Limitation des autorités susceptibles de mettre en œuvre des traitements de données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté par l'article 9 de la loi n° 78‑17 du 6 janvier 1978.

1) Doivent être regardées comme entrant dans le champ d'application de cet article, non seulement les données relatives aux infractions, condamnations ou mesures de sûreté elles‑mêmes, mais également les données qui, en raison des finalités du traitement automatisé, ne sont collectées que dans le but d’d'établir l'existence ou de prévenir la commission d'infractions, y compris par des tiers.

2) En revanche, ces dispositions ne font pas obstacle à la mise en œuvre de traitements de données à caractère personnel relatives à des infractions par les personnes qui en ont été victimes ou sont susceptibles de l'être.

l'existence

L'article 2, paragraphe 1, et l'article 4, point 2, du règlement général sur la protection des données doivent être interprétés en ce sens que la communication orale d'informations relatives à d'éventuelles condamnations pénales en cours ou déjà purgées dont une personne physique a fait l'objet constitue un traitement de données à caractère personnel, au sens de l'article 4, point 2, de ce règlement, qui relève du champ d'application matériel de ce règlement dès lors que ces informations sont contenues ou appelées à figurer dans un fichier.

En transcrivant et en conservant les indications relatives à l'identité des personnes qui, en tant que membres d'organe légalement prévu ou membres de tel organe, ont le pouvoir d'engager la société concernée à l’égard des tiers et de la représenter en justice ou participent à l'administration, à la surveillance ou au contrôle de cette société dans le registre et en communiquant celles‑ci, le cas échéant, sur demande à des tiers, l'autorité chargée de la tenue de ce registre effectue un « traitement de données à caractère personnel », pour lequel elle est le « responsable », au sens des définitions fournies à l'article 2, sous b) et d), de la directive 95/46.

L'article 2, sous b), de la directive 95/46, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens que, d'une part, l'activité d'un moteur de recherche consistant à trouver des informations publiées ou placées sur Internet par des tiers, à les indexer de manière automatique, à les stocker temporairement et, enfin, à les mettre à disposition des internautes selon un ordre de préférence donné doit être qualifiée de traitement de données à caractère personnel lorsque ces informations contiennent des données à caractère personnel.

Par ailleurs, l'exploitant d'un moteur de recherche doit être considéré comme le responsable dudit traitement des données à caractère personnel au sens dudit article 2, sous d), de ladite directive. En effet, dans la mesure où l'activité d'un moteur de recherche est susceptible d'affecter significativement et de manière additionnelle par rapport à celle des éditeurs de sites web les droits fondamentaux de la vie privée et de la protection des données à caractère personnel, l'exploitant de ce moteur en tant que personne qui détermine les finalités et les moyens de cette activité doit assurer, dans le cadre de ses responsabilités, de ses compétences et de ses possibilités, que celle-ci satisfait aux exigences de la directive 95/46 pour que les garanties prévues par celle‑ci puissent développer leur plein effet et qu'une protection efficace et complète des personnes concernées, notamment de leur droit au respect de leur vie privée, puisse effectivement être réalisée.

L'opération consistant à faire Référence, sur une page Internet, à diverses personnes, à les identifier soit par leur nom, soit par d’autres moyens (numéro de téléphone ou informations relatives à leurs conditions de travail et aux loisirs) constitue un « traitement de données à caractère personnel, automatisé en tout ou en partie » au sens de la directive 95/46.

1) L'article 4, point 7, du RGPD doit être interprété en ce sens que le service ou l'organisme chargé du Journal officiel d'un État membre, qui est notamment tenu, en vertu de la législation de cet État, de publier tels quels des actes et des documents officiels préparés par des tiers sous leur propre responsabilité dans le respect des règles applicables, puis déposés auprès d'une autorité judiciaire qui les lui adresse pour publication, peut, nonobstant son défaut de personnalité juridique, être qualifié de « responsable du traitement » des données à caractère personnel figurant dans ces actes et ces documents, lorsque le droit national concerné détermine les finalités et les moyens du traitement des données à caractère personnel effectué par ce Journal officiel.

