CJUE9 juillet 2020CJUE, 9 juillet 2020, Land Hessen, C-272/19, points 72-74(source)
Notion de « responsable du traitement » – Commission des pétitions du parlement d'un État fédéré d'un État membre – Inclusion – Article 15 – Droit d'accès de la perso nne concernée – Application
Aucune exception n'est prévue dans le RGPD en ce qui concerne les activités parlementaires. Par conséquent, dans la mesure où la Commission des pétitions du Parlement du Land de Hesse détermine, seule ou avec d'autres, les finalités et les moyens du traitement, cette commission doit être qualifiée de « responsable du traitement », au sens de l'article 4, point 7, du règlement. Le traitement de données à caractère personnel effectué par une telle commission relève du champ d'application de ce règlement, notamment de l'article 15 de celui-ci (droit d'accès) et de la Commission des pétitions.
CE7 juin 2017CE, 10-9 chambres réunies, 7 juin 2017, M. X, n° 399446, T., points 2-3(source)
Ayant - droit d'une personne à laquelle se rapportent des données à caractère personnel – 1) Personne concernée (art.2 et 39 de la loi du 6 janvier 1978) – Absence en principe – 2) Exception – Héritiers de la victime d'un dommage ayant engagé une action en réparation avant son décès ou ayant eux - mêmes engagé ultérieurement une telle action
1) Il résulte des dispositions des articles 2 et 39 de la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés que la communication de données à caractère personnel n’est possible qu’à la personne concernée par ces données. Par suite, la seule qualité d’ayant droit d’une personne à laquelle se rapportent des données ne confère pas la qualité de « personne concernée » par leur traitement au sens de ces dispositions. 2) Toutefois, lorsque la victime d’un dommage décède, son droit à la réparation de ce dommage, entré dans son patrimoine, est transmis à ses héritiers, saisis de plein droit des biens, droits et actions du défunt en application du premier alinéa de l’article 724 du code civil. Par suite, lorsque la victime a engagé une action en réparation avant son décès ou lorsque ses héritiers ont ultérieurement eux‑mêmes engagé une telle action, ces derniers doivent être regardés comme des « personnes concernées » au sens des articles 2 et 39 de la loi du 6 janvier 1978 pour l’exercice de leur droit d’accès aux données à caractère personnel concernant le défunt, dans la mesure nécessaire à l’établissement du préjudice que ce dernier a subi en vue de sa réparation et pour les seuls besoins de l’instance engagée.
CJUE20 décembre 2017CJUE, 20 décembre 2017, Nowak, C-434/16(source)
Réponses écrites fournies par le candidat à un examen professionnel – Annotations de l'examinateur relatives à ces réponses – Inclusion
Les réponses écrites fournies par un candidat lors d'un examen professionnel et les éventuelles annotations de l'examinateur relatives à ces réponses constituent des données à caractère personnel. Le candidat a, en principe, un droit d'accès à ces données.
CJUE12 janvier 2023CJUE, 12 janvier 2023, Österreichische Post, C-154/21(source)
Droit d’accès à l’information sur les destinataires et les catégories de destinataires des données – Obligation de fournir l'identité même des destinataires, sauf impossibilité ou demande abusive
Le droit d'accès de la personne concernée aux données à caractère personnel la concernant, prévu par l’article 15, paragraphe 1, sous c) du RGPD, implique, lorsque ces données ont été ou seront communiquées à des destinataires, l’obligation pour le responsable du traitement de fournir à cette personne l’identité même de ces destinataires, à moins qu’il ne soit impossible de les identifier ou que ledit responsable du traitement ne démontre que les demandes d’accès de la personne concernée sont manifestement infondées ou excessives, au sens de l’article 12, paragraphe 5, du RGPD. Dans ces cas, celui‑ci peut indiquer à cette personne uniquement les catégories de destinataires en cause.
