1) La législation contestée exige la conservation et le stockage automatiques et continus du contenu de toutes les communications Internet (communications vocales, textuelles, visuelles, sonores, vidéo ou d'autres communications électroniques) pendant une durée de six mois et des données de connexion correspondantes pendant une durée d'un an. Elle concerne tous les utilisateurs, même en l'absence de soupçon raisonnable de participation à des activités criminelles ou à des activités mettant en danger la sécurité nationale, ou de toute autre raison de penser que la conservation des données peut contribuer à la lutte contre les formes graves de criminalité ou à la protection de la sécurité nationale. Il n'y a aucune limitation du champ d'application de la mesure en termes d'application territoriale ou temporelle ou de catégories de personnes susceptibles de voir leurs données à caractère personnel conservées. La Cour conclut que l'ingérence est exceptionnellement étendue et grave. La législation ne peut être considérée comme nécessaire dans une société démocratique et porte atteinte à l'essence même du droit au respect de la vie privée garanti par l'article 8 de la Convention. L'État défendeur a donc outrepassé toute marge d'appréciation acceptable à cet égard.

2) Contrairement à la législation en cause qui prévoit un accès direct aux communications Internet par les services de sécurité sans autorisation judiciaire préalable, la Cour recommande une obligation de présenter une autorisation d'interception au fournisseur de services de communication avant d'obtenir l'accès aux communications d'une personne en ce qu'elle constitue une garantie importante contre les abus des autorités répressives, en veillant à ce qu'une autorisation en bonne et due forme soit obtenue dans tous les cas de surveillance secrète.

3) L'obligation légale de décrypter les communications chiffrées de bout en bout risque d'équivaloir à une obligation pour les fournisseurs de tels services d'affaiblir le mécanisme de chiffrement pour tous les utilisateurs et n'est donc pas proportionnée aux buts légitimes poursuivis.

Les dispositions contestées permettent à l'autorité administrative, pour la prévention du terrorisme, d'obtenir le recueil en temps réel des données de connexion relatives, d'une part, à une personne préalablement identifiée susceptible d'être en lien avec une menace et, d'autre part, aux personnes appartenant à l'entourage de la personne concernée par l'autorisation lorsqu'il y a des raisons sérieuses de penser qu'elles sont susceptibles de fournir des informations au titre de la finalité qui motive l'autorisation. Cette technique de recueil de renseignement est autorisée pour une durée de quatre mois renouvelable, conformément à l'article L. 821 - 4 du code de la sécurité intérieure.

D'une part, le recueil des données de connexion en temps réel ne peut être mis en œuvre que pour les besoins de la prévention du terrorisme. Ne peuvent, par ailleurs, être recueillis que les informations ou documents traités ou conservés par les opérateurs de télécommunication, les fournisseurs d'accès à un service de communication au public en ligne ou les hébergeurs de contenu sur un tel service.

D'autre part, cette technique de recueil de renseignement s'exerce dans les conditions prévues au premier chapitre I du titre II du livre VIII du code de la sécurité intérieure. En vertu de l'article L. 821 - 4 de ce code, elle est autorisée par le Premier ministre ou les collaborateurs directs aux quels il a délégué cette compétence, sur demande écrite et motivée du ministre de la défense, du ministre de l'intérieur ou des ministres chargés de l'économie, du budget ou des douanes, après avis préalable de la Commission nationale de contrôle des techniques de renseignement. Elle est autorisée pour une durée de quatre mois renouvelable. En vertu du paragraphe II de l'article L. 851 - 2, la procédure d'urgence absolue prévue à l'article L. 821 - 5 de ce code n'est pas applicable. En application de l'article L. 871 - 6 du même code, les opérations matérielles nécessaires à la mise en place de la technique mentionnée à l'article L. 851 - 2 ne peuvent être exécutées, dans leurs réseaux respectifs, que par des agents qualifiés des services ou organismes placés sous l'autorité ou la tutelle du ministre chargé des communications électroniques ou des exploitants de réseaux ou fournisseurs de services de télécommunications.

Enfin, cette technique de renseignement est réalisée sous le contrôle de la Commission nationale de contrôle des techniques de renseignement. La composition et l'organisation de cette autorité administrative indépendante sont définies aux articles L. 831 - 1 à L. 832 - 5 du code de la sécurité intérieure dans des conditions qui assurent son indépendance. Ses missions sont définies aux articles L. 833 - 1 à L. 833 - 11 du même code dans des conditions qui assurent l'effectivité de son contrôle. Conformément aux dispositions de l'article L. 841 - 1 du même code, le Conseil d'État peut être saisi par toute personne souhaitant vérifier qu'aucune technique de recueil de renseignement n'est irrégulièrement mise en œuvre à son égard ou par la Commission nationale de contrôle des techniques de renseignement.

Il résulte de ce qui précède que le législateur a assorti la procédure de réquisition des données de connexion, lorsqu'elle s'applique à une personne préalablement identifiée susceptible d'être en lien avec une menace, de garanties propres à assurer une conciliation qui n'est pas manifestement déséquilibrée entre, d'une part, la prévention des atteintes à l'ordre public et celle des infractions et, d'autre part, le droit au respect de la vie privée.

