1) a) Un traitement de données à caractère personnel relève du champ d'application du règlement (UE) n° 2016/679 du 27 avril 2016 (RGPD) ou de la directive (UE) n° 2016/680 du même jour selon sa finalité.

b) Accord conclu le 14 novembre 2013 entre le Gouvernement de la République française et le États-Unis d'Amérique en vue d'améliorer le respect des obligations fiscales à l'échelle internationale et de mettre en œuvre la loi relative au respect des obligations fiscales concernant les comptes étrangers (dite « loi FATCA »). Traitement d'échange automatique d'informations organisant notamment la collecte et le transfert de données à caractère personnel aux autorités fiscales américaines créé pour la mise en œuvre de cet accord.

Alors même que le traitement litigieux a plusieurs objets, dont la prévention, la détection et la répression des infractions pénales, sa finalité est de permettre, en luttant contre la fraude et l'évasion fiscales, l'amélioration du respect de leurs obligations fiscales par les contribuables franco‑américains. Il s'ensuit qu'il relève du champ d'application du RGPD et non de celui de la directive (UE) n° 2016/680.

2) Un traitement ayant pour finalité de lutter contre la fraude et l'évasion fiscales est au nombre des traitements visés à l'article 31 de la loi n° 78‑17 du 6 janvier 1978 dès lors qu'il a parmi ses objets la prévention, la recherche, la constatation ou la poursuite des infractions pénales.

Dans le cadre d’un système d'identification électronique auprès d'organismes publics ou privés, pour apprécier si le consentement à un traitement de données biométriques est libre, il y a lieu de vérifier si le recours à ce traitement est exigé par sa finalité et si l’usage est susceptible de subir un préjudice en l’absence de consentement. En l’espèce, il ne ressort pas des pièces du dossier qu’il existait, à la date du décret attaqué, d’alternative à la reconnaissance faciale pour authentifier, avec le même niveau de garantie au regard du règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014, l’identité d’une personne de manière entièrement dématérialisée. Les usagers refusant de recourir à l’application Alicem ne subissent pas de préjudice au sens du RGPD dans la mesure où ils peuvent accéder à l’ensemble des téléservices accessibles par le biais de cette application, à travers un identifiant unique, grâce au dispositif FranceConnect, dont l’utilisation ne présuppose pas le consentement à un traitement de reconnaissance faciale. Le décret du 13 mai 2019 a donc pu légalement autoriser le ministre de l’intérieur à mettre en œuvre un traitement d’identification en ligne s’appuyant sur une application mobile, dont l’usage est conditionné au consentement au recours à un système de reconnaissance faciale.

Constitution d'un traitement automatisé centralisé des données à caractère personnel (état civil, image numérisée du visage et empreintes de huit doigts) recueillies auprès des personnes âgées d'au moins six ans lors de l'établissement ou du renouvellement des passeports.

La finalité de la consultation des empreintes digitales contenues dans le traitement automatisé (confirmer que la personne présentant une demande de renouvellement d'un passeport est bien celle à laquelle le passeport a été initialement délivré ou s'assurer de l'absence de falsification des données contenues dans le composant électronique du passeport) peut être atteinte de manière suffisamment efficace en comparant les empreintes figurant dans le composant électronique du passeport avec celles conservées dans le traitement, sans qu'il soit nécessaire que ce dernier en contienne davantage.

Dès lors, le Conseil d'État annule l'article litigieux du fait de l'inconventionalité de la collecte et de la conservation d'un plus grand nombre d'empreintes digitales que celles figurant dans le composant électronique, ces données n'étant ni adéquates, ni pertinentes et apparaissant excessives au regard des finalités du traitement informatisé.

1) Le FNAEG relève du Contrôle de la Commission nationale de l'informatique et des libertés en application des dispositions et selon les modalités prévues par la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dite loi Informatique et Libertés. Selon les dispositions de l'article 706-54 du code de procédure pénale, il est en outre placé sous le contrôle d'un magistrat.

Il est constitué en vue de la Finalité d'identification et de recherche des auteurs de certaines infractions et ne centralise que les traces et empreintes concernant les mêmes infractions. L'inscription au fichier concerne, outre les personnes condamnées pour ces infractions, celles à l'encontre desquelles il existe des indices graves ou concordants rendant vraisemblable qu'elles les aient commises. Pour ces dernières, les empreintes prélevées dans le cadre d'une enquête ou d'une information judiciaires sont conservées dans le fichier sur décision d'un officier de police judiciaire agissant soit d'office, soit à la demande du procureur de la République ou du juge d'instruction. Une Procédure d'effacement est, dans ce cas, prévue par le législateur, lorsque la conservation des empreintes n'apparaît plus nécessaire compte tenu de la Conservation du fichier. Le refus du procureur de la République de procéder à cet effacement est susceptible de recours devant le juge des libertés et de la détention dont la décision peut être contestée devant le président de la chambre de l'instruction.

