enregistrement intégral et systématique par une société de l'ensemble des appels téléphoniques sortants passés entre ses téléopérateurs et ses prospects commerciaux à des fins finalité probatoire et de finalité de formation constitue un manquement à l'article 5‑1‑c du RGPD, qui dispose que les données à caractère personnel doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ».

1) Concernant la finalité probatoire, l'article L.221‑16 du code de la consommation dispose qu'« à la suite d'un démarchage par téléphone, le professionnel adresse au consommateur, sur papier ou sur support durable, une confirmation de l'offre qu'il a faite et reprenant toutes les informations prévues à l'article L. 221‑5. Le consommateur n'est engagé par cette offre qu'après l'avoir signée et acceptée par écrit ou avoir donné son consentement par voie électronique ». Il en résulte que la souscription d'un contrat conclu à distance est prouvée par un autre moyen que l'enregistrement des appels téléphoniques passés avec les prospects.

2) Concernant la finalité relative à la formation, un enregistrement aléatoire de seulement quelques conversations téléphoniques permettrait à la personne chargée de la formation de disposer des éléments nécessaires à la réalisation de sa mission.

Dans le cadre d’un projet de décret autorisant la mise en œuvre par le ministère de l’éducation nationale d’un traitement ayant pour finalité d’améliorer la prise en charge et le parcours scolaire des élèves à besoins éducatifs particuliers, de mieux individualiser les réponses pédagogiques et de garantir aux familles la mise en place d’adaptations pédagogiques dès le repérage de difficultés d’apprentissage, la CNIL considère que la création et l’utilisation d’un identifiant spécifique et distinct de l’identifiant national élève (INE) permettra, conformément à sa doctrine, de segmenter les traitements afin d’éviter des interconnexions ou rapprochements de données qui ne sont pas nécessaires, et de limiter les risques de réidentification des personnes en cas de fuite de données.

Collecte et conservation de données personnelles indiquant que le requérant était concerné par la contre‑indication au don de sang, alors prévue pour les hommes ayant eu un rapport sexuel avec un homme en droit interne. De telles données comportent des indications explicites sur la vie sexuelle et sur l'orientation sexuelle supposée du requérant. Le fait que cette contre‑indication était conservée avec la simple référence à un code et non la description explicite d'un comportement sexuel n'est pas déterminant. Il était en outre prévu que les données saisies en 2004 soient conservées jusqu'en 2278.

La Cour EDH conclut que cette collecte et conservation de données personnelles sensibles constitue une ingérence dans le droit au respect de la vie privée du requérant. Néanmoins, cette ingérence était « prévue par la loi » et poursuivait le but légitime de la protection de la santé.

La collecte et la conservation de données personnelles relatives aux résultats des procédures de sélection des candidats au don du sang, et en particulier aux motifs d'exclusion du don éventuellement retenus, contribuent à garantir la sécurité transfusionnelle. Sans qu'il soit besoin de rechercher si d'autres critères de sélection des donneurs étaient envisageables, la collecte et la conservation des données litigieuses reposaient sur des motifs pertinents et suffisants.

Eu égard à la sensibilité des données personnelles litigieuses, qui comportent des indications sur les pratiques et l'orientation sexuelles du requérant, il est particulièrement important qu'elles répondent aux exigences de qualité prévues à l'article 5 de la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel du Conseil de l'Europe. Il importe en particulier qu'elles soient exactes et, le cas échéant, mises à jour, qu'elles soient adéquates, pertinentes et non excessives par rapport aux finalités du traitement, et que leur durée de conservation n'excède pas celle qui est nécessaire. Par ailleurs, les données litigieuses, qui touchaient à l'intimité du requérant, ont été collectées et conservées sans le consentement explicite du requérant. En conséquence, la Cour se doit de procéder à cet examen de façon rigoureuse.

