En application de l'article 230-6 du code de procédure pénale, les services de la police nationale et de la gendarmerie nationale peuvent mettre en œuvre traitements automatisés de données à caractère personnel recueillies au cours des enquêtes préliminaires ou de flagrance ou au cours des investigations exécutées sur commission rogatoire et concernant tout crime ou délit et certaines contraventions de la cinquième classe. En application du premier alinéa de l'article 230-7 du même code, ces traitements peuvent contenir des informations sur les personnes à l'encontre desquelles il existe des indices graves ou concordants rendant vraisemblable qu'elles aient pu participer, comme auteurs ou complices, à la commission de ces infractions. En application du premier alinéa de l'article 230-8 du code de procédure pénale, ces traitements sont opérés sous le contrôle du procureur de la République territorialement compétent. En cas de décision de relaxe ou d'acquittement devenue définitive, les données personnelles concernées des personnes mises en cause sont effacées, sauf si le procureur de la République en prescrit le maintien. Le procureur de la République peut également ordonner l'effacement des données personnelles en cas de décision de non-lieu ou de classement sans suite. En application de l'article 230-9 du code de procédure pénale, un magistrat est chargé de suivre la mise en œuvre et la mise à jour de ces traitements. Il dispose des mêmes pouvoirs d'effacement que le procureur de la République. Il résulte d'une jurisprudence constante qu'aucune personne mise en cause autre que celles ayant fait l'objet d'une décision d'acquittement, de relaxe, de non-lieu ou de classement sans suite ne peut obtenir, sur le fondement des dispositions contestées, l'effacement des données qui la concernent. En autorisant la création de traitements de données à caractère personnel recensant des antécédents judiciaires et l'accès à ces traitements par des autorités investies par la loi d'attributions de police judiciaire et par certains personnels investis de missions de police administrative, le législateur a entendu leur confier un outil d'aide à l'enquête judiciaire et à certaines enquêtes administratives. Il a ainsi poursuivi les objectifs de valeur constitutionnelle de recherche des auteurs d'infractions et de prévention des atteintes à l'ordre public.

Toutefois, en premier lieu, en prévoyant que les fichiers d'antécédents judiciaires peuvent contenir les informations recueillies au cours d'une enquête ou d'une instruction concernant une personne à l'encontre de laquelle il existe des indices graves ou concordants rendant vraisemblable qu'elle ait pu participer à la commission de certaines infractions, le législateur a permis que figurent dans ce fichier des données particulièrement sensibles. Ainsi, l'article R. 40-26 du code de procédure pénale prévoit que peuvent être enregistrés les éléments d'état civil, la profession ou la situation familiale de la personne et une photographie comportant des caractéristiques techniques permettant de recourir à un dispositif de reconnaissance faciale. En deuxième lieu, les fichiers d'antécédents judiciaires sont susceptibles de porter sur un grand nombre de personnes dans la mesure où y figurent des informations concernant toutes les personnes mises en cause pour un crime, un délit et certaines contraventions de la cinquième classe. En troisième lieu, le législateur n'a pas fixé la durée maximum de conservation des informations enregistrées dans un fichier d'antécédents judiciaires. Ainsi, l'article R. 40-27 du code de procédure pénale prévoit qu'elles sont conservées pendant une durée comprise entre cinq ans et quarante ans selon l'âge de l'individu et la nature de l'infraction. En dernier lieu, ces informations peuvent être consultées non seulement aux fins de constatation des infractions à la loi pénale, de rassemblement des preuves de ces infractions et de recherche de leurs auteurs, mais également à d'autres fins de police administrative. Dès lors, en privant les personnes mises en cause dans une procédure pénale, autres que celles ayant fait l'objet d'une décision d'acquittement, de relaxe, de non-lieu ou de classement sans suite, de toute possibilité d'obtenir l'effacement de leurs données personnelles inscrites dans le fichier des antécédents judiciaires, le premier alinéa de l'article 230-8 du code de procédure pénale porte une atteinte disproportionnée au droit au respect de la vie privée.

