi comme relevant de ces catégories particulières de données à caractère personnel. En revanche, si les images font l’objet d’un traitement spécifique sur des données sensibles ou d’infraction, l’article 6 de la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ou l’article 10 du RGPD seraient susceptibles de s’appliquer.

En vertu de l’article 6 de la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dite loi Informatique et Libertés (ci‑après LIL), le traitement des données sensibles n’est possible, sauf disposition législative spéciale l’autorisant, que s’il s’inscrit dans le cadre de l’une des exceptions prévues à l’article 9 du RGPD ou, s’agissant de traitements relevant du champ d’application des articles 31 et 32 de la loi Informatique et Libertés (en particulier le champ d’application de la directive « Police‑Justice » et les traitements intéressant la sûreté et la défense nationale), s’il est autorisé selon les modalités prévues à ces articles, à savoir un décret en Conseil d’État après avis de la CNIL.

Il y a lieu d’interpréter le titre I de la LIL de façon à ce que ses dispositions ne portent pas une atteinte disproportionnée à des droits ou objectifs de valeur constitutionnelle. Dès lors, il est nécessaire de lire la loi de sorte que les traitements ne relevant que du titre I puissent bénéficier de certaines exceptions à l’interdiction de traiter des données sensibles, notamment pour les données manifestement rendues publiques, pour les traitements d’intérêt public, ou en cas de consentement de la personne. Le renvoi aux exceptions de l’article 9 du RGPD opéré par l’article 6 de la LIL doit être entendu comme ayant vocation à s’appliquer non seulement aux traitements relevant du RGPD mais aussi aux traitements relevant des autres titres, et notamment ceux relevant du seul titre I.

Cette question ne se pose que pour le titre I dès lors que, pour les traitements du titre III (directive « Police‑Justice »), la loi a prévu des dispositions spéciales, transposant la directive sur ce point et que, pour ceux du titre IV, tous les traitements relèveront du champ des articles 31 et 32 et seront autorisés par décret en Conseil d’État.

Le fichier créé par l’arrêté du 28 février 1984 du secrétaire d’État auprès du ministère des affaires sociales et de la solidarité nationale chargé des rapatriés concerne exclusivement des personnes visées à l’article 2 de l’ordonnance du 21 juillet 1962 qui définit les conditions dans lesquelles les « personnes de statut civil de droit local originaires d'Algérie » peuvent se faire reconnaître la nationalité française. Ce fichier fait ainsi apparaître indirectement les opinions religieuses des personnes intéressées.

Lorsque le service demandé par l'utilisateur implique nécessairement le traitement de données de santé, il est cependant indispensable que l'utilisateur ait pleinement conscience de ce que ses données de santé seront traitées et parfois conservées par le responsable de traitement, ce qui implique en principe une information explicite sur ce point lors du recueil du consentement.

1) L'article 5, paragraphe 1, sous c), du RGPD (principe de minimisation) doit être interprété en ce sens que le principe de minimisation des données, prévu à cette disposition, s'oppose à ce que l'ensemble des données à caractère personnel qui ont été obtenues par un responsable du traitement, tel que l'exploitant d'une plateforme de réseau social en ligne, auprès de la personne concernée ou de tiers et qui ont été collectées tant sur cette plateforme qu'en dehors de celle‑ci, soient agrégées, analysées et traitées à des fins de publicité ciblée, sans limitation dans le temps et sans distinction en fonction de la nature de ces données.

2) L'article 9, paragraphe 2, sous e), du RGPD doit être interprété en ce sens que la circonstance qu'une personne se soit exprimée sur son orientation sexuelle lors d'une table ronde, dont la participation est ouverte au public, n'autorise pas l'exploitant d'une plateforme de réseau social en ligne à traiter d'autres données relatives à l'orientation sexuelle de cette personne, obtenues, le cas échéant, en dehors de cette plateforme à partir d'applications et de sites Internet de tiers partenaires, en vue de l'agrégation et l'analyse de celles‑ci, afin de lui proposer de la publicité personnalisée.

