Dans le cadre de rapports employeur/employés, le fait d'effectuer des recherches sur des personnes portant sur données à caractère personnel telles qu'antécédents judiciaires, renseignements bancaires et téléphoniques, véhicules, propriétés, qualité de locataire ou de propriétaire, situation matrimoniale, santé, déplacement à l'étranger est susceptible de constituer un moyen déloyal dès lors que, issues de la capture et du recoupement d'informations diffusées sur des sites publics tels que sites web, annuaires, forums de discussion, réseaux sociaux, sites de presse régionale, ces données ont fait l'objet d'une utilisation sans rapport avec l'objet de leur mise en ligne et ont été recueillies à l'insu des personnes concernées, ainsi privées du droit d'opposition institué par la loi informatique et libertés. En effet, le fait que les données à caractère personnel collectées en l'espèce par le prévenu aient été pour partie en accès libre sur internet ne retire rien au caractère déloyal de cette collecte, dès lors qu'une telle collecte, de surcroît réalisée à des fins dévoyées de profilage des personnes concernées et d'investigation dans leur vie privée, à l'insu de celles-ci, ne pouvait s'effectuer sans qu'elles en soient informées.

Constitue une collecte de données nominatives le fait d'identifier des adresses électroniques et de les utiliser, même sans les enregistrer dans un fichier, pour adresser à leurs titulaires des messages électroniques.

Est déloyal le fait de recueillir, à leur insu, les adresses électroniques personnelles de personnes physiques sur l'espace public d'internet, ce procédé faisant obstacle à leur droit d'opposition.

1) L'article 6, paragraphe 1, premier alinéa, sous b) et f), du règlement général sur la protection des données, lu en combinaison avec l’article 5, paragraphe 1, sous c), de ce règlement doit être interprété en ce sens que :

• le traitement de données à caractère personnel relatives à la civilité des clients d’une entreprise de transport, ayant pour finalité une personnalisation de la communication commerciale fondée sur leur identité de genre, ne paraît ni objectivement indispensable ni essentiel afin de permettre l'exécution correcte d'un contrat et, partant, ne peut pas être considéré comme étant nécessaire à l'exécution de ce contrat ;
• le traitement de données à caractère personnel relatives à la civilité des clients d’une entreprise de transport, ayant pour finalité une personnalisation de la communication commerciale fondée sur leur identité de genre, ne peut pas être considéré comme étant nécessaire aux fins des intérêts légitimes poursuivis par le responsable de ce traitement ou par un tiers lorsque :
• l'intérêt légitime poursuivi n'a pas été indiqué à ces clients lors de la collecte de ces données ;
• ledit traitement n'est pas opéré dans les limites du strict nécessaire pour la réalisation de cet intérêt légitime ;
• au regard de l'ensemble des circonstances pertinentes, les libertés et droits fondamentaux desdits clients sont susceptibles de prévaloir sur ledit intérêt légitime, notamment en raison d'un risque de discrimination fondée sur l'identité de genre.

2) L'article 6, paragraphe 1, premier alinéa, sous f), du règlement général sur la protection des données doit être interprété en ce sens que, afin d'apprécier la nécessité d'un traitement de données à caractère personnel au titre de cette disposition, il n'y a pas lieu de prendre en considération l'existence éventuelle d'un droit d'opposition de la personne concernée, au titre de l'article 21 de ce règlement.

1) L'article 6, paragraphe 1, premier alinéa, sous b) et f), du règlement général sur la protection des données, lu en combinaison avec l'article 5, paragraphe 1, sous c), de ce règlement doit être interprété en ce sens que:

