L'article 12, sous a), de la directive 95/46/CE du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, impose aux États membres de prévoir un Droit d'accès à la information sur les destinataires ou les catégories de destinataires des données ainsi qu'au contenu de la information communiquée non seulement pour le présent, mais aussi pour le passé. Il appartient aux États membres dans la transposition de la directive 95/46/CE de fixer un délai de conservation de cette information ainsi qu'un accès corrélatif à celle‑ci qui constituent un juste équilibre entre, d'une part, l'intérêt de la personne concernée à protéger sa vie privée, notamment au moyen des voies d'intervention et de recours prévus par la directive 95/46, et, d'autre part, la charge que l'obligation de conserver cette information représente pour le responsable du traitement.

Une réglementation limitant la conservation de la information sur les destinataires ou les catégories de destinataires des données et le contenu des données transmises à une durée d'un an et limitant corrélativement l'accès à cette information, alors que les données de base sont conservées bien plus longtemps, ne saurait constituer un juste équilibre des intérêts et obligations en cause, à moins qu'il ne soit démontré qu'une conservation plus longue de cette information constituerait une charge excessive pour le responsable du traitement. Il appartient à la juridiction nationale d'effectuer les vérifications nécessaires.

La contravention d’opposition à l’exercice du droit d'accès à une information nominative, prévue et réprimée par les articles 35 de la loi n°78‑17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dans sa rédaction antérieure à la loi du 6 août 2004, 1 3° du décret du 23 décembre 1981, et consistant dans la fourniture de données présentées sous une forme non directement lisible, constitue une infraction instantanée, consommée à la date d’envoi de l’information à la personne titulaire du droit d’accès. Ne caractérisent pas la réitération de cette infraction les réponses faites ultérieurement aux réclamations du titulaire du droit d'accès se plaignant de l’absence de clarté des informations données.

Justifie, dès lors, sa décision : la cour d’appel constate l’extinction de l’action publique par la prescription après avoir retenu qu’il s’était écoulé plus d’une année entre l’envoi des informations au titulaire du droit d’accès et la plainte adressée par lui au procureur de la République.

Aux termes de l'article 39 de la loi n°78‑17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dite loi Informatique et Libertés, toute personne physique ne peut à tout moment avoir accès aux données à caractère personnel la concernant contenues dans un fichier. Cet article fait obligation au responsable du traitement de transmettre au demandeur les données dont il sollicite la communication, sauf si la demande présente un caractère abusif. La circonstance que le responsable du traitement a auparavant répondu favorablement à une demande de l'avocat de l'intéressé, formulée dans le cadre d'un litige avec son employeur, est sans influence sur l'existence de l'obligation.

Le requérant qui demandait l'accès à une information nominative le concernant dans l'exercice de sa profession était en droit d'adresser cette demande soit auprès de la société qui l'employait, soit à la société à laquelle la mise en œuvre du traitement automatisé avait été confiée, en vertu d'un contrat de prestation de service passé entre les deux sociétés, sans que la clause de confidentialité figurant dans la convention entre ces deux sociétés puisse lui être opposée.

Il résulte des articles 13 et 15 du RGPD, des dispositions des titres II et III de la loi informatique et libertés relatives aux obligations d'information et au droit d'accès, ainsi que des dispositions du code de la sécurité intérieure régissant spécifiquement la vidéoprotection, notamment l'article R. 253‑6, que le responsable de traitement, s'il est tenu d'informer d'une façon adaptée au contexte et aux objectifs poursuivis sur l'existence de la vidéoprotection d'un territoire, d'une zone ou d'un bâtiment, et de fournir l'ensemble des mentions et informations prévues par ces textes, n'est pas tenu à ce titre de communiquer l'emplacement exact de chaque caméra. Ainsi, en l'espèce, la commune n'était pas tenue de fournir à la personne concernée une carte avec l'emplacement des caméras et des zones surveillées.

Le droit d'accès au dossier médical du mineur, fondé sur l'article L. 1111-7 du code de la santé publique, peut être exercé par chacun des titulaires de l'autorité parentale, dans les conditions précisées par ce texte et après occultation des éventuelles mentions relatives à la vie privée de l'autre titulaire, aux données médicales. Le parent ne perd ce droit d'accès qu'en cas de retrait de la qualité de titulaire de l'autorité parentale prévue aux articles 378 et suivants du code civil.

La loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés n'ouvre la possibilité de demander la communication de données à caractère personnel figurant dans un traitement automatisé ou de solliciter un accès indirect à de telles données qu'à la personne concernée par celles‑ci. La seule qualité d’ayant droit de son père décédé dont se prévaut une personne ne lui confère pas la qualité de personne concernée par les données susceptibles de concerner son père dans un fichier intéressant la sûreté de l'État ou la défense.

Il ressort des articles 41 de la loi n° 78‑17 du 6 janvier 1978 et 88 du décret n° 2005‑1309 du 20 octobre 2005, dans leur rédaction applicable au litige, que, dans le cadre du droit d'accès indirect aux données à caractère personnel contenues dans l'un des fichiers intéressant la sûreté de l'État, la défense ou la sécurité publique, le responsable du traitement communique les informations sollicitées à la personne concernée selon les modalités qu'il définit.

Le ministre de l'intérieur, qui n'était pas tenu de remettre au requérant une copie des documents consultés, a pu valablement exécuter l'injonction qui lui était faite en s'assurant que le requérant puisse consulter les données sollicitées en préfecture. Il s'ensuit qu'en jugeant que le ministre de l'intérieur n'avait pas complètement exécuté l'injonction qui lui était faite en ne délivrant pas au requérant une copie des documents consultés, une cour administrative d'appel entache son arrêt d'erreur de droit.

Il résulte clairement des dispositions du paragraphe 4 de l'article 15 du RGPD que le droit d’obtenir copie de ses données à caractère personnel ne doit pas porter atteinte aux droits et libertés d’« autrui », c’est‑à‑dire d’autres personnes que le demandeur. En particulier, aucune disposition de ce règlement n’exclut de cette catégorie les destinataires des données qui ont eux‑mêmes la qualité de personne concernée à l’égard des données demandées.

Le droit d’accès peut être exercé dans un contexte litigieux ou en parallèle d’une procédure judiciaire, sous réserve, notamment, des limites prévues par le RGPD et le code de la santé publique.

Le droit d'accès de la personne concernée comprend plusieurs composantes : la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées, l'accès auxdites données le cas échéant et la fourniture d'informations sur le traitement concerné. Les limitations à l'exercice du droit d'accès rendues nécessaires par les dispositions de l'article 15.4 du RGPD, qui prévoient que le droit d'obtenir une copie des données ne porte pas atteinte aux droits et libertés d'autrui, ne peuvent pas en principe concerner la confirmation que des données font ou non l'objet d'un traitement.

Il s'ensuit que le bénéficiaire non acceptant ou n'étant pas en mesure d'apporter la preuve de son acceptation du bénéfice du contrat d'assurance-vie doit pouvoir recevoir confirmation ou non de sa présence dans le traitement de gestion du fichier des contrats de capitalisation et d'assurance vie dénommé FICOVIE, quand bien même des restrictions concernant l'accès aux données enregistrées dans ce traitement peuvent être appliquées à ces catégories de personnes en application de l'article 15.4 du RGPD.

L'ingérence dans le droit à la vie privée et à la protection des données à caractère personnel qu'emporte la publicité des données nominatives contenues dans le registre des sociétés n'est pas disproportionnée, étant donné le nombre de données concernées et le fait qu'elle vise à assurer la sécurité juridique dans les rapports entre les sociétés et les tiers ainsi qu'à protéger les intérêts des tiers par rapport aux sociétés par actions et aux sociétés à responsabilité limitée. Il ne peut donc être garanti aux personnes physiques dont les données sont inscrites dans le registre des sociétés le droit d'obtenir, après un certain délai à compter de la dissolution de la société, l'effacement des données à caractère personnel les concernant. En revanche, les États membres peuvent exceptionnellement déroger à cette exigence de publicité. Il leur appartient de déterminer si les personnes physiques visées à l'article 2, paragraphe 1, sous d) et j) de la directive 68/151/CEE, à savoir, d'une part, les personnes qui ont le pouvoir d'engager une société à l'égard des tiers et de la représenter en justice et celles qui participent à l'administration, à la surveillance ou au contrôle de la société et, d'autre part, les liquidateurs d'une société, peuvent demander à l'autorité chargée de la tenue du registre central, du registre du commerce ou du registre des sociétés de vérifier, sur la base d'une appréciation au cas par cas, s'il est exceptionnellement justifié, pour des raisons prépondérantes et légitimes tenant à leur situation particulière, de limiter, à l'expiration d'un délai suffisamment long après la dissolution de la société concernée, l'accès aux données à caractère personnel les concernant, inscrites dans ce registre, aux tiers justifiant d'un intérêt spécifique à la consultation de ces données.

