Le Conseil d'État constate qu'existent des traitements de données à caractère personnel qui relèvent à la fois du champ de la directive, en raison de certaines de leurs finalités mixtes, et du champ du règlement (UE) 2016/679 ou du droit interne, en raison de leurs autres finalités. Cette situation est traitée par l'article 9 de la directive (UE) 2016/680, qui dispose que le traitement à d’autres fins de données collectées dans le champ de la directive n'est possible que si un tel traitement est autorisé par le droit de l'Union ou le droit de l'État‑membre et que, dès lors que les données sont traitées à d'autres fins, le règlement s'applique, à moins que le traitement ne soit effectué dans le cadre d'une activité ne relevant pas du champ d'application du droit de l'Union.

1) D’une part, le Conseil d'État en conclut que, lorsqu’un traitement de données répond à des finalités mixtes, il convient que sa mise en œuvre soit prévue par un acte législatif ou réglementaire ou un acte répondant aux exigences de clarté, de précision et d’éventail rappelées au considérant 33 de la directive. Le Conseil d'État relève d'ailleurs que l'existence d'un tel acte est également nécessaire lorsqu'il est envisagé d'apporter des restrictions aux droits des personnes concernées en application des articles 13, 15 et 16 de la directive, transposés à l'article 70‑21 de la loi du 6 janvier 1978.

2) D’autre part, le Conseil d'État estime que l'article 9 de la directive impose un double régime aux traitements de données à finalités mixtes.

S’agissant des traitements relevant à la fois du champ de la directive et de celui du règlement, ce double régime paraît complexe à mettre en œuvre pour les droits des personnes concernées. Le Conseil d'État relève en effet qu'existent deux droits prévus par le règlement et absents de la directive : le droit à l'oubli et le droit à la portabilité des données. Dans les deux cas, le règlement prévoit que ces droits ne sont pas applicables lorsque le traitement est nécessaire « à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement ». Ces droits devraient donc être inapplicables aux traitements de données dont les finalités mixtes. Les autres droits des personnes concernées (information, accès, opposition…) sont plus ouverts dans le règlement que dans la directive.

Le Conseil d'État estime que, dès lors que les données sur lesquelles la personne concernée demande à exercer ses droits ne pourront pas être exclusivement rattachées aux finalités prévues par la directive, soit aux autres finalités du traitement de données, il convient que l'acte ayant autorisé le traitement de données à finalités mixtes s'appuie sur l'article 23 du règlement, qui permet une diminution de la portée des droits de la personne concernée sous plusieurs conditions, dont la sécurité publique et la préservation des procédures pénales, afin de déterminer un régime des droits des personnes concernées cohérent pour l'ensemble des données traitées pour les diverses finalités. Pour être conforme aux exigences du second paragraphe de l'article 23 du règlement, les dispositions apportant de telles limitations doivent être précises et ne sauraient prendre la forme d'habilitations générales.

S'agissant des traitements relevant à la fois du champ de la directive et de celui du droit interne, dès lors que les données sur lesquelles la personne concernée demande à exercer ses droits ne peuvent être exclusivement rattachées à l'un ou l'autre de ces deux champs, les restrictions apportées à ces droits ne pourront excéder celles prévues par la directive.

Dans la mesure où dispositifs de vidéosurveillance ont été installés dans les emprises des locaux et centres de rétention administrative ainsi que des zones d'attente relevant de la compétence de la police et de la gendarmerie nationales, il s'agit de dispositifs de « vidéosurveillance » car ces derniers filment des lieux non ouverts au public. À ce titre, le code de la sécurité intérieure, qui régit les dispositifs de « vidéoprotection » filmant la voie publique ou des lieux ouverts au public, n'est pas applicable et seules les dispositions de l'a loi n°78‑17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée et du RGPD encadrent la mise en œuvre de tels traitements automatisés. Le placement en centre ou en lieu de rétention est indépendant de toute qualification pénale. Le contrôle du respect des règles de sécurité du règlement intérieur de chaque local de rétention administrative et des règles de contrôle d'accès ne relève pas non plus d'une finalité pénale. Il en va de même de la finalité relative à la collecte de preuves dans le cadre des procédures administratives et disciplinaires. En revanche, les missions de maintien de la sécurité publique par les forces de l'ordre au sein des centres et lieux de rétention sont susceptibles de relever de la directive « Police‑Justice ». Les traitements automatisés de données à caractère personnel provenant de dispositifs de vidéosurveillance installés dans les emprises des locaux et centres de rétention administrative ainsi que des zones d'attente devraient donc relever d'un régime mixte (RGPD et directive « Police‑Justice » tel que transposée au titre III de la loi du 6 janvier 1978 dite « Informatique et Libertés ») en fonction des finalités poursuivies.