Enfin, toute personne bénéficie d'un Droit d'accès direct auprès du responsable du fichier en application de l'article 39 de la loi Informatique et Libertés.

Dès lors, ces dispositions sont de nature à assurer, entre le respect de la vie privée et la sauvegarde de l'ordre public, une Conciliation qui n'est pas manifestement déséquilibrée.

2) Selon l'article 706-55 du code de procédure pénale, le FNAEG centralise les traces et empreintes génétiques concernant des crimes et délits précisément et limitativement énumérés. Outre les atteintes aux intérêts fondamentaux de la nation, toutes ces infractions portent atteinte à la sécurité des personnes ou des biens, incriminent des faits en permettant la commission ou ceux qui en tirent bénéfice. À l'exception de l'infraction prévue au second alinéa de l'article 322-1 du code pénal, toutes sont au moins punies de peines d'emprisonnement.

Pour l'ensemble de ces infractions, les rapprochements opérés avec des empreintes génétiques provenant des traces et prélèvements enregistrés au fichier sont aptes à contribuer à l'identification et à la recherche de leurs auteurs. Il en résulte que la Liste d'infractions prévue par l'article 706-55 est en adéquation avec l'objectif poursuivi par le législateur et que cet article ne soumet pas les intéressés à une rigueur qui ne serait pas nécessaire.

Développement des contrôles automatisés à grande échelle des véhicules à des fins de réduction des pollutions et de la congestion du trafic routier. Le projet de loi d'orientation des mobilités, dans la version dont le Conseil d'État a été saisi, prévoyait la mise en place de dispositifs de contrôle automatisé des données signalétiques des véhicules (dit « LAPI », c’est‑à‑dire de lecture automatique des plaques d’immatriculation) dans trois cas :

• Le premier était destiné à contrôler les voies réservées à certaines catégories de véhicules, parmi lesquelles les véhicules transportant un nombre minimal d’occupants et les véhicules à très faibles émissions.
• Le deuxième avait pour objet d’assurer le respect des restrictions de circulation dans la ZFE dont la mise en place sera obligatoire pour les collectivités sur le territoire où les niveaux de pollution sont régulièrement dépassés.
• Le troisième permettait de vérifier l’acquittement, par les véhicules entrant dans un périmètre urbain défini par une autorité organisatrice de la mobilité, de la taxe appelée « tarif de congestion » instituée par cette autorité à titre de « péage urbain » afin de réduire la circulation automobile et diminuer la pollution atmosphérique.

Le recueil systématique des photographies des véhicules et, par conséquent, tant de leurs plaques d’immatriculation que de leurs conducteurs et passagers, susceptibles ainsi d’être identifiés, est de nature à permettre la saisie sur une grande échelle de données personnelles relatives au déplacement des individus concernés.

Le Conseil d'État a cependant admis la possibilité, au regard des principes constitutionnels, de mettre en place de tels dispositifs de recueil de données potentiellement identifiantes en raison des motifs d’intérêt général poursuivis en termes de politique des transports et de l’environnement. La création de voies réservées comme les restrictions d’accès au profit de certains véhicules, notamment les véhicules à très faibles émissions, est indissociable de la mise en place d’un contrôle automatisé systématique des véhicules circulant sur ces voies ou dans ces zones, seul à même d’assurer le respect de ces dispositions. Il en va de même pour le contrôle automatisé systématique des véhicules assujettis au tarif de congestion, indispensable pour vérifier le respect de l’obligation faite aux assujettis à cette imposition.

En outre, s’agissant des ZFE, le projet de loi, pour préserver les libertés auxquelles l’extension de ce dispositif est susceptible de porter atteinte, encadrait strictement le déploiement et la mise en œuvre du contrôle en limitant l’étendue et les points où il est effectué, le dispositif étant soumis à autorisation préfectorale.

Pour le péage urbain, si le projet de loi ne limitait pas le nombre des points de contrôle ni ne comportait de contraintes concernant leur emplacement contrairement à ce qui était prévu pour les voies réservées et les zones à faibles émissions, il prévoyait plusieurs garanties : suppression des données dès que la vérification a permis de constater l’acquittement du tarif, consultation du système d’immatriculation des véhicules aux fins d’identification du titulaire du certificat d’immatriculation du véhicule pour les seuls véhicules en infraction, conservation des données collectées subordonnée à un masquage destiné à empêcher l'identification des occupants et limitée à huit jours.

