1) L'article 9, paragraphe 1, du règlement 2016/679 doit être interprété en ce sens que dans le cas où un utilisateur d'un réseau social en ligne consulte des sites Internet ou des applications en rapport a vec une ou plusieurs des catégories visées à cette disposition et, le cas échéant, y insère des données en s'inscrivant ou en effectuant des commandes en ligne, le traitement de données à caractère personnel par l'opérateur de ce réseau social en ligne, co nsistant en la collecte, au moyen d'interfaces intégrées, de cookies ou de technologies d'enregistrement similaires, des données issues de la consultation de ces sites et de ces applications ainsi que des données insérées par l'utilisateur, en la mise en r elation de l'ensemble de ces données avec le compte du réseau social de celui - ci et en l'utilisation desdites données par cet opérateur, doit être considéré comme un « traitement portant sur des catégories particulières de données à caractère personnel », au sens de ladite disposition, qui est en principe interdit, sous réserve des dérogations prévues à cet article 9, paragraphe 2, lorsque ce traitement de données permet de révéler des informations relevant d'une de ces catégories, que ces informations conc ernent un utilisateur de ce réseau ou toute autre personne physique.

2) L'article 9, paragraphe 2, sous e), du règlement 2016/679 doit être interprété en ce sens que lorsqu'un utilisateur d'un réseau social en ligne consulte des sites Internet ou des appli cations en rapport avec une ou plusieurs des catégories visées à l'article 9, paragraphe 1, de ce règlement, il ne rend pas manifestement publiques, au sens de la première de ces dispositions, les données relatives à cette consultation, collectées par l'op érateur de ce réseau social en ligne à travers des cookies ou des technologies d'enregistrement similaires.

3) Lorsqu'il insère des données dans de tels sites Internet ou dans de telles applications ou lorsqu'il active des boutons de sélection intégrés à c es sites et à ces applications, tels que les boutons « j'aime » ou « partager » ou les boutons permettant à l'utilisateur de s'identifier sur ces sites ou ces applications en utilisant les identifiants de connexion liés à son compte d'utilisateur du réseau social, son numéro de téléphone ou son adresse électronique, un tel utilisateur ne rend manifestement publiques, au sens de cet article 9, paragraphe 2, sous e), les données ainsi insérées ou résultant de l'activation de ces boutons que dans le cas où il a explicitement exprimé son choix au préalable, le cas échéant sur la base d'un paramétrage individuel effectué en toute connaissance de cause, de rendre les données le concernant publiquement accessibles à un nombre illimité de personnes.

En vertu de l’article 6 de la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dite loi Informatique et Libertés, le traitement des données sensibles n’est possible, sauf disposition législative spéciale l’autorisant, que s’il s’inscrit dans le cadre de l’exception prévue à l’article 9 du RGPD ou, s’agissant de traitements relevant du champ d’application des articles 31 et 32 de la loi Informatique et Libertés (en particulier le champ d’application de la directive « Police‑Justice » et les traitements intéressant la sûreté et la défense nationale), s’il est autorisé selon les modalités prévues à ces articles, à savoir un décret en Conseil d’État après avis de la CNIL.

Il y a lieu d’interpréter le titre I er de la loi Informatique et Libertés de façon à ce que ses dispositions ne portent pas une atteinte disproportionnée aux droits ou objectifs de valeur constitutionnelle. Dès lors, il est nécessaire de lire la loi de sorte que les traitements ne relevant que du titre I er puissent bénéficier de certaines exceptions à l’interdiction de traiter des données sensibles, notamment pour les données manifestement rendues publiques, pour les traitements d’intérêt public, ou en cas de consentement de la personne. Le renvoi aux exceptions de l’article 9 du RGPD opéré par l’article 6 de la loi Informatique et Libertés doit être entendu comme ayant vocation à s’appliquer non seulement aux traitements relevant du RGPD mais aussi aux traitements relevant des autres titres, et notamment ceux relevant du seul titre I.

Cette question ne se pose que pour le titre I er dès lors que, pour les traitements du titre III (directive « Police‑Justice »), la loi a prévu des dispositions spéciales, transposant la directive sur ce point et que, pour ceux du titre IV, tous les traitements relèveront du champ des articles 31 et 32 et seront autorisés par décret en Conseil d’État.