En revanche, en application des dispositions contestées, cette procédure de réquisition s'applique également aux personnes appartenant à l'entourage de la personne concernée par l'autorisation, dont il existe des raisons sérieuses de penser qu'elles sont susceptibles de fournir des informations au titre de la finalité qui motive l'autorisation. Ce faisant, le législateur a permis que fasse l'objet de cette technique de renseignement un nombre élevé de personnes, sans que leur lien avec la menace soit nécessairement étroit. Ainsi, faute d'avoir prévu que le nombre d'autorisations simultanément en vigueur doive être limité, le législateur n'a pas opéré une conciliation équilibrée entre, d'une part, la prévention des atteintes à l'ordre public et des infractions et, d'autre part, le droit au respect de la vie privée.

Par son arrêt du 6 octobre 2020 La Quadrature du Net et autres (C‑511/18, C‑512/18, C‑520/18), la Cour de justice de l'Union européenne (CJUE) a dit pour droit que la directive 2002/58/CE du 12 juillet 2002 ne s'opposait pas à ce que des mesures législatives permettent, aux fins de sauvegarde de la sécurité nationale, d'imposer aux opérateurs la conservation généralisée et indifférenciée des données de trafic et des données de localisation, sous réserve qu'une décision soumise à un contrôle effectif constate l'existence d'une menace grave pour la sécurité nationale qui s'avère réelle et actuelle ou prévisible, pour une durée limitée au strict nécessaire, mais renouvelable en cas de persistance de la menace. Il ressort en outre du point 135 de cet arrêt que la responsabilité des États membres en matière de sécurité nationale, au sens du droit de l'Union, correspond à l'intérêt primordial de protéger les fonctions essentielles de l'État et les intérêts fondamentaux de la société, et inclut la prévention et la répression d'activités de nature à déstabiliser gravement les structures constitutionnelles, politiques, économiques ou sociales fondamentales d'un pays, et en particulier à menacer directement la société, la population ou l'État en tant que tel, telles que notamment des activités de terrorisme.

1) Ni l'article L. 34‑1 du code des postes et des communications électroniques (CPCE) ni l'article 6 de la loi n° 2004‑575 du 21 juin 2004 ne prévoient un réexamen périodique, au regard des risques pour la sécurité nationale, de la nécessité de maintenir l'obligation faite aux personnes concernées de conserver les données de connexion. Ces articles, ainsi, par suite que l'article R. 10‑13 du CPCE et le décret n° 2011‑219 du 25 février 2011, en tant qu'ils ne subordonnent pas le maintien en vigueur de cette obligation au constat, à échéance régulière, qui ne saurait raisonnablement excéder un an, de la persistance d'une menace grave, réelle et actuelle ou prévisible, pour la sécurité nationale sont, dans cette mesure, contraires au droit de l'Union européenne. Il résulte de ce qui précède que, s'agissant de l'objectif de sauvegarde de la sécurité nationale, le refus d'abroger l'article R. 10‑13 du CPCE et l'article 1 du décret du 25 février 2011 doit être annulé en tant seulement que leurs dispositions ne prévoient pas un réexamen périodique de l'existence d'une menace grave, réelle et actuelle ou prévisible pour la sécurité nationale, s'agissant des données qu'elles mentionnent autres que celles afférentes à l'identité civile, aux comptes et aux paiements des utilisateurs et aux adresses IP. Il y a lieu d'enjoindre au Gouvernement de compléter ces dispositions dans un délai de six mois à compter de la présente décision.

2) Il ressort des pièces du dossier que la France est, à la date de la présente décision, confrontée à une menace grave, réelle et non seulement prévisible mais actuelle pour sa sécurité nationale, appréciée au regard de l'ensemble des intérêts fondamentaux de la Nation listés à l'article L. 811‑3 du code de la sécurité intérieure (CSI) qui, par son intensité, revêt un caractère grave et réel. Cette menace est, à la date de la présente décision, non seulement prévisible mais aussi actuelle. Cette menace procède d'abord de la persistance d'un risque terroriste élevé, ainsi qu'en témoigne notamment le fait que sont survenues sur le sol national au cours de l'année 2020 six attaques abouties ayant causé sept morts et onze blessés. Par ailleurs, la France est particulièrement exposée au risque d'espionnage et d'ingérence étrangère, en raison notamment de ses capacités et de ses engagements militaires et de son potentiel technologique et économique. La France est également confrontée à des menaces graves pour la paix publique, liées à une augmentation de l'activité de groupes radicaux et extrémistes. Dans la mesure où il résulte de la présente décision que la réalité et la gravité de la menace pesant sur la sécurité nationale justifient l'obligation de conservation généralisée et indifférenciée de l'ensemble des données de connexion à cette fin, les opérateurs ne sauraient, avant l'expiration du délai de six mois laissé au Gouvernement pour compléter les dispositions litigieuses, se soustraire à cette obligation et aux sanctions dont sa méconnaissance est assortie au motif que la durée de l'injonction qui leur est faite n'a pas été limitée dans le temps par le pouvoir réglementaire.

