Arrêté créant un traitement ayant pour objet de permettre à des tiers à qui un contribuable a communiqué une copie de son avis d'impôt sur le revenu ou de son justificatif d'impôt sur le revenu, de vérifier l'authenticité des données qui y figurent au moyen d'une consultation directe du justificatif d'impôt sur le revenu du contribuable certifié par l'administration fiscale.

Les destinataires du traitement ne sont définis, par les dispositions de l'arrêté attaqué, que comme les personnes ayant besoin, dans le cadre de leurs activités, de connaître et de vérifier l'authenticité des informations contenues dans le justificatif d'impôt sur le revenu d'un contribuable. Une telle définition ne peut être regardée, eu égard à l'importance des données en cause, comme précisant suffisamment les destinataires ou catégories de destinataires habilités à en recevoir communication, comme l'exige l'article 29 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dite loi Informatique et Libertés. Dès lors que les dispositions en cause ne sont pas divisibles du reste de l'arrêté attaqué, celui-ci doit être déclaré illégal.

Doit être regardé comme ayant parmi ses objets celui de prévenir la continuation et la réitération d'infractions pénales, au sens des dispositions du 2° du I de l'article 26 de la loi du 6 janvier 1978 applicable au litige, le traitement destiné au recensement, à la gestion et au suivi des déclarations rectificatives faites spontanément par les contribuables en vue de la mise en conformité avec la législation fiscale de leurs avoirs détenus à l'étranger non déclarés à l'administration fiscale, qui contribue à éviter la continuation et la réitération de comportements susceptibles d'être constitutifs de fraude fiscale et pouvant, le cas échéant, faire l'objet de poursuites pénales. Par suite, la création subordonnée à la prise d'un arrêté du ministre compétent après avis de la CNIL ne peut résulter que d'un arrêté du ministre compétent, pris après avis motivé de la CNIL.

L'organisme dont une disposition législative ou réglementaire prévoit la consultation avant l'intervention d'un texte doit être mis à même d'exp rimer son avis sur l'ensemble des questions soulevées par ce texte. Dans le cas où, après avoir recueilli son avis, l'autorité compétente pour prendre ce texte envisage d'apporter à son projet des modifications qui posent des questions nouvelles, elle doit le consulter à nouveau.

En l'espèce, le Gouvernement a saisi la CNIL d'un projet de décret autorisant le traitement de données relatives aux « activités politiques, philosophiques, religieuses ou syndicales ». Or le décret publié autorise le traitement de données qui révèleraient des opinions politiques, des convictions philosophiques ou religieuses, ou une appartenance syndicale, alors même qu'elles ne procèderaient pas d'activités politiques, philosophiques, religieuses ou syndicales. L'extension du cham p des données sensibles collectées à laquelle procède le décret attaqué, en permettant la collecte de données relatives aux opinions et non, comme dans le projet de décret sur lequel la CNIL avait été consultée, de données relatives aux activités, soulevai t une question nouvelle qui requérait une nouvelle consultation de la Commission, à laquelle il n'a donc pas été procédé. Annulation de la disposition en cause.

ème ème

Selon l'article R.3113-2 du code de la santé publique, les données cliniques, biologiques et sociodémographiques destinées à la surveillance épidémiologique que comporte la notification des maladies sont arrêtées par le ministre chargé de la santé après avis de la CNIL.

Si le projet de décret relatif aux déclarations obligatoires de certaines maladies supprime cet avis préalable, le Conseil d'État (section sociale) relève que la CNIL a émis un avis favorable à cette suppression. Surtout, il considère qu'il ne résulte d'aucune disposition de la loi n°78-17 du 6 janvier 1978, ni d'aucune autre disposition législative que cette consultation préalable soit obligatoire avant l'adoption d'un tel texte réglementaire. L'arrêté en question ne constitue pas une autorisation de mise en œuvre du traitement, laquelle relève au demeurant d'une décision de la Commission. Constatant que cette suppression n'aura pas pour effet de soustraire ces informations de tout contrôle de la CNIL, le Conseil d'État (section sociale) émet un avis favorable.

Les dispositions de l'article R. 351‑30 du Code du Travail issues du décret n° 2005‑1624 du 22 décembre 2005 relatif au suivi de la recherche d’emploi organisent les modalités selon lesquelles les agents chargés du contrôle de la recherche d’emploi, par les travailleurs involontairement privés d’emploi, ont accès, pour l’exercice de leur mission, à certaines de ces données, parmi lesquelles figure le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques. Elles autorisent des traitements de données à caractère personnel et relèvent, ains‑i, eu égard à la nature des données en cause, des dispositions de l’article 27 de la loi n° 78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

En conséquence, le Gouvernement était tenu de recueillir l’avis motivé de la Commission nationale de l’informatique et des libertés dès lors que les modifications apportées au traitement antérieurement autorisé par décret en Conseil d’État, qui portent tant sur le champ des personnes ayant accès à ces données que sur les finalités de ce traitement, étaient substantielles.