L'article 4, paragraphe 1, sous b) du Règlement n° 1049/2001 relatif à l’accès aux documents du Parlement européen, du Conseil et de la Commission prévoit une exception à l’accès à un document dans le cas où la divulgation porterait atteinte à la protection de la vie privée ou de l’intégrité de l’individu, notamment en conformité avec la législation de l’Union européenne relative à la protection des données à caractère personnel.

Une demande d’accès portant sur un document contenant des données à caractère personnel doit donc toujours être examinée et appréciée en conformité avec le Règlement nº 45/2001 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données (CJUE, 29 juin 2010, Commission c/ Bavarian Lager, C‑28/08, points 57 et 59‑64). La communication ne peut alors être refusée qu’en cas d’« atteinte concrète et effective » à l’intérêt protégé.

1 ) L'article 47 de la Charte des droits fondamentaux de l'Union européenne doit être interprété en ce sens qu'il s'oppose à ce qu'une juridiction nationale rejette, en tant que moyen de preuve d'une violation de la protection des données à caractère personnel conférée par la directive 95/46, une liste, telle que la liste litigieuse, présentée par la personne concernée et contenant des données à caractère personnel de celle‑ci, dans l'hypothèse où cette personne aurait obtenu cette liste sans le consentement, légalement requis, du responsable du traitement de ces données, à moins qu'un tel rejet soit prévu par la législation nationale et qu'il respecte à la fois le contenu essentiel du droit à un recours effectif et le principe de proportionnalité. Ainsi, afin d'apprécier la proportionnalité d'un rejet de la liste litigeuse en tant que moyen de preuve, la juridiction de renvoi doit examiner si sa législation nationale limite ou non, par rapport aux données figurant sur cette liste, les droits d'information et d'accès énoncés aux articles 10 à 12 de la directive 95/46 et si une telle limitation est, le cas échéant, justifiée. En outre, même lorsque tel est le cas et qu'il existe des éléments plaidant en faveur d'un intérêt légitime à l'éventuelle confidentialité de la liste en cause, les juridictions nationales doivent vérifier au cas par cas si ceux‑ci prévalent sur l'intérêt à la protection des droits du particulier et s'il existe, dans le cadre de la procédure devant cette juridiction, d'autres moyens pour assurer cette confidentialité, notamment en ce qui concerne les données à caractère personnel des autres personnes physiques figurant sur cette liste.

2 ) L'article 47 de la Charte des droits fondamentaux de l'Union européenne doit être interprété en ce sens qu'il ne s'oppose pas à une législation nationale qui subordonne l'exercice d'un recours juridictionnel par une personne affirmant qu'il a été porté atteinte à son droit à la protection des données à caractère personnel garanti par la directive 95/46/CE à l'épuisement préalable des voies de recours disponibles devant les autorités administratives nationales, à condition que les modalités concrètes d'exercice desdites voies de recours n'affectent pas de manière disproportionnée le droit à un recours effectif devant un tribunal visé à cette disposition. Il importe, notamment, que l'épuisement préalable des voies de recours disponibles devant les autorités administratives nationales n'entraîne pas de retard substantiel pour l'introduction d'un recours juridictionnel, qu'il entraîne la suspension de la prescription des droits concernés et qu'il n'occasionne pas de frais excessifs.

1) L'article 4, paragraphe 1, sous c), de la directive (UE) 2016/680 (directive « Police‑justice ») du 27 avril 2016 (principes relatifs au traitement des données à caractère personnel), lu à la lumière des articles 7 et 8 ainsi que de l'article 52, paragraphe 1, de la charte des droits fondamentaux de l'Union européenne, doit être interprété en ce sens qu'il ne s'oppose pas à une Réglementation nationale qui octroie aux autorités compétentes la possibilité d'accéder aux données contenues dans un téléphone portable, à des fins de prévention, de recherche, de détection et de poursuite d'infractions pénales en général, si cette réglementation :

• définit de manière suffisamment précise la nature ou les catégories des infractions concernées,

• garantit le respect du principe de proportionnalité, et

• soumet l'exercice de cette possibilité, sauf cas d'urgence dûment justifié, à un contrôle préalable d'un juge ou d'une entité administrative indépendante.