Les personnes envoyant une candidature, avec les pièces requises, pour adhérer à un organisme ayant une finalité religieuse doivent être assimilées à des personnes entretenant contacts réguliers avec cet organisme au sens de l'article 9.2.d) du RGPD. L'organisme peut dès lors traiter licitement les données sensibles contenues dans la candidature, sur ce fondement ou le consentement, pour examiner et statuer sur la candidature. En cas de rejet de la candidature, il doit supprimer les données sensibles.

L’article 9, paragraphe 2, sous h), et l’article 6, paragraphe 1, du règlement 2016/679 doivent être interprétés en ce sens qu’un traitement de données concernant la santé fondé sur cette première disposition doit, afin d’être licite, non seulement respecter les exigences découlant de celle‑ci, mais aussi remplir au moins l’une des conditions de licéité énoncées à cet article 6, paragraphe 1.

Le droit au respect de la vie privée requiert que soit observée une particulière Vigilance dans la communication des données à caractère personnel de nature médicale.

Le Règlement (UE) 2019/1157, relatif au renforcement de la sécurité des cartes d'identité des citoyens de l'Union, est invalide en ce qu'il a été adopté sur une base juridique erronée. Toutefois, l'insertion obligatoire dans les cartes d'identité de deux empreintes digitales, prévue par ce règlement, est compatible notamment avec les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel. Les effets sont donc maintenus jusqu'à l'entrée en vigueur d'un nouveau règlement, fondé sur la base juridique spécifique appropriée, appelé à le remplacer.

Dans une jurisprudence constante, la Cour EDH juge que la conservation de photographies par la police, combinée à la possibilité de leur appliquer des techniques de reconnaissance faciale, constitue une ingérence dans l 'exercice du droit à la vie privée. La Cour rappelle également qu'il est essentiel, dans le cadre de la mise en œuvre de la technologie de reconnaissance faciale, de disposer de règles détaillées régissant la portée et l'application des mesures ainsi que d e garanties solides contre le risque d'abus et d'arbitraire. La nécessité de disposer de garanties est d'autant plus grande lorsque la technologie de reconnaissance faciale est utilisée en temps réel.

En l'espèce, le requérant russe qui a manifesté pacifiq uement dans le métro moscovite, et dont des photographies et une vidéo ont été publiées sur un canal public de Telegram, a été identifié à partir de ces éléments, localisé puis interpellé, au moyen d'une technologie de reconnaissance faciale en temps réel.

Partant du principe selon lequel les mesures litigieuses poursuivaient le but légitime de la prévention des infractions pénales, la Cour estime que les mesures prises contre le requérant ont été particulièrement intrusives, surtout le recours à la techno logie de reconnaissance faciale en temps réel. Un niveau élevé de justification est donc nécessaire pour qu'elles puissent être considérées comme « nécessaires dans une société démocratique », le niveau de justification le plus élevé étant requis pour l'ut ilisation de cette technologie. De plus, les données à caractère personnel qui ont été traitées renfermant des informations sur la participation du requérant à une manifestation pacifique, elles ont par conséquent révélé les opinions politiques de l'intére ssé. Elles appartenaient donc aux catégories particulières de données sensibles qui appellent un niveau de protection accru.

Le droit interne russe autorisait le traitement des données biométriques à caractère personnel dans le cadre de l'enquête et des po ursuites engagées pour toute infraction, quelles qu'en fussent la nature et la gravité.

Le requérant a été poursuivi pour une infraction administrative mineure qui n'a représenté aucun risque pour l'ordre public ou la sécurité des transports. Il n'a pas é té accusé d'avoir commis un acte répréhensible au cours de sa manifestation. L'utilisation d'une technologie de reconnaissance faciale très intrusive pour identifier et arrêter les participants à des actions de protestation pacifiques pourrait produire un effet dissuasif dans le domaine des droits à la liberté d'expression et de réunion.

Dans ces conditions, le traitement des données à caractère personnel du requérant au moyen de la technologie de reconnaissance faciale dans le cadre de la procédure adminis trative, ne répondait pas à un « besoin social impérieux » et ne pouvait être considéré comme « nécessaire dans une société démocratique ». La Cour EDH conclut donc à une violation de l'article 8.