2) L'article 5, paragraphe 2, du règlement 2016/679, lu en combinaison avec l'article 4, point 7, et l'article 26, paragraphe 1, de celui‑ci, doit être interprété en ce sens que le service ou l'organisme chargé du Journal officiel d'un État membre, qualifié de « responsable du traitement », au sens de l'article 4, point 7, de ce règlement, est seul responsable du respect des principes visés à l'article 5, paragraphe 1, de celui‑ci en ce qui concerne les opérations de traitement des données à caractère personnel qu'il est tenu d'effectuer en vertu du droit national, à moins qu'une responsabilité conjointe avec d'autres entités au regard de ces opérations ne découle de ce droit.

Une société offrant des services par l'intermédiaire d'une page fan hébergée sur Facebook peut obtenir des données statistiques anonymes sur les visiteurs de ces pages, à l'aide d'une fonction « Facebook Insight » mise gratuitement à sa disposition par Facebook, selon des conditions d'utilisation non modifiables. Ces données sont collectées grâce à des cookies comportant chacun un code utilisateur unique, actifs pendant 2 ans et sauvegardés par Facebook sur le disque dur de l'utilisateur visiteur. Ce code peut être mis en relation avec les données de connexion des utilisateurs enregistrés sur Facebook et être collecté et traité au moment de l'ouverture des pages fans.

Si la Cour relève que le réseau social et sa filiale irlandaise doivent être regardés comme responsables du traitement des données à caractère personnel des utilisateurs ainsi que des personnes ayant visité les pages fan hébergées, elle considère que l'administrateur de cette page, eu égard à ces caractéristiques, doit être regardé comme conjointement responsable de ces données.

Pour qualifier l'administrateur de responsable du traitement, la Cour relève qu'il participe, par son action de paramétrage, en fonction d'une audience cible ainsi que d'objectifs de gestion ou de promotion de ses activités, à la détermination des finalités et des moyens du traitement des données personnelles des visiteurs de sa page. En particulier, l'administrateur peut demander l'obtention, et, par construction, le traitement :

• de données démographiques concernant son audience cible (tendances en matière d'âge, de sexe, de situation amoureuse et de profession) ;
• d'informations sur le style de vie et les centres d'intérêt de cette audience (informations sur les achats et le comportement d'achat en ligne ainsi que sur les catégories de produits ou de services qui l'intéressent le plus) ;
• de données géographiques lui permettant d'effectuer des promotions spéciales ou organiser des événements et de cibler son offre d'informations.

En outre, les pages fan peuvent être visitées par des personnes qui ne sont pas utilisateurs de Facebook. Dans ce cas, la responsabilité de l'administrateur est encore plus marquée puisque la simple consultation de sa page déclenche le traitement de ses données à caractère personnel.

Enfin, si les données ne sont transmises à l'administrateur que sous une forme anonymisée, l'établissement de ces statistiques repose sur la collecte préalable de données personnelles. Or, la directive n'exige pas, lorsqu'il y a une responsabilité conjointe de plusieurs opérateurs, que chacun ait accès aux données à caractère personnel concernées.

Dès lors, l'administrateur de la page ne saurait s'exonérer du respect de ses obligations en matière de protection des données, quand bien même il utiliserait la plateforme mise en place par Facebook. En revanche, la reconnaissance d'une responsabilité conjointe ne se traduit pas par une responsabilité équivalente. Le niveau de responsabilité de chacun doit être évalué en tenant compte de toutes les circonstances pertinentes du cas d'espèce.

À l’occasion de l’examen d’un projet de décret relatif à la mise en œuvre de traitements de données à caractère personnel provenant des caméras individuelles des agents de la police municipale, le Conseil d’État (section de l’intérieur) estime qu’il résulte tant des finalités poursuivies par les dispositifs en cause que des missions confiées aux agents de police municipale, que les traitements projetés relèvent des dispositions de la directive (UE) n° 2016/680 du 27 avril 2016 telle que transposée aux articles 70‑1 et suivants de la loi n° 78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

Compte tenu de leurs finalités ils doivent être regardés comme mis en œuvre pour le compte de l’État au sens de l’article 31 de la loi « Informatique et Libertés ». Le traitement étant mis en œuvre au niveau des collectivités locales ou des établissements de coopérations intercommunales, le ministre de l’intérieur ne peut être regardé comme le responsable du traitement au sens du premier alinéa de l’article 70‑4, alors même que cette mise en œuvre est faite pour le compte de l’État.