2) Les articles 13 et 54 de la directive 2016/680 (droit à l'information et droit d'accès), lus à la lumière de l'article 47 et de l'article 52, paragraphe 1, de la charte des droits fondamentaux doivent être interprétés en ce sens qu'ils s'opposent à une réglementation nationale qui autorise les autorités compétentes à tenter d'accéder à des données contenues dans un téléphone portable sans informer la personne concernée, dans le cadre des procédures nationales applicables, des motifs sur lesquels repose l'autorisation d'accéder à ces données, délivrée par un juge ou une entité administrative indépendante, à partir du moment où la communication de cette information n'est plus susceptible de compromettre les missions incombant à ces autorités en vertu de cette directive.

En application des dispositions des articles L. 611‑3 et L. 611‑5 du code de l’entrée et du séjour des étrangers et du droit d’asile, seul un décret en Conseil d’État, pris après avis de la Commission nationale de l’informatique et des libertés, peut fixer les modalités de mise en œuvre relatives notamment à la durée de conservation et aux conditions de mise à jour des informations enregistrées, à la détermination des fonctionnaires habilités à y accéder ainsi qu’à la définition des conditions dans lesquelles les personnes concernées peuvent exercer leur droit d’accès, du traitement automatisé d’un fichier dont la finalité est de faciliter l’éloignement des étrangers en situation irrégulière et comporte, parmi les informations collectées, une photographie d’identité des intéressés.

En conséquence, illégalité de la création d’un fichier de cette nature, dénommé fichier « ELOI », par arrêté ministériel en date du 30 juillet 2006.

Les dispositions du RGPD, notamment l'article 5, paragraphe 1, l'article 6, paragraph e 1, sous e), et l'article 10 de celui‑ci, doivent être interprétées en ce sens qu'elles s'opposent à une législation nationale qui fait obligation à l'organisme public chargé du registre dans lequel sont inscrits les points de pénalité imposés aux conducteurs de véhicules pour des infractions routières de rendre ces données à caractère personnel accessibles au public, sans que la personne demandant l'accès ait à justifier d'un intérêt spécifique à obtenir lesdites données. L'amélioration de la sécurité routière constitue un objectif d'intérêt général reconnu par l'Union et, partant, les États membres peuvent qualifier la sécurité routière de « mission d'intérêt public ». Cependant, dans le cas d'espèce, la nécessité du régime letton de communication de données à caractère personnel relatives aux points de pénalité pour assurer l'objectif visé n'est pas établie. En effet, d'une part, le législateur letton dispose d'une multitude de voies d'actions qui lui auraient permis d'atteindre cet objectif par d'autres moyens moins attentatoires aux droits fondamentaux des personnes concernées. D'autre part, il convient de tenir compte de la sensibilité des données relatives aux points de pénalité et du fait que leur communication au public est susceptible de constituer une ingérence grave dans les droits au respect de la vie privée et à la protection des données à caractère personnel, dès lors qu'elle peut provoquer la désapprobation de la société et entraîner la stigmatisation de la personne concernée.

La Cour considère que, compte tenu de la sensibilité de ces données et de la gravité de cette ingérence dans ces deux droits fondamentaux, ces droits prévalent tant sur l'intérêt du public à avoir accès à des documents officiels, tels que le registre national des véhicules et de leurs conducteurs, que sur le droit à la liberté d'information.

L'ingérence dans le droit à la vie privée et à la protection des données à caractère personnel qu'emporte la publicité des données nominatives contenues dans le regi stre des sociétés n'est pas disproportionnée eu égard au nombre de données concernées et au fait qu'elle vise à assurer la sécurité juridique dans les rapports entre les sociétés et les tiers ainsi qu'à protéger les intérêts des tiers par rapport aux socié tés par actions et aux sociétés à responsabilité limitée.

Il ne peut donc être garanti aux personnes physiques dont les données sont inscrites dans le registre des sociétés le droit d'obtenir, après un certain délai à compter de la dissolution de la socié té, l'effacement des données à caractère personnel les concernant.

