En autorisant, pour les nécessités d'une enquête ou d'une information relative à une infraction relevant de la criminalité ou de la délinquance organisée, le recours à des dispositifs techniques permettant d'accéder à données informatiques, de les enregistrer, de les conserver et de les transmettre telles qu'elles sont reçues et émises par des périphériques, y compris non audiovisuels, le législateur n'a pas méconnu le droit au respect de la vie privée.

Les dispositions contestées permettent à l'autorité administrative, pour la prévention du terrorisme, d'obtenir le recueil en temps réel des données de connexion relatives, d'une part, à une personne préalablement identifiée susceptible d'être en lien avec une menace et, d'autre part, aux personnes appartenant à l'entourage de la personne concernée par l'autorisation lorsqu'il y a des raisons sérieuses de penser qu'elles sont susceptibles de fournir des informations au titre de la finalité qui motive l'autorisation. Cette technique de recueil de renseignement est autorisée pour une durée de quatre mois renouvelable, conformément à l'article L. 821‑4 du code de la sécurité intérieure.

D'une part, le recueil des données de connexion en temps réel ne peut être mis en œuvre que pour les besoins de la prévention du terrorisme. Ne peuvent, par ailleurs, être recueillis que les informations ou documents traités ou conservés par les opérateurs de télécommunication, les fournisseurs d'accès à un service de communication au public en ligne ou les hébergeurs de contenu sur un tel service.

D'autre part, cette technique de recueil de renseignement s'exerce dans les conditions prévues au chapitre Ier du titre II du livre VIII du code de la sécurité intérieure. En vertu de l'article L. 821‑4 de ce code, elle est autorisée par le Premier ministre ou les collaborateurs directs auxquels il a délégué cette compétence, sur demande écrite et motivée du ministre de la défense, du ministre de l'intérieur ou des ministres chargés de l'économie, du budget ou des douanes, après avis préalable de la Commission nationale de contrôle des techniques de renseignement. Elle est autorisée pour une durée de quatre mois renouvelable. En vertu du paragraphe II de l'article L. 851‑2, la procédure d'urgence absolue prévue à l'article L. 821‑5 de ce code n'est pas applicable. En application de l'article L. 871‑6 du même code, les opérations matérielles nécessaires à la mise en place de la technique mentionnée à l'article L. 851‑2 ne peuvent être exécutées, dans leurs réseaux respectifs, que par des agents qualifiés des services ou organismes placés sous l'autorité ou la tutelle du ministre chargé des communications électroniques ou des exploitants de réseaux ou fournisseurs de services de télécommunications.

Enfin, cette technique de renseignement est réalisée sous le contrôle de la Commission nationale de contrôle des techniques de renseignement. La composition et l'organisation de cette autorité administrative indépendante sont définies aux articles L. 831‑1 à L. 832‑5 du code de la sécurité intérieure dans des conditions qui assurent son indépendance. Ses missions sont définies aux articles L. 833‑1 à L. 833‑11 du même code dans des conditions qui assurent l'effectivité de son contrôle. Conformément aux dispositions de l'article L. 841‑1 du même code, le Conseil d'État peut être saisi par toute personne souhaitant vérifier qu'aucune technique de recueil de renseignement n'est irrégulièrement mise en œuvre à son égard ou par la Commission nationale de contrôle des techniques de renseignement.

Il résulte de ce qui précède que le législateur a assorti la procédure de réquisition des données de connexion, lorsqu'elle s'applique à une personne préalablement identifiée susceptible d'être en lien avec une menace, de garanties propres à assurer une conciliation qui n'est pas manifestement déséquilibrée entre, d'une part, la prévention des atteintes à l'ordre public et celle des infractions et, d'autre part, le droit au respect de la vie privée.

Par la création d'un traitement de données à caractère personnel recensant les crédits à la consommation accordés aux personnes physiques n'agissant pas pour des besoins professionnels, le législateur a poursuivi un motif d'intérêt général de prévention du surendettement.

Toutefois, ce registre national est destiné à comprendre des données à caractère personnel d'un très grand nombre de personnes (plus de 12 millions), la durée de conservation est de plusieurs années (toute la durée du crédit ou du plan de surendettement), les motifs de consultation sont très nombreux (octroi d'un crédit à la consommation ou d'un prêt sur gage corporel, reconduction d'un contrat de crédit renouvelable, vérification triennale de solvabilité de l'emprunteur, vérification relative aux personnes se portant caution d'un prêt à la consommation …) et plusieurs dizaines de milliers d'agents des établissements de crédit seront habilités à consulter le registre.

