Tables CNIL

Cette application facilite et enrichit la navigation dans les Tables Informatique et Libertés publiées par la CNIL. Elles assemblent l’essentiel de la jurisprudence française et européenne et des décisions pertinentes de l'autorité administrative en matière de protection des données à caractère personnel, et constituent à cet égard un outil précieux pour les DPO et les avocats

Dernière mise à jour : Version du 20/02/2026 – V 2.3 [PDF]

189 décisions

finalités du traitement

Juridiction
Toutes les juridictions

CJUE29 juillet 2019CJUE, 29 juillet 2019, Fashion ID, C-40/17(source)

Gestionnaire d'un site internet équipé du bouton « j’aime » de Facebook Responsabilité conjointe – Consentement uniquement recueilli par le gestionnaire et obligation d’information pesant sur lui pour le traitement dont il détermine les finalités

L’article 2, sous h), et l’article 7, sous a), de la directive 95/46/CE doivent être interprétés en ce sens que, lorsque le gestionnaire d’un site internet insère sur ledit site un module social permettant au navigateur du visiteur de ce site de solliciter des contenus du fournisseur dudit module et de transmettre à cet effet audit fournisseur des données à caractère personnel du visiteur (bouton « j’aime » de Facebook), ce site, comme le réseau social, doit être regardé comme co‑responsable du traitement consistant dans le recueil et la transmission à Facebook de données à caractère personnel des visiteurs du site. Pour que ce traitement soit licite au titre du consentement, celui-ci doit être recueilli par ce gestionnaire uniquement en ce qui concerne l’opération ou l’ensemble des opérations de traitement des données à caractère personnel dont ledit gestionnaire détermine les finalités et les moyens.

En outre, l’article 10 de cette directive doit être interprété en ce sens que, dans une telle situation, l’obligation d’information prévue par cette disposition pèse également sur ledit gestionnaire; l’information que ce dernier doit fournir à la personne concernée ne devant toutefois porter que sur l’opération ou l’ensemble des opérations de traitement des données à caractère personnel dont il détermine les finalités et les moyens.

CNIL24 novembre 2022CNIL, FR, 24 novembre 2022, Sanction, Société X, n° SAN-2022-021, publié, points 25-27(source)

Recueil du consentement à des fins de prospection commerciale par voie électronique Courtiers en données en charge de la collecte du consentement – Mesures mises en place par les prospecteurs pour s'assurer de la validité du consentement donné par les prospects – Insuffisance en l'espèce

Lorsque des courtiers en données sont en charge de la collecte du consentement aux fins de prospection commerciale pour le compte d'un responsable de traitement, un simple engagement contractuel desdits courtiers visant à « respecter le RGPD et les règles applicables en matière de prospection commerciale » n'est pas une mesure suffisante pour s'assurer que le consentement a été valablement donné par les prospects avant d'être démarchés lorsqu'un tel engagement ne se double pas d'un contrôle des formulaires de recueil utilisés ou d'audits portant sur les sociétés partenaires mobilisées. Une telle insuffisance est susceptible de constituer un manquement du responsable du traitement aux obligations résultant des articles L. 34‑5 du code des postes et des communications électroniques et 7, paragraphe 1, du RGPD, tel qu'éclairé par les dispositions de l'article 4, paragraphe 11 de ce même règlement.

CE19 juin 2020CE, 10‑9 chambres réunies, 19 juin 2020, Google LLC, n° 430810, Rec., point 21er Voir aussi : CJUE, grande chambre, 1 octobre 2019, Planet49, C-673/17(source)

1) Recueil du consentement (art. 4, 6 et 7 du RGPD) a) Consentement univoque – Recueil au moyen d'une case cochée par défaut – Absence – b) Consentement spécifique – Recueil dans le cadre de l'acceptation globale de conditions générales d'utilisation d'un service – Absence – c) Consentement éclairé – Exigence d'une présentation claire et distincte de l'ensemble des finalités poursuivies par le traitement

1) Il résulte du 11 de l'article 4 et des articles 6 et 7 du RGPD, tels qu'interprétés par la Cour de justice de l'Union européenne dans son arrêt C‑673/17 du 1er octobre 2019 que le consentement libre, spécifique, éclairé ne peut être un consentement exprès de l'utilisateur, donné en toute connaissance de cause et après une information adéquate sur l'usage qui sera fait de ses données personnelles.