Le Conseil d'État a considéré que les limitations et précautions dont étaient ainsi assorties ces procédures de contrôle sont de nature à assurer la conciliation qu’il incombe au législateur d’effectuer entre, d’une part, le respect de la vie privée des personnes et la liberté d’aller et venir, et, d’autre part, la répression des infractions aux règles édictées dans la ZFE pour réduire la pollution ou celle des comportements visant à éluder le paiement de la taxe.

1) Le transfert, le traitement et la conservation des données PNR (transport aérien) prévus par la Directive (UE) 2016/681 peuvent être considérés, au regard des exigences des articles 7, 8 et 21 ainsi que de l’article 52, paragraphe 1 de la Charte des droits fondamentaux de l'Union européenne, comme étant limités au strict nécessaire aux fins de la lutte contre les infractions terroristes et les formes graves de criminalité, à condition que les pouvoirs prévus par ladite directive fassent l’objet d’une interprétation restrictive. La Cour précise notamment que : le système établi par la directive PNR ne doit couvrir que les informations clairement identifiables et circonscrites dans les rubriques figurant dans l’annexe I de celle‑ci, lesquelles sont en rapport avec le vol effectué et avec le passager concerné, ce qui implique, pour certaines rubriques figurant dans cette annexe, que seuls les renseignements visés expressément sont couverts. L’application du système établi par la directive PNR doit être limitée aux infractions terroristes et aux seules formes graves de criminalité présentant un lien objectif, à tout le moins indirect, avec le transport aérien des passagers. S’agissant de ces formes, l’application de ce système ne saurait être étendue à des infractions qui, bien qu’elles remplissent le critère prévu par cette directive relatif au seuil de gravité et qu’elles soient notamment visées à l’annexe II de celle‑ci, relèvent de la criminalité ordinaire compte tenu des spécificités du système pénal national. L’éventuelle extension de l’application de la directive PNR à tout ou partie des vols intra‑UE, qu’un État membre peut décider en faisant usage de la faculté prévue par cette directive, doit être limitée au strict nécessaire. À cet effet, elle doit pouvoir faire l’objet d’un contrôle effectif par une juridiction ou par une entité administrative indépendante, dont la décision est dotée d’un effet contraignant. À cet égard, la Cour précise que : dans la seule situation où ledit État membre constate qu’il fait face à une menace terroriste qui s’avère réelle et actuelle ou prévisible, l’application de cette directive à tous les vols intra‑UE en provenance ou à destination dudit État membre, pour une durée limitée au strict nécessaire mais renouvelable, n’excède pas les limites du strict nécessaire ; en l’absence d’une telle menace terroriste, l’application de ladite directive ne saurait s’étendre à l’ensemble des vols intra‑UE, mais doit être limitée aux vols intra‑UE relatifs notamment à certaines liaisons aériennes ou à des schémas de voyage ou encore à certains aéroports pour lesquels il existe des indications de nature à justifier cette application. Aux fins de l’évaluation préalable des données PNR, qui a pour objectif d’identifier les personnes pour lesquelles est requis un examen plus approfondi avant leur arrivée ou leur départ et qui est, dans un premier temps, effectuée au moyen de traitements automatisés, la Cour considère que l’unité d’information passager (UIP) ne peut, d’une part, confronter ces données qu’aux seules bases de données concernant les personnes ou les objets recherchés ou faisant l’objet d’un signalement. Ces bases de données doivent être non discriminatoires et exploitées, par les autorités compétentes, en rapport avec la lutte contre des infractions terroristes et des formes graves de criminalité présentant un lien objectif, à tout le moins indirect, avec le transport aérien des passagers. S’agissant, d’autre part, de l’évaluation préalable au regard de critères préétablis, l’UIP ne saura utiliser des technologies d’intelligence artificielle dans le cadre de systèmes d’autoapprentissage (machine learning), susceptibles de modifier, sans intervention et contrôle humains, le processus d’évaluation et, en particulier, les critères d’évaluation sur lesquels se fonde le résultat de l’application de ce processus ainsi que la pondération de ces critères. Lesdits critères doivent être déterminés de manière à ce que leur application cible, spécifiquement, les individus à l’égard desquels pourrait peser un soupçon raisonnable de participation à des infractions terroristes ou à des formes graves de criminalité et à tenir compte tant des éléments « à charge » que des éléments « à décharge », tout en ne donnant pas lieu à des discriminations directes ou indirectes.