Les finalités d'un traitement mis en œuvre, mis en œuvre dans un contexte de crise sanitaire, liées au suivi du respect de mesures individuelles de quarantaine et d'isolement et à l’accompagnement des personnes, relèvent du RGPD par leur visée sanitaire. Lorsque le contrôle de ces mesures individuelles, entendu notamment par la constatation des infractions pénales associées, apparaît également au titre des finalités du même traitement, que celui‑ci est placé sous la responsabilité conjointe du ministre chargé de la santé et du ministre de l’intérieur et que plusieurs services du ministère de l’intérieur accèdent ou sont rendus destinataires des données qui y sont enregistrées, il y a lieu de considérer que la prévention, la recherche et la constatation d’infractions pénales constituent une des finalités dudit traitement, et non un objet de ce traitement sans incidence sur son régime juridique.

Dans ces conditions, et dès lors que le critère de l’autorité compétente prévu par la Directive « Police – Justice » est rempli, un tel traitement relève d’un régime mixte, à savoir le RGPD pour la finalité de suivi des mesures individuelles et le titre III de la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée, pour la finalité de contrôle du respect de ces mesures par la constatation des infractions pénales associées, ce qui doit notamment apparaître dans les dispositions réglementaires encadrant le traitement en cause.

Le Conseil d'État (section de l'intérieur) a donné un avis favorable à trois projets de décret modifiant les dispositions du code de la sécurité intérieure relatives aux traitements dénominés « Enquêtes administratives liées à la sécurité publique » (EASP), « Prévention des atteintes à la sécurité publique » (PASP) et « Gestion de l'information et prévention des atteintes à la sécurité publique » (GIPASP ).

En premier lieu ces projets ajoutent à la finalité de « sécurité publique » des trois traitements, celle de « sûreté de l'État ». Par suite, les trois traitements deviennent des fichiers mixtes, les données intéressant la sécurité publique relevant du titre III de la loi n° 78‑17 du 6 janvier 1978 et de la directive 2016/680, et celles intéressant la sûreté de l'État du titre IV de la loi du 6 janvier 1978 dite « Informatique et Libertés », et du RGPD.

Ces deux groupes de données étant ainsi soumis à dés régimes juridiques distincts, notamment quant aux droits d'accès, de rectification et d'effacement des personnes concernées, le Conseil d'État a considéré nécessaire que les trois projets de décret comportent une définition des données intéressant la sûreté de l'État, la notion de sûreté de l'État n'ayant jamais été définie par une disposition législative ou réglementaire, ni par la jurisprudence. S'inspirant des dispositions de l'article 410‑1 du code pénal et de l'article L. 811‑1 du code de la sécurité intérieure qui traitent des intérêts fondamentaux de la Nation, et aux seules fins de préciser les finalités des traitements concernés, le Conseil d'État propose que les articles 1ers des trois projets de décret soient complétés afin de prévoir que « Les données intéressant la sûreté de l'État sont celles qui révèlent des activités susceptibles de porter atteinte aux intérêts fondamentaux de la Nation ou de constituer une menace terroriste portant atteinte à ces mêmes intérêts (…) ».