Compte tenu de la nature des données enregistrées, de l'ampleur du traitement de données, de la fréquence de son utilisation, du grand nombre de personnes susceptibles d'y avoir accès et de l'insuffisance des garanties relatives à l'accès au registre, la création du registre national des crédits aux particuliers porte une atteinte au droit au respect de la vie privée qui ne peut être regardée comme proportionnée au but poursuivi.

La liberté proclamée par l'article 2 de la Déclaration des droits de l'homme et du citoyen de 1789 implique le droit au respect de la vie privée. Par suite, la collecte, l'enregistrement, la conservation, la consultation et la communication de données à caractère personnel doivent être justifiés par un motif d'intérêt général et mis en œuvre de manière adéquate et proportionnée à cet objectif.

1) La conservation et le stockage automatiques et continus du contenu de toutes les communications Internet (communications vocales, textuelles, visuelles, sonores, vidéo ou d'autres communications électroniques) pendant une durée de six mois et des données de connexion correspondantes pendant une durée d'un an. Elle concerne tous les utilisateurs, même en l'absence de soupçon raisonnable de participation à des activités criminelles ou à des activités mettant en danger la sécurité nationale, ou de toute autre raison de penser que la conservation des données peut contribuer à la lutte contre les formes graves de criminalité ou à la protection de la sécurité nationale. Il n'y a aucune limitation du champ d'application de la mesure en termes d'application territoriale ou temporelle ou de catégories de personnes susceptibles de voir leurs données à caractère personnel conservées. La Cour conclut que l'ingérence est exceptionnellement étendue et grave. La législation ne peut être considérée comme nécessaire dans une société démocratique et porte atteinte à l'essence même du droit au respect de la vie privée garanti par le article 8 de la Convention. L'État défendeur a donc outrepassé toute marge d'appréciation acceptable à cet égard.

2) Contrairement à la législation en cause qui prévoit un accès direct aux communications Internet par les services de sécurité sans autorisation judiciaire préalable, la Cour recommande une obligation de présenter une autorisation au fournisseurs de services de communication avant d'obtenir l'accès aux communications d'une personne en ce qu'elle constitue une garantie importante contre les abus des autorités répressives, en veillant à ce qu'une autorisation en bonne et due forme soit obtenue dans tous les cas de surveillance secrète.

3) L'obligation légale de déchiffrer les communications chiffrées de bout en bout risque d'équivaloir à une obligation pour les fournisseurs de tels services d'affaiblir le mécanisme d'encryption pour tous les utilisateurs et n'est donc pas proportionnée aux buts légitimes poursuivis.

Dans une jurisprudence constante, la Cour EDH juge que la conservation de photographies par la police, combinée à la possibilité de leur appliquer des techniques de reconnaissance faciale, constitue une ingérence dans l'exercice du droit à la vie privée. La Cour rappelle également qu'il est essentiel, dans le cadre de la mise en œuvre de la technologie de reconnaissance faciale, de disposer de règles détaillées régissant la portée et l'application des mesures ainsi que de garanties solides contre le risque d'abus et d'arbitraire. La nécessité de disposer de garanties est d'autant plus grande lorsque la technologie de reconnaissance faciale est utilisée en temps réel.

De telles mesures, particulièrement intrusives, requièrent un niveau élevé de justification pour qu'elles puissent être considérées comme « nécessaires dans une société démocratique », le niveau de justification le plus élevé étant requis pour l'utilisation de cette technologie.

Le simple fait de mémoriser des données relatives à la vie privée d'un individu constitue une ingérence au sens de l'article 8 de la Convention européenne des droits de l'homme qui garantit le droit au respect de la vie privée et familiale, du domicile et de la correspondance [...]. Peu importe que les informations mémorisées soient ou non utilisées par la suite [...]. Toutefois, pour déterminer si les informations à caractère personnel conservées par les autorités font entrer en jeu un aspect de la vie privée [...], la Cour européenne des droits de l'homme tiendra dûment compte du contexte particulier dans lequel ces informations ont été recueillies et conservées, de la nature des données consignées, de la manière dont elles sont utilisées et traitées et des résultats qui peuvent en être tirés.