Compte tenu du taux d’erreur inhérent à de tels traitements automatisés des données PNR et du nombre assez conséquent de résultats « faux positifs », ayant été obtenus à la suite de leur application au cours des années 2018 et 2019, l’aptitude du système établi par la directive PNR à réaliser les objectifs poursuivis dépend essentiellement du bon fonctionnement de la vérification des résultats positifs, obtenus au titre de ces traitements, que l’UIP effectue, dans un deuxième temps, par des moyens non automatisés. À cet égard, les États membres doivent prévoir des règles claires et précises de nature à guider et à encadrer l’analyse effectuée par les agents de l’UIP. Dans ce contexte, la Cour souligne que les autorités compétentes doivent s’assurer que l’intéressé peut comprendre le fonctionnement des critères d’évaluation préétablis et des programmes appliquant ces critères, de manière à ce qu’il puisse décider, en pleine connaissance de cause, s’il exerce ou non son droit à un recours juridictionnel. De même, dans le cadre d’un tel recours, le juge chargé du contrôle de la légalité de la décision adoptée par les autorités compétentes ainsi que, hormis les cas de menaces pour la sûreté de l’État, l’intéressé lui‑même doivent pouvoir prendre connaissance tant de l’ensemble des motifs que des éléments de preuve sur lesquels cette décision a été prise, y compris des critères d’évaluation préétablis et du fonctionnement des programmes appliquant ces critères.

La communication et l’évaluation postérieures des données PNR, c’est‑à‑dire après l’arrivée ou le départ de la personne concernée, ne peuvent être effectuées que sur la base de circonstances nouvelles et d’éléments objectifs qui soient de nature à fonder un soupçon raisonnable d’implication de cette personne dans des formes graves de criminalité présentant un lien objectif, à tout le moins indirect, avec le transport aérien des passagers, ou permettent de considérer que ces données pourraient, dans un cas concret, apporter une contribution effective à la lutte contre des infractions terroristes présentant un tel lien. La communication des données PNR aux fins d’une telle évaluation postérieure doit, en principe, sauf en cas d’urgence dûment justifiée, être subordonnée à un contrôle préalable effectué soit par une juridiction soit par une autorité administrative indépendante, sur demande motivée des autorités compétentes, et ce indépendamment du point de savoir si cette demande a été introduite avant ou après l’expiration du délai de six mois suivant le transfert de ces données à l’UIP.

2) La Directive (UE) 2016/681 s’oppose à une législation nationale qui autorise le traitement de données PNR à d’autres fins que la lutte contre les infractions terroristes et les formes graves de criminalité. Ainsi, une législation nationale admettant de surcroît, comme finalité du traitement des données PNR, le suivi des activités visées par les services de renseignement et de sécurité est susceptible de méconnaître le caractère exhaustif des objectifs énumérés par ladite directive. De même, le système établi par la directive PNR ne peut être prévu aux fins de l’amélioration des contrôles aux frontières et de la lutte contre l’immigration clandestine. Il s’ensuit également que les données PNR ne sauraient être conservées dans une base de données unique pouvant être consultée aux fins de la poursuite tant des finalités de la directive PNR que d’autres finalités.

3) La Directive (UE) 2016/681 s’oppose à une législation nationale selon laquelle l’autorité mise en place en tant qu’UIP a également la qualité d’autorité nationale compétente, habilitée à approuver la communication des données PNR à l’expiration des six mois suivant le transfert de ces données à l’UIP.

4) L’article 12 de la Directive (UE) 2016/681, lu à la lumière des articles 7 et 8 ainsi que de l’article 52, paragraphe 1, de la Charte, s’oppose à une législation nationale qui prévoit une durée générale de conservation de ces données de cinq ans, applicable indifféremment à tous les passagers aériens. En effet, après l’expiration de la période de conservation initiale de six mois, la conservation des données PNR n’apparaît pas limitée au strict nécessaire en ce qui concerne les passagers aériens pour lesquels ni l’évaluation préalable, ni les éventuelles vérifications effectuées au cours de la période de conservation initiale de six mois, ni aucune autre circonstance n’ont révélé l’existence d’éléments objectifs – tels que le fait que les données PNR des passagers concernés ont donné lieu à une concordance positive vérifiée dans le cadre de l’évaluation préalable – de nature à établir un risque en matière d’infractions terroristes ou de formes graves de criminalité présentant un lien objectif, à tout le moins indirect, avec le voyage aérien effectué par ces passagers. En revanche, au cours de la période initiale de six mois, la conservation des données PNR de l’ensemble des passagers aériens soumis au système instauré par cette directive ne paraît pas, par principe, excéder les limites du strict nécessaire.