En second lieu le Conseil d'État a considéré que l'indication de l'enregistrement ou non d'une personne dans les traitements de données énumérées par les articles modifiés R. 236‑2, R. 236‑12 et R. 236‑22 du code de la sécurité intérieure, ainsi que l'enregistrement de données à caractère personnel issues d'autres traitements, constituaient une mise en relation de fichier et non une interconnexion. En effet, ces enregistrements ne procèdent ni d'une consultation automatique d'un des traitements énumérés, aux fins de vérifier si l'identité d'une personne y est enregistrée, ni d'une inscription automatique de cette information ou d'autres informations la concernant au nombre des données pouvant être enregistrées dans l'un des trois traitements examinés.

Les données relatives à la santé des personnes atteintes par le virus responsable de la covid‑19 et des personnes en contact avec elles sont, le cas échéant sans leur consentement, traitées et tagées à travers un système d'information ad hoc. Ne méconnaît pas le droit au respect de la vie privée l'extension de l'accès à ces données à certains professionnels de santé qui participent à l'établissement du diagnostic et à l'identification des chaînes de contamination, sans consentement préalable, dès lors que ces professionnels ne peuvent avoir accès qu'aux seules données nécessaires à leur intervention et dans la stricte mesure où leur intervention sert les finalités poursuivies par le système d'information ; aux organismes assurant l'accompagnement social des personnes infectées ou susceptibles de l'être, lorsque cet accès est subordonné au recueil préalable du consentement des intéressés et ne peut porter que sur les données strictement nécessaires à l'exercice de la mission de ces organismes (voir à ce sujet la censure sous DC 2020‑800).

L'article 11 contesté prévoit que, par dérogation à l'exigence fixée à l'article L. 1110‑4 du code de la santé publique, les données à caractère personnel relatives à la santé des personnes atteintes par le covid-19 et des personnes en contact avec elles peuvent être traitées et partagées, sans le consentement des intéressés, dans le cadre d'un système d'information ad hoc ainsi que dans le cadre d'une adaptation des systèmes d'information relatifs aux données de santé déjà existants. La collecte, le traitement et le partage d'informations portent donc non seulement sur les données médicales personnelles des intéressés, mais aussi sur certains éléments d'identification et sur les contacts qu'ils ont noués avec d'autres personnes. Ce faisant, les dispositions contestées portent atteinte au droit au respect de la vie privée. Toutefois ce dispositif n'est pas contraire à la Constitution dès lors que : le législateur a entendu renforcer les moyens de lutte contre l'épidémie et poursuit l'objectif de valeur constitutionnelle (OVC) de protection de la santé ; le traitement des données ne peut être mis en œuvre que dans la mesure strictement nécessaire à quatre finalités précisément définies en lien avec cet objectif de valeur constitutionnel ; le champ des données susceptibles de faire l'objet du traitement en cause est circonscrit aux seules données relatives au covid-19 et strictement nécessaires à la poursuite de ces finalités ; le champ des personnes pouvant accéder aux données collectées, bien que large, est proportionné compte tenu de l'étendue des démarches à entreprendre pour organiser la collecte des informations nécessaires à la lutte contre le développement de l'épidémie. Par ailleurs, diverses garanties sont prévues par la loi (secret professionnel, encadrement de l'accès aux données pour les seules finalités dont relèvent les organismes concernés…) ; le traitement de ces données reste soumis aux règles issues du RGPD et de la loi du 6 janvier 1978 dite « Informatique et Libertés » ; ce dispositif ne peut s'appliquer au-delà du temps strictement nécessaire à la lutte contre la propagation de l'épidémie de covid-19 et les données à caractère personnel collectées, qu'elles soient ou non médicales, doivent, quant à elles, être supprimées trois mois après leur collecte ; le décret d'application de la loi est pris après avis public de la Commission nationale de l'informatique et des libertés. Le Conseil constitutionnel émet néanmoins des réserves : l'anonymisation prévue des données nominatives pour ce qui concerne la finalité de surveillance épidémiologique et de recherche contre le virus doit s'étendre aux coordonnées de contact électronique et téléphonique ; le recueil de ces données sans consentement préalable par des organismes d'accompagnement social méconnaît le droit au respect de la vie privée dans la mesure où l'accompagnement ne relève pas directement de la lutte contre l'épidémie ; il appartiendra au pouvoir réglementaire de définir des modalités de collecte, de traitement et de partage des informations assurant leur stricte confidentialité et, notamment, l'habilitation spécifique des agents chargés, au sein de chaque organisme, de participer à la mise en œuvre du système d'information ainsi que la traçabilité des accès à ce système d'information ; le recours à des sous‑traitants, qui agissent pour leur compte et sous leur responsabilité, doit s'effectuer en conformité avec les exigences de nécessité et de confidentialité des données.