Les données relatives au choix d'un abonné d'un service de télévision pour recevoir certains programmes définis comme « œuvres cinématographiques interdites aux mineurs de moins de dix‑huit ans ainsi que les programmes pornographiques ou de très grande violence, réservés à un public adulte averti et susceptibles de nuire à l'épanouissement physique, mental ou moral des mineurs de moins de dix‑huit ans » ne peuvent être regardées comme étant relatives à la vie sexuelle des personnes concernées ou comme étant de nature à faire apparaître, même indirectement, leurs mœurs au sens des dispositions de la loi n°78‑17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

1) Afin de déterminer si l'accès aux données à caractère personnel relatives aux infractions routières, telles que les points de pénalité imposés aux conducteurs de véhicules qui ont commis une infraction routière et auxquels une sanction, pécuniaire ou autre, a été infligée, constitue un traitement de données à caractère personnel relatives à des « infractions », qui jouissent d'une protection accrue, la Cour juge que cette notion renvoie exclusivement aux infractions pénales. Toutefois, le fait que, dans le système juridique d'un État membre, les infractions routières soient qualifiées d'administratives n'est pas déterminant pour apprécier si ces infractions relèvent de la notion d'« infraction pénale » dans la mesure où il s'agit d'une notion autonome du droit de l'Union qui requiert, dans toute l'Union, une interprétation autonome et uniforme.

2) Ainsi, après avoir rappelé les trois critères pertinents pour apprécier le caractère pénal d'une infraction, à savoir la qualification juridique de l'infraction en droit interne, la nature de l'infraction et le degré de sévérité de la sanction encourue, la Cour juge que les infractions routières en cause relèvent de la notion d'« infraction » au sens du RGPD. S'agissant des deux premiers critères, la Cour constate que, même si les infractions ne sont pas qualifiées de « pénales » en droit national, un tel caractère peut découler de la nature de l'infraction, et notamment de la finalité répressive poursuivie par la sanction que l'infraction est susceptible d'entraîner. Or, en l'espèce, l'attribution de points de pénalité pour des infractions routières, tout comme les autres sanctions que leur commission peut entraîner, poursuivent, entre autres, une telle finalité répressive. Quant au troisième critère, la Cour observe que seules des infractions routières d'une certaine gravité comportent l'imposition de points de pénalité, et que, partant, celles-ci sont susceptibles d'entraîner des sanctions d'une certaine sévérité. De plus, l'imposition de tels points se rajoute généralement à la sanction infligée, et la cumulation de ces points entraîne des conséquences juridiques pouvant même aller jusqu'à l'interdiction de conduire.

L'article 10, sous a), de la directive (UE) 2016/680 du Parlement européen et du Conseil, du 27 avril 2016, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, lu à la lumière de l'article 52 de la Charte des droits fondamentaux de l'Union européenne, doit être interprété en ce sens que le traitement de données biométriques et génétiques par les autorités de police en vue de leurs activités de recherche, à des fins de lutte contre la criminalité et de maintien de l'ordre public, est autorisé par le droit d'un État membre, au sens de l'article 10, sous a), de cette directive, dès lors que le droit de cet État membre contient une base juridique suffisamment claire et précise pour autoriser ledit traitement. Le fait que l'acte législatif national contenant une telle base juridique se réfère, par ailleurs, au règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et non à la directive 2016/680, n'est pas de nature, en lui‑même, à remettre en cause l'existence d'une telle autorisation, pour autant qu'il ressort, de manière suffisamment claire, précise et dénuée d'équivoque de l'interprétation de l'ensemble des dispositions applicables du droit national que le traitement de données biométriques et génétiques en cause relève du champ d'application de cette directive, et non de ce règlement.

L'intérêt légitime que peut avoir une société à conserver les informations bancaires d'un client qui a procédé à un achat en ligne, notamment son numéro de carte bancaire, afin de faciliter des paiements ultérieurs en le dispensant de saisir à nouveau cette information, ne saurait prévaloir sur l'intérêt des personnes concernées de protéger ces données, compte tenu de la sensibilité de ces informations bancaires et des préjudices susceptibles de résulter pour eux de leur captation et d'une utilisation détournée, et alors que de nombreux clients qui utilisent des sites de commerce en ligne en vue de réaliser des achats ponctuels ne peuvent raisonnablement s'attendre à ce que les entreprises concernées conservent de telles données sans leur consentement.