1) Les dispositions du règlement 2016/679, notamment l'article 6, paragraphe 1, sous‑e), et l'article 10 de celui-ci, doivent être interprétées en ce sens qu’elles s’opposent à ce que des données relatives à des condamnations pénales d’une personne physique figurant dans un fichier tenu par une juridiction puissent être communiquées oralement à toute personne aux fins de garantir un accès du public à des documents officiels, sans que la personne demandant la communication ait à justifier d’un intérêt spécifique à obtenir lesdites données. 2) La circonstance que cette personne soit une société commerciale ou un particulier n’ayant pas d’incidence à cet égard.

L'obligation de rendre publics, sur un site internet public unique, l'objet précis, la date, l'identité du bénéficiaire direct, l'identité du bénéficiaire final, le montant, y compris les rémunérations et les avantages en nature ou en espèces, des conventions conclues par les entreprises produisant ou commercialisant des produits à finalité sanitaire destinés à l'homme ou assurant des prestations associées à ces produits avec les autres acteurs du secteur de la santé porte atteinte au données à caractère personnel. Cette publication est destinée à garantir l'exhaustivité des informations relatives à l'existence et à la nature des liens d'intérêt entre les professionnels de santé et ces entreprises. Cette atteinte est justifiée par l'exigence constitutionnelle de protection de la santé et par l'objectif d'intérêt général de prévention des conflits d'intérêts. Eu égard aux exigences particulières qui pèsent sur les acteurs du secteur de la santé et à la gravité des conséquences des conflits d'intérêts dans ce secteur, le législateur a opéré une conciliation qui n'est pas manifestement déséquilibrée entre les principes constitutionnels en cause. Par suite, le grief tiré de la méconnaissance du droit au respect de la vie privée doit être écarté.

1) L'article 5, paragraphe 2, ainsi que les articles 24 à 26 du [RGPD] doivent être interprétés en ce sens que l'exploitant d'une place de marché en ligne est coresponsable d u traitement, au sens de l'article 4, point 7, de ce règlement, des données à caractère personnel contenues dans des annonces publiées sur sa place de marché en ligne.

2) Il est à ce titre tenu, avant la p ublication des annonces et au moyen de mesures techniques et organisationnelles appropriées:

a) d'identifier les annonces qui contiennent des données sensibles, au sens de l'article 9, paragraphe 1, dudit règlement,

b) de vérifier si l'utilisateur annonce ur s'apprêtant à placer une telle annonce est la personne dont les données sensibles figurent dans cette annonce,

c) si tel n'est pas le cas, de refuser la publication de ladite annonce, à moins que cet utilisateur annonceur ne puisse démontrer que la pe rsonne concernée a donné son consentement explicite à ce que les données en question soient publiées sur cette place de marché en ligne, au sens de cet article 9, paragraphe 2, sous a), ou que l'une des autres exceptions prévues audit article 9, paragraphe 2, sous b) à j), est remplie.

3 ) L'article 32 du [RGPD] doit être interprété en ce sens que l'exploitant d'une place de marché en ligne, en tant que responsable du traitement des données à caractère personnel contenues dans des annonces publiées sur sa p lace de marché en ligne, est tenu de mettre en œuvre des mesures de sécurité techniques et organisationnelles appropriées afin d'empêcher que des annonces y étant publiées et contenant des données sensibles soient copiées et illicitement publiées sur d'aut res sites Internet.

4 ) L'article 1, paragraphe 5, sous b), de la directive 2000/31/CE sur le commerce électronique, et l'article 2, paragraphe 4, du RGPD doivent être interprétés en ce sens que l'exploitant d'une place de marché en ligne, en tant qu e responsable du traitement, au sens de l'article 4, point 7, du RGPD, des données à caractère personnel contenues dans des annonces publiées sur sa place de marché en ligne, ne peut pas se prévaloir, à l'égard d'une violation des obligations découlant de l'article 5, paragraphe 2, ainsi que des articles 24 à 26 et 32 de ce règlement, des articles 12 à 15 de cette directive, relatifs à la responsabilité des prestataires intermédiaires.

Le Conseil d'État (section de l'intérieur) saisi d'un projet de décret portant transposition en droit interne des principes du code mondial antidopage et de diverses modifications relatives à la procédure disciplinaire lui donne un avis favorable. Ce projet modifie les dispositions réglementaires du code du sport relatives au traitement automatisé de données à caractère personnel visant à mettre en œuvre l'établissement du profil biologique des sportifs, ainsi que celles relatives aux modalités d'utilisation d'un algorithme prédictif pour les besoins de l'établissement de ce même profil biologique.