1) Les dispositions du règlement 2016/679, notamment l'article 6, paragraphe 1, sous‑e), et l'article 10 de celui‑ci, doivent être interprétées en ce sens qu’elles s’opposent à ce que des données relatives à des condamnations pénales d’une personne physique figurant dans un fichier tenu par une juridiction puissent être communiquées oralement à toute personne aux fins de garantir un accès du public à des documents officiels, sans que la personne demandant la communication ait à justifier d’un intérêt spécifique à obtenir lesdites données. 2) La circonstance que cette personne soit une société commerciale ou un particulier n’ayant pas d’incidence à cet égard.

Conformité à la Constitution d'un dispositif autorisant à titre expérimental et pour une durée de trois ans, les administrations fiscales et douanières à collecter et à exploiter de manière automatisée les contenus accessibles publiquement sur les sites internet de certains opérateurs de plateforme, aux fins de recherche de manquements et d'infractions en matière fiscale et douanière malgré l'atteinte au droit au respect de la vie privée dès lors que : le dispositif poursuit l'objectif à valeur constitutionnelle de lutte contre la fraude et l'évasion fiscale ; les traitements de données autorisés par les dispositions contestées peuvent être mis en œuvre, d'une part, pour les besoins de la recherche de certains manquements et certaines infractions dont la commission est rendue possible ou favorisée par l'usage d'internet et, d'autre part, pour rechercher l'insuffisance de déclaration découlant d'un manquement aux règles de domiciliation fiscale. Si la commission de ce manquement n'est pas rendue possible ou favorisée par l'usage d'internet, il résulte des travaux parlementaires que le législateur, qui a souhaité limiter le nombre de manquements susceptibles d'être recherchés, a entendu viser un des cas les plus graves de soustraction à l'impôt, qui peut être particulièrement difficile à déceler ; les données susceptibles d'être collectées et exploitées doivent répondre à deux conditions cumulatives. D'une part, il doit s'agir de contenus librement accessibles sur un service de communication au public en ligne d'une des plateformes précitées, à l'exclusion donc des contenus accessibles seulement après saisie d'un mot de passe ou après inscription sur le site en cause. D'autre part, ces contenus doivent être manifestement rendus publics par les utilisateurs de ces sites. Il en résulte que ne peuvent être collectés et exploités que les contenus se rapportant à la personne qui les a délibérément divulgués. En outre, les données sensibles au sens du paragraphe I de l'article 6 de la loi du 6 janvier 1978, c'est‑à‑dire celles qui révèlent la prétendue origine raciale ou l'origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale d'une personne, les données génétiques et biométriques et celles concernant la santé et la vie ou l'orientation sexuelle, ne peuvent faire l'objet d'aucune exploitation à des fins de recherche de manquements ou d'infractions ; d'une part, les traitements de données autorisés par les dispositions contestées ne peuvent comporter aucun système de reconnaissance faciale. D'autre part, ils ne peuvent être mis en œuvre que par des agents des administrations fiscales et douanières ayant au moins le grade de contrôleur et spécialement habilités ; les données qui s'avèrent manifestement sans lien avec les manquements et infractions recherchés ou qui constituent des données sensibles sont détruites au plus tard dans les cinq jours suivant leur collecte, sans aucune autre exploitation possible de ces données pendant ce délai. Les autres données doivent être détruites dans les trente jours si elles ne sont pas de nature à concourir à la constatation des manquements ou infractions. Seules peuvent être conservées les données strictement nécessaires à une telle constatation, dans la limite d'une année ou, le cas échéant, jusqu'au terme de la procédure pénale, fiscale ou douanière dans le cadre de laquelle elles sont utilisées ; aucune procédure pénale, fiscale ou douanière ne peut être engagée sans qu'ait été portée une appréciation individuelle de la situation de la personne par l'administration, qui ne peut alors se fonder exclusivement sur les résultats du traitement automatisé ; le traitement instauré par les dispositions contestées est mis en œuvre dans le respect de la loi du 6 janvier 1978, à l'exception du droit d'opposition prévu à son article 110 ; la mise en œuvre des traitements de données, tant lors de leur création que lors de leur utilisation, doit être proportionnée aux finalités poursuivies. Il appartiendra notamment, à ce titre, au pouvoir réglementaire, sous le contrôle du juge, de veiller à ce que les algorithmes utilisés par ces traitements ne permettent de collecter, d'exploiter et de conserver que les données strictement nécessaires à ces finalités.