En premier lieu, s'agissant de l'exactitude des données personnelles, celle‑ci doit être appréciée au regard de la finalité pour laquelle ces données ont été collectées. Dans le traitement litigieux, cette catégorie de données avait pour finalité d'assurer le respect d'une contre‑indication au don spécifique, que le droit interne prévoyait alors de façon permanente. À cette fin, elle devait reposer sur une base factuelle précise et exacte. Or, le requérant s'est vu appliquer une contre‑indication propre aux hommes ayant eu un rapport sexuel avec un homme au seul motif qu'il avait refusé de répondre à des questions relatives à sa sexualité lors de l'entretien médical préalable au don. Aucun des éléments soumis à l'appréciation du médecin ne lui permettait de tirer une telle conclusion sur ses pratiques sexuelles. C'est pourtant ce motif d'exclusion du don qui fut renseigné et conservé. Les données collectées se fondaient sur de simples spéculations et ne reposaient pas sur aucune base factuelle avérée. Or, c'est aux autorités qu'il incombe de démontrer l'exactitude des données collectées. De surcroît, elles n'ont pas été mises à jour à la suite des protestations et de la plainte du requérant.

Par ailleurs, il est inadéquat de collecter une donnée personnelle relative aux pratiques et à l'orientation sexuelles sur le seul fondement de spéculations ou de présomptions. Au surplus, il aurait suffi, pour atteindre l'objectif de sécurité transfusionnelle recherché, de garder trace du refus du requérant de répondre aux questions relatives à sa sexualité, cet élément étant de nature à justifier, à lui seul, un refus de la candidature au don de sang.

En second lieu, le Gouvernement ne démontre pas qu'à l'époque des faits, la durée de conservation des données litigieuses était encadrée de telle sorte qu'elle ne puisse pas excéder celle nécessaire aux finalités pour lesquelles elles ont été collectées. Au moment de la collecte de ces données en 2004, l'outil informatique employé par l'ÉFS prévoyait leur conservation jusqu'en 2278, rendant ainsi possible leur utilisation de manière répétée. À la date du 26 mai 2016, soit près de douze ans après leur collecte, les données relatives au motif d'exclusion étaient encore conservées. À cet égard, la durée de conservation des données doit être encadrée pour chacune des catégories de données concernées et elle doit être révisée si les finalités pour lesquelles elles ont été collectées ont évolué. Au vu de la pratique constante de l'ÉFS, la durée excessive de conservation des données litigieuses a rendu possible leur utilisation répétée à l'encontre du requérant, entraînant son exclusion automatique du don de sang.

Au vu de l'ensemble des éléments qui précèdent, l'État défendeur a outrepassé sa marge d'appréciation en la matière.

Dans le cadre d’un traitement de données ayant notamment pour finalité de constater l’ensemble des infractions non routières faisant l’objet d’une amende forfaitaire relevées au moyen d’appareils électroniques permettant l’établissement d’un procès-verbal électronique, la durée de conservation de cinq ans des données relatives aux contraventions non routières et la durée de conservation de dix ans des données relatives aux délits non routiers n’est pas disproportionnée, eu égard en particulier à ux délais de prescription de six ans des peines délictuelles et de trois ans des peines contraventionnelles, respectivement prévus par les articles 133‑3 et 133‑4 du code pénal, ainsi qu’aux règles de procédure qui régissent le recouvrement des amendes forfaitaires, en particulier les délais de recours et de mise en paiement.

Dans le cas d’espèce, les délais de prescription ne s’imposent pas à la conservation des données. En effet, la prescription de l’action publique et la prescription de la peine peuvent faire l’objet, l’une et l’autre, d’interruptions. Dans la mesure où les délais de conservation ont été fixés non pas pour la prévention de la récidive, mais pour couvrir la procédure dans son ensemble, incluant l’encaissement effectif de l’amende et le cas échéant les procédures judiciaires, les durées de dix ans pour les délits et de cinq ans pour les contraventions ne sont pas disproportionnées.

Le Conseil d'État (section de l'intérieur) a donné un avis favorable à un projet de décret portant création d'un traitement automatisé de données à caractère personnel dénommé « Automatisation de la consultation centralisée de renseignements et de données » (ACCReD).