1) L’article 5, paragraphe 1, sous c), du RGPD (principe de minimisation) doit être interprété en ce sens que le principe de la « minimisation des données », prévu à cette disposition, s’oppose à ce que l’ensemble des données à caractère personnel qui ont été obtenues par un responsable du traitement, tel que l’exploitant d’une plateforme de réseau social en ligne, auprès de la personne concernée ou de tiers et qui ont été collectées tant sur cette plateforme qu’en dehors de celle‑ci, soient agrégées, analysées et traitées à des fins de publicité ciblée, sans limitation dans le temps et sans distinction en fonction de la nature de ces données.

2) L’article 9, paragraphe 2, sous e), du RGPD doit être interprété en ce sens que la circonstance qu’une personne se soit exprimée sur son orientation sexuelle lors d’une table ronde, dont la participation est ouverte au public, n’autorise pas l’exploitant d’une plateforme de réseau social en ligne à traiter d’autres données relatives à l’orientation sexuelle de cette personne, obtenues, le cas échéant, en dehors de cette plateforme à partir d’applications et de sites Internet de tiers partenaires, en vue de l’agrégation et de l’analyse de celles‑ci, afin de lui proposer de la publicité personnalisée.

Le requérant, militant de longue date, protestait contre la collecte et la conservation dans une base de données de la police relative à l’« extrémisme national » des données personnelles le concernant. La Cour a conclu à la violation de l’article 8 de la Convention.

Si la Cour européenne reconnaît un besoin impérieux de recueillir des données à caractère personnel concernant le requérant, elle considère en revanche que la conservation des données relatives au requérant ne répondait pas à un besoin impérieux. En l’absence de toute règle fixant la durée maximale de conservation de telles données, le requérant dépendait entièrement de la diligence avec laquelle les autorités appliqueraient les garanties du code de pratique applicable, très souples par nature, pour veiller au caractère proportionné de la durée de conservation des données le concernant. Lorsqu’un État décide de mettre en place un dispositif de ce type, la nécessité de garanties procédurales effectives devient déterminante. Ces garanties doivent permettre la suppression des données à caractère personnel dès que la poursuite de leur conservation devient disproportionnée.

Les données à caractère personnel concernant le requérant auraient pu être conservées indéfiniment. Certes, le requérant pouvait demander que ces données lui soient communiquées et supprimées, ce qu’il a fait. Néanmoins, il apparaît que cette garantie a eu un effet limité : les autorités ont refusé de supprimer les données concernées ou de motiver la décision de les conserver. L’absence de garanties effectives est particulièrement préoccupante dans le cas du requérant, en ce que les données personnelles conservées révèlent des convictions politiques et méritent donc une protection accrue. L’article 11 offre une protection spécifique aux personnes qui participent à des protestations pacifiques, mais aussi une protection spéciale aux syndicats, dont le requérant a participé à certains rassemblements.

Dans la définition de la notion d’extrémisme national donnée en lien avec la « base de données relative à l’extrémisme » dans le cadre de la procédure interne, il est fait référence à la collecte de données sur des groupes et individus ayant agi « hors du processus démocratique ». Il apparaît donc que la police n’a pas respecté la définition qu’elle avait elle‑même établie, en ce qu’elle a conservé des données relatives à la participation du requérant à des manifestations politiques pacifiques.

Il n’a pas été démontré que la conservation des données concernant le requérant, et plus particulièrement de celles relatives à sa participation à des manifestations pacifiques, revêtait un caractère absolument nécessaire, ni qu’elle répondait aux besoins d’une enquête donnée.

La Cour n’est pas convaincue que la suppression des données soit une tâche d’une complexité excessive. Il serait totalement contraire à la nécessité de protéger le droit à la vie privée consacré par l’article 8 qu’un État puisse créer une base de données dans laquelle il serait difficile d’examiner ou de modifier les données, puis qu’il puisse invoquer la manière dont cette base de données a été conçue pour justifier son refus de supprimer des informations y figurant.

