Le Conseil d'État (section de l'intérieur) a donné un avis favorable à trois projets de décret modifiant les dispositions du code de la sécurité intérieure relatives aux traitements dénominés « Enquêtes administratives liées à la sécurité publique » (EASP), « Prévention des atteintes à la sécurité publique » (PASP) et « Gestion de l'information et prévention des atteintes à la sécurité publique » (GIPASP ).

En premier lieu ces projets ajoutent à la finalité de « sécurité publique » des trois traitements, celle de « sûreté de l'État ». Par suite, les trois traitements deviennent des fichiers mixtes, les données intéressant la sécurité publique relevant du titre III de la loi n° 78‑17 du 6 janvier 1978 et de la directive 2016/680, et celles intéressant la sûreté de l'État du titre IV de la loi du 6 janvier 1978 dite « Informatique et Libertés », et du RGPD.

Ces deux groupes de données étant ainsi soumis à dés régimes juridiques distincts, notamment quant aux droits d'accès, de rectification et d'effacement des personnes concernées, le Conseil d'État a considéré nécessaire que les trois projets de décret comportent une définition des données intéressant la sûreté de l'État, la notion de sûreté de l'État n'ayant jamais été définie par une disposition législative ou réglementaire, ni par la jurisprudence. S'inspirant des dispositions de l'article 410‑1 du code pénal et de l'article L. 811‑1 du code de la sécurité intérieure qui traitent des intérêts fondamentaux de la Nation, et aux seules fins de préciser les finalités des traitements concernés, le Conseil d'État propose que les articles 1ers des trois projets de décret soient complétés afin de prévoir que « Les données intéressant la sûreté de l'État sont celles qui révèlent des activités susceptibles de porter atteinte aux intérêts fondamentaux de la Nation ou de constituer une menace terroriste portant atteinte à ces mêmes intérêts (…) ».

En second lieu le Conseil d'État a considéré que l'indication de l'enregistrement ou non d'une personne dans les traitements de données énumérées par les articles modifiés R. 236‑2, R. 236‑12 et R. 236‑22 du code de la sécurité intérieure, ainsi que l'enregistrement de données à caractère personnel issues d'autres traitements, constituaient une mise en relation de fichier et non une interconnexion. En effet, ces enregistrements ne procèdent ni d'une consultation automatique d'un des traitements énumérés, aux fins de vérifier si l'identité d'une personne y est enregistrée, ni d'une inscription automatique de cette information ou d'autres informations la concernant au nombre des données pouvant être enregistrées dans l'un des trois traitements examinés.

1) Si le ministre de la justice a prévu, au troisième alinéa de l’article 6 de l’arrêté du 18 juin 1986 et de l’arrêté du 13 avril 1993, tel que modifié par les arrêtés du 22 octobre 2001, que les fichiers informatiques institués par ces textes, dans le but d’automatiser la gestion des procédures, seraient mis à jour en cas d’amnistie et de réhabilitation « par mention et en conformité avec les dispositions [...] des articles 133‑9 à 11 pour l’amnistie et 133‑16 pour la réhabilitation », ce dispositif, qui ne prévoit aucun effacement des données, ne suffit pas à garantir que les principes posés par le code pénal qui interdisent de « rappeler l’existence » de condamnations, de sanctions, d’interdictions, de déchéances ou d’incapacités seront respectés. Illégalité des arrêtés en tant qu’ils concernent l’amnistie et la réhabilitation.

2) L’annulation contentieuse d’arrêtés fixant le régime de fichiers informatiques illégaux au motif qu’ils ne prévoyaient pas l’effacement des condamnations ayant fait l’objet d’une amnistie ou d’une réhabilitation a nécessairement pour conséquence l’obligation pour le ministre de la justice de prendre, dans un délai raisonnable, un arrêté modifiant les arrêtés du 18 juin 1986 et du 13 avril 1993 afin de prévoir les conditions et les limites dans lesquelles ces fichiers devront être mis à jour pour tenir compte des amnisties et réhabilitations. Il lui incombe de prévoir explicitement que cette modification devra consister en l’effacement de toutes les mentions de nature à rappeler l’existence des condamnations, sanctions, interdictions, déchéances ou incapacités et que ne pourra subsister dans le fichier que la référence à la loi d’amnistie ou à la décision portant réhabilitation.

Cas d’une personne ayant souscrit une ligne téléphonique principale et une ligne téléphonique secondaire dans le cadre d’un abonnement téléphonique et qui résilie seulement la ligne principale ou secondaire.

Si l’information qu’une personne a été titulaire d’une ligne mobile résiliée peut effectivement être conservée à des fins d’exécution du contrat, à des fins comptables ou encore pour la gestion du contentieux, il n’est en revanche pas nécessaire de continuer à traiter cette information, notamment le numéro de la ligne résiliée, dans le cadre de l’émission des facturations en cours et de la faire apparaître sur ces dernières, alors que l’utilisation d’un identifiant permettant d’identifier le débiteur des différentes lignes mobiles (principales et secondaires) peut être mobilisée à la place. Il appartient au responsable du traitement de prévoir, dès la conception, des mesures organisationnelles et techniques pour ne plus traiter ces données dans ce cadre à la suite d’une demande de résiliation d’une ligne principale par la personne concernée.