Le Conseil d'État considère, eu égard au caractère sensible des données médicales qui font l'objet d'un traitement pour l'établissement du profil biologique des sportifs, au grand nombre de sportifs concernés, ainsi qu'aux modalités de réalisation de ce traitement, au moyen d'un algorithme prédictif, et à ses finalités, notamment de sanction, que le traitement permettant l'établissement du profil biologique des sportifs impose de conduire l'analyse d'impact prévue par l'article 35 du règlement général sur la protection des données.

Si la réalisation de cette dernière n'est pas une modalité de la procédure consultative de la CNIL et ne conditionne pas la légalité du décret modifiant les dispositions réglementaires relatives à ce traitement, elle n'en est pourtant pas moins une obligation de fond s'imposant au responsable dudit traitement. Aussi le Conseil d'État attire-t-il l'attention du Gouvernement sur la nécessité pour le responsable du traitement de réaliser l'analyse d'impact dans les plus brefs délais.

1) L'article 12, paragraphe 5, et l'article 15, paragraphes 1 et 3, du RGPD doivent être interprétés en ce sens que l'obligation de fournir à la personne concernée, à titre gratuit, une première copie de ses données à caractère personnel faisant l'objet d'un traitement s'impose au responsable de traitement, même lorsque cette demande est motivée dans un but étranger à ceux visés au considérant 63 RGPD, première phrase, dudit règlement.

L'article 15, paragraphe 3, première phrase, du RGPD doit être interprété en ce sens que, dans le cadre d'une relation médecin/patient, le droit d'obtenir une copie des données à caractère personnel faisant l'objet d'un traitement implique qu'il soit remis à la personne concernée une reproduction fidèle et intelligible de l'ensemble de ces données. Ce droit suppose celui d'obtenir la copie intégrale des documents figurant dans son dossier médical, qui contiennent, entre autres, lesdites données, si la fourniture d'une telle copie est nécessaire pour permettre à la personne concernée d'en vérifier l'exactitude et l'exhaustivité ainsi que pour garantir leur intelligibilité. S'agissant de données relatives à la santé de la personne concernée, ce droit inclut en tout état de cause celui d'obtenir une copie des données de son dossier médical contenant des informations telles que des diagnostics, des résultats d'examens, des avis de médecins traitants et tout traitement ou intervention administrés à celle‑ci.

2) L'article 23, paragraphe 1, sous i), du règlement 2016/679 doit être interprété en ce sens qu'une législation nationale adoptée avant l'entrée en vigueur de ce règlement peut relever du champ d'application de cette disposition. Toutefois, une telle faculté ne permet pas d'adopter une législation nationale qui, en vue de protéger les intérêts économiques du responsable de traitement, met à la charge de la personne concernée les frais d'une première copie de ses données à caractère personnel faisant l'objet de ce traitement.

1) Les dispositions du règlement 2016/679, notamment l’article 6, paragraphe 1, sous‑e), et l’article 10 de celui‑ci, doivent être interprétées en ce sens qu’elles s’opposent à ce que des données relatives à des condamnations pénales d’une personne physique figurant dans un fichier tenu par une juridiction puissent être communiquées oralement à toute personne aux fins de garantir un accès du public à des documents officiels, sans que la personne demandant la communication ait à justifier d’un intérêt spécifique pour obtenir lesdites données.

2) La circonstance que cette personne soit une société commerciale ou un particulier n’ayant pas d’incidence à cet égard.

1 ) a) Lorsque des liens mènent vers des pages web contenant des données à caractère personnel relatives à des procédures pénales visées à l'article 8, paragraphe 5 de la directive 95/46/CE du 24 octobre 1995 abrogée et remplacée par l'article 10 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD), l'ingérence dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel de la personne concernée est susceptible d'être particulièrement grave en raison de la sensibilité de ces données. Il s'ensuit qu'il appartient, en principe, à la CNIL, saisie d'une demande tendant à ce qu'elle mette l'exploitant d'un moteur de recherche en demeure de procéder au déréférencement des liens vers des pages web publiées par des tiers et contenant de telles données, de faire droit à cette demande. Il n'en va autrement que s'il apparaît, compte tenu du droit à la liberté d'information, que l'accès à une telle information à partir d'une recherche portant sur le nom de la personne concernée est strictement nécessaire à l'information du public.