1) a) Politique d'habilitation pour les dossiers des patients informatisés (DPI) dans un hôpital. Est admissible un paramétrage du DPI prévoyant qu'un médecin peut consulter tout le dossier de ses patients, sans limite d'antériorité, à l'exception de séjours qui peuvent être paramétrés au sein du DPI en accès restreints, car présentant une sensibilité particulière pour la vie privée, ainsi que certains évènements futurs programmés à accès restreints. Un tel paramétrage répond à l'exigence de définir des droits en fonction du métier exercé au sein de la structure hospitalière en application de l'article L.1110-12 du Code de la santé publique et satisfait à l'exigence de protection de la confidentialité des données par une politique d'habilitation appropriée résultant de l' article 32 du RGPD.

b) N'est pas admissible, en revanche, le paramétrage qui prévoit que les médecins peuvent consulter les dossiers de tous les patients présents dans le DPI alors même qu'ils ne feraient pas partie de leur équipe de soins. Un tel paramétrage est contraire aux articles L.1110-4 et L.1110-12 du code de la santé publique, qui exigent que les habilitations tiennent compte de la notion d'équipe de soins.

2) a) Eu égard au volume et à la sensibilité des données traitées au sein du DPI, des contrôles réguliers de ces accès doivent être opérés, afin d'identifier ceux susceptibles d'être frauduleux ou illégitimes (par exemple un nombre trop élevé de dossiers consultés, ou un usage fréquent du mode « bris de glace » lorsqu'il est mis en place). Il est fortement recommandé d'exercer ces contrôles par le biais d'une analyse automatisée ou semi-automatisée, permettant de garantir la sécurité et la confidentialité des données à caractère personnel traitées.

b) L'absence de contrôle régulier des journaux d'accès au DPI, alors qu'il contient des données sensibles qui concernent un nombre important de personnes, constitue un manquement à l'article 32 du RGPD.

1) La CNIL considère que le numéro d’identification des personnes au répertoire national d’identification des personnes physiques (NIR, ou « numéro de sécurité sociale ») peut constituer un moyen d’identification des personnes sur des systèmes informatiques mais ne devrait pas être utilisé comme un secret pour l'authentification. Le NIR était déjà considéré comme un secret faiblement robuste, du fait de son caractère en partie dicté par certaines caractéristiques de la personne (sexe, date de naissance, etc.) ; le contexte de violations massives de données comprenant ce numéro en 2024, associé au nom et au prénom des personnes concernées, ne fait que renforcer cette position. 2) En l’espèce, projet d’utilisation du NIR pour vérifier l’adresse postale dont dispose l’administration. Bien que le ministère ait précisé que l’usager devra également valider un test captcha afin de limiter l’accès à la plateforme par des systèmes automatisés d’aspiration de données en ligne, ce qui limite le risque d'atteinte massive aux données des électeurs, le système initialement étudié laisse courir un risque de divulgation des adresses postales à un tiers disposant du NIR d’une personne. Or la CNIL rappelle que l’adresse postale est un élément qui doit pouvoir rester confidentiel et protégé si la personne le souhaite (notamment si elle a fait opposition aux annuaires). Dans certains contextes (violences familiales en particulier), il est indispensable que cette confidentialité soit fortement assurée. La CNIL a donc recommandé la modification du projet.

Tout logiciel doit en principe être utilisé dans une version permettant encore de recevoir et d'intégrer les correctifs de sécurité, fournis par un éditeur compétent. L'utilisation d'une version d'un logiciel qui n'est plus suivie par les éditeurs compétents ne peut constituer qu'une situation temporaire, en attendant une adaptation des systèmes internes du responsable de traitement à une montée de version du logiciel ou un transfert vers un autre logiciel. L'admissibilité de l'utilisation temporaire d'une version non suivie d'un logiciel dépend de la sensibilité des données traitées et des risques encourus par les personnes.

Lorsqu'enregistrement de signalements dans un fichier est possible par le biais de zones de texte libre pouvant conduire à enregistrer des données variées et parfois sensibles, il est recommandé d'assurer qu'il ne soit pas possible d'effectuer des recherches dans le fichier à partir des mots rédigés dans ces signalements, afin de limiter les mésusages possibles de ces données.