CJUE4 mai 2017CJUE, 4 mai 2017, Rïgas satiksme, C‑13/16(source)
Directive 95/46/CE – Demande par un particulier de communication des données personnelles d'une personne responsable d'un accident de la circulation afin d'exercer un droit en justice – Possibilité pour le responsable du traitement de faire droit à une telle demande
L'article 7, sous f), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, doit être interprété en ce sens qu'il n'impose pas l'obligation de communiquer des données à caractère personnel à un tiers afin de lui permettre d'introduire un recours en indemnisation devant une juridiction civile pour un dommage causé par la personne concernée par la protection de ces données. Toutefois, l'article 7, sous f), de cette directive ne s'oppose pas à une telle communication sur la base du droit national.
CJUE2 octobre 2018CJUE, grande chambre, 2 octobre 2018, Ministerio Fiscal, C-207/16(source)
Accès aux données visant à l'identification des titulaires des cartes SIM – Finalité de lutte contre tout type d'infraction – Atteinte proportionnée à la vie privée
L'accès d'autorités publiques aux données visant à l'identification des titulaires des cartes SIM activées avec un téléphone mobile volé, telles que les nom, prénom et, le cas échéant, adresse de ces titulaires, comporte une ingérence dans les droits fondamentaux de ces derniers qui ne présente pas une gravité telle que cet accès devrait être limité, en matière de prévention, de recherche, de détection et de poursuite d'infractions pénales, à la lutte contre la criminalité grave.
CC0 mai 2020CC, 2020-841 QPC, 20 mai 2020, La Quadrature du Net et autre s, points 9-10, 14-18 Voir aussi: CC, 2018-764 QPC, 15 février 2019, M. Paulo M., point 8; CC, 2017-753 DC, 8 septembre 2017, Loi organique pour la confiance dans la vie politique, points 57-59; CC, 2017-646/647 QP C, 21 juillet 2017, M. Alexis K. et autre, points 8-9; CC, 2015-715 DC, 5 août 2015(source)
Droit d'obtenir communication des données de connexion conféré aux agents de la Hadopi – Objectif de sauvegarde de la propriété intellectuelle – Informations particulièrement attentatoires à la vie privée – Absence de lien direct avec le manquement – Absence de garanties propres à assurer une conciliation entre le droit au respect de la vie privée et l'objectif de sauvegarde de la propriété intellectuelle – Non-conformité
Dispositions conférant aux agents de la Haute autorité pour la diffusion des œuvres et la protection des droits sur internet (Hadopi) le droit d'obtenir communication des données de connexion détenues par les opérateurs de communication électronique.
En adoptant ces dispositions, le législateur a voulu renforcer la lutte contre les pratiques de contrefaçon sur internet, qui répond à l'objectif de sauvegarde de la propriété intellectuelle. En outre, ce droit de communication, qui n'est pas assorti d'un pouvoir d'exécution forcée, n'est ouvert qu'aux agents publics de la Haute autorité, dûment habilités et assurés, qui sont soumis, dans l'utilisation de ces données, au secret professionnel. Enfin, le troisième alinéa de l'article L. 331‑21 du code de la propriété intellectuelle subordonne son exercice aux nécessités de la procédure mise en œuvre par la commission de protection des droits.
Toutefois, ce droit de communication peut s'exercer sur toutes les données de connexion détenues par les opérateurs de communication électronique. Or, compte tenu de leur nature et des traitements dont elles peuvent faire l'objet, de telles données fournissent sur les personnes en cause des informations nombreuses et précises, particulièrement attentatoires à leur vie privée. Elles ne présentent pas non plus nécessairement de lien direct avec le manquement à l'obligation de respect du droit d'auteur et des droits voisins énoncée à l'article L. 336‑3.
Il résulte de ce qui précède que, dans ces conditions, le législateur n'a pas entouré la procédure prévue par les dispositions contestées de garanties propres à assurer une conciliation qui ne soit pas manifestement déséquilibrée entre le droit au respect de la vie privée et l'objectif de sauvegarde de la propriété intellectuelle.