b) Pour apprécier s'il peut être légalement fait échec au déréférencement au motif que l'accès à des données à caractère personnel relatives à une procédure pénale à partir d'une recherche portant sur le nom de la personne concernée est strictement nécessaire à l'information du public, il lui incombe de tenir notamment compte, d'une part, de la nature des données en cause, de leur contenu, de leur caractère plus ou moins objectif, de leur exactitude, de leur source, des conditions et de la date de leur mise en ligne et des répercussions que leur référencement est susceptible d'avoir pour la personne concernée et, d'autre part, de la notoriété de cette personne, de son rôle dans la vie publique et de sa fonction dans la société. Il lui incombe également de prendre en compte la possibilité d'accéder aux mêmes informations à partir d'une recherche portant sur des mots‑clés ne mentionnant pas le nom de la personne concernée.

2) Dans l'hypothèse particulière où le lien mène vers une page web faisant état d'une étape d'une procédure judiciaire ne correspondant plus à la situation judiciaire actuelle de la personne concernée mais qu'il apparaît, au terme de la mise en balance effectuée dans les conditions énoncées au point précédent, que le maintien de son référencement est strictement nécessaire à l'information du public, l'exploitant d'un moteur de recherche est tenu, au plus tard à l'occasion de la demande de déréférencement, d'aménager la liste de résultats de telle sorte que les liens litigieux soient précédés sur cette liste de résultats d'au moins un lien menant vers une ou des pages web comportant des informations à jour afin que l'image qui en résulte reflète exactement la situation judiciaire actuelle de la personne concernée.

3) Requérant ayant exercé, de 2003 à 2008, les fonctions de surveillant et d'animateur scolaire. À la suite d'attouchements sexuels sur mineurs, il a été mis en examen puis condamné par un jugement du tribunal correctionnel du 2 juin 2010 à une peine de sept ans d'emprisonnement, qui a été exécutée, assortie d'un suivi socio‑judiciaire de dix ans et d'une interdiction d'exercer une activité impliquant un contact avec des enfants. Eu égard à la nature et au contenu des informations litigieuses, qui donnent au public un accès direct et permanent à la condamnation dont a fait l'objet le requérant alors même que, en application du code de procédure pénale, l'accès à des données relatives aux condamnations pénales d'un individu n'est en principe possible que dans des conditions restrictives et pour des catégories limitées de personnes, à l'absence de notoriété de la personne qu'elles concernent, à l'ancienneté des faits et de la condamnation pénale ainsi qu'aux répercussions qu'il est susceptible d'avoir sur la réinsertion du requérant, qui allègue avoir perdu deux emplois du fait du référencement en cause, le maintien des liens permettant d'y avoir accès à partir d'une recherche effectuée sur son nom, la CNIL n'a pu légalement estimer, alors même que ces informations proviennent d'articles de presse dont l'exactitude n'est pas contestée, que le maintien des liens litigieux était strictement nécessaire à l'information du public au motif que les chroniques judiciaires permettent d'exercer un droit de regard sur le fonctionnement de la justice pénale, sans qu'il ait d'incidence la circonstance que la mesure de suivi socio‑judiciaire dont fait l'objet l'intéressé est, à la date de la présente décision, toujours en cours.

Il résulte de l'article art. 37 de la loi n° 78‑17 du 6 janvier 1978 (loi IL) que les dispositions de cette loi ne font, en principe, pas obstacle à l'application, au bénéfice de tiers, des dispositions du titre Ier de la loi n° 78‑753 du 17 juillet 1978. Lorsque des données à caractère personnel ont également le caractère de documents administratifs, elles ne sont communicables aux tiers, en vertu du III de l'article 6 de la loi du 17 juillet 1978, que s'il est possible d'occulter ou de disjoindre les mentions portant atteinte, notamment, à la protection de la vie privée ou au secret médical. Il ne peut être accédé à une demande de communication sur le fondement de la loi du 17 juillet 1978 que si le traitement nécessaire pour rendre impossible, s'agissant de données de santé, toute identification, directe ou indirecte, de l'une quelconque des personnes concernées, y compris par recoupement avec d'autres données, n'excède pas l'occultation ou la disjonction des mentions non communicables, seule envisagée par cette loi. Dans le cas contraire, sont seules applicables les dispositions de la loi du 6 janvier 1978 et des lois spéciales applicables au traitement de certaines catégories de données, notamment, en ce qui concerne les données de santé à caractère personnel, les chapitres IX et X de la loi du 6 janvier 1978.