5) La directive, lue à la lumière de l’article 3, paragraphe 2, TUE, de l’article 67, paragraphe 2, TFUE et de l’article 45 de la Charte, s’oppose à un système de transfert et de traitement des données PNR de l’ensemble des transports effectués par d’autres moyens (train, bateau, etc.) à l’intérieur de l’Union en l’absence de menace terroriste réelle et actuelle ou prévisible à laquelle fait face l’État membre concerné. Dans une telle situation, comme pour les vols intra‑UE, l’application du système établi par la directive PNR doit être limitée aux données PNR des transports relatifs notamment à certaines liaisons ou à des schémas de voyage ou encore à certaines gares ou certains ports maritimes pour lesquels il existe des indications de nature à justifier cette application. Il appartient à l’État membre concerné de sélectionner les transports pour lesquels de telles indications existent et de réexaminer régulièrement cette application en fonction de l’évolution des conditions ayant justifié leur sélection.

Les articles 6, paragraphes 2 et 5 de la directive 2002/58/CE du 12 juillet 2002 (directive vie privée et communications électroniques) doivent être interprétés en ce sens qu'ils autorisent un fournisseur de réseaux publics de communications et de services de communications électroniques accessibles au public à transmettre des données relatives au trafic au cessionnaire de ses créances portant sur la fourniture de services de télécommunications en vue du recouvrement de celles-ci, et ce cessionnaire à traiter lesdites données à condition que, en premier lieu, celui‑ci agisse sous l'autorité du fournisseur de services pour ce qui concerne le traitement de ces mêmes données et, en second lieu, ledit cessionnaire se limite à traiter les données relatives au trafic qui sont nécessaires aux fins du recouvrement des créances cédées.

Indépendamment de la qualification du contrat de cession, le cessionnaire est censé agir sous l'autorité du fournisseur de services, au sens de l'article 6, paragraphe 5, de la directive 2002/58, lorsque, pour le traitement des données relatives au trafic, il agit sur la seule instruction et sous le contrôle dudit fournisseur. En particulier, le contrat conclu entre eux doit comporter des dispositions de nature à garantir le traitement licite, par le cessionnaire, des données relatives au trafic et à permettre au fournisseur de services de s’assurer, à tout moment, du respect de ces dispositions par ledit cessionnaire.

En vertu de l'article 5‑1‑e du RGPD, il incombe au responsable de traitement de définir une durée de conservation conforme à la finalité du traitement. Lorsque cette finalité est atteinte, les données doivent être supprimées ou anonymisées ou faire l'objet d'un archivage intermédiaire pour les seules données pertinentes, lorsque leur conservation est nécessaire, par exemple pour le respect d'obligations légales ou à des fins précontentieuses ou contentieuses notamment. Au-delà des durées de conservation des données versées en archives intermédiaires, les données à caractère personnel doivent, sauf exception, être supprimées ou anonymisées.

À ce titre, la CNIL recommande une durée de conservation des images issues de la vidéosurveillance de quelques jours. Lorsqu'un incident survient et le justifie, les images pertinentes peuvent être conservées plus longtemps. La durée de conservation des images issues d'un dispositif de protection vidéo est quant à elle fixée à un mois maximum en application de l'article L 252‑5 du code de la sécurité intérieure.

Lorsque la finalité du système de vidéosurveillance installé dans une copropriété est la prévention et la poursuite des atteintes aux personnes et aux biens, la copropriété peut licitement, eu égard aux finalités du traitement et au regard du considérant 50 du RGPD, communiquer à son initiative les images issues du système de vidéosurveillance aux forces de l'ordre, si cette communication est utile aux finalités du traitement, notamment lorsqu'il s'agit de faits relevant d'une qualification pénale. Dans un tel cas, les forces de l'ordre interviennent en tant que destinataires du traitement et l'information sur le traitement prévu à l'article 13 du RGPD doit le mentionner. En toute autre hypothèse, et notamment si la communication se fait à la demande des forces de l'ordre ou pour des faits ne relevant pas des finalités du traitement définies par le syndic de copropriété, les forces de l'ordre doivent être regardées comme accédant aux données en qualité de tiers autorisé. Dans ce cadre, la communication de données à caractère personnel ne peut intervenir que sur réquisition judiciaire, dans le respect des dispositions pertinentes du code de procédure pénale.