a) Un consentement donné au moyen d'une case cochée par défaut n'implique pas un comportement actif de la part de l'utilisateur et ne peut dès lors être considéré comme procédant d'un acte positif clair permettant valablement le recueil du consentement.

b) En outre, un consentement recueilli dans le cadre de l'acceptation globale de conditions générales d'utilisation d'un service ne revêt pas un caractère spécifique au sens du RGPD.

c) Enfin, indépendamment des modalités dans lesquelles il est recueilli, le consentement n'est valide que s'il est précédé d'une présentation claire et distincte de l'ensemble des finalités poursuivies par le traitement.

CNIL1 décembre 2021CNIL, P, 1 décembre 2021, Mise en demeure, Société X, n°MED-2021-131, non publié et Voir aussi: CJUE, grande chambre, 1 octobre 2019, Planet49, C-673/17 Caractère éclairé(source)

Prospection commer ciale Transmission de données à des tiers – Consentement global aux conditions générales contractuelles régissant un service et à l'ensemble des finalités d'un traitement – Exclusion

Dans le contexte d'une transmission de données à des tiers afin qu'ils les utilisent pour de la prospection commerciale, le recueil d'un consentement spécifique implique que la personne soit en mesure de marquer son assentiment particulier à la transmission de ses données à des tiers, qui l'utiliseront pour de la prospection commerciale. L'exigence de spécificité du consentement exclut l'obtention d'un consentement global donné à la fois aux conditions générales contractuelles régissant un service et pour l'ensemble des finalités d'un traitement.

CE19 juin 2020CE, 10-9 chambres réunies, 19 juin 2020, Google LLC, n° 430810, Rec., points 15-21(source)

1) Obligations d'information et de transparence (art. 12 et 13 du RGPD) Accessibilité des informations pertinentes relatives aux différentes finalités et à l'ampleur du traitement – 2) Recueil du consentement (art. 4, 6 et 7 du RGPD) – c) Consentement éclairé – Exigence d'une présentation claire et distincte de l'ensemble des finalités poursuivies par le traitement

1) Il résulte clairement des articles 12 et 13 du règlement (UE) n° 2016/679 du 27 avril 2016 (RGPD) que l'information fournie aux utilisateurs doit les mettre en mesure de déterminer à l'avance la portée et les conséquences du traitement afin d'éviter qu'ils soient pris au dépourvu quant à la façon dont leurs données à caractère personnel sont destinées à être utilisées. Si les exigences de concision, d'intelligibilité, de clarté et de simplicité de l'information posées par le RGPD justifient que celle‑ci ne soit pas excessivement détaillée afin de ne pas décourager l'utilisateur d'en prendre connaissance, tous les éléments pertinents relatifs aux différentes finalités et à l'ampleur du traitement doivent lui être aisément accessibles.

2) Il résulte des articles 4, 6 et 7 du RGPD, tels qu'interprétés par la Cour de justice de l'Union européenne dans son arrêt C‑673/17 du 1er octobre 2019, que le consentement libre, spécifique, éclairé et univoque ne peut être qu'un consentement exprès de l'utilisateur, donné en toute connaissance de cause et après une information adéquate sur l'usage qui sera fait de ses données personnelles.

c) Indépendamment des modalités dans lesquelles il est recueilli, le consentement n'est valide que s'il est précédé d'une présentation claire et distincte de l'ensemble des finalités poursuivies par le traitement.

En l'espèce, l'arborescence choisie par Google apparaît de nature, par l'éparpillement de l'information qu'elle organise, à nuire à la accessibilité et à la clarté de celle‑ci pour les utilisateurs, alors même que les traitements en cause sont particulièrement intrusifs eu égard au nombre et à la nature des données collectées.