1) Le registre de contention et d'isolement comporte des mentions qui ne sont pas soumises à occultation préalable avant leur communication, telles que les dates, les heures et la durée de chaque mesure de contention forcée ou d'isolement. Les éléments permettant d'identifier les patients doivent, conformément aux articles L. 311-6 et L. 311-7 du code des relations entre le public et l'administration, être occultés préalablement à la communication du registre de contention et d'isolement afin de ne pas porter atteinte au secret médical et à la protection de la vie privée, comme doivent également l'être celles permettant d'identifier les soignants, afin d'éviter que la divulgation d'informations les concernant puisse leur porter préjudice.

2) Dans le cas où l'identité des patients a fait l'objet d'une pseudonymisation, laquelle ne permet l'identification des personnes en cause qu'après recoupement d'informations, il appartient au juge administratif d'apprécier si, eu égard à la sensibilité des informations en cause et aux efforts nécessaires pour identifier les personnes concernées, leur communication est susceptible de porter atteinte à la protection de la vie privée et au secret médical. En l'espèce, compte tenu de la nature des informations en cause, qui touchent à la santé mentale des patients, et du nombre restreint de personnes pouvant faire l'objet d'une mesure de contention et d'isolement, facilitant ainsi leur identification, alors que les autorités énumérées à l'article L. 3222-5-1 du code de la santé publique peuvent accéder à l'ensemble des informations figurant sur les registres et contrôler l'activité des établissements concernés, l'identifiant dit "anonymisé" figurant dans ces registres, qu'il s'agisse, selon la pratique du centre hospitalier, de "l'identifiant permanent du patient" (IPP) ou d'un identifiant spécialement défini, doit être regardé comme une information dont la communication est susceptible de porter atteinte à la protection de la vie privée et au secret médical. Cet identifiant n'est donc communicable qu'au seul intéressé en vertu des dispositions de l'article L. 311-6 du code des relations entre le public et l'administration.

Dans une jurisprudence constante, la Cour EDH juge que la conservation de photographies par la police, combinée à la possibilité de leur appliquer des techniques de recours à la reconnaissance faciale en temps réel, constitue une ingérence dans l'exercice du droit à la vie privée. La Cour rappelle également qu'il est essentiel, dans le cadre de la mise en œuvre de la technologie de reconnaissance faciale, de disposer de règles détaillées régissant la portée et l'application des mesures ainsi que de garanties solides contre le risque d'abus et d'arbitraire. La nécessité de disposer de garanties est d'autant plus grande lorsque la technologie de reconnaissance faciale est utilisée en temps réel.

En l'espèce, le requérant russe qui a manifesté pacifiquement dans le métro moscovite, et dont des photographies et une vidéo ont été publiées sur un canal public de Telegram, a été identifié à partir de ces éléments, localisé puis interpellé, au moyen d'une technologie de recours à la reconnaissance faciale en temps réel.

Partant du principe selon lequel les mesures litigieuses poursuivaient le but légitime de la prévention des infractions pénales, la Cour estime que les mesures prises contre le requérant ont été particulièrement intrusives, surtout le recours à la technologie de reconnaissance faciale en temps réel. Un niveau élevé de justification est donc nécessaire pour qu'elles puissent être considérées comme « nécessaires dans une société démocratique », le niveau de justification le plus élevé étant requis pour l'utilisation de cette technologie. De plus, les données à caractère personnel qui ont été traitées renfermant des informations sur la participation du requérant à une manifestation pacifique, elles ont par conséquent révélé les opinions politiques de l'intéressé. Elles appartenaient donc aux catégories particulières de données sensibles qui appellent un niveau de protection accru.

Le droit interne russe autorisait le traitement des données biométriques à caractère personnel dans le cadre de l'enquête et des poursuites engagées pour toute infraction, quelles qu'en fussent la nature et la gravité.

Le requérant a été poursuivi pour une infraction administrative mineure qui n'a représenté aucun risque pour l'ordre public ou la sécurité des transports. Il n'a pas été accusé d'avoir commis un acte répréhensible au cours de sa manifestation. L'utilisation d'une technologie de reconnaissance faciale très intrusive pour identifier et arrêter les participants à des actions de protestation pacifiques pourrait produire un effet dissuasif dans le domaine des droits à la liberté d'expression et de réunion.