En revanche, les États membres peuvent exceptionnellement déroger à cette exigence de publicité. Il leur appartient de déterminer si les personnes physiques, visées à l'article 2, paragrap he 1, sous d) e t j) de la directive 68/151/CEE, à savoir, d'une part, les personnes qui ont le pouvoir d'engager une société à l'égard des tiers et de la représenter en justice et celles qui participent à l'administration, à la surveillance ou au contrôle de la société et, d'autre part, les liquidateurs d'une société, peuvent demander à l'autorité chargée de la tenue, respectivement, du registre central, du registre du commerce ou du registre des sociétés de vérifier, sur la base d'une appréciation au cas p ar cas, s'il est exceptionnellement justifié, pour des raisons prépondérantes et légitimes tenant à leur situation particulière, de limiter, à l'expiration d'un délai suffisamment long après la dissolution de la société concernée, l'accès aux données à car actère personnel les concernant, inscrites dans ce registre, aux tiers justifiant d'un intérêt spécifique à la consultation de ces données.

Il découle des exigences, prévues à l'article 6, paragraphe 1, sous c) à e), de la Directive 95/46, que même un traitement initialement licite de données exactes peut devenir, avec le temps, incompatible avec cette directive lorsque ces données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées. Ainsi, dans l'hypothèse où il est constaté, à la suite d'une demande de la personne concernée en application de l'article 12, sous b), de la Directive 95/46, que l'inclusion dans la liste de résultats, affichée à la suite d'une recherche effectuée à partir de son nom, des liens vers des pages web publiées légalement par des tiers et contenant des informations véridiques relatives à sa personne, est, au stade actuel, incompatible avec ledit article 6, paragraphe 1, sous c) à e), en raison du fait que ces informations apparaissent, eu égard à l'ensemble des circonstances caractérisant le cas d'espèce, inadéquates, pas ou plus pertinentes ou excessives au regard des finalités du traitement en cause réalisé par l'exploitant du moteur de recherche, les informations et les liens concernés de ladite liste de résultats doivent être effacés.

Dans ce contexte, la constatation d'un droit de la personne concernée à ce que l'information relative à sa personne ne soit plus liée à son nom par une liste de résultats ne présuppose pas que l'inclusion de l'information en question dans la liste de résultats cause un préjudice à la personne concernée.

La personne concernée, pouvant, eu égard à ses droits fondamentaux au titre des articles 7 et 8 de la Charte des droits fondamentaux de l'Union européenne, demander à ce que l'information en question ne soit plus mise à la disposition du grand public par son inclusion dans une telle liste de résultats, ces droits prévalent, en principe, non seulement sur l'intérêt économique de l'exploitant du moteur de recherche, mais également sur l'intérêt de ce public à trouver ladite information lors d'une recherche portant sur le nom de cette personne. Cependant, tel ne serait pas le cas s'il apparaissait, pour des raisons particulières, telles que le rôle joué par ladite personne dans la vie publique, que l'ingérence dans ses droits fondamentaux est justifiée par l'intérêt prépondérant dudit public à avoir, du fait de cette inclusion, accès à l'information en question.

1) La loi a ouvert à toute personne intéressée le droit de s'adresser au responsable d'un système de vidéosurveillance pour afin d'obtenir un accès aux enregistrements qui la concernent ou d'en vérifier la destruction dans un délai maximum d'un mois. Cet accès est de droit, sous réserve que soient opposés des motifs « tenant à la sûreté de l'État, à la défense, à la sécurité publique, au déroulement de procédures engagées devant les juridictions ou d'opérations préliminaires à de telles procédures, ou au droit des tiers ». La référence au « droit des tiers » doit être regardée comme ne visant que le cas où une telle communication serait de nature à porter atteinte au secret de leur vie privée.

2) Concernant le régime d'autorisation d'installation de système de vidéosurveillance, le législateur a prévu que « l'autorisation sollicitée est réputée acquise à défaut de réponse dans un délai de quatre mois ». Compte tenu des risques que peut comporter pour la liberté individuelle l'installation de systèmes de vidéosurveillance, la loi ne peut subordonner à la diligence de l'autorité administrative l'autorisation d'installer de tels systèmes sans priver alors de garanties légales des principes constitutionnels.