La création d'un traitement de données à caractère personnel destiné à préserver l'intégrité des données nécessaires à la délivrance des titres d'identité et de voyage permet de sécuriser la délivrance de ces titres et d'améliorer l'efficacité de la lutte contre la fraude. Elle est ainsi justifiée par un motif d'intérêt général.

Toutefois, compte tenu de son objet, ce traitement de données à caractère personnel est destiné à recueillir les données relatives à la quasi-totalité de la population de nationalité française. Les données biométriques enregistrées dans ce fichier, notamment les empreintes digitales, étant par elles-mêmes susceptibles d'être rapprochées de traces physiques laissées involontairement par la personne ou collectées à son insu, sont particulièrement sensibles. Les caractéristiques techniques de ce fichier définies par les dispositions contestées permettent son interrogation à d'autres fins que la vérification de l'identité d'une personne. Les dispositions de la loi relative à la protection de l'identité autorisent la consultation ou l'interrogation de ce fichier non seulement aux fins de délivrance ou de renouvellement des titres d'identité et de voyage et de vérification de l'identité du possesseur d'un tel titre, mais également à d'autres fins de police administrative ou judiciaire.

Il résulte de ce qui précède qu'en égard à la nature des données enregistrées, à l'ampleur de ce traitement, à ses caractéristiques techniques et aux conditions de sa consultation, les dispositions de l'article 5 portent au droit au respect de la vie privée une atteinte qui ne peut être regardée comme proportionnée au but poursuivi. Par suite, les articles 5 et 10 de la loi relative à la protection de l'identité doivent être déclarés contraires à la Constitution.

L'enregistrement dans un traitement automatisé de données à caractère personnel d'une photographie de personnes mises en cause comportant les données biométriques nécessaires à la mise en œuvre d'un dispositif de reconnaissance faciale et permettant aux agents habilités d'identifier une personne à partir de l'image de son visage via une recherche automatisée pour les finalités mentionnées à l'article 230‑6 du code de procédure pénale tel que le prévoit l'article R. 40‑26 alinéa 16 de ce code répond à la condition de nécessité absolue posée par l'article 88 de la loi n°78‑17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. Une telle identification et le rapprochement avec les données enregistrées dans le traitement pouvant s'avérer absolument nécessaires à la recherche des auteurs d'infractions et à la prévention des atteintes à l'ordre public.

Dans le cadre d'un projet de décret autorisant la mise en œuvre par le ministère de l'éducation nationale d'un traitement ayant pour finalité d'améliorer la prise en charge et le parcours scolaire des élèves à besoins éducatifs particuliers, dont des élèves handicapés, compte tenu des données traitées, de la minorité d'un grand nombre de personnes concernées par le traitement, du cadre dans lequel elles sont recueillies et du considérant 38 du RGPD qui indique que « les enfants méritent une protection spécifique en ce qui concerne leurs données à caractère personnel parce qu'ils peuvent être moins conscients des risques, des conséquences et des garanties concernées et de leurs droits liés au traitement des données à caractère personnel », la CNIL considère que le contrat de sous-traitance devrait prévoir l'interdiction de transférer les données en dehors de l'Union européenne.

Les dispositions contestées modifient l'article 9 de la loi n°78‑17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés afin de fixer le régime des traitements de données à caractère personnel relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes, lorsque ces traitements ne sont pas mis en œuvre par les autorités compétentes à des fins pénales au sens de la directive européenne du 27 avril 2016.

1) En premier lieu, d'une part, en adoptant ces dispositions, le législateur a entendu permettre la mise en œuvre de traitements de données à caractère personnel relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes par des personnes collaborant au service public de la justice, telles que des associations d'aide aux victimes ou d'accompagnement de personnes placées sous main de justice. Il a également entendu ouvrir cette faculté aux personnes victimes ou mises en cause dans une procédure pénale, afin de leur permettre de préparer ou de mettre en œuvre un recours en justice. Ce faisant, le législateur a poursuivi des objectifs d'intérêt général.