• le traitement de données à caractère personnel relatives à la civilité des clients d'une entreprise de transport, ayant pour finalité une personnalisation de la communication commerciale fondée sur leur identité de genre, ne paraît ni objectivement indispensable ni essentiel afin de permettre l'exécution correcte d'un contrat et, partant, ne peut pas être considéré comme étant nécessaire à l'exécution de ce contrat;
• le traitement de données à caractère personnel relatives à la civilité des clients d'une entreprise de transport, ayant pour finalité une personnalisation de la communication commerciale fondée sur leur identité de genre, ne peut pas être considéré comme étant nécessaire aux fins des intérêts légitimes poursuivis par le responsable de ce traitement ou par un tiers, lorsque:
• l'intérêt légitime poursuivi n'a pas été indiqué à ces clients lors de la collecte de ces données;
• ledit traitement n'est pas opéré dans les limites du strict nécessaire pour la réalisation de cet intérêt légitime;
• au regard de l'ensemble des circonstances pertinentes, les libertés et droits fondamentaux desdits clients sont susceptibles de prévaloir sur ledit intérêt légitime, notamment en raison d'un risque de discrimination fondée sur l'identité de genre.

2) L'article 6, paragraphe 1, premier alinéa, sous f), du règlement général sur la protection des données doit être interprété en ce sens que, afin d'apprécier la nécessité d'un traitement de données à caractère personnel au titre de cette disposition, il n'y a pas lieu de prendre en considération l'existence éventuelle d'un droit d'opposition de la personne concernée, au titre de l'article 21 de ce règlement.

Conservation des données d'opposition d'une personne à recevoir de la prospection commerciale.

1) Afin d'assurer l'effectivité du droit d'opposition, le responsable de traitement peut créer une « liste repoussoir » lui permettant de ne pas utiliser à nouveau les données de contact si elles venaient à lui être transmises à nouveau par une autre personne que la personne concernée. La CNIL recommande de conserver l'inscription à la « liste repoussoir » de la personne ayant fait opposition pendant une durée minimale de trois ans et de ne conserver que les empreintes de l'adresse ou du numéro utilisé pour la prospection. Cela permet de prendre en compte l'opposition dans le temps sans conserver de données directement identifiantes.

2) En l'espèce, la liste repoussoir comprenait la civilité, le nom, le prénom, la date de naissance, le numéro de téléphone, l'adresse électronique, la ville ou le code postal, le niveau d'imposition et la situation familiale alors que l'ensemble de ces données n'apparaissaient pas nécessaires au regard de la finalité liée à la prise en compte de l'opposition des prospects à recevoir de la prospection. Seules les données nécessaires à la prise en compte de l'opposition dans le temps et qui correspondent en l'espèce au numéro de téléphone et à l'adresse électronique de la personne concernée auraient dû être conservées sous une forme hachée. Il en résulte une méconnaissance de l'article 5‑1‑c) du RGPD.

Afin d'assurer l'effectivité du droit d'opposition, le responsable de traitement peut créer une « liste repoussoir » lui permettant de ne pas utiliser à nouveau les données de contact si elles venaient à lui être transmises à nouveau par une autre personne que la personne concernée. La CNIL recommande de conserver l'inscription à la « liste repoussoir » de la personne ayant fait opposition pendant une durée minimale de trois ans et de ne conserver que les empreintes de l'adresse ou du numéro utilisé pour la prospection. Cela permet de prendre en compte l'opposition dans le temps sans conserver de données directement identifiantes.

1) L’article 23 du RGPD permet de limiter ou d’écarter le droit d’opposition à un traitement, à certaines conditions, par une mesure législative. Le considérant 41 du RGPD précise que cette mesure législative n’est pas nécessairement un acte adopté par le Parlement, mais doit être déterminée par le droit national de chaque État membre. En France, il peut en particulier s’agir d’un acte réglementaire. La CNIL estime que, s’agissant des traitements participant à l’exécution d’une mission d’intérêt public, tant l’État que les collectivités territoriales ou les établissements publics peuvent, dans leurs domaines de compétence respectifs et s’ils disposent d’un pouvoir réglementaire, limiter ou exclure le droit d’opposition.