1) Les dispositions du RGPD doivent être interprétées en ce sens que l'administration fiscale d'un État membre ne saurait déroger aux dispositions de l'article 5, paragraphe 1, de ce règlement, qui fixe les principes à respecter par tout traitement, alors qu'un tel droit ne lui a pas été octroyé par le droit national, au sens de l'article 23, paragraphe 1, de ce même texte.

2) Les dispositions du RGPD doivent être interprétées en ce sens qu'elles ne s'opposent pas à ce que l'administration fiscale d'un État membre impose à un prestataire de services d'annonces publiées sur internet de lui communiquer des informations relatives aux contribuables ayant publié des annonces dans l'une des rubriques de son portail en ligne, dès lors que cela est nécessaire à la mission d'intérêt public poursuivie par cette administration. Néanmoins, les données demandées doivent être nécessaires au regard des finalités spécifiques pour lesquelles elles sont collectées et la période sur laquelle porte leur collecte ne saurait excéder la durée strictement nécessaire pour atteindre l'objectif d'intérêt général visé.

L'article 67 de la loi n°2021-344 du 17 mars 2014 relative à la consommation crée un traitement de données à caractère personnel recensant les crédits à la consommation accordés aux personnes physiques n'agissant pas pour des besoins professionnels, dénommé « registre national des crédits aux particuliers ». Par la création de ce registre, le législateur a poursuivi un motif d'intérêt général de prévention du surendettement. Toutefois, ce registre est destiné à comprendre des données à caractère personnel d'un très grand nombre de personnes (plus de 12 millions), la durée de conservation est de plusieurs années (toute la durée du crédit ou du plan de surendettement), les motifs de consultation sont très nombreux (octroi d'un crédit à la consommation mais également d'un prêt sur gage corporel, reconduction d'un contrat de crédit renouvelable, vérification triennale de solvabilité de l'emprunteur, vérification relative aux personnes se portant caution d'un prêt à la consommation …) et plusieurs dizaines de milliers d'agents des établissements de crédit seront habilités à consulter le registre. Compte tenu de la nature des données enregistrées, de l'ampleur du traitement de données, de la fréquence de son utilisation, du grand nombre de personnes susceptibles d'y avoir accès et de l'insuffisance des garanties relatives à l'accès au registre, la création du registre national des crédits aux particuliers porte une atteinte au droit au respect de la vie privée qui ne peut être regardée comme proportionnée au but poursuivi.

L’article 15, paragraphe 1, de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques), telle que modifiée par la directive 2009/136/CE du Parlement européen et du Conseil, du 25 novembre 2009, lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la Charte des droits fondamentaux de l’Union européenne doit être interprété en ce sens qu’il ne s’oppose pas à une réglementation nationale qui autorise l’autorité publique chargée de la protection des droits d’auteur et des droits voisins contre les atteintes à ces droits commises sur Internet à accéder aux données, conservées par les fournisseurs de services de communications électroniques accessibles au public, relatives à l'identité civile correspondant à des adresses IP collectées préalablement par des organismes d’ayants droit, afin que cette autorité puisse identifier les titulaires de ces adresses, utilisées pour des activités susceptibles de constituer de telles atteintes, et puisse prendre, le cas échéant, des mesures à leur égard, à condition que, en vertu de cette réglementation,

– ces données soient conservées dans des conditions et selon des modalités techniques garantissant qu’il soit exclu que cette conservation puisse permettre de tirer des conclusions précises sur la vie privée de ces titulaires, par exemple en établissant leur profil détaillé, ce qui peut être accompli, en particulier, en imposant aux fournisseurs de services de communications électroniques une obligation de conservation des différentes catégories de données à caractère personnel, telles les données relatives à l'identité civile, les adresses IP ainsi que les données relatives au trafic et les données de localisation, garantissant une séparation effectivement étanche de ces différentes catégories de données empêchant, au stade de la conservation, toute exploitation combinée de ces différentes catégories de données, et pour une durée ne dépassant pas le strict nécessaire,

– l’accès de cette autorité publique à de telles données conservées de manière séparée et effectivement étanche sert exclusivement à identifier la personne soupçonnée d’avoir commis une infraction pénale et soit entouré des garanties nécessaires pour exclure que, hormis dans des situations atypiques, cet accès puisse permettre de tirer des conclusions précises sur la vie privée des titulaires des adresses IP, par exemple en établissant leur profil détaillé, ce qui implique, en particulier, qu’il soit interdit aux agents de cette autorité autorisés à avoir un tel accès de divulguer, sous quelque forme que ce soit, des informations sur le contenu des fichiers consultés par ces titulaires, sauf à seules fins de saisir le ministère public, de procéder à un traçage du parcours de navigation de ces titulaires et, de manière plus générale, d’utiliser ces adresses IP à une fin autre que celle d’identifier leurs titulaires en vue de l’adoption d’éventuelles mesures contre ces derniers,