L'article 11 contesté prévoit que, par dérogation à l'exigence fixée à l'article L. 1110‑4 du code de la santé publique, les données à caractère personnel relatives à la santé des personnes atteintes par le covid-19 et des personnes en contact avec elles peuvent être traitées et partagées, sans le consentement des intéressés, dans le cadre d'un système d'information ad hoc ainsi que dans le cadre d'une adaptation des systèmes d'information relatifs aux données de santé déjà existants. La collecte, le traitement et le partage d'informations portent donc non seulement sur les données médicales personnelles des intéressés, mais aussi sur certains éléments d'identification et sur les contacts qu'ils ont noués avec d'autres personnes. Ce faisant, les dispositions contestées portent atteinte au droit au respect de la vie privée. Toutefois ce dispositif n'est pas contraire à la Constitution dès lors que : le législateur a entendu renforcer les moyens de lutte contre l'épidémie et poursuit l'objectif de valeur constitutionnelle (OVC) de protection de la santé ; le traitement des données ne peut être mis en œuvre que dans la mesure strictement nécessaire à quatre finalités précisément définies en lien avec cet objectif de valeur constitutionnel ; le champ des données susceptibles de faire l'objet du traitement en cause est circonscrit aux seules données relatives au covid-19 et strictement nécessaires à la poursuite de ces finalités ; le champ des personnes pouvant accéder aux données collectées, bien que large, est proportionné compte tenu de l'étendue des démarches à entreprendre pour organiser la collecte des informations nécessaires à la lutte contre le développement de l'épidémie. Par ailleurs, diverses garanties sont prévues par la loi (secret professionnel, encadrement de l'accès aux données pour les seules finalités dont relèvent les organismes concernés…) ; le traitement de ces données reste soumis aux règles issues du RGPD et de la loi du 6 janvier 1978 dite « Informatique et Libertés » ; ce dispositif ne peut s'appliquer au-delà du temps strictement nécessaire à la lutte contre la propagation de l'épidémie de covid-19 et les données à caractère personnel collectées, qu'elles soient ou non médicales, doivent, quant à elles, être supprimées trois mois après leur collecte ; le décret d'application de la loi est pris après avis public de la Commission nationale de l'informatique et des libertés. Le Conseil constitutionnel émet néanmoins des réserves : l'anonymisation prévue des données nominatives pour ce qui concerne la finalité de surveillance épidémiologique et de recherche contre le virus doit s'étendre aux coordonnées de contact électronique et téléphonique ; le recueil de ces données sans consentement préalable par des organismes d'accompagnement social méconnaît le droit au respect de la vie privée dans la mesure où l'accompagnement ne relève pas directement de la lutte contre l'épidémie ; il appartiendra au pouvoir réglementaire de définir des modalités de collecte, de traitement et de partage des informations assurant leur stricte confidentialité et, notamment, l'habilitation spécifique des agents chargés, au sein de chaque organisme, de participer à la mise en œuvre du système d'information ainsi que la traçabilité des accès à ce système d'information ; le recours à des sous‑traitants, qui agissent pour leur compte et sous leur responsabilité, doit s'effectuer en conformité avec les exigences de nécessité et de confidentialité des données.

L’ensemble des propos tenus dans le cadre d’une conversation téléphonique enregistrée sont susceptibles de constituer des données à caractère personnel concernant les deux parties à cette conversation.

L'article 2, sous b), de la directive 95/46, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens que, d'une part, l'activité d'un moteur de recherche consistant à trouver des informations publiées ou placées sur Internet par des tiers, à les indexer de manière automatique, à les stocker temporairement et, enfin, à les mettre à disposition des internautes selon un ordre de préférence donné doit être qualifiée de traitement de données à caractère personnel lorsque ces informations contiennent des données à caractère personnel.

Par ailleurs, l'exploitant d'un moteur de recherche doit être considéré comme le responsable dudit traitement des données à caractère personnel au sens dudit article 2, sous d), de ladite directive. En effet, dans la mesure où l'activité d'un moteur de recherche est susceptible d'affecter significativement et de manière additionnelle par rapport à celle des éditeurs de sites web les droits fondamentaux de la vie privée et de la protection des données à caractère personnel, l'exploitant de ce moteur en tant que personne qui détermine les finalités et les moyens de cette activité doit assurer, dans le cadre de ses responsabilités, de ses compétences et de ses possibilités, que celle-ci satisfait aux exigences de la directive 95/46 pour que les garanties prévues par celle‑ci puissent développer leur plein effet et qu'une protection efficace et complète des personnes concernées, notamment de leur droit au respect de leur vie privée, puisse effectivement être réalisée.