Le VIN (Vehicule Identification Number), code alphanumérique attribué au véhicule par son constructeur afin d’assurer l’identification adéquate de ce véhicule et qui, en tant que tel, est dépourvu de caractère « personnel », acquiert ce caractère à l’égard de quiconque dispose raisonnablement de moyens permettant de l’associer à une personne déterminée.

Or, il résulte de l’annexe I, point II.5, de la directive 1999/37 que le VIN doit figurer dans le certificat d’immatriculation d’un véhicule, tout comme le numéro et l’adresse du titulaire de ce certificat. En outre, en vertu des points II.5 et II.6 de cette annexe, une personne physique peut être désignée dans ledit certificat comme propriétaire du véhicule ou comme une personne pouvant disposer du véhicule à un titre juridique autre que celui de propriétaire. Dans ces conditions, le VIN constitue une donnée à caractère personnel, au sens de l’article 4, point 1, du RGPD, de la personne physique mentionnée dans le même certificat, dans la mesure où celui qui y a accès pourrait disposer de moyens lui permettant de l’utiliser pour identifier le propriétaire du véhicule auquel il se rapporte ou la personne pouvant disposer de ce véhicule à un titre juridique autre que celui de propriétaire.

Lorsque les opérateurs indépendants (personnes physiques ou morales, autres qu’un concessionnaire ou réparateur agréé, qui sont directement ou indirectement engagées dans la réparation et l’entretien de véhicules) peuvent raisonnablement disposer des moyens leur permettant de rattacher un VIN à une personne physique identifiée ou identifiable, ce VIN constitue pour eux une donnée à caractère personnel, au sens de l’article 4, point 1, du RGPD, ainsi que, indirectement, pour les constructeurs automobiles qui le mettent à disposition, même si le VIN n’est pas, en soi, pour ces derniers une donnée à caractère personnel et ne l’est pas, en particulier, lorsque le véhicule auquel ce VIN a été attribué n’appartient pas à une personne physique.

L'article 6, paragraphe 1, premier alinéa, sous f), du RGPD, lu en combinaison avec l'article 15, paragraphe 1, de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002 (directive vie privée et communications électroniques), doit être interprété en ce sens qu'il ne s'oppose, en principe, ni à l’enregistrement systématique, par le titulaire de droits de propriété intellectuelle ainsi que par un tiers pour son compte, d'adresses IP d'utilisateurs de réseaux de pair à pair (peer‑to‑peer) dont les connexions internet ont été prétendument utilisées dans des activités contrefaisantes ni à la communication des noms et des adresses postales de ces utilisateurs à ce titulaire ou à un tiers afin de lui permettre d'introduire un recours en indemnisation devant une juridiction civile pour un dommage prétendument causé par lesdits utilisateurs, à condition toutefois que les initiatives et les demandes en ce sens dudit titulaire ou d'un tel tiers soient justifiées, proportionnées et non abusives et trouvent leur fondement juridique dans une mesure législative nationale, au sens de l'article 15, paragraphe 1, de la directive 2002/58, qui limite la portée des règles énoncées aux articles 5 et 6 de cette directive.

Une adresse IP dite « adresse IP », enregistrée par un fournisseur de services de médias en ligne à l'occasion de la consultation par une personne d'un site internet que ce fournisseur rend accessible au public, constitue, à l'égard dudit fournisseur, une donnée à caractère personnel au sens de l'article 2, sous a), de la directive 95/46, lorsqu'il dispose de moyens légaux lui permettant de faire identifier la personne concernée grâce aux informations supplémentaires dont dispose le fournisseur d'accès à internet de cette personne.