– la possibilité, pour les personnes chargées de l’examen des faits au sein de ladite autorité publique, de mettre en relation de telles données avec les fichiers comportant des éléments permettant de connaître le titre d’œuvres protégées dont la mise à disposition sur Internet a justifié la collecte des adresses IP par des organismes d’ayants droit, soit subordonnée, dans des hypothèses de nouvelle réitération d’une activité portant atteinte aux droits d’auteur ou aux droits voisins par une même personne, à un contrôle par une juridiction ou une entité administrative indépendante, lequel ne peut être entièrement automatisé et doit intervenir préalablement à une telle mise en relation, cette dernière étant susceptible, dans de telles hypothèses, de permettre que soient tirées des conclusions précises sur la vie privée de ladite personne dont l’adresse IP a été utilisée pour des activités pouvant porter atteinte aux droits d’auteur ou aux droits voisins,

– le système de traitement de données utilisé par l’autorité publique fasse l’objet, à intervalles réguliers, d’un contrôle par un organisme indépendant et ayant la qualité de tiers par rapport à cette autorité publique visant à vérifier l’intégrité du système, y compris les garanties effectives contre les risques d’accès et d’utilisation abusifs ou illicites de ces données, ainsi que son efficacité et sa fiabilité pour détecter les éventuels manquements.

1) L'article 15, paragraphe 1, de la directive 2002/58/CE du 12 juillet 2002 s'oppose à une réglementation nationale prévoyant, à des fins de lutte contre la criminalité, une conservation généralisée et indifférenciée de l'ensemble des données relatives au trafic et des données de localisation de tous les abonnés et utilisateurs inscrits concernant tous les moyens de communication électronique.

2) L'article 15, paragraphe 1, de la directive 2002/58/CE du 12 juillet 2002 s'oppose à une réglementation nationale régissant la protection et la sécurité des données relatives au trafic et des données de localisation, en particulier l'accès des autorités nationales compétentes aux données conservées, sans limiter, dans le cadre de la lutte contre la criminalité, cet accès aux seules fins de lutte contre la criminalité grave, sans soumettre ledit accès à un contrôle préalable par une juridiction ou une autorité administrative indépendante, et sans exiger que les données en cause soient conservées sur le territoire de l'Union.

Les États membres de l'UE sont autorisés, pour des motifs tenant à la sauvegarde de la sécurité nationale, à la sûreté de l'État ou à la lutte contre les infractions pénales, à prévoir une dérogation à l'obligation de confidentialité des données à caractère personnel et à celle de confidentialité des données relatives au trafic y afférentes, qui découlent de l'article 5, paragraphe 1, de la directive 2002/58/CE du 12 juillet 2002 et des articles 12 à 22 du RGPD.

1) Les données relatives à l'identité civile des utilisateurs de moyens de communications électroniques ainsi que les informations fournies lors de la souscription d'un contrat ou lors de la création d'un compte par un utilisateur et celles relatives aux paiements effectués en ligne listées aux 3° et 4° de l'article 1er du décret n° 2011‑219 du 25 février 2011 peuvent faire l'objet, sans limitation de durée, d'une conservation généralisée et indifférenciée pour les besoins de toute procédure pénale, de la prévention de toute menace contre la sécurité publique et de la sauvegarde de la sécurité nationale.

2) Les adresses IP attribuées à la source d'une connexion peuvent faire l'objet d'une obligation de conservation généralisée et indifférenciée à des fins de lutte contre la criminalité grave ou de prévention des menaces graves contre la sécurité publique, pour une période temporellement limitée au strict nécessaire. Cette durée a pu être légalement fixée à un an.

3) Les données de trafic et de localisation autres que les adresses IP ne peuvent pas faire l'objet d'une obligation de conservation généralisée et indifférenciée aux fins de lutte contre la criminalité, même grave. En revanche, une telle obligation peut être définie, sous réserve qu'une décision soumise à un contrôle effectif constate l'existence d'une menace grave pour la sécurité nationale qui s'avère réelle et actuelle ou prévisible. La durée de cette conservation doit être limitée au strict nécessaire mais est renouvelable en cas de persistance de la menace. Dès lors que la France fait face, à la date de la décision, à une telle menace au regard de l'ensemble des intérêts fondamentaux de la Nation listés à l'article L. 811‑3 du code de la sécurité intérieure, une telle obligation de conservation pouvait légalement être édictée. En revanche, l'évaluation de la menace doit faire l'objet d'un réexamen périodique, qui ne saurait excéder un an.

4) Les autorités peuvent en revanche imposer aux opérateurs de communications électroniques et aux fournisseurs d'accès à internet de procéder, aux fins de lutte contre la criminalité grave, à la conservation rapide des données de trafic et de localisation qu'ils détiennent, soit pour leurs besoins propres, soit au titre d'une obligation de conservation imposée aux fins de sauvegarde de la sécurité nationale. Les données ayant fait l'objet d'une conservation rapide peuvent non seulement appartenir aux personnes soupçonnées d'avoir commis ou projeté une infraction pénale ou une atteinte à la sécurité nationale, mais également à d'autres personnes, pour autant qu'elles puissent, sur la base d'éléments objectifs et non discriminatoires, contribuer à l'élucidation de cette infraction ou de cette atteinte à la sécurité nationale. La durée de conservation de ces données doit être limitée au strict nécessaire, dans une limite maximale de quatre‑vingt‑dix jours, renouvelable le cas échéant.