Le projet crée un traitement automatisé de données à caractère personnel permettant, à l'occasion de la réalisation d'enquêtes administratives sur le fondement des articles L. 114‑1, L. 114‑2 et L. 211‑11‑1 du code de la sécurité intérieure, de consulter automatiquement d'autres traitements automatisés de données à caractère personnel ou d'entrer en relation avec eux. Cette consultation peut prendre la forme d'une consultation automatique ou d'une mise en relation. En application des dispositions du 5° de l'article 6 de la loi n°78‑17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, les responsables de tout traitement doivent veiller à ne conserver les données du traitement que pendant une durée qui n'excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées. La fixation, par ces responsables, d'une durée maximale de conservation des données est donc obligatoire, même si, comme c'est possible pour ceux des traitements intéressant la sûreté de l'État ou la sécurité publique mentionnés à l'article 1er du décret du 15 mai 2007, cette durée peut ne pas être mentionnée dans l'acte réglementaire autorisant le traitement.

Mais le Conseil d'État considère que la collecte, dans le cadre de ces mêmes traitements, de données relatives à des personnes âgées de moins de 13 ans, doit s'accompagner de la fixation, par l'acte réglementaire autorisant ce traitement, d'une durée de conservation de ces données.

Faute de dispositions expresses la régissant, la durée de conservation des empreintes digitales relevées sur le fondement de l'article 5 du décret du 22 octobre 1955 est illimitée. Une telle durée de conservation ne peut être regardée comme nécessaire aux finalités du fichier, eu égard à la durée de validité de la carte nationale d'identité et au délai dans lequel tout détenteur d'une carte nationale d'identité périmée peut en solliciter le renouvellement. Elle est donc illégale.

Eu égard à la finalité du fichier ayant notamment trait à la gestion des contentieux entre l'administration pénitentiaire et les personnes placées sous main de justice, la durée de conservation de deux ans prévue à l'article R. 57-9-21 à compter de la date de levée de l'écrou n'est pas excessive. En revanche, la conservation ultérieure de ces données pour un délai de huit ans, qui poursuit, selon la garde des sceaux, la conduite éventuelle de contentieux, est dépourvue de fondement légal dès lors que cette finalité n'est pas explicitée par le décret attaqué et que la durée de conservation ainsi définie ne s'y rattache pas spécifiquement.

Si les données relatives à l'identification des élèves peuvent être conservées au sein de la « Base nationale des identifiants des élèves » pendant la durée du cycle d’étude — premier cycle dans l’état actuel du fichier, cycle complet d’étude en cas de généralisation de l’utilisation de l’identifiant à l’enseignement secondaire et à l’enseignement supérieur — une durée totale de conservation de 35 ans n’apparaît pas nécessaire aux finalités du traitement et est donc excessive au regard des dispositions du 5° de l’article 6 de la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Ce vice entache d’illégalité l’ensemble de la décision mettant en œuvre le traitement.

Le fait que le point de départ de la durée de conservation des Géolocalisation soit lié non pas au contrat de location mais à la fin de la relation commerciale avec l'utilisateur ne permet pas de respecter le principe selon lequel les données à caractère personnel ne doivent pas être conservées pour une durée qui excède celle nécessaire au regard des finalités pour lesquelles elles sont traitées. En l'espèce, la société a conservé les données de Géolocalisation en cause pour une durée qui excédait celle nécessaire au regard des finalités pour lesquelles elles étaient traitées et a ainsi méconnu ses obligations au regard de l'article 5.1.e du RGPD.

La durée de conservation des données à caractère personnel doit être déterminée en fonction de la finalité poursuivie par le traitement. Lorsque cette finalité est atteinte, les données doivent en principe être supprimées, anonymisées ou faire l'objet d'un archivage intermédiaire lorsque leur conservation est nécessaire pour le respect d'obligations légales ou à des fins précontentieuses ou contentieuses.

