Saisi d'un projet de décret autorisant la création d'un moyen d'identification électroniqu e dénommé « Application de Lecture de l'Identité d'un Citoyen En Mobilité », le Conseil d'État (section de l'intérieur) lui donne un avis favorable.

Ce traitement permet aux titulaires d'un passeport comportant un composant électronique, ou d'un titre de séjour comportant un composant électronique, de s'authentifier auprès d'organismes publics ou privés, au moyen d'un équipement terminal de communications électroniques doté d'un dispositif permettant la lecture sans contact du composant électronique de ces titres.

L'article 9 du RGPD in terdit le traitement des données biométriques aux fins d'identifier une personne physique de manière unique, sauf si l'intéressé a donné son consentement. Ces dispositions sont éclairées par son considérant 42 selon lequel « le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d'une véritable liberté de choix ou n'est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice ».

Le Conseil d'État considère que ces dispositions ne sont pas méconnues par le projet dès lors que le recours à ALICEM pour s'authentifier auprès d'organismes publics ou privés est une faculté, les usagers ou clients ayant la possibilité de recourir à d'autres disposi tifs d'authentification électronique ou d'entrer en contact avec ces organismes par des voies autres qu'électroniques. Le projet prévoit également la possibilité pour l'intéressé de désinstaller l'application de son équipement terminal de communications él ectroniques à tout moment. Les données biométriques sont elles - mêmes supprimées du traitement sitôt l'enrôlement dans le traitement terminé.

Le Conseil d'État ajoute dans le projet la précision selon laquelle l'Agence nationale des titres sécurisés procèd e, au moment de la demande d'ouverture du compte, au recueil du consentement de l'usager au traitement de ses données biométriques.

L'article 17, paragraphe 1, sous d), et l'article 18, paragraphe 1, sous b), du RGPD doivent être interprétés en ce sens que la méconnaissance, par le responsable du traitement, des obligations prévues aux articles 26 et 30 de ce règlement, relatives, respectivement, à la conclusion d'un accord déterminant la responsabilité conjointe du traitement et à la tenue d'un registre des activités de traitement, ne constitue pas un traitement illicite conférant à la personne concernée un droit à l'effacement ou à la limitation du traitement, dès lors qu'une telle méconnaissance n'implique pas, en tant que telle, une violation par le responsable du traitement du principe de « responsabilité » tel qu'énoncé à l'article 5, paragraphe 2, dudit règlement, lu conjointement avec l'article 5, paragraphe 1, sous a), et l'article 6, paragraphe 1, premier alinéa, de ce dernier.

1) L'article 17 du RGPD doit être interprété en ce sens que la demande de suppression des données à caractère personnel d'un abonné tendant à la suppression de ses données à caractère personnel des annuaires constitue un recours au « droit à l'effacement » au sens de cet article.

2) L'article 5, paragraphe 2, et l'article 24 du RGPD doivent être interprétés en ce sens qu'une autorité de contrôle nationale peut exiger que le fournisseur d'annuaires, en tant que responsable du traitement, prenne les mesures techniques et organisationnelles appropriées pour informer les responsables de traitement tiers, à savoir l'opérateur de services téléphoniques qui lui a communiqué les données à caractère personnel de son abonné ainsi que les autres fournisseurs d'annuaires auxquels il a fourni de telles données, du retrait de consentement de cet abonné.

3) L'article 17, paragraphe 2, du RGPD, doit être interprété en ce sens qu'il ne s'oppose pas à ce qu'une autorité de contrôle nationale ordonne à un fournisseur d'annuaires et de services de renseignements téléphoniques accessibles au public, auquel l'abonné d'un opérateur de services téléphoniques a demandé de ne plus publier les données à caractère personnel le concernant, de prendre des « mesures raisonnables », au sens de cette disposition, afin d'informer les fournisseurs de moteurs de recherche de cette demande d'effacement des données.

4) L'article 12, paragraphe 2, de la directive 2002/58, lu en combinaison avec l'article 2, second alinéa, sous f), de cette directive et avec l'article 95 du RGPD, doit être interprété en ce sens que le « consentement », au sens de l'article 4, point 11, du RGPD, de l'abonné d'un opérateur de services téléphoniques est exigé afin que les données à caractère personnel de cet abonné figurent dans les annuaires et les services de renseignements téléphoniques accessibles au public publiés par des fournisseurs autres que cet opérateur, ce consentement pouvant être fourni soit audit opérateur soit à l'un de ces fournisseurs.