Société ayant mis un traitement de données à caractère personnel à disposition des entités qui lui sont liées, déterminant la nature des données collectées et déterminé les droits d'accès à celles-ci puis, après le contrôle de la Commission nationale de l'informatique et des libertés (CNIL), ayant fixé la durée de conservation des données et apporté des correctifs à leur traitement. Ainsi, cette société, qui détermine les finalités et les moyens du traitement, doit être regardée comme le responsable du traitement, la désignation d'un correspondant à la protection des données par les autres entités n'ayant pas, par elle‑même, pour effet de rendre celles‑ci responsables des traitements.

1) L’article 5, paragraphe 3, de la directive 2002/58 doit être interprété en ce sens que les informations que le fournisseur de services doit donner à l’utilisateur d’un site internet incluent la durée de fonctionnement des cookies ainsi que la possibilité ou non pour des tiers d’avoir accès aux cookies.

L’article 10 de la directive 95/46, à laquelle fait référence l’article 5, paragraphe 3, de la directive 2002/58, ainsi que l’article 13 du RGPD énoncent les informations que le responsable du traitement doit fournir à la personne auprès de laquelle il collecte des données la concernant. Ces informations comprennent notamment, en vertu de l’article 10 de la directive, outre l’identité du responsable du traitement et les finalités du traitement auquel les données sont destinées, toute information supplémentaire telle que les destinataires ou les catégories de destinataires des données, dans la mesure où, compte tenu des circonstances particulières dans lesquelles les données sont collectées, ces informations supplémentaires sont nécessaires pour assurer à l’égard de la personne concernée un traitement loyal des données.

2) Si la durée du traitement des données ne figure pas parmi ces informations, il ressort toutefois de l’expression « au moins » figurant à l’article 10 de la directive 95/46 que celles‑ci ne sont pas énumérées de manière exhaustive. Or, la durée de fonctionnement des cookies doit être considérée comme répondant à l’exigence d’un traitement loyal des données prévue par ledit article, en ce que, dans une situation telle que celle en cause au principal, une durée longue, voire illimitée, implique la collecte de nombreuses informations sur les habitudes de navigation et la fréquence des visites éventuelles de l’utilisateur sur les sites des partenaires publicitaires de l’organisateur du jeu promotionnel.

Cette interprétation est corroborée par l’article 13, paragraphe 2, sous a), du règlement 2016/679, qui prévoit que le responsable du traitement doit fournir à la personne concernée, pour garantir un traitement équitable et transparent, une information portant, notamment, sur la durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée.

Quant à la possibilité ou non pour des tiers d’avoir accès aux cookies, il s’agit d’une information comprise dans les informations mentionnées à l’article 10, sous c), de la directive 95/46, ainsi qu’à l’article 13, paragraphe 1, sous e), du règlement 2016/679, dès lors que ces dispositions mentionnent explicitement les destinataires ou les catégories de destinataires des données.

La réglementation nationale régissant une demande de communication de données à caractère personnel adressée par l'administration d'un État membre à un opérateur économique doit se fonder sur des critères objectifs pour définir les circonstances et les conditions dans lesquelles un prestataire de services en ligne est tenu de transmettre des données à caractère personnel relatives à ses utilisateurs (voir, en ce sens, arrêt du 6 octobre 2020, Privacy International, C ‑ 623/17, EU:C:2020:790, point 78 et jurisprudence citée). Les dispositions du RGPD doivent être interprétées en ce sens qu'elles ne s'opposent pas à ce que l'administration fiscale d'un État membre impose à un prestataire de services d'annonces publiées sur internet de lui communiquer des informations relatives aux contribuables ayant publié des annonces dans l'une des rubriques de son portail Internet pour autant, notamment, que ces données soient nécessaires au regard des finalités spécifiques pour lesquelles elles sont collectées et que la période sur laquelle porte la collecte desdites données n'excède pas la durée strictement nécessaire pour atteindre l'objectif d'intérêt général visé.

Conservation des données d'opposition d'une personne à recevoir de la prospection commerciale.