2) Cependant, l’exercice de cette faculté est soumis à une double limite : d’une part, s’agissant de la compétence, il convient de ne pas empiéter sur le domaine réservé à la loi en application de l’article 34 de la Constitution; d’autre part, de veiller à ce que les conditions prévues à l’art. 23 RGPD soient respectées. Dans ses lignes directrices 10/2020 du 13 octobre 2021 sur l’article 23, le Comité européen pour la protection des données a notamment rappelé l’obligation pour le responsable de traitement de veiller au caractère strictement nécessaire et proportionné de la limitation envisagée au regard de l’objectif poursuivi. Il a également souligné que l’acte écartant l’opposition doit faire l’objet d’une publicité suffisante et être accessible.

Dans le cadre de rapports employeur/employés, le fait d'effectuer des recherches sur des personnes portant sur des données à caractère personnel telles qu'antécédents judiciaires, renseignements bancaires et téléphoniques, véhicules, propriétés, qualité de locataire ou de propriétaire, situation matrimoniale, santé, déplacement à l'étranger est susceptible de constituer un moyen de collecte déloyal dès lors que, issues de la capture et du recoupement d'informations diffusées sur des sites publics tels que sites web, annuaires, forums de discussion, réseaux sociaux, sites de presse régionale, ces données ont fait l'objet d'une utilisation sans rapport avec l'objet de leur mise en ligne et ont été recueillies à l'insu des personnes concernées, ainsi privées du droit d'opposition institué par la loi informatique et libertés.

En effet, le fait que les données à caractère personnel collectées en l'espèce par le prévenu aient été pour partie en accès libre sur internet ne retire rien au caractère déloyal de cette collecte, dès lors qu'une telle collecte, de surcroît réalisée à des fins dévoyées de profilage des personnes concernées et d'investigation dans leur vie privée, à l'insu de celles-ci, ne pouvait s'effectuer sans qu'elles en soient informées.

1) Les dispositions de l'article 8, paragraphes 1 et 5, de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doivent être interprétées en ce sens que l’interdiction ou les restrictions relatives au traitement des catégories particulières de données à caractère personnel, visées par ces dispositions, s’appliquent, sous réserve des exceptions prévues par cette directive, également à l’exploitant d’un moteur de recherche dans le cadre de ses responsabilités, de ses compétences et de ses possibilités en tant que responsable du traitement effectué lors de l’activité de ce moteur, à l’occasion d’une vérification opérée par cet exploitant, sous le contrôle des autorités nationales compétentes, à la suite d’une demande introduite par la personne concernée.

2) Les dispositions de l’article 8, paragraphes 1 et 5, de la directive 95/46 doivent être interprétées en ce sens que, en vertu de celles‑ci, l’exploitant d’un moteur de recherche est en principe obligé, sous réserve des exceptions prévues par cette directive, de faire droit aux demandes de déréférencement portant sur des liens menant vers des pages web sur lesquelles figurent des données à caractère personnel qui relèvent des catégories particulières visées par ces dispositions.

L’article 8, paragraphe 2, sous e), de la directive 95/46 doit être interprété en ce sens que, en application de celui‑ci, un tel exploitant peut refuser de faire droit à une demande de déréférencement lorsqu’il constate que les liens en cause mènent vers des contenus comportant des données à caractère personnel qui relèvent des catégories particulières visées à cet article 8, paragraphe 1, mais dont le traitement est couvert par l’exception prévue audit article 8, paragraphe 2, sous e), à condition que ce traitement réponde à l’ensemble des autres conditions dlicéité posées par cette directive et à moins que la personne concernée n’ait, en vertu de l’article 14, premier alinéa, sous a), de ladite directive, le droit de s’opposer audit traitement pour des raisons prépondérantes et légitimes tenant à sa situation particulière.