La gravité des infractions susceptibles de justifier la conservation généralisée et indifférenciée des adresses IP et la conservation rapide des données de trafic et de localisation a vocation à s'apprécier de façon concrète, sous le contrôle du juge pénal, au regard de la nature de l'infraction commise et de l'ensemble des faits de l'espèce, dans le respect du principe de proportionnalité rappelé à l'article préliminaire du code de procédure pénale. Elle ne saurait se rattacher à une liste exhaustive d'infractions prédéfinies en droit pénal.

Conservation des données d'opposition d'une personne à recevoir de la prospection commerciale.

1) Afin d'assurer l'effectivité du droit d'opposition, le responsable de traitement peut créer une « liste repoussoir » lui permettant de ne pas utiliser à nouveau les données de contact si elles venaient à lui être transmises à nouveau par une autre personne que la personne concernée. La CNIL recommande de conserver l'inscription à la « liste repoussoir » de la personne ayant fait opposition pendant une durée minimale de trois ans et de ne conserver que les empreintes de l'adresse ou du numéro utilisé pour la prospection. Cela permet de prendre en compte l'opposition dans le temps sans conserver de données directement identifiantes.

2) En l'espèce, la liste repoussoir comprenait la civilité, le nom, le prénom, la date de naissance, le numéro de téléphone, l'adresse électronique, la ville ou le code postal, le niveau d'imposition et la situation familiale alors que l'ensemble de ces données n'apparaissaient pas nécessaires au regard de la finalité liée à la prise en compte de l'opposition des prospects à recevoir de la prospection. Seules les données nécessaires à la prise en compte de l'opposition dans le temps et qui correspondent à l'espèce au numéro de téléphone et à l'adresse électronique de la personne concernée auraient dû être conservées sous une forme hachée. Il en résulte une méconnaissance de l'article 5‑1‑c) du RGPD.

Cas d'un système automatisé de gestion d'un très grand nombre de marchandises dans un entrepôt au moyen de scanners permettant de suivre toutes les manipulations des objets et les principales actions des salariés. Les données brutes des scanners sont conservées et permettent l'établissement d'un très grand nombre d'indicateurs individuels de qualité, de productivité et de temps de travail.

1) a) Lorsqu'un service rendu à des clients entraîne des contraintes exceptionnelles, en raison de volumes importants et de courts délais de livraison, un suivi très précis en temps réel de toutes les manipulations des objets dans un entrepôt et de la situation de chaque poste de travail, donc de chaque salarié, peut s'avérer nécessaire. Néanmoins, ce type de suivi entraîne le traitement d'un très grand nombre de données, dont beaucoup de données personnelles en temps réel, chaque fois qu'un colis est manipulé par un salarié dans le cadre de tâches directes. Aussi, si le traitement en temps réel par une société de données brutes et indicateurs pour la bonne gestion de stocks et de commandes ne saurait être remis en cause de façon générale, les indicateurs mobilisés dans ce cadre, sur le fondement de l'intérêt légitime de l'employeur, doivent répondre aux exigences de nécessité et de proportionnalité de l'article 6 du RGPD.

b) i) La collecte de données pour mesurer la rapidité d'exécution des actions d'un salarié lors de la réalisation de certaines tâches, en associant un indicateur d'erreur chaque fois que cette rapidité est inférieure à une certaine durée de l'ordre de la seconde, au motif que cette rapidité est en principe incompatible avec la bonne exécution desdites tâches, est de nature à exercer sur lui une surveillance continue. Ce type d'indicateur est intrusif et peut avoir des répercussions morales négatives sur les salariés. Une telle précision dans la surveillance dépasse les attentes raisonnables des salariés, qui peuvent s'attendre à une certaine surveillance de leur travail, mais pas à ce que leurs actions fassent l'objet d'une évaluation informatique à un rythme de l'ordre de la seconde. Par conséquent, le traitement de cet indicateur excède ce qui est admissible pour servir les intérêts légitimes de l'entreprise en matière de qualité et de sécurité dans ses entrepôts, car il porte atteinte de manière excessive aux droits et intérêts des salariés, notamment à leur vie privée et personnelle, ainsi qu'à leur droit à des conditions de travail respectueuses de leur santé et de leur sécurité. Absence de base légale du traitement.

ii) De façon similaire, la collecte d'un indicateur signalant les temps d'inactivité et de latence de chaque salarié supérieurs à dix minutes à tout moment de la journée présente un caractère intrusif important, car elle contraint en pratique le salarié à pouvoir justifier de tout temps considéré comme non productif. Le traitement de cet indicateur peut avoir des répercussions négatives sur le salarié en raison du suivi continu qu'il permet des temps très courts considérés comme non productifs. Un tel traitement, pour des finalités de gestion d'un entrepôt, d'exécution des commandes et de fourniture de conseils aux salariés, est disproportionné par rapport aux intérêts et droits fondamentaux des salariés, notamment leur droit à la protection de leur vie privée et personnelle ainsi qu'à des conditions de travail respectueuses de leur santé et de leur sécurité. La base légale de l'intérêt légitime ne peut donc être retenue.

iii) Il en va de même de la collecte d'un indicateur signalant les temps d'inactivité et de latence inférieurs à dix minutes de chaque salarié à certains moments de la journée (en particulier avant et après les pauses), laquelle est disproportionnée au regard des finalités de gestion d'un entrepôt, d'exécution des commandes et de fourniture de conseils aux salariés. La base légale de l'intérêt légitime ne peut donc être retenue.