CJUE4 juillet 2023CJUE, grande chambre, 4 juillet 2023, Meta Platforms e.a., C-252/21(source)

Collecte de données des utilisateurs d'un réseau social issues de la consultation par ces utilisateurs de sites Internet ou d'applications tiers Mise en relation de ces données avec le compte du réseau social des utilisateurs – Utilisation des données – Nécessaire à l'exécution du contrat – Condition

L'article 6, paragraphe 1, premier alinéa, sous b), du règlement 2016/679 doit être interprété en ce sens que le traitement de données à caractère personnel effectué par un opérateur d'un réseau social en ligne, consistant en la collecte de données des utilisateurs d'un tel réseau issues d'autres services du groupe auquel appartient cet opérateur ou issues de la consultation par ces utilisateurs de sites Internet ou d'applications tiers, en la mise en relation de ces données avec le compte du réseau social desdites utilisateurs et en l'utilisation desdites données, ne peut être considéré comme étant nécessaire à l'exécution d'un contrat auquel les personnes concernées sont parties, au sens de cette disposition, qu'à la condition que ce traitement soit objectivement indispensable pour réaliser une finalité faisant partie intégrante de la prestation contractuelle destinée à ces mêmes utilisateurs, de telle sorte que l'objet principal du contrat ne pourrait être atteint en l'absence de ce traitement.

CJUE4 février 2022CJUE, 24 février 2022, Valsts ieņēmumu dienests, C‑175/20, points 69–71(source)

1) Condition de licéité d'une demande de communication de données à caractère personnel par l'administration fiscale Nécessité pour remplir sa mission d'intérêt public – 2) Perception de l'impôt et lutte contre la fraude fiscale e – Mission d'intérêt public – Existence – 3) Cas d'une demande qui n'est pas directement fondée sur la disposition légale qui constitue le fondement du traitement mais résulte d'une demande de l'autorité compétente – Conditions

1) Pourvu que les finalités énoncées dans une demande de communication de données à caractère personnel adressée par l'administration d'un État membre à un opérateur économique soient nécessaires à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investie l'administration fiscale, cette circonstance suffit, ainsi qu'il découle de l'article 6, paragraphe 1, premier alinéa, initio et sous e), du règlement 2016/679, lu conjointement avec l'article 6, paragraphe 3, second alinéa, de ce règlement, pour que lesdits traitements satisfassent également à l'exigence de licéité. 2) La perception de l'impôt et la lutte contre la fraude fiscale doivent être considérées comme étant des missions d'intérêt public, au sens de l'article 6, paragraphe 1, premier alinéa, sous e), du règlement 2016/679 (voir, par analogie, arrêt du 27 septembre 2017, Puškár, C‑73/16, EU:C:2017:725, point 108). 3) Dans un cas où la communication des données à caractère personnel en cause n'est pas directement fondée sur la disposition légale qui en constitue le fondement du traitement, mais résulte d'une demande de l'autorité publique compétente, il est nécessaire que cette demande précise quelles sont les finalités spécifiques de cette collecte de données au regard de la mission d'intérêt public ou de l'exercice de l'autorité publique, afin de permettre au destinataire de ladite demande de s'assurer que la transmission des données à caractère personnel en cause est licite et aux juridictions nationales d'opérer un contrôle de la légalité des traitements concernés.

CJUE27 septembre 2017CJUE, 27 septembre 2017, Puškár, C-73/16(source)

Directive 95/46 /CE Établissement, aux fins de la perception de l'impôt et de la lutte contre la fraude fiscale, d'une liste de personne s sans le consentement des personnes concernées – Admissibilité sous conditions

L'article 7, § e), de la directive 95/46/CE doit être interprété en ce sens qu'il ne s'oppose pas à un traitement de données à caractère personnel par les autorités d'un État membre aux fins de la perception de l'impôt et de la lutte contre la fraude fiscale tel que celui auquel il est procédé par l’établissement d’une liste de personnes telle que celle en cause dans l'affaire principale, sans le consentement des personnes concernées. À condition, d'une part, que ces autorités aient été investies par la législation nationale de missions d'intérêt public au sens de cette disposition, que l’établissement de cette liste et l'inscription sur celle‑ci du nom des personnes concernées soient effectivement aptes et nécessaires aux fins de la réalisation des objectifs poursuivis, et qu'il existe des indices suffisants pour présumer que les personnes concernées figurent à juste titre sur ladite liste ; d'autre part, que toutes les conditions de licéité de ce traitement de données à caractère personnel imposées par la directive 95/46/CE soient satisfaites.