2) En second lieu, d'une part, en prévoyant qu'elles s'appliquent aux personnes morales de droit privé collaborant au service public de la justice appartenant à des catégories dont la liste est fixée par décret en Conseil d'État, pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés, ainsi qu'aux personnes agissant soit en tant que victimes ou mises en cause soit pour le compte de ces dernières, les dispositions contestées circonscrivent suffisamment le champ des personnes ainsi autorisées à mettre en œuvre un traitement de données à caractère personnel en matière pénale. D'autre part, la mise en œuvre de ces traitements ne peut être effectuée, dans le premier cas, que dans la mesure strictement nécessaire à la mission exercée par la personne collaborant au service public de la justice et, dans le second, que pour une durée strictement proportionnée aux finalités poursuivies par les personnes victimes ou mises en cause. Dans ce dernier cas, la communication à un tiers n'est possible que sous les mêmes conditions et dans la mesure strictement nécessaire à la poursuite des mêmes finalités. Enfin, la mise en œuvre de ces traitements de données est subordonnée au respect des garanties prévues par le règlement européen du 27 avril 2016, en particulier les conditions posées à ses articles 5 et 6, et à celles prévues par la loi n°78‑17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. Le législateur, qui n'était pas tenu de prévoir un dispositif d'autorisation préalable des traitements de données en cause, n'a donc pas méconnu le droit au respect de la vie privée.

Les dispositions combinées de l’article L. 34‑1 du code des postes et des communications électroniques, tel qu’il est modifié par l’article 14 de la loi favorisant la diffusion et la protection de la création sur internet et les troisième et cinquième alinéas de l’article L. 331‑21 du code de la propriété intellectuelle ainsi que son article L. 331‑24, tels qu’ils résultent de l’article 5 de cette loi, ont pour effet de modifier les finalités en vue desquelles les personnes privées peuvent mettre en œuvre des traitements portant sur des données à caractère personnel relatives à des infractions. Elles permettent en effet que, désormais, les données recueillies relatives aux infractions de contrefaçon commises sur internet acquièrent un caractère nominatif non seulement dans le cadre d’une procédure judiciaire, mais également dans le cadre de la procédure conduite devant la commission de protection des droits de la haute autorité pour la diffusion des œuvres et la protection des droits sur internet.

À l’issue de la censure résultant des considérants 19 et 20 de sa décision, le Conseil constate que la commission de protection des droits ne peut prononcer les sanctions prévues par la loi déférée : seul un rôle préalable à une procédure judiciaire lui est confié. Une telle intervention est justifiée par l’ampleur des contrefaçons commises au moyen d’internet et l’utilité, dans l’intérêt d’une bonne administration de la justice, de limiter le nombre d’infractions dont l’autorité judiciaire sera saisie. Il en résulte que les traitements de données à caractère personnel mis en œuvre par les sociétés et organismes précités ainsi que la transmission de ces données à la commission de protection des droits pour l’exercice de ses missions s’inscrivent dans un processus de saisine des juridictions compétentes.

En outre, ces traitements seront soumis aux exigences prévues par la loi n° 78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Les données ne pourront être transmises qu’à cette autorité administrative ou aux autorités judiciaires. Il appartiendra à la Commission nationale de l’informatique et des libertés, saisie pour autoriser de tels traitements, de s’assurer que les modalités de leur mise en œuvre, notamment les conditions de conservation des données, seront strictement proportionnées à cette finalité.

Hors des conditions prévues par le code des postes et des communications électroniques (saisie d'adresse IP pour la recherche, la constatation et la poursuite d'infractions pénales) et la loi pour la confiance dans l'économie numérique (qui ne s'applique pas aux correspondances privées que sont les courriels anonymes adressés à des personnes identifiées), une mesure d'identification à fin d'identifier une adresse IP peut être ordonnée par un juge, sur le fondement de l'article 145 du code de procédure civile, selon lequel s'il existe un motif légitime de conserver ou d'établir avant tout procès la preuve de faits dont pourrait dépendre la solution d'un litige, les mesures d'instruction légalement admissibles peuvent être ordonnées à la demande de tout intéressé, sur requête ou en référé.

Une telle mesure peut être regardée comme légalement admissible lorsque la communication nécessaire à l'exercice ou à la défense d'un droit en justice à un tiers d'une adresse IP est nécessaire à l'exercice ou à la défense d'un droit en justice, qu'elle ne porte pas une atteinte disproportionnée au droit à la vie privée de la personne dont les données sont ainsi communiquées à un tiers et qu'enfin, ce tiers fasse de ces données un usage licite.

L'article L. 411 - 10 du c ode de la construction et de l'habitation prévoit que le ministère chargé du logement tient un répertoire des logements locatifs sociaux et de leurs habitants, pour permettre l'élaboration et la mise en œuv re des politiques publiques de l'habitat.

Le c du 1° du paragraphe I de l'article 78 de la loi relative à l'égalité et à la citoyenneté complète cet article L. 411 - 10. Il prévoit que, pour alimenter ce répertoire, les bailleurs sociaux transmettent au min istère chargé du logement le numéro d'immatriculation au répertoire national d'identification des personnes physiques de chaque occupant majeur d'un logement locatif social.