Les dispositions de la directive 95/46 doivent être interprétées en ce sens que, lorsque l’exploitant d’un moteur de recherche est saisi d’une demande de déréférencement portant sur un lien vers une page web sur laquelle des données à caractère personnel relevant des catégories particulières visées à l’article 8, paragraphe 1 ou 5, de cette directive sont publiées, cet exploitant doit, sur la base de tous les éléments pertinents du cas d’espèce et compte tenu de la gravité de l’ingérence dans les droits fondamentaux de la personne concernée au respect de la vie privée et à la protection des données à caractère personnel, consacrés aux articles 7 et 8 de la charte des droits fondamentaux de l’Union européenne, vérifier, au titre des motifs d’intérêt public important visés à l’article 8, paragraphe 4, de ladite directive et dans le respect des conditions prévues à cette dernière disposition, si l’inclusion de ce lien dans la liste de résultats, qui est affichée à la suite d’une recherche effectuée à partir du nom de cette personne, s’avère strictement nécessaire pour protéger la liberté d’information des internautes potentiellement intéressés à avoir accès à cette page web au moyen d’une telle recherche, consacrée à l’article 11 de cette charte.

3) Les dispositions de la directive 95/46 doivent être interprétées en ce sens que,
a) d’une part, les informations relatives à une procédure judiciaire dont une personne physique a été l’objet ainsi que, le cas échéant, celles relatives à la condamnation qui en a découlé constituent des données relatives aux « infractions » et aux « condamnations pénales », au sens de l’article 8, paragraphe 5, de cette directive, et
b) d’autre part, l’exploitant d’un moteur de recherche est tenu de faire droit à une demande de déréférencement portant sur des liens vers des pages web, sur lesquelles figurent de telles informations, lorsque ces informations se rapportent à une étape antérieure de la procédure judiciaire en cause et ne correspondent plus, compte tenu du dérolement de celle‑ci, à la situation actuelle, dans la mesure où il est constaté, dans le cadre de la vérification des motifs d’intérêt public important visés à l’article 8, paragraphe 4, de ladite directive, que, eu égard à l’ensemble des circonstances de l’espèce, les droits fondamentaux de la personne concernée, garantis par les articles 7 et 8 de la charte des droits fondamentaux de l’Union européenne, prévalent sur ceux des internautes potentiellement intéressés, protégés par l’article 11 de cette charte.

Justifie sa décision l'arrêt qui, pour déclarer l'Association spirituelle de l'église de scientologie d'Ile-de-France et son président coupables de traitement d'informations nominatives malgré opposition légitime, retient que l'opposition peut être transmise à l'association par la Commission nationale de l'informatique et des libertés (CNIL), aucun formalisme n'étant prévu par la loi et qu'en matière politique, philosophique ou religieuse, la Légitimité de l'opposition est remplie par le seul exercice de cette faculté.

1) Il résulte des dispositions de l’article 38 de la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés dans sa rédaction applicable que le droit qu’elles ouvrent à toute personne physique d’opposer pour des motifs légitimes à ce que des données à caractère personnel la concernant fassent l’objet d’un traitement est subordonné à l’existence de raisons légitimes tenant de manière prépondérante à sa situation particulière. Ne commet pas d’erreur de droit la cour administrative d’appel qui relève que, pour faire opposition au traitement des données concernant ses enfants, la requérante se bornait à invoquer des craintes d’ordre général concernant notamment la sécurité du fonctionnement de la base, sans faire état de considérations qui lui seraient propres ou seraient propres à ses enfants, pour en déduire qu’elle ne justifiait pas de motifs légitimes de nature à justifier cette opposition. 2) La circonstance que les données à caractère personnel aient cessé d’être conservées dans le traitement litigieux prive d’objet les conclusions à fin d’annulation pour excès de pouvoir de la décision qui avait refusé de faire droit à l’opposition à ce traitement, sans qu’ait d’incidence le fait que les données en cause aient pu être transférées vers d’autres traitements vis‑à‑vis desquels s’exerce le droit d’opposition.