CJUE9 janvier 2025CJUE, 9 janvier 2025, Mousse, C-394/23(source)

Collecte, par une entreprise de transport, des données relatives à la civilité et à l'identité de genre de ses clients - 1) Traitement nécessaire à l'exécution d'un contrat liant la personne concernée Exclusion – Traitement nécessaire aux fins des intérêts légitimes – Conditions – 2) Appréciation de l'intérêt légitime – Prise en compte du droit d'opposition – Exclusion

1) L'article 6, paragraphe 1, premier alinéa, sous b) et f), du règlement général sur la protection des données, lu en combinaison avec l’article 5, paragraphe 1, sous c), de ce règlement doit être interprété en ce sens que :

  • le traitement de données à caractère personnel relatives à la civilité des clients d’une entreprise de transport, ayant pour finalité une personnalisation de la communication commerciale fondée sur leur identité de genre, ne paraît ni objectivement indispensable ni essentiel afin de permettre l'exécution correcte d'un contrat et, partant, ne peut pas être considéré comme étant nécessaire à l'exécution de ce contrat ;
  • le traitement de données à caractère personnel relatives à la civilité des clients d’une entreprise de transport, ayant pour finalité une personnalisation de la communication commerciale fondée sur leur identité de genre, ne peut pas être considéré comme étant nécessaire aux fins des intérêts légitimes poursuivis par le responsable de ce traitement ou par un tiers lorsque :
  • l'intérêt légitime poursuivi n'a pas été indiqué à ces clients lors de la collecte de ces données ;
  • ledit traitement n'est pas opéré dans les limites du strict nécessaire pour la réalisation de cet intérêt légitime ;
  • au regard de l'ensemble des circonstances pertinentes, les libertés et droits fondamentaux desdits clients sont susceptibles de prévaloir sur ledit intérêt légitime, notamment en raison d'un risque de discrimination fondée sur l'identité de genre.

2) L'article 6, paragraphe 1, premier alinéa, sous f), du règlement général sur la protection des données doit être interprété en ce sens que, afin d'apprécier la nécessité d'un traitement de données à caractère personnel au titre de cette disposition, il n'y a pas lieu de prendre en considération l'existence éventuelle d'un droit d'opposition de la personne concernée, au titre de l'article 21 de ce règlement.

CJUE4 juillet 2023CJUE, grande chambre, 4 juillet 2023, Meta Platforms e.a., C-252/21(source)

Collecte de données des utilisateurs d'un réseau social issues de la consultation par ces utilisateurs de sites Internet ou d'applications tiers Mise en relation de ces données avec le compte du réseau social des utilisateurs – Utilisation des données – Nécessaire aux fins des intérêts légitimes poursuivis par le responsable de traitement – Condition

L'article 6, paragraphe 1, premier alinéa, sous f), du règlement 2016/679 doit être interprété en ce sens que le traitement de données à caractère personnel effectué par un opérateur d'un réseau social en ligne, consistant en la Collecte de données des utilisateurs d'un tel réseau issues d'autres services du groupe auquel appartient cet opérateur ou issues de la consultation par ces utilisateurs de sites Internet ou d'applications tiers, en la mise en relation de ces données avec le compte du réseau social désignés utilisateurs et en l'utilisation des données, ne peut être considéré comme étant nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, au sens de cette disposition, qu'à la condition que ledit opérateur ait indiqué aux utilisateurs auprès desquels les données ont été collectées un intérêt légitime poursuivi par leur traitement, que ce traitement est opéré dans les limites du strict nécessité pour la réalisation de cet intérêt légitime et qu'il ressort d'une pondération des intérêts opposés, au regard de l'ensemble des circonstances pertinentes, que les intérêts ou les libertés et les droits fondamentaux de ces utilisateurs ne prévalent pas sur ledit intérêt légitime du responsable du traitement ou d'un tiers.

CJUE29 juillet 2019CJUE, 29 juillet 2019, Fashion ID, C-40/17, points 93-97(source)

Responsabilité conjointe du gestionnaire d'un site inter net équipé du bouton « j'aime » de Facebook Condition de licéité au titre de l'intérêt légitime

Lorsque le gestionnaire d'un site internet insère sur ledit site un module social permettant au navigateur du visiteur de ce site de solliciter des contenus du fournisseur dudit module et de transmettre à cet effet audit fournisseur des données à caractère personnel du visiteur (bouton « j'aime » de Facebook), ce site, comme le réseau social, doit être regardé comme co‑responsable du traitement consistant dans le recueil et la transmission à Facebook de données à caractère personnel des visiteurs du site.