En adoptant les dispositions contestées, le législateur a entendu que le ministère chargé du logement soit en mesure d'établir une cartographie de l'occupation socio - économique du parc de logements sociaux, afin d'améliorer la mise en œuvre de la politique en matière d'attribution de ces logements. Il a ainsi poursuivi un objectif d'int érêt général.

Si les collectivités territoriales et certains de leurs établissements publics peuvent obtenir du représentant de l'État dans la région les informations relatives aux logements situés sur leur territoire contenues dans le répertoire, c'est, e n vertu du huitième alinéa de l'article L. 411 - 10, à la condition que ces informations aient été préalablement rendues anonymes.

Par ailleurs, le législateur a prévu au 4° du paragraphe I de l'article 78 que l'exploitation des données du répertoire par le groupement d'intérêt public mentionné à l'article L. 441 - 2 - 1 du c ode de la construction et de l'habitation est réalisée de manière à rendre impossible l'identification des intéressés.

Il en résulte que le législateur a retenu des modalités de collecte, d' enregistrement, de conservation, et de communication du numéro d'immatriculation au répertoire national d'identification des personnes physiques adéquates et proportionnées à l'objectif poursuivi. Par conséquent, le grief tiré de la méconnaissance du droit au respect de la vie privée doit être écarté.

L'accès d'autorités publiques aux données visant à l'identification des titulaires des cartes SIM activées avec un téléphone mobile volé, telles que les nom, prénom et, le cas échéant, adresse de ces titulaires, comporte une ingérence dans les droits fondamentaux de ces derniers qui ne présente pas une gravité telle que cet accès devrait être limité, en matière de prévention, de recherche, de détection et de poursuite d'infractions pénales, à la lutte contre la criminalité grave.

La publication du nom de l'ensemble des bénéficiaires des aides de la Politique Agricole Commune (PAC) et du montant perçu constitue une ingérence excessive dans la vie privée. Il est possible, en revanche, une publication limitée en fonction de la durée, de la fréquence et de l'importance des aides perçues – par exemple, une publication de la liste des principaux bénéficiaires de la PAC.

Le Conseil d'État (section de l'intérieur) saisi d'un projet de décret portant transposition en droit interne des principes du code mondial antidopage et de diverses modifications relatives à la procédure disciplinaire lui donne un avis favorable. Ce projet modifie les dispositions réglementaires du code du sport relatives au traitement automatisé de données à caractère personnel visant à mettre en œuvre l'établissement du profil biologique des sportifs, ainsi que celles relatives aux modalités d'utilisation d'un algorithme prédictif pour les besoins de l'établissement de ce même profil biologique.

Le Conseil d'État considère, eu égard au caractère sensible des données médicales qui font l'objet d'un traitement pour l'établissement du profil biologique des sportifs, au grand nombre de sportifs concernés, ainsi qu'aux modalités de réalisation de ce traitement, au moyen d'un algorithme prédictif, et à ses finalités, notamment de sanction, que le traitement permettant l'établissement du profil biologique des sportifs impose de conduire l'analyse d'impact prévue par l'article 35 du règlement général sur la protection des données.

Si la réalisation de cette dernière n'est pas une modalité de la procédure consultative de la CNIL et ne conditionne pas la légalité du décret modifiant les dispositions réglementaires relatives à ce traitement, elle n'en est pourtant pas moins une obligation de fond s'imposant au responsable dudit traitement. Aussi le Conseil d'État attire-t-il l'attention du Gouvernement sur la nécessité pour le responsable du traitement de réaliser l'analyse d'impact dans les plus brefs délais.

1) Il ressort du considérant 41 du RGPD, que la référence, dans ce règlement, à une « mesure législative » n’implique pas nécessairement que l’adoption d’un acte législatif par un parlement est exigée.

Toute mesure adoptée en vertu de l’article 23 du RGPD doit, ainsi que le législateur de l’Union l’a souligné au considérant 41 de ce règlement, être claire et précise, et son application prévisible pour les justiciables. En particulier, ces derniers doivent pouvoir identifier les circonstances et conditions dans lesquelles la portée des droits qu’ils confère ledit règlement est susceptible d’être limitée.

Il découle des considérations qui précèdent que l’administration fiscale d’un État‑membre ne saurait déroger aux dispositions de l’article 5, paragraphe 1, du RGPD en l’absence d’une base juridique claire et précise du droit de l’Union ou du droit national, dont l’application est prévisible pour les justiciables, prévoyant les circonstances et conditions dans lesquelles la portée des obligations et des droits prévues à cet article 5 peut être limitée.