L'effectivité de la mise en œuvre d'une politique de durée de conservation des données est le pendant nécessaire de sa définition et permet d'assurer que les données sont conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées. Cela permet notamment de réduire les risques d'usage non autorisé des données en cause, par un salarié ou par un tiers.

Cas d’une personne ayant souscrit une ligne téléphonique principale et une ligne téléphonique secondaire dans le cadre d’un abonnement téléphonique et qui résilie seulement la ligne principale ou secondaire.

Si l’information qu’une personne a été titulaire d’une ligne mobile résiliée peut effectivement être conservée à des fins d’exécution du contrat, à des fins comptables ou encore pour la gestion du contentieux, il n’est en revanche pas nécessaire de continuer à traiter cette information, notamment le numéro de la ligne résiliée, dans le cadre de l’émission des facturations en cours et de la faire apparaître sur ces dernières, alors que l’utilisation d’un identifiant permettant d’identifier le débiteur des différentes lignes mobiles (principales et secondaires) peut être mobilisée à la place. Il appartient au responsable du traitement de prévoir, dès la conception, des mesures organisationnelles et techniques pour ne plus traiter ces données dans ce cadre à la suite d’une demande de résiliation d’une ligne principale par la personne concernée.

Expérimentation autorisant les administrations fiscales et douanières à collecter et exploiter les contenus données librement accessibles sur les sites internet des opérateurs plateformes en ligne et manifestement rendus publics par leurs utilisateurs. Le Conseil d'État rappelle qu'en vertu de la décision du Conseil constitutionnel n° 2019-796 DC du 17 décembre 2019, les sites ou les plateformes dont les données ne sont accessibles qu'après inscription ou saisie d'un mot de passe ne peuvent donner lieu à collecte et exploitation. Il précise en outre que les commentaires rédigés par des tiers et relatifs au titulaire du compte ne peuvent faire l'objet d'aucune exploitation. Le Conseil d'État écarte des dispositions permettant : de collecter des contenus qui ne seraient accessibles qu'après inscription tout en précisant que la création de comptes est possible aux seules fins de pouvoir collecter de façon automatique des contenus autrement accessibles sans inscription préalable, la collecte et l'exploitation des commentaires figurant sur les pages des utilisateurs de plateformes.

Les personnes envoyant une candidature, avec les pièces requises, pour adhérer à un organisme ayant une finalité religieuse doivent être assimilées à des personnes entretenant contacts réguliers avec cet organisme au sens de l'article 9.2.d) du RGPD. L'organisme peut dès lors traiter licitement les données sensibles contenues dans la candidature, sur ce fondement ou le consentement, pour examiner et statuer sur la candidature. En cas de rejet de la candidature, il doit supprimer les données sensibles.

Le projet de décret vise à permettre la mise en œuvre d'une application informatique, dénommée « StopCovid », qui pourra être téléchargée sur les téléphones mobiles et qui permettra d'informer les utilisateurs de ces téléphones du fait qu'ils ont été à proximité de personnes diagnostiquées positives au virus du covid‑19 via la technologie « Bluetooth ». Ni les personnes dépistées, ni les cas contacts ne sont identifiés ; les utilisateurs de l'application ne disposent que de très peu d'informations les concernant et le projet de décret consacre le caractère libre et volontaire du téléchargement et de l'utilisation de l'application.

Eu égard à l'objectif de protection de la santé publique poursuivi, le décret ne méconnaît pas ni le droit au respect de la vie privée ni le RGPD. En particulier, la durée du traitement, fixée à six mois après la fin de l'état d'urgence sanitaire, ainsi que la durée de conservation de l'historique de proximité des utilisateurs, fixée à quinze jours à compter de l'émission des données, paraît adaptée.

Le Conseil d'État estime en outre que ce projet ne porte pas secret médical garanti par l'article L. 1110‑4 du code de la santé publique, lequel ne s'impose qu'aux professionnels.