Les traitements de données à caractère personnel mis en œuvre pour le compte de l'État, qui intéressent la sûreté de l'État, la défense ou la sécurité publique et qui portent sur des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci, sont autorisés par décret en Conseil d'État pris après avis motivé et publié de la CNIL. Cet avis ne saurait lier l'autorité administrative, mais celle-ci doit en toute hypothèse respecter les exigences de la loi du 6 janvier 1978 et les intérêts que le législateur a entendu protéger.

L'organisme dont une disposition législative ou réglementaire prévoit la consultation avant l'intervention d'un texte doit être mis à même d'exp rimer son avis sur l'ensemble des questions soulevées par ce texte. Dans le cas où, après avoir recueilli son avis, l'autorité compétente pour prendre ce texte envisage d'apporter à son projet des modifications qui posent des questions nouvelles, elle doit le consulter à nouveau.

En l'espèce, le Gouvernement a saisi la CNIL d'un projet de décret autorisant le traitement de données relatives aux « activités politiques, philosophiques, religieuses ou syndicales ». Or le décret publié autorise le traitement de données qui révèleraient des opinions politiques, des convictions philosophiques ou religieuses, ou une appartenance syndicale, alors même qu'elles ne procèderaient pas d'activités politiques, philosophiques, religieuses ou syndicales. L'extension du cham p des données sensibles collectées à laquelle procède le décret attaqué, en permettant la collecte de données relatives aux opinions et non, comme dans le projet de décret sur lequel la CNIL avait été consultée, de données relatives aux activités, soulevai t une question nouvelle qui requérait une nouvelle consultation de la Commission, à laquelle il n'a donc pas été procédé. Annulation de la disposition en cause.

ème ème

Selon l'article R.3113-2 du code de la santé publique, les données cliniques, biologiques et sociodémographiques destinées à la surveillance épidémiologique que comporte la notification des maladies sont arrêtées par le ministre chargé de la santé après avis de la CNIL.

Si le projet de décret relatif aux déclarations obligatoires de certaines maladies supprime cet avis préalable, le Conseil d'État (section sociale) relève que la CNIL a émis un avis favorable à cette suppression. Surtout, il considère qu'il ne résulte d'aucune disposition de la loi n°78-17 du 6 janvier 1978, ni d'aucune autre disposition législative que cette consultation préalable soit obligatoire avant l'adoption d'un tel texte réglementaire. L'arrêté en question ne constitue pas une autorisation de mise en œuvre du traitement, laquelle relève au demeurant d'une décision de la Commission. Constatant que cette suppression n'aura pas pour effet de soustraire ces informations de tout contrôle de la CNIL, le Conseil d'État (section sociale) émet un avis favorable.

1) En vertu du 6° de l'article 44 de la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dite loi Informatique et libertés, la CNIL peut rendre un avis unique à la fois pour la création par une université d'un entrepôt de données et pour les recherches qui seront réalisées en son sein dans le cadre indiqué dans la demande émanant de cette université. 2) En revanche, les recherches mises en œuvre par des chercheurs externes à l'université et qui ne sont rattachés à aucun laboratoire de celle-ci, à des fins de recherche publique, à partir des données contenues dans l'entrepôt, constituent des traitements distincts, non couverts par la demande et devant faire l'objet de nouveaux avis au titre de cette même disposition.

Les délibérations par lesquelles la Commission nationale de l'informatique et des libertés (CNIL), sur le fondement des dispositions du III de l'article 8 de la loi n°78-17 du 6 janvier 1978, qui définissent les possibilités de dérogation à l'interdiction de principe posée au I du même article, autorisent, compte tenu de leurs finalités, certaines catégories de traitement de données sensibles, sont au nombre des actes devant obligatoirement être motivés en vertu de l'article 2 de la loi n°79-587 du 11 juillet 1979.