Pour pouvoir se prononcer sur la pérennisation d'un traitement de données à caractère personnel expérimental, il est nécessaire pour la Commission de disposer, avec la saisine, d'une évaluation des bénéfices tirés du dispositif expérimental, afin de les comparer à l'atteinte à la vie privée qu'implique une généralisation du dispositif. Ce rapport d'évaluation doit permettre d'apprécier si le traitement mis en œuvre à titre expérimental a permis de répondre aux finalités poursuivies.

Les délibérations par lesquelles la Commission nationale de l'informatique et des libertés (CNIL), sur le fondement des dispositions du III de l'article 8 de la loi n°78-17 du 6 janvier 1978, qui définissent les possibilités de dérogation à l'interdiction de principe posée au I du même article, autorisent, compte tenu de leurs finalités, certaines catégories de traitement de données sensibles, sont au nombre des actes devant obligatoirement être motivés en vertu de l'article 2 de la loi n°79-587 du 11 juillet 1979.

Le juge des référés refuse de suspendre l'application du passe sanitaire. Le choix d'offrir un système décentralisé limitant la constitution de traitements ou bases nationales de données de santé, au prix de la conservation, par la personne concernée, sur son propre téléphone mobile, de certaines de ses propres données de santé, remplit un motif d'intérêt public dans le domaine de la santé publique et n'est pas manifestement contraire au principe de minimisation des données.

En outre, le choix de ne pas saisir la CNIL de l'analyse d'impact préalable à la mise en œuvre du traitement n'entache la mise en œuvre du passe sanitaire d'aucune illégalité manifeste. En effet, le traitement TousAntiCovid Vérif repose sur un contrôle local des données contenues par les justificatifs. Il n'y a pas d'échange de données avec le serveur central de la société prestataire lors de la vérification des justificatifs. Il apparaît donc qu'il y a peu de risques d'accès illégitime, de modification non désirée ou de disparition des données concernées. Enfin, le passe est de nature à permettre, par la limitation des flux et croisements de personnes qu'il implique, de réduire la circulation du virus de la Covid‑19 dans le pays. Son usage est restreint à des situations précises et reste facultatif. Les personnes sont également libres de produire leur justificatif par voie papier ou sur tout autre support numérique.

Le traitement ne nécessite pas la saisine de la CNIL pour avis sur une AIPD, conformément aux dispositions applicables.

Il résulte de la jurisprudence de la Cour de justice de l'Union européenne (CJUE), notamment de son arrêt du 5 juin 2018, Unabhängiges Landeszentrum für Datenschutz Schleswig‑Holstein contre Wirtschaftsakademie Schleswig‑Holstein GmbH (C‑210/16), qu’au vu de l’objectif poursuivi par la directive 95/46/CE du 24 octobre 1995, consistant à assurer une protection efficace et complète des libertés et des droits fondamentaux des personnes physiques, notamment du droit à la protection de la vie privée et à la protection des données à caractère personnel, un traitement de données à caractère personnel peut être regardé comme effectué « dans le cadre des activités » d’un établissement national non seulement si cet établissement intervient lui‑même dans la mise en œuvre de ce traitement, mais aussi dans le cas où ce dernier se borne à assurer, sur le territoire d'un État membre, la promotion et la vente d'espaces publicitaires permettant de rentabiliser les services offerts par le responsable d’un traitement consistant à collecter des données à caractère personnel par le biais de traceurs de connexion installés sur les terminaux des visiteurs d'un site. Il résulte de l'arrêt de la CJUE du 15 juin 2021, Facebook Ireland Ltd e.a. (C‑645/19), que le paragraphe 1 de l’article 3 du règlement (UE) 2016/679 du 27 avril 2016, dit règlement général sur la protection des données (RGPD) doit être interprété de la même façon. Au I de l'article 3 de la loi n°78‑17 du 6 janvier 1978, le législateur a repris les termes figurant tant au paragraphe 1 de l’article 4 de la directive 95/46/CE du 24 octobre 1995 que, désormais, au paragraphe 1 de l'article 3 du RGPD et a entendu définir le champ d'application de la loi du 6 janvier 1978, y compris de son article 82‑et, en conséquence, le champ de compétence de la Commission nationale de l'informatique et des libertés (CNIL) pour sanctionner les manquements à ces dispositions, en référence à l'interprétation, rappelée au paragraphe précédent, que la CJUE a donnée de la directive 95/46/CE et, désormais, du RGPD.