CC3 avril 2020CC, 2020-834 QPC, 3 avril 2020, UNEF, point 17(source)
Droit constitutionnel d'accès aux documents administratifs – Procédure de préinscription à l'entrée en premier cycle Par coursup – Publication obligatoire à l'issue de la procédure des critères d'examen des candidatures indiquant dans quelle mesure des traitements algorithmiques ont été utilisés
Les dispositions du dernier alinéa du paragraphe I de l'article L. 612-3 du code de l'éducation ne sauraient, sans méconnaître le droit d'accès aux documents administratifs garanti par l'article 15 de la Déclaration de 1789, être interprétées comme dispensant chaque établissement d'enseignement supérieur de publier, à l'issue de la procédure nationale de préinscription à l'entrée en premier cycle et dans le respect de la vie privée des candidats, le cas échéant sous la forme d'un rapport, les critères en fonction desquels les candidatures ont été examinées et précisant, le cas échéant, dans quelle mesure des traitements algorithmiques ont été utilisés pour procéder à cet examen.
CJUE9 mars 2017CJUE, 9 mars 2017, Manni, C-398/15(source)
Directive 95/46/CE – Article 6, paragraph 1, sub e) (duration of retention) – Data subject to publicity in company register – First directive 68/151/CEE – Article 3 – Dissolution of the concerned company – Limitation of third parties' access to these data
L'ingérence dans le droit à la vie privée et à la protection des données personnelles qu'emporte la publicité des données nominatives contenues dans le registre des sociétés n'est pas disproportionnée eu égard :
au nombre de données concernées ; au fait qu'elle vise à assurer la sécurité juridique dans les rapports entre les sociétés et les tiers ainsi qu'à protéger les intérêts des tiers par rapport aux sociétés par actions et aux sociétés à responsabilité limitée.
Il ne peut donc être garanti aux personnes physiques dont les données sont inscrites dans le registre des sociétés le droit d'obtenir, après un certain délai à compter de la dissolution de la société, l'effacement des données à caractère personnel les concernant.
En revanche, les États membres peuvent exceptionnellement déroger à cette exigence de publicité. Il leur appartient de déterminer si les personnes physiques visées à l'Article 2, paragraphe 1, sous d) et j) de la Directive 68/151/CEE, à savoir, d'une part, les personnes qui ont le pouvoir d'engager une société à l'égard des tiers et de la représenter en justice et celles qui participent à l'administration, à la surveillance ou au contrôle de la société et, d'autre part, les liquidateurs d'une société, peuvent demander à l'autorité chargée de la tenue, respectivement, du registre central, du registre du commerce ou du registre des sociétés de vérifier, sur la base d'une appréciation au cas par cas, s'il est exceptionnellement justifié, pour des raisons prépondérantes et légitimes tenant à leur situation particulière, de limiter, à l'expiration d'un délai suffisamment long après la dissolution de la société concernée, l'accès aux données à caractère personnel les concernant, inscrites dans ce registre, aux tiers justifiant d'un intérêt spécifique à la consultation de ces données.
Cass7 janvier 2020Cass, crim., 7 janvier 2020, n° 18-84.755, B., points 13-16(source)
Suppression de données dans un système de traitement automatisé de donnée – Légalité – Conditions
Les atteintes aux systèmes de traitement automatisé de données prévues à l'article 323-1 à 323-3 du code pénal ne sauraient être reprochées à la personne qui, bénéficiant des droits d'accès et de modification des données, procède à des suppressions de données, sans les dissimuler à d'éventuels autres utilisateurs du système, lorsqu'en l'espèce la personne mise en cause, seule utilisatrice du système, avait procédé à des saisies de données, puis à leur effacement, afin qu'elles n'apparaissent pas dans un journal de comptabilité.
CE26 avril 2022CE, 10 chambre, 26 avril 2022, Optical Center, n° 449284, Inédit., point 7(source)
Obligation de faciliter l'exercice des droits (art. 12 RGPD) – Cas d'un responsable de traitement mettant à disposition des adresses électroniques erronées, sans diligence pour les corriger, et une adresse postale – Manquement
Le caractère erroné des adresses électroniques communiquées sur le site web d’un responsable de traitement destinées à recueillir les demandes relatives à l'exercice des droits conférés à la personne en vertu des articles 15 à 22 du RGPD, lorsqu’il n’a été pleinement réparé qu’à l’issue d’un délai de plus de six mois et postérieurement à un contrôle diligenté par les services de la CNIL, ainsi que la procédure d'exercice de ces mêmes droits effectuée par voie postale par un prestataire du responsable de traitement ne permettant pas de faciliter les démarches des personnes concernées, en l’absence de transmission directe des demandes de droit d’accès du responsable de traitement à son prestataire, sont de nature à caractériser un manquement aux dispositions de l’article 12 du RGPD.