Pour que ce traitement soit licite au titre de l’intérêt légitime, il est nécessaire que ce gestionnaire et ce fournisseur poursuivent chacun, avec ces opérations de traitement (communication et transmission des données), un intérêt légitime, au sens de l'article 7, sous f), de la directive 95/46, afin que celles‑ci soient justifiées dans son chef.

CJUE19 octobre 2016CJUE, 19 octobre 2016, Breyer, C-582/14(source)

Restriction de l'intérêt légitime Illicéité d'une réglementation nationale empêchant la collecte et l'utilisation des données à caractère personnel par un fournisseur de service de médias en ligne – Traitement visant à garantir le fonctionnement d'un service et sa facturation

L'article 7, sous f), de la directive 95/46 doit être interprété en ce sens qu'il s'oppose à une réglementation d'un État membre en vertu de laquelle un fournisseur de services de médias en ligne ne peut collecter et utiliser des données à caractère personnel afférentes à un utilisateur de ces services, en l'absence du consentement de celui-ci, que dans la mesure où cette collecte et cette utilisation sont nécessaires pour permettre et facturer l'utilisation concrète des désdites services par cet utilisateur, sans que l'objectif visant à garantir la capacité générale de fonctionnement des mêmes services puisse justifier l'utilisation desdites données après une session de consultation de ceux-ci.

CJUE9 janvier 2025CJUE, 9 janvier 2025, Mousse, C-394/23(source)

Collecte, par une entreprise de transport, des données relatives à la civilité et à l'identité de genre de ses clients - 1) Traitement nécessaire à l'exécution d'un contrat liant la personne concernée Exclusion – Traitement nécessaire aux fins des intérêts légitimes – Conditions – 2) Appréciation de l'intérêt légitime – Prise en compte du droit d'opposition – Exclusion

1) L'article 6, paragraphe 1, premier alinéa, sous b) et f), du règlement général sur la protection des données, lu en combinaison avec l'article 5, paragraphe 1, sous c), de ce règlement doit être interprété en ce sens que:

  • le traitement de données à caractère personnel relatives à la civilité des clients d'une entreprise de transport, ayant pour finalité une personnalisation de la communication commerciale fondée sur leur identité de genre, ne paraît ni objectivement indispensable ni essentiel afin de permettre l'exécution correcte d'un contrat et, partant, ne peut pas être considéré comme étant nécessaire à l'exécution de ce contrat;
  • le traitement de données à caractère personnel relatives à la civilité des clients d'une entreprise de transport, ayant pour finalité une personnalisation de la communication commerciale fondée sur leur identité de genre, ne peut pas être considéré comme étant nécessaire aux fins des intérêts légitimes poursuivis par le responsable de ce traitement ou par un tiers, lorsque:
  • l'intérêt légitime poursuivi n'a pas été indiqué à ces clients lors de la collecte de ces données;
  • ledit traitement n'est pas opéré dans les limites du strict nécessaire pour la réalisation de cet intérêt légitime;
  • au regard de l'ensemble des circonstances pertinentes, les libertés et droits fondamentaux desdits clients sont susceptibles de prévaloir sur ledit intérêt légitime, notamment en raison d'un risque de discrimination fondée sur l'identité de genre.

2) L'article 6, paragraphe 1, premier alinéa, sous f), du règlement général sur la protection des données doit être interprété en ce sens que, afin d'apprécier la nécessité d'un traitement de données à caractère personnel au titre de cette disposition, il n'y a pas lieu de prendre en considération l'existence éventuelle d'un droit d'opposition de la personne concernée, au titre de l'article 21 de ce règlement.