La directive 2017/1132 relative à certains aspects du droit des sociétés, en particulier l'article 16 de celle‑ci, ainsi que l'article 17 du règlement 2016/679 du 27 avril 2016 (RGPD), doivent être interprétés en ce sens qu'ils s'opposent à une réglementation ou à une pratique d'un État membre conduisant l'autorité chargée de la tenue du registre du commerce de cet État membre à refuser toute demande d'effacement des données à caractère personnel, non requises par cette directive ou par le droit dudit État membre, figurant dans un contrat de société publié dans ce registre, lorsqu'une copie de ce contrat occultant ces données n'a pas été fournie à cette autorité, contrairement aux modalités procédurales prévues par cette réglementation.

1) a) En application des stipulations de l'article 106 de la Convention d'application de l'accord de Schengen du 19 juin 1990, il incombe aux autorités françaises, saisies par une personne qui conteste son inscription dans le système informatique national du Système d'Information Schengen (SIS), de procéder, dans le cas d'un signalement opéré par la France, à l'effacement des données entachées d'erreur de droit ou d'erreur de fait. Dans le cas d'un signalement opéré par un État Partie autre que la France, il appartient à l'autorité de contrôle française, dès lors qu'elle estime disposer d'indices faisant présumer qu'une donnée est entachée d'erreur de droit ou de fait, d'en aviser les autorités de cet État.

b) Il ressort des stipulations des articles 106 et 114 de la convention du 19 juin 1990 que la Commission nationale de l'informatique et des libertés, lorsqu'elle saisit l'autorité de contrôle d'un État signalant en vue de la vérification et de l'effacement d'une inscription, est tenue de procéder à l'examen de ce signalement en étroite coordination avec celle‑ci, sans que sa responsabilité puisse être transférée à l'autorité requise. Elle doit demander l'ensemble des informations lui permettant de procéder à ce contrôle, et, en cas de désaccord avec l'autorité requise, saisir l'autorité de contrôle commune mentionnée par le paragraphe 3 de l'article 106. Si, dans certains cas limitativement énumérés par la convention, la Commission nationale de l'informatique et des libertés est tenue de ne pas communiquer au demandeur les informations le concernant, ces stipulations ne font pas obstacle à ce qu'elle exerce son contrôle sur le bien‑fondé du signalement en « étroite coordination » avec l'autorité correspondante de l'État signalant.

2) Le requérant, ressortissant français, a saisi la Commission nationale de l'informatique et des libertés d'une demande d'effacement des données le concernant contenues dans le système informatique national du Système d'Information Schengen (SIS), en faisant notamment état de sa mobilisation au début des années 1990 aux côtés d'opposants tunisiens pour dénoncer les violations par le régime tunisien des droits de l'homme et des libertés fondamentales, et en indiquant « avoir fait manifestement l'objet d'une dénonciation calomnieuse des services de ce pays ». La Commission nationale de l'informatique et des libertés, après avoir constaté que l'intéressé avait été signalé par les autorités allemandes, a saisi le 18 mai 2004 l'autorité de contrôle allemande chargée d'exercer un contrôle de la partie nationale du Système d'Information Schengen (SIS) dans le cadre de la procédure de coordination prévue au paragraphe 2 de l'article 114 de la convention du 19 juin 1990. L'autorité de contrôle allemande lui a répondu qu’« au terme de la vérification effectuée par le délégué régional compétent en matière de protection des données, (…) rien ne s'oppose, du point de vue du droit en matière de protection des données, au signalement de l'intéressé au Système d'Information Schengen (SIS) ».

Dans ces circonstances, et eu égard à l'ensemble des éléments d'information produits par le requérant, la Commission nationale de l'informatique et des libertés, en se fondant sur cette seule réponse, sans demander communication des informations nécessaires au contrôle sollicité, pour refuser de poursuivre la procédure relative à la demande d'effacement du signalement de l'intéressé, a méconnu les stipulations des articles 106 et 114 de la convention du 19 juin 1990. Elle a ainsi entaché sa décision d'erreur de droit. Le requérant est fondé à en demander l'annulation.

3) Cette annulation implique que la Commission nationale de l'informatique et des libertés reprenne la procédure de vérification relative au signalement du requérant, en « étroite coordination » avec l'autorité de contrôle allemande, aux fins d'aboutir soit au rejet de la demande en accord avec les autorités allemandes, soit à l'effacement des données litigieuses par les autorités allemandes, soit enfin, en cas de désaccord, à la saisine de l'autorité de contrôle commune mentionnée au paragraphe 3 de l'article 106 de la convention du 19 juin 1990.