Dans ces conditions, le traitement des données à caractère personnel du requérant au moyen de la technologie de reconnaissance faciale dans le cadre de la procédure administrative ne répondait pas à un « besoin social impérieux » et ne pouvait être considéré comme « nécessaire dans une société démocratique ». La Cour EDH conclut donc à une violation de l'article 8.

La création d'un traitement de données à caractère personnel destiné à préserver l'intégrité des données nécessaires à la délivrance des titres d'identité et de voyage permet de sécuriser la délivrance de ces titres et d'améliorer l'efficacité de la lutte contre la fraude. Elle est ainsi justifiée par un motif d'intérêt général. Toutefois, compte tenu de son objet, ce traitement de données à caractère personnel est destiné à recueillir les données relatives à la quasi-totalité de la population de nationalité française. Les données biométriques enregistrées dans ce fichier, notamment les empreintes digitales, étant par elles-mêmes susceptibles d'être rapprochées de traces physiques laissées involontairement par la personne ou collectées à son insu, sont particulièrement sensibles. Les caractéristiques techniques de ce fichier définies par les dispositions contestées permettent son interrogation à d'autres fins que la vérification de l'identité d'une personne. Les dispositions de la loi relative à la protection de l'identité autorisent la consultation ou l'interrogation de ce fichier non seulement aux fins de délivrance ou de renouvellement des titres d'identité et de voyage et de vérification de l'identité du possesseur d'un tel titre, mais également à d'autres fins de police administrative ou judiciaire. Il résulte de ce qui précède qu'en égard à la nature des données enregistrées, à l'ampleur de ce traitement, à ses caractéristiques techniques et aux conditions de sa consultation, les dispositions de l'article 5 portent au droit au respect de la vie privée une atteinte qui ne peut être regardée comme proportionnée au but poursuivi. Par suite, les articles 5 et 10 de la loi relative à la protection de l'identité doivent être déclarés contraires à la Constitution.

Constitution d'un traitement automatisé centralisé données à caractère personnel (état civil, image numérisée du visage et empreintes de huit doigts) recueillies auprès des personnes âgées d'au moins six ans lors de l'établissement ou du renouvellement des passeports.

La finalité de la consultation des empreintes digitales contenues dans le traitement automatisé (confirmer que la personne présentant une demande de renouvellement d'un passeport est bien celle à laquelle le passeport a été initialement délivré ou s'assurer de l'absence de falsification des données contenues dans le composant électronique du passeport) peut être atteinte de manière suffisamment efficace en comparant les empreintes figurant dans le composant électronique du passeport avec celles conservées dans le traitement, sans qu'il soit nécessaire que ce dernier en contienne davantage.

Dès lors, le Conseil d'État annule l'article litigieux du fait de l'inconventionnalité de la collecte et de la conservation d'un plus grand nombre d'empreintes digitales que celles figurant dans le composant électronique, ces données n'étant ni adéquates, ni pertinentes et apparaissant excessives au regard des finalités du traitement informatisé.

Le Conseil d'État (section de l'intérieur) a donné un avis favorable au projet de décret pris pour l'application des articles L. 744 - 6 et L. 744 - 7 CESEDA et portant création du traitement automatisé de données à caractère personnel prévu par ces articles sous réserve de plusieurs observations.

L'article L. 744-6 du CESEDA confie à l'Office français de l'immigration et de l'intégration (OFII) la charge d'évaluer la vulnérabilité des demandeurs d'asile et permet que les informations recueillies dans ce cadre puissent faire l'objet d'un traitement automatisé de données, dans les conditions fixées par la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. Le décret mettant en œuvre ce fichier est justifié par un intérêt public et échappe, en application du IV de l'article 8 de la même loi, à l'interdiction de collecte et de traitement des données à caractère personnel relatives à la santé prévue par le I du même article.

Le Conseil d'État estime que le projet de décret pouvait légalement prévoir l'enregistrement des données de vulnérabilité, à l'exception toutefois des données de santé à caractère personnel qui n'auraient pas été volontairement communiquées par le demandeur d'asile, ainsi que l'accès à ces données par les personnels de l'OFII, les agents chargés de l'accueil des demandeurs d'asile relevant des ministères de l'intérieur et des affaires sociales et de l'Office français de protection des réfugiés et des apatrides, dans la limite de leurs attributions et du besoin d'en connaître.

Le Conseil d'État souligne également la légalité de ce projet de décret.