2) La conservation et l'utilisation, pour chaque salarié, de données aussi fines et riches que l'intégralité des données brutes remontées par les scanners, ainsi que l'ensemble des nombreux indicateurs associés mesurant diverses variables, y compris sur de courtes périodes (une heure), sur une profondeur de 31 jours, pour des finalités d'évaluations individuelles régulières des salariés et, s'agissant de la plupart de ces données, pour des finalités d'organisation du travail dans les entrepôts, ne sont ni nécessaires ni proportionnées, notamment dès lors que la société peut atteindre ces finalités sans conserver l'intégralité des données brutes sur 31 jours et en ayant recours à des statistiques individuelles de qualité et de productivité, par exemple hebdomadaires. La conservation et l'utilisation de l'ensemble de ces données méconnaît le principe de minimisation de l'article 5.1.c) du RGPD et, en tout état de cause, porte une atteinte disproportionnée aux droits du salarié contraire à l'article 6 du RGPD.

L'ingérence dans le droit à la vie privée et à la protection des données à caractère personnel qu'emporte la publicité des données nominatives contenues dans le regi stre des sociétés n'est pas disproportionnée eu égard au nombre de données concernées et au fait qu'elle vise à assurer la sécurité juridique dans les rapports entre les sociétés et les tiers ainsi qu'à protéger les intérêts des tiers par rapport aux socié tés par actions et aux sociétés à responsabilité limitée.

Il ne peut donc être garanti aux personnes physiques dont les données sont inscrites dans le registre des sociétés le droit d'obtenir, après un certain délai à compter de la dissolution de la socié té, l'effacement des données à caractère personnel les concernant.

En revanche, les États membres peuvent exceptionnellement déroger à cette exigence de publicité. Il leur appartient de déterminer si les personnes physiques, visées à l'article 2, paragrap he 1, sous d) e t j) de la directive 68/151/CEE, à savoir, d'une part, les personnes qui ont le pouvoir d'engager une société à l'égard des tiers et de la représenter en justice et celles qui participent à l'administration, à la surveillance ou au contrôle de la société et, d'autre part, les liquidateurs d'une société, peuvent demander à l'autorité chargée de la tenue, respectivement, du registre central, du registre du commerce ou du registre des sociétés de vérifier, sur la base d'une appréciation au cas p ar cas, s'il est exceptionnellement justifié, pour des raisons prépondérantes et légitimes tenant à leur situation particulière, de limiter, à l'expiration d'un délai suffisamment long après la dissolution de la société concernée, l'accès aux données à car actère personnel les concernant, inscrites dans ce registre, aux tiers justifiant d'un intérêt spécifique à la consultation de ces données.

Conformité à la Constitution d'un dispositif autorisant à titre expérimental et pour une durée de trois ans, les administrations fiscales et douanières à collecter et à exploiter de manière automatisée les contenus accessibles publiquement sur les sites internet de certains opérateurs de plateforme, aux fins de recherche de manquements et d'infractions en matière fiscale et douanière malgré l'atteinte au droit au respect de la vie privée dès lors que : le dispositif poursuit l'objectif à valeur constitutionnelle de lutte contre la fraude et l'évasion fiscale ; les traitements de données autorisés par les dispositions contestées peuvent être mis en œuvre, d'une part, pour les besoins de la recherche de certains manquements et certaines infractions dont la commission est rendue possible ou favorisée par l'usage d'internet et, d'autre part, pour rechercher l'insuffisance de déclaration découlant d'un manquement aux règles de domiciliation fiscale. Si la commission de ce manquement n'est pas rendue possible ou favorisée par l'usage d'internet, il résulte des travaux parlementaires que le législateur, qui a souhaité limiter le nombre de manquements susceptibles d'être recherchés, a entendu viser un des cas les plus graves de soustraction à l'impôt, qui peut être particulièrement difficile à déceler ; les données susceptibles d'être collectées et exploitées doivent répondre à deux conditions cumulatives. D'une part, il doit s'agir de contenus librement accessibles sur un service de communication au public en ligne d'une des plateformes précitées, à l'exclusion donc des contenus accessibles seulement après saisie d'un mot de passe ou après inscription sur le site en cause. D'autre part, ces contenus doivent être manifestement rendus publics par les utilisateurs de ces sites. Il en résulte que ne peuvent être collectés et exploités que les contenus se rapportant à la personne qui les a délibérément divulgués. En outre, les données sensibles au sens du paragraphe I de l'article 6 de la loi du 6 janvier 1978, c'est‑à‑dire celles qui révèlent la prétendue origine raciale ou l'origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale d'une personne, les données génétiques et biométriques et celles concernant la santé et la vie ou l'orientation sexuelle, ne peuvent faire l'objet d'aucune exploitation à des fins de recherche de manquements ou d'infractions ; d'une part, les traitements de données autorisés par les dispositions contestées ne peuvent comporter aucun système de reconnaissance faciale. D'autre part, ils ne peuvent être mis en œuvre que par des agents des administrations fiscales et douanières ayant au moins le grade de contrôleur et spécialement habilités ; les données qui s'avèrent manifestement sans lien avec les manquements et infractions recherchés ou qui constituent des données sensibles sont détruites au plus tard dans les cinq jours suivant leur collecte, sans aucune autre exploitation possible de ces données pendant ce délai. Les autres données doivent être détruites dans les trente jours si elles ne sont pas de nature à concourir à la constatation des manquements ou infractions. Seules peuvent être conservées les données strictement nécessaires à une telle constatation, dans la limite d'une année ou, le cas échéant, jusqu'au terme de la procédure pénale, fiscale ou douanière dans le cadre de laquelle elles sont utilisées ; aucune procédure pénale, fiscale ou douanière ne peut être engagée sans qu'ait été portée une appréciation individuelle de la situation de la personne par l'administration, qui ne peut alors se fonder exclusivement sur les résultats du traitement automatisé ; le traitement instauré par les dispositions contestées est mis en œuvre dans le respect de la loi du 6 janvier 1978, à l'exception du droit d'opposition prévu à son article 110 ; la mise en œuvre des traitements de données, tant lors de leur création que lors de leur utilisation, doit être proportionnée aux finalités poursuivies. Il appartiendra notamment, à ce titre, au pouvoir réglementaire, sous le contrôle du juge, de veiller à ce que les algorithmes utilisés par ces traitements ne permettent de collecter, d'exploiter et de conserver que les données strictement nécessaires à ces finalités.