1) Si la personne responsable du traitement, au sens des dispositions du I de l'article 3 de la loi n°78‑17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, est, en principe, celle auprès de laquelle s'exerce le droit d'opposition (prévu par l'article 38 de la loi), ni cette loi, ni le décret n°2005‑1309 du 20 octobre 2005 pris pour son application ne font obstacle à ce qu'elle délègue sa compétence en la matière. 2) La « base élève premier degré » (BE1D) a pour finalités d'assurer la gestion administrative et pédagogique des élèves du premier degré, la gestion et le pilotage de l'enseignement du premier degré dans les circonscriptions scolaires du premier degré et les inspections académiques et le pilotage académique et national, et la « base nationale identifiant élève » (BNIE) a la finalité d'attribuer un identifiant unique à chaque élève, afin de permettre le suivi de toute sa scolarité. Ces bases concourent aux missions relatives à l'action éducatrice et à son organisation, au sens des dispositions des articles R.222‑25 et R.222‑26 du code de l'éducation et, dès lors, en application de ces dispositions, la compétence en matière d'exercice du droit d'opposition doit être regardée comme étant exercée à l’échelon départemental des services de l’éducation nationale.

Le droit d’opposition au traitement de données personnelles, contrairement à l’acceptation d’un tel usage, doit être spécifique, informé et dénué de toute ambiguïté. Il est considéré comme valablement exprimé même s’il l’est de façon générale. La circonstance, d’une part, que le droit d’opposition soit manifesté par un acte d’abstention plutôt que par un acte positif, d’autre part, qu’il soit exprimé d’une manière large en visant « tout démarchage commercial », est sans incidence sur la validité de l’expression du refus de prospection ultérieure.

Il résulte des dispositions des articles 2 et 38 de la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dite loi Informatique et Libertés, que la mise en ligne sur le réseau internet d’une base de données de jurisprudence non totalement anonymisée doit être regardée comme un traitement automatisé de données à caractère personnel au sens de la loi Informatique et Libertés, auquel s’applique le droit d’opposition qu’elle ouvre aux personnes concernées.

La notion d'acte « instaurant le traitement » peut renvoyer, s'agissant de traitements mis en œuvre par les autorités publiques, à des normes contenant l'ensemble de la réglementation d'un traitement, notamment en application de l'article 35 de la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. S'agissant de traitements décidés et mis en place par des opérateurs privés, la limitation du droit d'opposition doit être prévue dans un acte législatif ou réglementaire autorisant la mise en œuvre des traitements par ces opérateurs, qui doit comporter les dispositions spécifiques prescrites par l'article 23.2 du RGPD.

Un SMS de prospection doit informer la personne de ce qu’elle peut s’opposer gratuitement au traitement de ses données.

Est-il illégal un dispositif qui informe la personne qu’il est possible de s’opposer au traitement en adressant un SMS ou un appel téléphonique payants dans le message de prospection reçu par SMS, ou en remplissant un formulaire sur internet, sans que cette faculté ait été mentionnée dans le SMS de prospection ?

Il revient à la société traitant des données à caractère personnel à des fins de prospection commerciale de mettre en place un mécanisme permettant une prise en compte effective du droit d'opposition exprimé par les personnes faisant l'objet de prospection téléphonique en application de l'article 21 du RGPD. Elle doit, à ce titre, être en mesure de s'assurer, dans le temps, que l'opposition exprimée par les intéressés est respectée et que les personnes ayant fait part de leur opposition ne reçoivent plus d'appels de prospection. Un tel mécanisme peut prendre la forme d'une liste repoussoir ou d'un système équivalent.

Saisi d'un projet de décret relatif à la création d’un Traitement automatisé de données à caractère personnel pour la production des certificats de membre d'équipage sécurisés biométriques, le Conseil d'État (section de l'intérieur) estime que le projet peut prévoir la non‑application du Droit d'opposition au traitement des données pour des raisons tenant à l’Objectif d'intérêt public de sécurité publique dans un lieu aussi sensible qu’un aéroport et que le fondement juridique de cette disposition doit être, non pas l’article 38 de la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés mais directement l’article 23(1.c) du RGPD relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.

Conservation des données d'opposition d'une personne à recevoir de la prospection commerciale.