1) Afin d'assurer l'effectivité du droit d'opposition, le responsable de traitement peut créer une « liste repoussoir » lui permettant de ne pas utiliser à nouveau les données de contact si elles venaient à lui être transmises à nouveau par une autre personne que la personne concernée. La CNIL recommande de conserver l'inscription à la « liste repoussoir » de la personne ayant fait opposition pendant une durée minimale de trois ans et de ne conserver que les empreintes de l'adresse ou du numéro utilisé pour la prospection. Cela permet de prendre en compte l'opposition dans le temps sans conserver de données directement identifiantes.

2) En l'espèce, la liste repoussoir comprenait la civilité, le nom, le prénom, la date de naissance, le numéro de téléphone, l'adresse électronique, la ville ou le code postal, le niveau d'imposition et la situation familiale alors que l'ensemble de ces données n'apparaissaient pas nécessaires au regard de la finalité liée à la prise en compte de l'opposition des prospects à recevoir de la prospection. Seules les données nécessaires à la prise en compte de l'opposition dans le temps et qui correspondent en l'espèce au numéro de téléphone et à l'adresse électronique de la personne concernée auraient dû être conservées sous une forme hachée. Il en résulte une méconnaissance de l'article 5‑1‑c) du RGPD.

La législation contestée exige la conservation et le stockage automatiques et continus du contenu de toutes les communications Internet (communications vocales, textuelles, visuelles, sonores, vidéo ou d'autres communications électroniques) pendant une durée de six mois et des données de connexion correspondantes pendant une durée d'un an. Elle concerne tous les utilisateurs, même en l'absence de soupçon raisonnable de participation à des activités criminelles ou à des activités mettant en danger la sécurité nationale, ou de toute autre raison de penser que la conservation des données peut contribuer à la lutte contre les formes graves de criminalité ou à la protection de la sécurité nationale. Il n'y a aucune limitation du champ d'application de la mesure en termes d'application territoriale ou temporelle ou de catégories de personnes susceptibles de voir leurs données à caractère personnel conservées. La Cour conclut que l'ingérence est exceptionnellement étendue et grave. La législation ne peut être considérée comme nécessaire dans une société démocratique et porte atteinte à l'essence même du droit au respect de la vie privée garanti par l'article 8 de la Convention. L'État défendeur a donc outrepassé toute marge d'appréciation acceptable à cet égard.

Le requérant, militant de longue date, protestait contre la collecte et la conservation dans une base de données de la police relative à l’« extrémisme national » des données personnelles le concernant. La Cour a conclu à la violation de l’article 8 de la Convention.

Si la Cour européenne reconnaît un besoin impérieux de recueillir des données à caractère personnel concernant le requérant, elle considère en revanche que la conservation des données relatives au requérant ne répondait pas à un besoin impérieux. En l’absence de toute règle fixant la durée maximale de conservation de telles données, le requérant dépendait entièrement de la diligence avec laquelle les autorités appliqueraient les garanties du code de pratique applicable, très souples par nature, pour veiller au caractère proportionné de la durée de conservation des données le concernant. Lorsqu’un État décide de mettre en place un dispositif de ce type, la nécessité de garanties procédurales effectives devient déterminante. Ces garanties doivent permettre la suppression des données à caractère personnel dès que la poursuite de leur conservation devient disproportionnée.

Les données à caractère personnel concernant le requérant auraient pu être conservées indéfiniment. Certes, le requérant pouvait demander que ces données lui soient communiquées et supprimées, ce qu’il a fait. Néanmoins, il apparaît que cette garantie a eu un effet limité : les autorités ont refusé de supprimer les données concernées ou de motiver la décision de les conserver. L’absence de garanties effectives est particulièrement préoccupante dans le cas du requérant, en ce que les données personnelles conservées révèlent des convictions politiques et méritent donc une protection accrue. L’article 11 offre une protection spécifique aux personnes qui participent à des protestations pacifiques, mais aussi une protection spéciale aux syndicats, dont le requérant a participé à certains rassemblements.

Dans la définition de la notion d’extrémisme national donnée en lien avec la « base de données relative à l’extrémisme » dans le cadre de la procédure interne, il est fait référence à la collecte de données sur des groupes et individus ayant agi « hors du processus démocratique ». Il apparaît donc que la police n’a pas respecté la définition qu’elle avait elle‑même établie, en ce qu’elle a conservé des données relatives à la participation du requérant à des manifestations politiques pacifiques.

Il n’a pas été démontré que la conservation des données concernant le requérant, et plus particulièrement de celles relatives à sa participation à des manifestations pacifiques, revêtait un caractère absolument nécessaire, ni qu’elle répondait aux besoins d’une enquête donnée.