1) La communication aux enquêteurs, et la exploitation par ces derniers, des enregistrements des caméras de surveillance installées par le propriétaire ou le gestionnaire d'un ensemble d'habitation dans les parties communes de l'immeuble concerné, n'est pas assimilable à un procédé de captation d'images relevant de l'article 706-96 du code de procédure pénale.

2) En l'espèce, le système de vidéosurveillance était en place et fonctionnait préalablement aux réquisitions délivrées par les enquêteurs au propriétaire, en vertu de l'autorisation générale qui leur avait été délivrée à cette fin par le procureur de la République.

a) Le fait que les enquêteurs aient inscrit dans le temps et pour les mois à venir leur demande de mise à disposition des enregistrements de vidéosurveillance n'est pas critiquable puisque, d'une part, cette installation technique était permanente, antérieure aux réquisitions des enquêteurs et était faite pour fonctionner au-delà de ces réquisitions et sans lien avec celles-ci ; d'autre part, les enregistrements étaient de toute façon conservés par le propriétaire et à sa seule initiative.

b) En outre, eu égard à la gravité des infractions poursuivies, caractérisée par l'ampleur et la durée du trafic, la nature des produits concernés, et l'existence d'une organisation structurée avec de nombreux protagonistes dont certains déjà condamnés à de multiples reprises, l'exploitation des vidéosurveillances critiquées, qui ne portent que sur sept jours en 2020 et vingt‑sept jours en 2021, dont seulement dix‑sept concernent M. [I], constitue une atteinte à la vie privée non seulement justifiée pour permettre la manifestation de la vérité, mais aussi proportionnée à un trafic de stupéfiants de cette ampleur.

En vertu de l'article 5‑1‑e du RGPD, il incombe au responsable de traitement de définir une durée de conservation conforme à la finalité du traitement. Lorsque cette finalité est atteinte, les données doivent être supprimées ou anonymisées ou faire l'objet d'un archivage intermédiaire pour les seules données pertinentes, lorsque leur conservation est nécessaire, par exemple pour le respect d'obligations légales ou à des fins précontentieuses ou contentieuses notamment. Au-delà des durées de conservation des données versées en archives intermédiaires, les données à caractère personnel doivent, sauf exception, être supprimées ou anonymisées.

À ce titre, la CNIL recommande une durée de conservation des images issues de la vidéosurveillance de quelques jours. Lorsqu'un incident survient et le justifie, les images pertinentes peuvent être conservées plus longtemps. La durée de conservation des images issues d'un dispositif de protection vidéo est quant à elle fixée à un mois maximum en application de l'article L 252‑5 du code de la sécurité intérieure.

L'article L. 3131-9-1 du code de la santé publique, introduit par l'article 60 de la loi n°2016-1827 du 23 décembre 2016 de financement de la sécurité sociale pour 2017, a posé le cadre d'un Système d'information unique permettant l'identification et le suivi de la prise en charge des victimes dans le cadre d'une situation sanitaire exceptionnelle.

Il prévoit notamment que « les informations strictement nécessaires à l'identification des victimes et à leur suivi, notamment pour la prise en charge de leurs frais de santé, sont recueillies dans un système d'identification unique des victimes » et qu'« un décret en Conseil d'État, pris après avis de la Commission nationale de l'informatique et des libertés, précise la nature des données recueillies et fixe les modalités de cette transmission dans le respect des règles garantissant la protection de la vie privée ».