Les données relatives au demandeur d'un titre de séjour figurant dans un document administratif, telle que la « minute » en cause au principal, exposant les motifs que l'agent instructeur avance à l'appui du projet de décision qu'il est chargé de rédiger dans le cadre de la procédure préalable à l'adoption d'une décision relative à la demande d'un tel titre, et, le cas échéant, celles figurant dans l’analyse juridique que contient ce document constituent des « données à caractère personnel », au sens de la directive 95/46/CE du 24 octobre 1995. Tel n'est pas le cas en revanche de ladite analyse juridique : si celle-ci peut certes contenir des données à caractère personnel, elle ne constitue pas pour autant en elle‑même une telle donnée.

Un registre du temps de travail qui comporte l'indication pour chaque travailleur des heures de début et de fin du travail, ainsi que des interruptions ou des pauses correspondantes, relève de la notion de « données à caractère personnel », au sens de l'article 2 de la directive 95/46/CE.

Les résultats d’un sondage portant sur une personne, qui représentent l’état statistique, à un moment donné, de l’opinion de la population sur celle‑ci, ne constituent pas une information nominative au sens de l’article 4 de la loi du 6 janvier 1978 dite « Informatique et Libertés ». Il s’en déduit que, dès lors que les résultats ne lui sont pas opposés, cette personne ne saurait bénéficier du droit d’accès et des prérogatives qui en découlent, prévus par les articles 34 et suivants de ladite loi, ni exiger la communication du nom du commanditaire de l’opération.

Les résultats d'un sondage comportant des questions qui demandent aux personnes interrogées ce qu'elles pensent d'une personnalité ne constituent pas des informations nominatives concernant cette personnalité. Celle-ci ne saurait, par suite, être titulaire d’un droit d'accès organisé par l'article 34 de la loi du 6 janvier 1978, ni des droits de communication, de rectification et d'effacement qui en découlent.

Un traitement de données à caractère personnel susceptible de dévoiler, de manière indirecte, des informations sensibles concernant une personne physique peut relever de la protection renforcée du régime des catégories particulières de données au sens de l'article 9, paragraphe 1, du RGPD. Tel est le cas de la publication, sur le site internet de l'autorité publique chargée de collecter et de contrôler la teneur des déclarations d'intérêts privés, de données à caractère personnel susceptibles de divulguer indirectement l'orientation sexuelle d'une personne physique.

Les informations individuelles détenues par l'Institut national de la statistique et des études économiques (INSEE), collectées à partir des listes d'émargement de scrutins électoraux et relatives à la participation électorale ou aux abstentions constatées lors de ces scrutins, ne peuvent être regardées comme de nature à faire apparaître, même indirectement, les opinions politiques ou philosophiques des individus concernés, au sens et pour l'application de l'article 31 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. Par suite, la création d'un traitement automatisé de ces informations ne figure pas parmi les mesures qui, en vertu de cet article, ne peuvent être prises qu'avec le consentement exprès des intéressés ou par décret en Conseil d'État pris sur proposition ou avis conforme de la Commission nationale de l'informatique et des libertés.

La mention du taux d'incapacité permanente ou du taux d'invalidité du « conjoint ou partenaire » et des personnes à la charge de l'agent n'est pas une donnée « relative à la santé » au sens des dispositions précitées de l'article 8 de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dès lors qu'il n'est même allégué qu'elle donnerait une information sur la nature du handicap.

Les codes d’identification propres aux établissements dans lesquels sont scolarisés les enfants, y compris dans les cas où l’enfant est scolarisé dans une structure hospitalière ou dans un établissement de santé, permettent de savoir que l’élève a été souffrant mais ne fournissent par eux‑mêmes aucune information sur la nature, la durée ou la gravité de l’affection de l’élève, information qui ne peut être obtenue qu’en accédant à un autre fichier mettant en correspondance les codes et la dénomination de l’établissement. Ce n’est que dans de très rares cas que la dénomination de l’établissement est explicite quant à la nature des pathologies qu’il soigne. Par conséquent, ces données ne sont pas relatives à la santé au sens de l’article 8 de la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dite loi Informatique et Libertés.