La Cour n’est pas convaincue que la suppression des données soit une tâche d’une complexité excessive. Il serait totalement contraire à la nécessité de protéger le droit à la vie privée consacré par l’article 8 qu’un État puisse créer une base de données dans laquelle il serait difficile d’examiner ou de modifier les données, puis qu’il puisse invoquer la manière dont cette base de données a été conçue pour justifier son refus de supprimer des informations y figurant.

La durée de conservation des données à caractère personnel doit être déterminée en fonction de la finalité poursuivie par le traitement. Lorsqu'elles ne sont plus nécessaires au besoin de la finalité pour laquelle elles ont été collectées, les données doivent soit être supprimées, soit faire l'objet d'un archivage intermédiaire lorsque leur conservation est nécessaire pour le respect d'obligations légales ou à des fins préventives ou contentieuses. Les données ainsi placées en archivage intermédiaire le sont pour une durée n'excédant pas celle nécessaire aux finalités pour lesquelles elles sont conservées, conformément aux dispositions en vigueur. Ainsi, après avoir opéré un tri des données pertinentes à archiver, le responsable de traitement doit prévoir, à cet effet, une base de données d'archives dédiée ou une séparation logique dans la base de données active. Cette séparation logique est assurée par la mise en place de mesures techniques et organisationnelles garantissant que seules les personnes ayant un intérêt à traiter les données en raison de leurs fonctions puissent y accéder. Au-delà de ces durées de conservation en archivage intermédiaire, les données à caractère personnel doivent, sauf exception, être supprimées ou anonymisées.

L'article 4, paragraphe 1, sous c) et e), de la directive (UE) 2016/680 du Parlement européen et du Conseil, du 27 avril 2016, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision – cadre 2008/977/JAI du Conseil, lu en combinaison avec les articles 5 et 10, l'article 13, paragraphe 2, sous b), ainsi que l'article 16, paragraphes 2 et 3, de celle‑ci, et à la lumière des articles 7 et 8 de la Charte des droits fondamentaux de l'Union européenne doit être interprété en ce sens qu'il s'oppose à une législation nationale qui prévoit la conservation, par les autorités de police, à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, de données à caractère personnel, notamment de données biométriques et génétiques, concernant des personnes ayant fait l'objet d'une condamnation pénale définitive pour une infraction pénale intentionnelle relevant de l'action publique, et ce jusqu'au décès de la personne concernée, y compris en cas de réhabilitation de celle‑ci, sans mettre à la charge du responsable du traitement l'obligation de vérifier régulièrement si cette conservation est toujours nécessaire, ni reconnaître à ladite personne le droit à l'effacement de ces données, dès lors que leur conservation n'est plus nécessaire au regard des finalités pour lesquelles elles ont été traitées, ou, le cas échéant, à la limitation du traitement de celles‑ci.

Collecte et conservation de données personnelles indiquant que le requérant était concerné par la contre‑indication au don de sang, alors prévue pour les hommes ayant eu un rapport sexuel avec un homme en droit interne. De telles données comportent des indications explicites sur la vie sexuelle et sur l'orientation sexuelle supposée du requérant. Le fait que cette contre‑indication était conservée avec la simple référence à un code et non la description explicite d'un comportement sexuel n'est pas déterminant. Il était en outre prévu que les données saisies en 2004 soient conservées jusqu'en 2278.

La Cour EDH conclut que cette collecte et conservation de données personnelles sensibles constitue une ingérence dans le droit au respect de la vie privée du requérant. Néanmoins, cette ingérence était « prévue par la loi » et poursuivait le but légitime de la protection de la santé.

La collecte et la conservation de données personnelles relatives aux résultats des procédures de sélection des candidats au don du sang, et en particulier aux motifs d'exclusion du don éventuellement retenus, contribuent à garantir la sécurité transfusionnelle. Sans qu'il soit besoin de rechercher si d'autres critères de sélection des donneurs étaient envisageables, la collecte et la conservation des données litigieuses reposaient sur des motifs pertinents et suffisants.