CC3 avril 2020CC, 2020-834 Q PC, 3 avril 2020, UNEF, point 17(source)
Procédure de préinscription à l'entrée en premier cycle Parcoursup – Publication obligatoire à l'issue de la procédure des critères d'examen des candidatures sous la forme d'un rapport indiquant dans quelle mesure des traitements algorithmiques ont été utilisés
Les dispositions du dernier alinéa du paragraphe I de l'article L. 612-3 du code de l'éducation ne sauraient, sans méconnaître le droit d'accès aux documents administratifs garanti par l'article 15 de la Déclaration de 1789, être interprétées comme dispensant chaque établissement d'enseignement supérieur de publier, à l'issue de la procédure nationale de préinscription à l'entrée en premier cycle et dans le respect de la vie privée des candidats, le cas échéant sous la forme d'un rapport, les critères d'examen des candidatures en fonction desquels les candidatures ont été examinées et précisant, le cas échéant, dans quelle mesure traitements algorithmiques ont été utilisés pour procéder à cet examen.
CNIL29 mai 2024CNIL, P, 29 mai 2024, Courrier présidente, Commune de X, 27412, non publié
Système de vidéoprotection installé dans une ville – Demande de communication d'une carte avec l'emplacement des caméras et des zones surveillées - Exclusion
Il résulte des articles 13 et 15 du RGPD, des dispositions des titres II et III de la loi informatique et libertés relatives aux obligations d'information et au droit d'accès, et des dispositions du code de la sécurité intérieure régissant spécifiquement la vidéoprotection, notamment l'article R. 253‑6, que le responsable de traitement, s’il est tenu d’informer, d’une façon adaptée au contexte et aux objectifs poursuivis, sur l’existence de la vidéoprotection d’un territoire, d’une zone ou d’un bâtiment, et de fournir l’ensemble des mentions et informations prévues par ces textes, n’est pas tenu à ce titre de communiquer l’emplacement exact de chaque caméra. Ainsi, en l’espèce, la commune n’était pas tenue de fournir à la personne concernée une carte avec l'emplacement des caméras et des zones surveillées.
CNIL1 juillet 2021CNIL, P, 1 juillet 2021, Mise en demeure, n°MED-2021-042, non publié Exception d'efforts disproportionnés
Droit d'accès au dossier médical du mineur – Conditions
Le droit d’accès au dossier médical du mineur, fondé sur l’article L. 1111‑7 du code de la santé publique, peut être exercé par chacun des titulaires de l’autorité parentale, dans les conditions précisées par ce texte et après occultation des éventuelles mentions relatives à la vie privée de l’autre titulaire, aux données médicales. Le parent ne perd ce droit d’accès qu’en cas de retrait de la qualité de titulaire de l’autorité parentale prévue aux articles 378 et suivants du code civil.
CJUE26 octobre 2023CJUE, 26 octobre 2023, FT, C-307/22(source)
1) Fourniture d'une première copie des données – Obligation du responsable de traitement – Demande motivée par un but étranger à ceux visés au considérant 63 RGPD – Inclusion – Application au dossier médical d'un patient – 2) Législation mettant à la charge de la personne concernée les frais d'une première copie de ses données – Illicéité
1) L'article 12, paragraphe 5, et l'article 15, paragraphes 1 et 3, du RGPD doivent être interprétés en ce sens que l'obligation de fournir à la personne concernée, à titre gratuit, une première copie de ses données à caractère personnel faisant l'objet d'un traitement s'impose au responsable de traitement, même lorsque cette demande est motivée dans un but étranger à ceux visés au considérant 63 RGPD, première phrase, dudit règlement.