1) Afin d'assurer l'effectivité du droit d'opposition, le responsable de traitement peut créer une « liste repoussoir » lui permettant de ne pas utiliser à nouveau les données de contact si elles venaient à lui être transmises à nouveau par une autre personne que la personne concernée. La CNIL recommande de conserver l'inscription à la « liste repoussoir » de la personne ayant fait opposition pendant une durée minimale de trois ans et de ne conserver que les empreintes de l'adresse ou du numéro utilisé pour la prospection. Cela permet de prendre en compte l'opposition dans le temps sans conserver de données directement identifiantes.

2) En l'espèce, la liste repoussoir comprenait la civilité, le nom, le prénom, la date de naissance, le numéro de téléphone, l'adresse électronique, la ville ou le code postal, le niveau d'imposition et la situation familiale alors que l'ensemble de ces données n'apparaissaient pas nécessaires au regard de la finalité liée à la prise en compte de l'opposition des prospects à recevoir de la prospection. Seules les données nécessaires à la prise en compte de l'opposition dans le temps et qui correspondent à l'espèce au numéro de téléphone et à l'adresse électronique de la personne concernée auraient dû être conservées sous une forme hachée. Il en résulte une méconnaissance de l'article 5‑1‑c) du RGPD.

1) La transmission de données personnelles à des tiers (qui en sont alors destinataires au sens du RGPD), lorsqu’elle ne constitue pas un moyen d’atteindre la finalité initialement prévue pour le traitement de ces données, n’est en principe possible que si elle est compatible avec cette finalité première. En particulier, dans le cas d’une vente d’une base de données, l’appréciation de cette compatibilité nécessite, sauf exception, que le vendeur connaisse la finalité pour laquelle la base de données sera utilisée par l’acheteur et ne vende la base que pour cet usage. L’appréciation de la nécessité d’un consentement se fait au cas par cas.

2) a) S’agissant de la revente d’une base de données de clients ou prospects d’une société en situation de liquidation, en vue de sa réutilisation à des fins de prospection commerciale, la CNIL considère que, eu égard à la finalité initiale de la base de données et du contexte de liquidation de l’entreprise, cette vente peut en principe être regardée comme compatible avec le traitement initial des données. Un consentement peut cependant être requis en raison des règles spécifiques à la prospection par voie électronique.

b) Les bases légales mobilisables pour la transmission, à titre onéreux ou non, de données à caractère personnel à des partenaires commerciaux souhaitant les réutiliser à des fins commerciales dépendent du canal utilisé pour la prospection faite par ces partenaires : prospection par voie électronique ou prospection par voie postale/téléphonique.

i) Si la transmission a pour finalité de permettre aux partenaires commerciaux de réaliser de la prospection électronique qui nécessite le recueil du consentement préalable des personnes en application des dispositions de l’article L.34‑5 du code des postes et des communications électroniques, l’organisme transmettant les données doit informer les personnes concernées et recueillir leur consentement à cette transmission en application de l’article 6‑1‑a du RGPD.

ii) Si la transmission a pour finalité de permettre aux partenaires commerciaux de réaliser de la prospection sur la base de leur intérêt légitime (prospection non électronique, c’est‑à‑dire réalisée par voie téléphonique ou postale), elle peut elle‑même être réalisée sur le fondement de l’intérêt légitime en application de l’article 6‑1‑f du RGPD. Dans ce cadre, l’organisme transmettant les données doit informer les personnes concernées de la finalité de cette transmission et des catégories de partenaires rendus destinataires des données et offrir aux personnes concernées, de manière expresse et dénuée d’ambiguïté, la possibilité de s’opposer, sans frais et de manière simple, à la transmission de leurs données à caractère personnel.

c) Il résulte de l’ensemble de ces exigences que la vente d’une base de données à des fins de prospection commerciale par l’acquéreur n’est possible que si :
- la base est vendue spécifiquement pour cette finalité, et non pour tout usage des données;
- il est prévu d’informer les personnes dont les données figurant dans la base de données de la vente;
- ces personnes vont, selon le cas, soit donner leur consentement, soit pouvoir s’opposer à figurer dans la base vendue.