Société ayant mis un traitement de données à caractère personnel à disposition des entités qui lui sont liées, déterminant la nature des données collectées et déterminé les droits d'accès à celles-ci puis, après le contrôle de la Commission nationale de l'informatique et des libertés (CNIL), ayant fixé la durée de conservation des données et apporté des correctifs à leur traitement. Ainsi, cette société, qui détermine les finalités et les moyens du traitement, doit être regardée comme le responsable du traitement, la désignation d'un correspondant à la protection des données par les autres entités n'ayant pas, par elle‑même, pour effet de rendre celles‑ci responsables des traitements.

Cas d'une filiale d'une société X qui exerce son activité sous la marque X.

Afin de déterminer si cette filiale doit être regardée comme le responsable de traitement, et non la société X, plusieurs éléments sont pris en compte : l'exploitation par ses propres soins des fichiers pour l'exercice de sa propre activité commerciale ; la détermination effective du champ des données renseignées ; l'indication au cours de la procédure devant la CNIL de la volonté de renoncer à la collecte de différentes données ou encore.

Sont sans incidence d'une part, l'indication, sous le timbre de la société X, qu'après la sanction, des instructions correctives ont été données dans la circonstance que d'autres filiales ou franchises utilisent lesdites données ; et d'autre part, l'indication au juge d'avoir accompli les nécessaires à la régularisation de l'exploitation des fichiers au regard des dispositions de la loi.

ème ème

Une société gestionnaire du site web qui, d'une part, décide de mettre en œuvre une fonctionnalité d'un prestataire de service, laquelle conduit à traiter des données à caractère personnel, à des fins de mesure d'audience, de performance des campagnes médias de la société, d'évaluation et d'optimisation du site web (détermination de la finalité), et qui, d'autre part, a déterminé les moyens de la collecte et du traitement des données collectées dans le cadre de l'intégration de cette fonctionnalité sur son site web (détermination des moyens), est responsable de traitement au sens de l'article 4.7 du RGPD.

Si le décret n° 2020‑551 du 12 mai 2020 modifié réglemente des traitements placés sous la responsabilité du traitement de la caisse nationale de l'assurance maladie, il se borne, s’agissant des Agences régionales de santé, à autoriser la mise en œuvre d’autres traitements de données personnelles par celles‑ci, pour la mise en place d’un système d’information aux fins d’enquêtes sanitaires.

Les logiciels de suivi des patients utilisés dans ce cadre le sont sous la seule responsabilité des Agences régionales de santé, ces dernières devant être considérées comme responsables du traitement de suivi des patients zéro et des cas contacts qu’elles mettent en œuvre. Ce traitement est soumis aux dispositions du RGPD et de la loi n° 78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

L'article 4, point 7, et l'article 26, paragraphe 1, du RGPD doivent être interprétés en ce sens que :

• d’une part, une organisation sectorielle, dans la mesure où elle propose à ses membres un cadre de règle qu’elle a établi relatif au consentement en matière de traitement de données à caractère personnel, qui contient non seulement des règles techniques contraignantes mais également des règles précisant de façon détaillée les modalités de stockage et de diffusion des données à caractère personnel relatives à ce consentement, doit être qualifiée de « responsable conjoint du traitement », au sens de ces dispositions, si, compte tenu des circonstances particulières du cas d’espèce, elle influe, à des fins qui lui sont propres, sur le traitement de données à caractère personnel concerné et détermine, de ce fait, conjointement avec ses membres, les finalités et les moyens d’un tel traitement. La circonstance qu’une telle organisation sectorielle n’a pas elle‑même directement accès aux données à caractère personnel traitées par ses membres dans le cadre desdites règles ne fait pas obstacle à ce qu’elle puisse présenter la qualité de responsable conjoint du traitement, au sens desdites dispositions ;

• d’autre part, la responsabilité conjointe de ladite organisation sectorielle ne s’étend pas automatiquement aux traitements ultérieurs de données à caractère personnel effectués par des tiers, tels que les fournisseurs de sites Internet ou d’applications, pour ce qui concerne les préférences des utilisateurs aux fins de la publicité ciblée en ligne.

Le gestionnaire d'un site internet qui insère sur ledit site un module social permettant au navigateur du visiteur de ce site de solliciter des contenus du fournisseur dudit module et de transmettre à cet effet à ce fournisseur des données à caractère personnel du visiteur (bouton « j’aime » de Facebook), peut être considéré comme étant conjointement responsable du traitement, au sens de l’article 2, sous d), de la directive 95/46. Cette responsabilité est cependant limitée à l’opération ou à l’ensemble des opérations de traitement des données à caractère personnel dont il détermine effectivement les finalités et les moyens, à savoir la collecte et la communication par transmission des données en cause.