CJUE11 janvier 2024CJUE, 11 janvier 2024, Schrems (Communication de données au grand public), C‑446/21(source)

Réseaux sociaux Conditions générales d’utilisation relatives aux contrats conclus entre une plateforme numérique et un utilisateur – Publicité personnalisée – Principe de minimisation des données – Trai tement portant sur des catégories particulières de données à caractère personnel – Données concernant l'orientation sexuelle – Données rendues publiques par la personne concernée

1) L’article 5, paragraphe 1, sous c), du RGPD (principe de minimisation) doit être interprété en ce sens que le principe de la « minimisation des données », prévu à cette disposition, s’oppose à ce que l’ensemble des données à caractère personnel qui ont été obtenues par un responsable du traitement, tel que l’exploitant d’une plateforme de réseau social en ligne, auprès de la personne concernée ou de tiers et qui ont été collectées tant sur cette plateforme qu’en dehors de celle‑ci, soient agrégées, analysées et traitées à des fins de publicité ciblée, sans limitation dans le temps et sans distinction en fonction de la nature de ces données.

2) L’article 9, paragraphe 2, sous e), du RGPD doit être interprété en ce sens que la circonstance qu’une personne se soit exprimée sur son orientation sexuelle lors d’une table ronde, dont la participation est ouverte au public, n’autorise pas l’exploitant d’une plateforme de réseau social en ligne à traiter d’autres données relatives à l’orientation sexuelle de cette personne, obtenues, le cas échéant, en dehors de cette plateforme à partir d’applications et de sites Internet de tiers partenaires, en vue de l’agrégation et de l’analyse de celles‑ci, afin de lui proposer de la publicité personnalisée.

CJUE1 août 2022CJUE, grande chambre, 1 août 2022, Vyriausioji tarnybinės etikos komisija, C-184/20, points 93-9 4(source)

Appréciation conjointe avec la condition de nécessité du traitement, en fonction de la base légale Publication de déclaration d'intérêts privés d'un directeur d'établissement recevant des fonds publics – Données nominatives relatives au conjoint, concubin ou partenaire – Absence de stricte nécessité

1) Pour l'examen de l'existence de la base légale de l'obligation légale, la condition tenant à la nécessité du traitement portant publication en ligne sur le site internet d'une autorité publique de données à caractère personnel contenues dans une déclaration d'intérêts privés que tout directeur d'établissement percevant des fonds publics est tenu de déposer auprès de cette autorité en vue d'assurer la prévalence de l'intérêt public, l'impartialité des décisions, la prévention des situations de conflits d'intérêts et la lutte contre la corruption doit être examinée conjointement avec le principe dit de la « minimisation des données » consacré à l'article 5, paragraphe 1, sous‑c), du RGPD.

2) Seules les données dont la publication est effectivement de nature à renforcer les garanties de probité et d'impartialité des responsables publics, à prévenir les conflits d'intérêts et à lutter contre la corruption dans le secteur public peuvent faire l'objet d'un tel traitement. La divulgation publique, en ligne, de données nominatives relatives au conjoint, concubin ou partenaire ainsi qu'aux personnes proches ou connues du déclarant susceptibles de donner lieu à un conflit d'intérêts, ou encore sur toute transaction conclue au cours des douze derniers mois dont la valeur excède 3000 euros paraît aller au-delà de ce qui est strictement nécessaire.

CJUE4 février 2022CJUE, 24 février 2022, Valsts ieņēmumu dienests, C-175/20, point 84(source)

Communication par un opérateur économique de informations à l'administration fiscale relatives aux contribuables ayant publié des annonces dans l'une des rubriques de son portail Internet Conditions de licéité

La réglementation nationale régissant une demande de communication de données à caractère personnel adressée par l'administration d'un État membre à un opérateur économique doit se fonder sur des critères objectifs pour définir les circonstances et les conditions dans lesquelles un prestataire de services en ligne est tenu de transmettre des données à caractère personnel relatives à ses utilisateurs (voir, en ce sens, arrêt du 6 octobre 2020, Privacy International, C ‑ 623/17, EU:C:2020:790, point 78 et jurisprudence citée). Les dispositions du RGPD doivent être interprétées en ce sens qu'elles ne s'opposent pas à ce que l'administration fiscale d'un État membre impose à un prestataire de services d'annonces publiées sur internet de lui communiquer des informations relatives aux contribuables ayant publié des annonces dans l'une des rubriques de son portail Internet pour autant, notamment, que ces données soient nécessaires au regard des finalités spécifiques pour lesquelles elles sont collectées et que la période sur laquelle porte la collecte desdites données n'excède pas la durée strictement nécessaire pour atteindre l'objectif d'intérêt général visé.