En revanche, le Conseil d'État émet un avis défavorable à une disposition prévoyant que le téléchargement et l'utilisation de l'application ne peuvent donner lieu à des avantages ou droits spécifiques qui seraient refusés aux personnes n'ayant pas téléchargé ou n'utilisant pas l'application et qu'aucun tiers ne peut obliger une personne à utiliser l'application, ni exercer un droit de regard sur l'existence de l'application ou son contenu, dès lors que ces dispositions édictent des interdictions, notamment applicables aux relations entre personnes privées, qui relèvent des principes fondamentaux des obligations civiles et commerciales dont la détermination est réservée au législateur par l'article 34 de la Constitution.

Toutefois, des limites sont posées par la législation en vigueur à des pratiques consistant pour des personnes privées à subordonner des droits ou avantages à l'utilisation de cette application.

Un décret autorise la mise en œuvre, par le ministère de la défense, d'un traitement automatisé de données à caractère personnel ayant pour finalités, d'une part, la gestion administrative des demandes de pensions d'invalidité présentées en application du code des pensions militaires d'invalidité et des victimes de la guerre, et, d'autre part, la préparation et le suivi de la liquidation des dossiers des pensions attribuées au titre du même code. Ce décret, eu égard à son objet et à ses finalités, est justifié par un intérêt public et échappe ainsi, en application du IV de l'article 8 de la loi n°78‑17 du 6 janvier 1978, à l'interdiction de collecte et de traitement des données à caractère personnel relatives à la santé prévue par le I du même article. Compte tenu des dispositions de l'article 5 de la loi n°55‑356 du 3 avril 1955, qui autorisent la communication de renseignements médicaux ou de pièces médicales susceptibles de faciliter l'instruction d'une demande de pension aux services administratifs chargés de l'instruction des demandes, dont les agents sont eux‑mêmes tenus au secret professionnel, le décret n'a par lui‑même et ne pourrait d'ailleurs avoir légalement ni pour objet ni pour effet d'autoriser les services du ministère de la défense à accéder à des données personnelles relatives à la santé dans des conditions dérogeant aux exigences de protection du secret médical garanti par les dispositions de l'article L. 1110‑4 du code de la santé publique.

Des dispositions légales encadrant la transmission, aux services administratifs compétents et aux fins de vérification des conditions encadrant le congé pour invalidité temporaire imputable au service, de données de nature médicale relatives à des agents publics, portent une atteinte disproportionnée au droit au respect de la vie privée dès lors qu'elles répondent aux conditions suivantes : la transmission de ces données intervient sans recueillir préalablement le consentement des agents intéressés et sans que le secret médical puisse être opposé aux services administratifs qui en font la demande ; cette communication peut concerner un très grand nombre d'agents au sein des services administratifs concernés, dont la désignation n'est subordonnée à aucune habilitation spécifique et dont les demandes de communication ne sont soumises à aucun contrôle particulier ; les renseignements en cause peuvent être obtenus auprès de toute personne ou organisme.

Le Règlement (UE) 2019/1157, relatif au renforcement de la sécurité des cartes d'identité des citoyens de l'Union, est invalide en ce qu'il a été adopté sur une base juridique erronée. Toutefois, l'insertion obligatoire dans les cartes d'identité de deux empreintes digitales, prévue par ce règlement, est compatible notamment avec les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel. Les effets sont donc maintenus jusqu'à l'entrée en vigueur d'un nouveau règlement, fondé sur la base juridique spécifique appropriée, appelé à le remplacer.

L'article 4, paragraphe 1, sous c) et e), de la directive (UE) 2016/680 du Parlement européen et du Conseil, du 27 avril 2016, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil, lu en combinaison avec les articles 5 et 10, l'article 13, paragraphe 2, sous b), ainsi que l'article 16, paragraphes 2 et 3, de celle‑ci, et à la lumière des articles 7 et 8 de la Charte des droits fondamentaux de l'Union européenne doit être interprété en ce sens qu'il s'oppose à une législation nationale qui prévoit la conservation, par les autorités de police, à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, de données à caractère personnel, notamment de données biométriques et génétiques, concernant des personnes ayant fait l'objet d'une condamnation pénale définitive pour une infraction pénale intentionnelle relevant de l'action publique, et ce jusqu'au décès de la personne concernée, y compris en cas de réhabilitation de celle‑ci, sans mettre à la charge du responsable du traitement l'obligation de vérifier régulièrement si cette conservation est toujours nécessaire, ni reconnaître à ladite personne le droit à l'effacement de ces données, dès lors que leur conservation n'est plus nécessaire au regard des finalités pour lesquelles elles ont été traitées, ou, le cas échéant, à la limitation du traitement de celles‑ci.