Eu égard à la sensibilité des données personnelles litigieuses, qui comportent des indications sur les pratiques et l'orientation sexuelles du requérant, il est particulièrement important qu'elles répondent aux exigences de qualité prévues à l'article 5 de la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel du Conseil de l'Europe. Il importe en particulier qu'elles soient exactes et, le cas échéant, mises à jour, qu'elles soient adéquates, pertinentes et non excessives par rapport aux finalités du traitement, et que leur durée de conservation n'excède pas celle qui est nécessaire. Par ailleurs, les données litigieuses, qui touchaient à l'intimité du requérant, ont été collectées et conservées sans le consentement explicite du requérant. En conséquence, la Cour se doit de procéder à cet examen de façon rigoureuse.

En premier lieu, s'agissant de l'exactitude des données personnelles, celle‑ci doit être appréciée au regard de la finalité pour laquelle ces données ont été collectées. Dans le traitement litigieux, cette catégorie de données avait pour finalité d'assurer le respect d'une contre‑indication au don spécifique, que le droit interne prévoyait alors de façon permanente. À cette fin, elle devait reposer sur une base factuelle précise et exacte. Or, le requérant s'est vu appliquer une contre‑indication propre aux hommes ayant eu un rapport sexuel avec un homme au seul motif qu'il avait refusé de répondre à des questions relatives à sa sexualité lors de l'entretien médical préalable au don. Aucun des éléments soumis à l'appréciation du médecin ne lui permettait de tirer une telle conclusion sur ses pratiques sexuelles. C'est pourtant ce motif d'exclusion du don qui fut renseigné et conservé. Les données collectées se fondaient sur de simples spéculations et ne reposaient pas sur aucune base factuelle avérée. Or, c'est aux autorités qu'il incombe de démontrer l'exactitude des données collectées. De surcroît, elles n'ont pas été mises à jour à la suite des protestations et de la plainte du requérant.

Par ailleurs, il est inadéquat de collecter une donnée personnelle relative aux pratiques et à l'orientation sexuelles sur le seul fondement de spéculations ou de présomptions. Au surplus, il aurait suffi, pour atteindre l'objectif de sécurité transfusionnelle recherché, de garder trace du refus du requérant de répondre aux questions relatives à sa sexualité, cet élément étant de nature à justifier, à lui seul, un refus de la candidature au don de sang.

En second lieu, le Gouvernement ne démontre pas qu'à l'époque des faits, la durée de conservation des données litigieuses était encadrée de telle sorte qu'elle ne puisse pas excéder celle nécessaire aux finalités pour lesquelles elles ont été collectées. Au moment de la collecte de ces données en 2004, l'outil informatique employé par l'ÉFS prévoyait leur conservation jusqu'en 2278, rendant ainsi possible leur utilisation de manière répétée. À la date du 26 mai 2016, soit près de douze ans après leur collecte, les données relatives au motif d'exclusion étaient encore conservées. À cet égard, la durée de conservation des données doit être encadrée pour chacune des catégories de données concernées et elle doit être révisée si les finalités pour lesquelles elles ont été collectées ont évolué. Au vu de la pratique constante de l'ÉFS, la durée excessive de conservation des données litigieuses a rendu possible leur utilisation répétée à l'encontre du requérant, entraînant son exclusion automatique du don de sang.

Au vu de l'ensemble des éléments qui précèdent, l'État défendeur a outrepassé sa marge d'appréciation en la matière.

Dans le cadre d’un traitement de données ayant notamment pour finalité de constater l’ensemble des infractions non routières faisant l’objet d’une amende forfaitaire relevées au moyen d’appareils électroniques permettant l’établissement d’un procès-verbal électronique, la durée de conservation de cinq ans des données relatives aux contraventions non routières et la durée de conservation de dix ans des données relatives aux délits non routiers n’est pas disproportionnée, eu égard en particulier à ux délais de prescription de six ans des peines délictuelles et de trois ans des peines contraventionnelles, respectivement prévus par les articles 133‑3 et 133‑4 du code pénal, ainsi qu’aux règles de procédure qui régissent le recouvrement des amendes forfaitaires, en particulier les délais de recours et de mise en paiement.

Dans le cas d’espèce, les délais de prescription ne s’imposent pas à la conservation des données. En effet, la prescription de l’action publique et la prescription de la peine peuvent faire l’objet, l’une et l’autre, d’interruptions. Dans la mesure où les délais de conservation ont été fixés non pas pour la prévention de la récidive, mais pour couvrir la procédure dans son ensemble, incluant l’encaissement effectif de l’amende et le cas échéant les procédures judiciaires, les durées de dix ans pour les délits et de cinq ans pour les contraventions ne sont pas disproportionnées.