L'article 4, paragraphe 1, sous c) et e), de la directive (UE) 2016/680 du Parlement européen et du Conseil, du 27 avril 2016, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil, lu en combinaison avec les articles 5 et 10, l'article 13, paragraphe 2, sous b), ainsi que l'article 16, paragraphes 2 et 3, de celle‑ci, et à la lumière des articles 7 et 8 de la Charte des droits fondamentaux de l'Union européenne doit être interprété en ce sens qu'il s'oppose à une législation nationale qui prévoit la conservation, par les autorités de police, à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, de données à caractère personnel, notamment de données biométriques et génétiques, concernant des personnes ayant fait l'objet d'une condamnation pénale définitive pour une infraction pénale intentionnelle relevant de l'action publique, et ce jusqu'au décès de la personne concernée, y compris en cas de réhabilitation de celle‑ci, sans mettre à la charge du responsable du traitement l'obligation de vérifier régulièrement si cette conservation est toujours nécessaire, ni reconnaître à ladite personne le droit à l'effacement de ces données, dès lors que leur conservation n'est plus nécessaire au regard des finalités pour lesquelles elles ont été traitées, ou, le cas échéant, à la limitation du traitement de celles‑ci.

1) L'article 58, paragraphe 2, sous d) et g), du règlement général sur la protection des données doit être interprété en ce sens que l'autorité de contrôle d'un État membre est habilitée, dans l'exercice de son pouvoir d'adoption des mesures correctrices prévues à ces dispositions, à ordonner au responsable du traitement ou au sous‑traitant d'effacer des données à caractère personnel ayant fait l'objet d'un traitement illicite, et ce alors qu'aucune demande n'a été présentée à cet effet par la personne concernée en vue d'exercer ses droits en application de l'article 17, paragraphe 1, de ce règlement.

2) L'article 58, paragraphe 2, du règlement 2016/679 doit être interprété en ce sens que le pouvoir de l'autorité de contrôle d'un État membre d'ordonner l'effacement de données à caractère personnel ayant fait l'objet d'un traitement illicite peut viser tant des données collectées auprès de la personne concernée que des données provenant d'une autre source.

En regard des finalités du système de contrôle automatisé, qui a pour objet de centraliser les opérations d'identification, de gestion et de suivi des infractions routières et non routières faisant l'objet d'une amende forfaitaire, la Limitation du droit à l’effacement aux seules personnes ayant bénéficié d'une décision définitive de relaxe, à l'exclusion de celles pour lesquelles la procédure a été classée sans suite, porte une atteinte disproportionnée aux droits de ces dernières.

L'article 4, paragraphe 1, sous c) et e), de la directive (UE) 2016/680 du Parlement européen et du Conseil, du 27 avril 2016, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision - cadre 2008/977/JAI du Conseil, lu en combinaison avec les articles 5 et 10, l'article 13, paragraphe 2, sous b), ainsi que l'article 16, paragraphes 2 et 3, de celle-ci, et à la lumière des articles 7 et 8 de la charte des droits fondamentaux de l'Union européenne doit être interprété en ce sens qu'il s'oppose à une législation nationale qui prévoit la conservation, par les autorités de police, à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, de données à caractère personnel, notamment de données biométriques et génétiques, concernant des personnes ayant fait l'objet d'une condamnation pénale définitive pour une infraction pénale intentionnelle relevant de l'action publique, et ce jusqu'au décès de la personne concernée, y compris en cas de réhabilitation de celle-ci, sans mettre à la charge du responsable du traitement l'obligation de vérifier régulièrement si cette conservation est toujours nécessaire, ni reconnaître à ladite personne le droit à l'effacement de ces données, dès lors que leur conservation n'est plus nécessaire au regard des finalités pour lesquelles elles ont été traitées, ou, le cas échéant, à la limitation du traitement de celles-ci.

Si les données nominatives figurant dans le traitement des antécédents judiciaires (TAJ) portent sur des informations recueillies au cours d'enquêtes préliminaires ou de flagrance ou d'investigations exécutées sur commission rogatoire et concernant tout crime ou délit ainsi que certaines contraventions de cinquième classe, les décisions en matière d'effacement ou de rectification prises par le procureur de la République ou par le magistrat désigné à cet effet, qui ont pour objet la tenue à jour de ce fichier et sont détachables d'une procédure judiciaire, constituent non pas des mesures d'administration judiciaire, mais des actes de gestion administrative du fichier. Elles peuvent, par suite, faire l'objet d'un recours pour excès de pouvoir devant le juge administratif.