Le projet de décret présenté par le Gouvernement, pris pour l'application de ces dispositions, ne contenait pas de dispositions limitant dans le temps la conservation des données collectées et traitées. Le Conseil d'État (section sociale) a estimé que la limitation de la durée de conservation de ces données était une mention indispensable puisqu'en vertu de l'article 6 de la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, les données à caractère personnel ne peuvent être conservées que pendant la durée nécessaire aux finalités pour lesquelles elles ont été collectées et traitées. Il a donc introduit une telle limitation à l'article 2 du projet.

Fait de dispositions expresses la régissant, la durée de conservation des empreintes digitales relevées sur le fondement de l'article 5 du décret du 22 octobre 1955 est illimitée. Une telle durée de conservation ne peut être regardée comme nécessaire aux finalités du fichier, eu égard à la durée de validité de la carte nationale d'identité et au délai dans lequel tout détenteur d'une carte nationale d'identité périmée peut en solliciter le renouvellement. Elle est donc illégale.

Décret créant un traitement nominatif relatif aux détenus comportant notamment des données relatives à leurs antécédents médicaux ayant pour finalité l'exécution des sentences pénales et des décisions de justice s'y rattachant, la gestion de la détention des personnes placées sous main de justice et écrouées, la sécurité des personnes détenues et des personnels et la mise en œuvre du « parcours pluridisciplinaire de la personne détenue ». Eu égard à la finalité du fichier ayant notamment trait à la gestion des contentieux entre l'administration pénitentiaire et les personnes placées sous main de justice, la durée de conservation de deux ans prévue à l'article R. 57‑9‑21 à compter de la date de levée d'écrou n'est pas excessive. En revanche, la conservation ultérieure de ces données pour un délai de huit ans, qui poursuit, selon la garde des sceaux, la conduite éventuelle de contentieux, est dépourvue de fondement légal dès lors que cette finalité n'est pas explicitée par le décret attaqué et que la durée de conservation ainsi définie ne s'y rattache pas spécifiquement.

Cas d'un traitement de l'État permettant d'enregistrer des informations sur les ressortissants français et leurs ayants droit ainsi que documents relatifs à une situation de crise à l'étranger en vue d'en faciliter la gestion et d'informer et associer les personnes concernées.

1) Une fois que les données ne sont plus utilisées dans le cadre de la gestion opérationnelle liée à l'événement survenu à l'étranger ou pour réaliser les statistiques prévues, il est recommandé de mettre en place un archivage intermédiaire afin de limiter la consultation de ces données à des personnes spécifiquement habilitées. Eu égard à l'écart entre la durée d'utilisation opérationnelle des données et le délai de conservation en base intermédiaire (10 ans), le principe d'un tel archivage intermédiaire devrait, dans l'espèce, être inscrit dans le décret portant création du traitement, à titre de garantie apportée aux personnes concernées.

2) S'agissant de l'archivage définitif au titre de l'application des règles régissant les archives publiques issues du code du patrimoine, un acte réglementaire régissant un traitement public réserve toujours implicitement l'application des obligations du code du patrimoine et l'archivage définitif n'a pas besoin d'être expressément prévu par l'acte réglementaire.

Dans le cadre d'un décret précisant les modalités et les conditions de recevabilité de la saisine d'une institution par voie de pétition, définissant notamment les règles relatives à l'accès aux informations collectées, la mise en place d'un système de journalisation, permettant de conserver une trace des opérations de consultation, création et modification des données est indispensable, conformément à la délibération de la CNIL n° 2021‑122 du 14 octobre 2021 portant adoption d'une recommandation relative à la journalisation.

En particulier, une durée de conservation des journaux de six à douze mois est préconisée, et ces journaux doivent faire l'objet d'un contrôle automatique régulier, afin de détecter les comportements anormaux et de générer des alertes le cas échéant. Le traitement proactif de ces journaux est d'autant plus pertinent que les données relatives à une pétition ont vocation à être traitées rapidement et peuvent conduire à des prises de décisions significatives pour l'institution et la société.

Si aucune disposition du RGPD n'impose effectivement de prévoir un système de journalisation dans l'acte réglementaire créant le traitement, le fait de le prévoir dans le décret oblige l'administration à le mettre en place et constitue une garantie importante. Il est d'ailleurs à noter que de nombreux décrets et arrêtés réglementant des traitements de données à caractère personnel le prévoient.

1) Lorsque la Commission nationale de l'informatique et des libertés (CNIL) prononce une sanction complémentaire de publication de sa décision de sanction, celle‑là se trouve nécessairement soumise, même si la loi ne le prévoirait pas expressément, au respect du principe de proportionnalité. La légalité de cette sanction s'apprécie notamment au regard du support de diffusion retenu et, le cas échéant, de la durée pendant laquelle cette publication est accessible de façon libre et continue.

2) En l’espèce, la délibération infligeant une sanction complémentaire de publication, qui est justifiée dans son principe, prévoit que cette publication est effectuée sur le site internet de la CNIL et sur le site Légifrance sans préciser la durée de son maintien en ligne sur ces deux sites. La CNIL doit être regardée comme ayant infligé une sanction sans borne temporelle. Dans ces conditions, la sanction complémentaire est, dans cette mesure, excessive. Annulation de cette sanction complémentaire en tant qu’elle n’a pas fixé la durée de son maintien en ligne de manière non anonyme.