2) a) Les dispositions du RGPD doivent être interprétées en ce sens que l’administration fiscale d’un État‑membre ne saurait déroger aux dispositions de l’article 5, paragraphe 1, de ce règlement, qui fixe les principes à respecter par tout traitement, alors qu’un tel droit ne lui a pas été octroyé par le droit national, au sens de l’article 23, paragraphe 1, de ce même texte.

b) Les dispositions du RGPD doivent être interprétées en ce sens qu’elles ne s’opposent pas à ce que l’administration fiscale d’un État‑membre impose à un prestataire de services d’annonces publiées sur internet de lui communiquer des informations relatives aux contribuables ayant publié des annonces dans l’une des rubriques de son portail en ligne, dès lors que cela est nécessaire à la mission d’intérêt public poursuivie par cette administration. Néanmoins, les données demandées doivent être nécessaires au regard des finalités spécifiques pour lesquelles elles sont collectées et la période sur laquelle porte leur collecte ne saurait excéder la durée strictement nécessaire pour atteindre l’objectif d’intérêt général visé.

1) Le traitement de données à caractère personnel mis en œuvre par la administration fiscale aux fins d'obtenir l'autorisation de procéder à des opérations de visite et saisies sur le fondement de l'article L. 16 B du livre des procédures fiscales, qui a pour finalité d'obtenir le droit de procéder à une mesure d'enquête pouvant donner lieu à la constatation d'une infraction ou d'un manquement à la législation fiscale, dans le but de percevoir l'impôt et de lutter contre la fraude fiscale, entre dans le champ d'application matériel du RGPD.

2) Dès lors, le juge doit notamment vérifier si, dans le litige qui lui est soumis, le responsable du traitement est tenu de fournir à la personne concernée les informations prévues à son article 14 ou si sont réunies les conditions des exemptions ou limitations à cette obligation d'information qu'il prévoit. En effet, si l'article 14 du RGPD soumet le responsable du traitement à l'obligation de fournir un certain nombre d'informations à la personne concernée lorsque les données à caractère personnel n'ont pas été collectées auprès d'elle, il résulte du paragraphe 5 de ce texte que cette obligation ne s'applique pas dans la mesure où elle est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement.

3) En outre, l'article 23 du RGPD prévoit que le droit de l'État membre auquel le responsable du traitement est soumis peut, par la voie de mesures législatives, limiter la portée de l'obligation d'informer la personne concernée par le traitement de données à caractère personnel prévue à l'article 14 du RGPD lorsqu'une telle limitation respecte l'essence des libertés et droits fondamentaux et qu'elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir la prévention et la détection d'infractions pénales, les enquêtes et les poursuites en la matière et d'autres objectifs importants d'intérêt public général d'un État membre, notamment un intérêt économique ou financier important, y compris dans les domaines monétaire, budgétaire et fiscal.

Ainsi, l'administration fiscale n'a pas l'obligation de fournir à la personne concernée les informations prévues à l'article 14 de ce règlement si sont réunies les conditions de l'exception prévue au paragraphe 5 de ce texte ou des limitations prévues à l'article 23.

Le Premier ministre est compétent pour l'adoption d'un décret se bornant à autoriser la collecte de données nécessaires au développement d’un algorithme en matière d’indemnisation du préjudice corporel, sans déroger à la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Cette loi n’a ni pour objet, ni pour effet de fixer des règles relatives aux garanties fondamentales accordées aux citoyens pour l’exercice des libertés publiques, y compris en ce qu’elle exclut l’exercice des droits d’information et d’opposition des personnes dont les données personnelles sont collectées.

L’article 23 du RGPD selon lequel le droit de l’Union ou le droit d’un État membre peut apporter des limitations aux droits prévus par le règlement « par la voie de mesures législatives », ne saurait être entendu comme imposant l’intervention du législateur, le droit de l’Union européenne ne régissant pas la répartition des compétences au sein des États membres.

Dans le cadre de rapports employeur/employés, le fait d'effectuer des recherches sur des personnes portant sur des données à caractère personnel telles qu'antécédents judiciaires, renseignements bancaires et téléphoniques, véhicules, propriétés, qualité de locataire ou de propriétaire, situation matrimoniale, santé, déplacement à l'étranger est susceptible de constituer un moyen de collecte déloyal dès lors que, issues de la capture et du recoupement d'informations diffusées sur des sites publics tels que sites web, annuaires, forums de discussion, réseaux sociaux, sites de presse régionale, ces données ont fait l'objet d'une utilisation sans rapport avec l'objet de leur mise en ligne et ont été recueillies à l'insu des personnes concernées, ainsi privées du droit d'opposition institué par la loi informatique et libertés.