Les données relatives au choix d'un abonné d'un service de télévision pour recevoir certains programmes définis comme « œuvres cinématographiques interdites aux mineurs de moins de dix‑huit ans ainsi que les programmes pornographiques ou de très grande violence, réservés à un public adulte averti et susceptibles de nuire à l'épanouissement physique, mental ou moral des mineurs de moins de dix‑huit ans » ne peuvent être regardées comme étant relatives à la vie sexuelle des personnes concernées ou comme étant de nature à faire apparaître, même indirectement, leurs mœurs au sens des dispositions de la loi n°78‑17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

1) Afin de déterminer si l'accès aux données à caractère personnel relatives aux infractions routières, telles que les points de pénalité imposés aux conducteurs de véhicules qui ont commis une infraction routière et auxquels une sanction, pécuniaire ou autre, a été infligée, constitue un traitement de données à caractère personnel relatives à des « infractions », qui jouissent d'une protection accrue, la Cour juge que cette notion renvoie exclusivement aux infractions pénales. Toutefois, le fait que, dans le système juridique d'un État membre, les infractions routières soient qualifiées d'administratives n'est pas déterminant pour apprécier si ces infractions relèvent de la notion d'« infraction pénale » dans la mesure où il s'agit d'une notion autonome du droit de l'Union qui requiert, dans toute l'Union, une interprétation autonome et uniforme.

2) Ainsi, après avoir rappelé les trois critères pertinents pour apprécier le caractère pénal d'une infraction, à savoir la qualification juridique de l'infraction en droit interne, la nature de l'infraction et le degré de sévérité de la sanction encourue, la Cour juge que les infractions routières en cause relèvent de la notion d'« infraction » au sens du RGPD. S'agissant des deux premiers critères, la Cour constate que, même si les infractions ne sont pas qualifiées de « pénales » en droit national, un tel caractère peut découler de la nature de l'infraction, et notamment de la finalité répressive poursuivie par la sanction que l'infraction est susceptible d'entraîner. Or, en l'espèce, l'attribution de points de pénalité pour des infractions routières, tout comme les autres sanctions que leur commission peut entraîner, poursuivent, entre autres, une telle finalité répressive. Quant au troisième critère, la Cour observe que seules des infractions routières d'une certaine gravité comportent l'imposition de points de pénalité, et que, partant, celles-ci sont susceptibles d'entraîner des sanctions d'une certaine sévérité. De plus, l'imposition de tels points se rajoute généralement à la sanction infligée, et la cumulation de ces points entraîne des conséquences juridiques pouvant même aller jusqu'à l'interdiction de conduire.

Les données collectées relèvent du champ de l'article 25 de la loi n°78‑17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés dans sa rédaction applicable (dispositions abrogées) et sont par conséquent soumises au régime d'autorisation prévu par cet article mais également au régime de déclaration de l'article 22 (dispositions abrogées), les données collectées dans le but d'établir l'existence ou de prévenir la commission d'infractions.

Par conséquent, n'en relèvent pas les traitements créés par le décret du 28 décembre 2016, qui sont, ainsi que le prévoit le 2° de l'article R. 332‑15 du code du sport créé par ce dernier, relatifs à des manquements « aux dispositions des conditions générales de vente ou du règlement intérieur concernant la sécurité des manifestations sportives », qui exploitent les données collectées dans le seul but d'assurer la sécurité des manifestations sportives en permettant aux organisateurs de telles manifestations d'empêcher certaines personnes d'accéder à leurs enceintes sportives, en raison de comportements dangereux correspondant à des manquements à des obligations de nature contractuelle, même si certains faits ou comportements susceptibles d'être enregistrés dans ces traitements sont pénalement réprimés.