L'article 15, paragraphe 3, première phrase, du RGPD doit être interprété en ce sens que, dans le cadre d'une relation médecin/patient, le droit d'obtenir une copie des données à caractère personnel faisant l'objet d'un traitement implique qu'il soit remis à la personne concernée une reproduction fidèle et intelligible de l'ensemble de ces données. Ce droit suppose celui d'obtenir la copie intégrale des documents figurant dans son dossier médical, qui contiennent, entre autres, lesdites données, si la fourniture d'une telle copie est nécessaire pour permettre à la personne concernée d'en vérifier l'exactitude et l'exhaustivité ainsi que pour garantir leur intelligibilité. S'agissant de données relatives à la santé de la personne concernée, ce droit inclut en tout état de cause celui d'obtenir une copie des données de son dossier médical contenant des informations telles que des diagnostics, des résultats d'examens, des avis de médecins traitants et tout traitement ou intervention administrés à celle‑ci.
2) L'article 23, paragraphe 1, sous i), du règlement 2016/679 doit être interprété en ce sens qu'une législation nationale adoptée avant l'entrée en vigueur de ce règlement peut relever du champ d'application de cette disposition. Toutefois, une telle faculté ne permet pas d'adopter une législation nationale qui, en vue de protéger les intérêts économiques du responsable de traitement, met à la charge de la personne concernée les frais d'une première copie de ses données à caractère personnel faisant l'objet de ce traitement.
CJUE22 juin 2023CJUE, 22 juin 2023, Pankki S, C-579/21, point s 57, 61-62, 65-66 Voir aussi: CJUE, 4 mai 2023, Österreichische Datenschutzbehörde, C-487/21, points 21, ème 32, 39; CE, 10 chambre, 24 février 2022, M. A... B..., n° 447495, Inédit.(source)
1) Opérations de traitement antérieures à la date d'entrée en application du RGPD – Application du RGPD – Conditions – 2) Informations communicables – Journaux de consultation – Inclusion – Identité des salariés ayant consulté les données – Exclusion en principe – 3) Qualité de cliente et d'ancienne salariée du RT de la personne concernée – Activité bancaire dans le cadre d'une mission réglementée – Absence d'incidence sur l'étendue du droit d'accès
L'article 15 du RGPD doit être interprété comme suit :
1) Il s'applique à une demande d'accès aux informations visées par cette disposition lorsque les opérations de traitement concernées ont été effectuées avant la date d'entrée en application du RGPD, mais que la demande a été présentée après cette date.
2) Le droit d'accès prévu à l'article 15 doit permettre à la personne concernée de s'assurer que les données à caractère personnel la concernant sont exactes et qu'elles sont traitées de manière licite. Pour ce faire, la copie que le responsable du traitement est tenu de fournir doit contenir toutes les données à caractère personnel faisant l'objet d'un traitement, présenter l'ensemble des caractéristiques lui permettant d'exercer effectivement ses droits au titre du règlement et reproduire intégralement ces données. Afin de garantir que les informations ainsi fournies soient faciles à comprendre, la reproduction d'extraits de documents, voire de documents entiers ou d'extraits de bases de données contenant, entre autres, les données à caractère personnel peut s'avérer indispensable lorsque la contextualisation des données est nécessaire pour en assurer l'intelligibilité. Les opérations de consultation des données par les salariés du responsable de traitement constituent un traitement ; la personne dont les données personnelles sont consultées a droit à l'accès à ses données ainsi qu'aux informations liées à ces opérations, telles que mentionnées à l'article 15 du RGPD. La date des consultations permet à la personne concernée d'obtenir confirmation que ses données ont effectivement fait l'objet d'un traitement à un moment donné et constitue un élément permettant de vérifier leur licéité à cette date. En outre, l'article 15 prévoit la possibilité d'accéder à la finalité du traitement de consultation et aux éventuels destinataires des données consultées.
Il en résulte que la cour considère que les informations relatives aux opérations de consultation des données à caractère personnel d'une personne, portant sur les dates et les finalités de ces opérations, constituent des informations que cette personne a le droit d'obtenir du responsable du traitement en vertu de cette disposition. En revanche, ladite disposition ne consacre pas un tel droit concernant l'identité des salariés du responsable ayant procédé à ces opérations sous son autorité et conformément à ses instructions, sauf si ces informations sont indispensables pour permettre à la personne concernée d'exercer effectivement les droits qui lui sont conférés par le règlement et à condition de tenir compte des droits et libertés de ces salariés.