CJUE16 décembre 2008CJUE, grande chambre, 16 décembre 2008, Huber, C-524/06(source)

Traitement de données à caractère personnel relatives aux citoyens de l’Union non‑ressortissants de l’État membre ayant pour objectif le soutien des autorités nationales en charge de l’application de la réglementation sur le droit de séjour Conditions de licéité

Un traitement de données à caractère personnel relatives aux citoyens de l'Union non-ressortissants de l'État membre visé ayant pour objectif le soutien des autorités nationales en charge de l'application de la réglementation sur le droit de séjour ne répond pas à l'exigence de nécessité prévue à l'article 7, § e), de la directive 95/46/CE du 24 octobre 1995 interprétée à la lumière de l'interdiction de toute discrimination exercée en raison de la nationalité, que :

  • il contient uniquement les données nécessaires à l'application par ces autorités de cette réglementation ;
  • son caractère centralisé permet une application plus efficace de cette réglementation en ce qui concerne le droit de séjour des citoyens de l'Union non-ressortissants de cet État membre.

Il appartient à la juridiction de vérifier ces éléments dans l'espèce au principal.

CE21 septembre 2015CE, 10ème/9ème SSR, 21 septembre 2015, Association de défense et d’assistance juridique des intérêts des supporters, n° 389815, Inédit., points 16‑17(source)

Transmission de données Condition de limitation des données transmises à celles strictement nécessaires aux destinataires pour poursuivre les finalités du traitement

Il résulte des dispositions de l’article 6 de la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dans sa rédaction applicable au litige que, pour être compatible avec les finalités d’un traitement, la transmission des données à caractère personnel doit être strictement limitée à celles qui permettent aux destinataires de poursuivre les finalités du traitement. Par suite, un traitement relatif à la prévention des atteintes à la sécurité publique en marge d’événements sportifs ne peut pas légalement prévoir que les associations et fédérations sportives, qui n’exercent aucune mission relative aux finalités poursuivies, puissent être destinataires des données collectées.

CE19 juillet 2010CE, 10ème/9ème SSR, 19 juillet 2010, M. X et Mme Y, n° 317182, Rec., point 27(source)

Données pertinentes 1) Notion – 2) Application en l'espèce

1) Pour l'application de l'article 6 de la loi n°78‑17 du 6 janvier 1978, les données pertinentes au regard de la finalité d'un traitement automatisé de données à caractère personnel sont celles qui sont en adéquation avec la finalité du traitement et qui sont proportionnées à cette finalité.

2) En l'espèce, les données enregistrées dans la « Base élèves 1 degré », relatives à l'identification de l'élève, de ses responsables légaux et des autres personnes à contacter en cas d'urgence ou autorisées à le prendre en charge à la sortie de l'école, ainsi qu'à la gestion des établissements, de la scolarité des élèves et de leurs activités parascolaires et périscolaires, sont en adéquation avec la finalité du traitement, qui est la gestion de l'enseignement scolaire de premier cycle, et sont proportionnées à cette finalité.

CNIL8 juin 2023CNIL, FR, 8 juin 2023, Sanction, Société X, n SAN-2023-008, publié, points 31, 34(source)

Enregistrement systématique des appels téléphoniques entre téléopérateurs et prospects Finalité d'établissement d'une preuve du contrat éventuellement conclu – Caractère non nécessaire si obligation d'une confirmation écrite de l'offre

Un responsable du traitement, qui souhaite enregistrer des conversations téléphoniques à des fins probatoires, doit démontrer qu'il ne dispose pas d'autres moyens moins intrusifs pour prouver que le contrat conclu à distance ait bien été conclu avec la personne concernée. En application de l'article L.221‑16 du Code de la consommation, dès lors que la preuve de la souscription d'un contrat conclu à distance, à la suite d'un démarchage téléphonique, peut être apportée par la confirmation écrite de l'offre, l'enregistrement des conversations téléphoniques passées entre les téléopérateurs et les prospects, à des fins de preuve de la formation du contrat, n'apparaît pas nécessaire.