Dans le cas particulier d'une demande d'effacement, fondée sur une opposition au traitement, relative à certains éléments figurant dans une décision de justice publiée sur internet, il y a lieu de tenir compte de la possibilité d'anonymiser la décision sans la rendre incompréhensible ou diminuer sa valeur doctrinale pour le public. Si tel est le cas et si la publication porte atteinte à la vie privée du demandeur, il doit en principe être procédé à l'effacement des données à caractère personnel publiées. Dans les autres cas, il y a lieu de mettre en balance l'atteinte que cette publication porte à la vie privée du demandeur avec les droits et intérêts du responsable de traitement, ainsi que l’intérêt du public à connaître cette décision, au regard notamment de son apport jurisprudentiel.

En l'espèce, la requérante avait souhaité s'opposer au traitement de ses données par la publication d'une décision de justice, en application de l'article 21 du RGPD, afin d'obtenir l'effacement des données permettant de l'identifier dans la décision, sur le fondement de l'article 17 du RGPD.

1) L'auteur d'une plainte peut déférer au juge de l'excès de pouvoir le refus du président de la CNIL d'engager une procédure sur le fondement de l'article 20 de la loi n° 78‑17 du 6 janvier 1978 et, notamment, de saisir la formation restreinte sur le fondement du III de cet article, y compris lorsque la commission a procédé à des mesures d'instruction, constaté l'existence d'un manquement aux dispositions de cette loi et pris l'une des mesures prévues au I et II de ce même article.

2) a) En revanche, lorsque le président de la CNIL a saisi la formation restreinte sur le fondement du III de cet article, l'auteur de la plainte n'a pas intérêt à contester la décision prise à l'issue de cette procédure, quel qu'en soit le dispositif.

b) Toutefois, lorsque l'auteur de la plainte se fonde sur la méconnaissance par un responsable de traitement des droits garantis par la loi à la personne concernée à l'égard des données à caractère personnel la concernant, notamment les droits d'accès, de rectification, d'effacement, de limitation et d'opposition mentionnés aux articles 49, 50, 51, 53 et 56 de la loi du 6 janvier 1978, celui‑ci, s'il ne peut contester devant le juge l'absence ou l'insuffisance de sanction une fois que la formation restreinte a été saisie, est toujours recevable à demander l'annulation du refus du président de la CNIL de mettre en demeure le responsable de traitement de satisfaire à la demande dont il a été saisi par cette personne ou du refus de la formation restreinte de lui enjoindre d'y procéder.

1) L'auteur d'une plainte peut déférer au juge de l'excès de pouvoir le refus du président de la CNIL d'engager une procédure sur le fondement de l'article 20 de la loi n°78-17 du 6 janvier 1978, et, notamment, de saisir la formation restreinte sur le fondement du III de cet article, y compris lorsque la commission a procédé à des mesures d'instruction, constaté l'existence d'un manquement aux dispositions de cette loi et pris l'une des mesures prévues au I et II de ce même article.

2) a) En revanche, lorsque le président de la CNIL a saisi la formation restreinte sur le fondement du III de cet article, l'auteur de la plainte n'a pas intérêt à contester la décision prise à l'issue de cette procédure, quel qu'en soit le dispositif.

b) Toutefois, lorsque l'auteur de la plainte se fonde sur la méconnaissance par un responsable de traitement des droits garantis par la loi à la personne concernée à l'égard des données à caractère personnel la concernant, notamment les droits d'accès, de rectification, d'effacement, de limitation et d'opposition mentionnés aux articles 49, 50, 51, 53 et 56 de la loi du 6 janvier 1978, celui-ci, s'il ne peut contester devant le juge l'absence ou l'insuffisance de sanction une fois que la formation restreinte a été saisie, est toujours recevable à demander l'annulation du refus du président de la CNIL de mettre en demeure le responsable de traitement de satisfaire à la demande dont il a été saisi par cette personne ou du refus de la formation restreinte de lui enjoindre d'y procéder.

1) L'auteur d'une plainte peut déférer au juge de l'excès de pouvoir le refus du président de la CNIL d'engager une procédure sur le fondement de l'article 20 de la loi n°78-17 du 6 janvier 1978, et, notamment, saisir la formation restreinte sur le fondement du III de cet article, y compris lorsque la commission a procédé à des mesures d'instruction, constaté l'existence d'un manquement aux dispositions de cette loi et pris l'une des mesures prévues au I et II de ce même article.

2) a) En revanche, lorsque le président de la CNIL a saisi la formation restreinte sur le fondement du III de cet article, l'auteur de la plainte n'a pas intérêt à contester la décision prise à l'issue de cette procédure, quel qu'en soit le dispositif.

b) Toutefois, lorsque l'auteur de la plainte se fonde sur la méconnaissance par un responsable de traitement des droits garantis par la loi à la personne concernée à l'égard des données à caractère personnel la concernant, notamment les droits d'accès, de rectification, d'effacement, de limitation et d'opposition mentionnés aux articles 49, 50, 51, 53 et 56 de la loi du 6 janvier 1978, celui-ci, s'il ne peut contester devant le juge l'absence ou l'insuffisance de sanction une fois que la formation restreinte a été saisie, est toujours recevable à demander l'annulation du refus du président de la CNIL de mettre en demeure le responsable de traitement de satisfaire à la demande dont il a été saisi par cette personne ou du refus de la formation restreinte de lui enjoindre d'y procéder.