3) La circonstance que le responsable du traitement exerce une activité bancaire dans le cadre d'une mission réglementée et que la personne dont les données à caractère personnel ont été traitées en tant que cliente du responsable a également été employée par ce dernier est, en principe, sans incidence sur l'étendue du droit dont bénéficie cette personne en vertu de cette disposition.
CJUE4 mai 2023CJUE, 4 mai 2023, Österreichische Datenschutzbehörde, C-487/21(source)
Droit d'accès de la personne concernée à ses données faisant l'objet d'un traitement – Fourniture d'une copie des données – Notion de « copie » – Notion d' « informations »
L'article 15, paragraphe 3, première phrase, du RGPD doit être interprété en ce sens que le droit d'obtenir de la part du responsable du traitement une copie des données à caractère personnel faisant l'objet d'un traitement implique qu'il soit remis à la personne concernée une reproduction fidèle et intelligible de l'ensemble de ces données. Ce droit suppose celui d'obtenir la copie d'extraits de documents voire de documents entiers ou encore d'extraits de bases de données qui contiennent, entre autres, lesdites données, si la fourniture d'une copie est indispensable pour permettre à la personne concernée d'exercer effectivement les droits qui lui sont conférés par ce règlement, étant souligné qu'il doit être tenu compte, à cet égard, des droits et libertés d'autrui.
L'article 15, paragraphe 3, troisième phrase, du RGPD doit être interprété en ce sens que la notion d'« informations » qu'il vise se rapporte exclusivement aux données à caractère personnel dont le responsable du traitement doit fournir une copie en application de la première phrase de ce paragraphe.
CJUEDate non renseignéeCJUE, 12 janvier 2023, Österreichische Post, C‑154/21(source)
Droit d’accès à l’information sur les destinataires et les catégories de destinataires des données – Obligation de fournir l'identité même des destinataires, sauf impossibilité ou demande abusive
Le droit d'accès de la personne concernée aux données à caractère personnel la concernant, prévu par l’article 15, paragraphe 1, sous c) du RGPD, implique que lorsque ces données ont été ou seront communiquées à des destinataires, le responsable du traitement doit fournir à cette personne l’identité même des destinataires, sauf s’il est impossible de les identifier ou si le responsable démontre que la demande d’accès est manifestement infondée ou excessive, au sens de l’article 12, paragraphe 5, du RGPD. Dans ce cas, il peut indiquer à cette personne uniquement les catégories de destinataires concernées.
CJUE20 décembre 2017CJUE, 20 décembre 2017, Nowak, C-434/16(source)
Directive 95/46/CE – Article 2, sous a) – Réponses écrites fournies par le candidat lors d'un examen professionnel – Annotations de l'examinateur relatives à ces réponses – Article 12, sous a) et b) – Étendue des droits d'accès et de rectification de la personne concernée
Les réponses écrites fournies par un candidat lors d'un examen professionnel et les éventuelles annotations de l'examinateur relatives à ces réponses constituent des données à caractère personnel. Le candidat a, en principe, un droit d'accès à ces données.
CJUE12 décembre 2013CJUE, 12 décembre 2013, X, C-486/12(source)
Directive 95/46/CE – Facturation de la communication de données personnelles par une autorité publique – Admissible si le montant est inférieur ou égal au coût de la communication
L'article 12, sous a), de la directive 95/46/CE du 24 octobre 1995 (relatif au droit d'accès) ne s'oppose pas à la perception de frais à l'occasion de la communication par une autorité publique de données à caractère personnel.
En revanche, afin de garantir que les frais perçus à l'occasion de l'exercice du droit d'accès ne soient pas excessifs, leur montant ne doit pas excéder le coût de la communication de ces données. Il appartient à la juridiction nationale d'effectuer, au regard des circonstances de l'affaire principale, les vérifications nécessaires.