L'article 4, paragraphe 3, du règlement nº 2252/2004 établissant des normes pour les éléments de sécurité et les éléments biométriques intégrés dans les passeports et les documents de voyage délivrés par les états membres n'oblige pas ces derniers à garantir, dans leur législation, que les données biométriques rassemblées et conservées conformément à ce règlement ne seront pas utilisées ou conservées à des fins autres que la délivrance du passeport ou du document de voyage ; un tel aspect relève d'absence d'obligation pesant sur les états membres.

Le recueil et la conservation de divers types de données personnelles s'analysent comme une ingérence dans le droit du requérant au respect de sa vie privée. La prise d'empreintes palmaires, en particulier, constitue une mesure qui, sur le plan de son intensité et de l'utilisation future éventuelle des données recueillies, est très similaire à celle de la prise d'empreintes digitales. Par conséquent, les mêmes considérations doivent s'appliquer. Il y a lieu de considérer que le signalement du requérant et son enregistrement dans les fichiers de la police aux fins d'une identification future sont comparables à la prise d'une photographie, quoique moins intrusifs. L'article 8 est donc applicable à cette mesure. L'ingérence litigieuse était conforme à la loi et avait pour objectif la prévention du crime ainsi que la protection des droits d'autrui en facilitant les enquêtes relatives à de futures infractions.

La mesure litigieuse ménageait un juste équilibre entre des intérêts publics et privés concurrents et relève donc de la marge d'appréciation de l'État défendeur.

Pour apprécier la proportionnalité de l'ingérence, il est important que le recueil et la conservation des données d'identification dont il est question en l'espèce – photographies, empreintes digitales et palmaires et signalement – aient constitué une ingérence moins intrusive que le recueil d'échantillons cellulaires et la conservation de profils ADN, qui contiennent des informations beaucoup plus sensibles.

En ce qui concerne la durée de la conservation des données d'identification en question, le droit interne pertinent prévoit des délais précis au terme desquels la nécessité de conserver les données doit être réexaminée. L'objet de la conservation ainsi que le type et l'importance du motif de la conservation doivent être pris en compte dans cette appréciation. Dans une affaire comme celle du requérant – un délinquant adulte dont les infractions ne sont ni mineures ni particulièrement graves selon la définition de la directive applicable – la règle veut que les données personnelles soient supprimées au bout de cinq ans en l'absence d'ouverture d'une nouvelle enquête pénale visant le requérant dans ce délai. Le requérant peut donc obtenir la suppression de ses données dans les fichiers de police si son comportement démontre que les données ne sont plus nécessaires au travail de la police. La présente affaire se distingue par conséquent d'affaires telles que S. et Marper et Gaughran c. Royaume‑Uni, qui concernaient la conservation de données pour une durée indéterminée, ou M.K. c. France, dans laquelle il avait été constaté qu'en pratique, les données étaient conservées pendant vingt‑cinq ans.

En outre, en l'espèce, la nécessité de conserver les données en question peut faire l'objet d'un réexamen – par la police, susceptible de contrôle juridictionnel. Rien n'indique que les données d'identification sont insuffisamment protégées contre des abus tels qu'un accès ou une diffusion non autorisés.

Au vu du degré relativement limité de l'intrusion et de la durée du recueil des données d'identification en question, de l'effet limité sur la vie quotidienne du requérant de la conservation des données dans une base de données interne de la police et de la présence de garanties, la mesure litigieuse constituait une ingérence proportionnée dans le droit du requérant au respect de sa vie privée.