Ainsi, le gestionnaire du site insérant un bouton (bouton « j’aime ») peut être considéré comme étant responsable, conjointement avec Facebook, des opérations de collecte et de communication à Facebook de ces données, dès lors qu’il peut être considéré que le gestionnaire et Facebook déterminent, conjointement, les finalités et les moyens de cette collecte et de cette transmission. En effet, l’insertion du bouton (bouton « j’aime ») sur son site permet d’optimiser la publicité pour les produits en les rendant plus visibles sur le réseau social lorsqu’un visiteur clique dessus. Ce faisant, le gestionnaire du site a consenti, implicitement du moins, à la collecte et à la communication de ces données, qui s’opère dans son intérêt économique et dans celui de Facebook. Il en résulte que le coresponsable de ces opérations doit fournir certaines informations à ses visiteurs au moment de la collecte de ces données, comme son identité et les finalités du traitement:

• Lorsqu’il le traitement repose sur le consentement, le gestionnaire du site doit recueillir le consentement au préalable pour les opérations dont il est coresponsable (collecte et transmission des données);
• Lorsque le traitement est nécessaire à la réalisation d’un intérêt légitime, chacun des coresponsables doit poursuivre, avec la collecte et la transmission des données, un intérêt légitime.

L'article 2, sous c), de la directive 95/46/CE doit être interprété en ce sens que la notion de « fichier », visée par cette disposition, couvre un ensemble de données à caractère personnel collectées dans le cadre d'une activité de prédication de porte à porte, comportant des noms et adresses ainsi que d'autres informations concernant les personnes démarchées, dès lors que ces données sont structurées selon des critères déterminés permettant, en pratique, de les retrouver aisément aux fins d'une utilisation ultérieure. Pour qu'un tel ensemble relève de cette notion, il n'est pas nécessaire qu'il comprenne des fiches, des listes spécifiques ou d'autres systèmes de recherche.

Dans le cadre de rapports employeur/employés, le fait d'effectuer des recherches sur des personnes portant sur données à caractère personnel telles qu'antécédents judiciaires, renseignements bancaires et téléphoniques, véhicules, propriétés, qualité de locataire ou de propriétaire, situation matrimoniale, santé, déplacement à l'étranger est susceptible de constituer un moyen déloyal dès lors que, issues de la capture et du recoupement d'informations diffusées sur des sites publics tels que sites web, annuaires, forums de discussion, réseaux sociaux, sites de presse régionale, ces données ont fait l'objet d'une utilisation sans rapport avec l'objet de leur mise en ligne et ont été recueillies à l'insu des personnes concernées, ainsi privées du droit d'opposition institué par la loi informatique et libertés. En effet, le fait que les données à caractère personnel collectées en l'espèce par le prévenu aient été pour partie en accès libre sur internet ne retire rien au caractère déloyal de cette collecte, dès lors qu'une telle collecte, de surcroît réalisée à des fins dévoyées de profilage des personnes concernées et d'investigation dans leur vie privée, à l'insu de celles-ci, ne pouvait s'effectuer sans qu'elles en soient informées.

Aucune norme constitutionnelle ne s'oppose par principe à ce qu'un traitement automatisé poursuit plusieurs finalités.

La collecte de données à caractère personnel issues de sites internet, sans que cette collecte puisse être justifiée par un usage de ces données, constitue un traitement dépourvu de finalités, en violation de l’article 5 § 1, b) du RGPD.

Un office public de l'habitat exploitant un traitement ayant pour finalité informative l'information de ses locataires méconnaît l'obligation de respecter les finalités pour lesquelles le traitement a été autorisé lorsqu'il adresse un courrier aux locataires qui n'est pas de nature purement informative et comporte une critique « virulente » d'une réforme en cours, appelant à la mobilisation des locataires contre ce projet.

Il résulte des dispositions de l’article 6 de la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dans sa rédaction applicable au litige que, pour être compatible avec les finalités du traitement, la transmission des données à caractère personnel doit être strictement limitée à celles qui permettent aux destinataires de poursuivre les finalités du traitement. Par suite, un traitement relatif à la prévention des atteintes à la sécurité publique en marge d’événements sportifs ne peut pas légalement prévoir que les associations et fédérations sportives, qui n’exercent aucune mission relative aux finalités poursuivies, puissent être destinataires des données collectées.