En effet, le fait que les données à caractère personnel collectées en l'espèce par le prévenu aient été pour partie en accès libre sur internet ne retire rien au caractère déloyal de cette collecte, dès lors qu'une telle collecte, de surcroît réalisée à des fins dévoyées de profilage des personnes concernées et d'investigation dans leur vie privée, à l'insu de celles-ci, ne pouvait s'effectuer sans qu'elles en soient informées.

1) Il résulte de l'article 14 du RGPD que, lorsqu'un prospecteur récupère un numéro de téléphone d'un tiers, par exemple un fournisseur d'accès à internet (FAI), à des fins de prospection téléphonique, il doit informer la personne prospectée du traitement de ces données pour cette finalité, au plus tard lors de l'appel téléphonique.

2) Lorsqu'une information prévue par le RGPD est fournie dans le cadre d'échanges téléphoniques, il est admis que cette information puisse se limiter aux éléments les plus importants pour l'interlocuteur, afin de rester brève, à condition d'indiquer un moyen d'obtenir les informations complètes (exemples : touche à activer sur le téléphone, courriel reçu par l'interlocuteur, renvoi vers une page web). L'information sur le traitement des données transmises par les FAI, notamment les coordonnées téléphoniques des personnes, à des fins de prospection téléphonique en application de l'article 14 du RGPD, et celle relative à l'enregistrement de la conversation, en application de l'article 13 du RGPD, peuvent par ailleurs être fusionnées.

Cas d’un annuaire ayant enrichi ses données en collectant les données publiquement accessibles sur des réseaux sociaux. La circonstance que, dans le cadre de leur politique de confidentialité, certains réseaux sociaux auraient averti leurs membres de la possible indexation de données à caractère personnel par des moteurs de recherche ne saurait les faire considérer comme déjà informés, au sens de la loi du 6 janvier 1978, de la possible agrégation de leurs données à caractère personnel à un service d’annuaire. Eu égard à l’intérêt qui s’attache au respect des libertés et droits fondamentaux des vingt‑cinq millions de personnes touchées par le traitement litigieux, et notamment au respect de leur vie privée, la société responsable du traitement n’est pas fondée à soutenir que l’information de ces personnes, dont elle avait les coordonnées dans son annuaire, exigeait des efforts disproportionnés par rapport à l’intérêt de la démarche au sens des dispositions du III de l’article 32 de la loi du 6 janvier 1978.

L'article 15 du RGPD doit être interprété comme suit :

1) Il s'applique à une demande d'accès aux informations visées par cette disposition lorsque les opérations de traitement concernées ont été effectuées avant la date d'entrée en application du RGPD, mais que la demande a été présentée après cette date.

2) Le droit d'accès prévu à l'article 15 doit permettre à la personne concernée de s'assurer que les données à caractère personnel la concernant sont exactes et qu'elles sont traitées de manière licite. Pour ce faire, la copie que le responsable du traitement est tenu de fournir doit contenir toutes les données à caractère personnel faisant l'objet d'un traitement, présenter l'ensemble des caractéristiques lui permettant d'exercer effectivement ses droits au titre du règlement et reproduire intégralement ces données. Afin de garantir que les informations ainsi fournies soient faciles à comprendre, la reproduction d'extraits de documents, voire de documents entiers ou d'extraits de bases de données contenant, entre autres, les données à caractère personnel peut s'avérer indispensable lorsque la contextualisation des données est nécessaire pour en assurer l'intelligibilité. Les opérations de consultation des données par les salariés du responsable de traitement constituent un traitement ; la personne dont les données personnelles sont consultées a droit à l'accès à ses données ainsi qu'aux informations liées à ces opérations, telles que mentionnées à l'article 15 du RGPD. La date des consultations permet à la personne concernée d'obtenir confirmation que ses données ont effectivement fait l'objet d'un traitement à un moment donné et constitue un élément permettant de vérifier leur licéité à cette date. En outre, l'article 15 prévoit la possibilité d'accéder à la finalité du traitement de consultation et aux éventuels destinataires des données consultées.

Il en résulte que la cour considère que les informations relatives aux opérations de consultation des données à caractère personnel d'une personne, portant sur les dates et les finalités de ces opérations, constituent des informations que cette personne a le droit d'obtenir du responsable du traitement en vertu de cette disposition. En revanche, ladite disposition ne consacre pas un tel droit concernant l'identité des salariés du responsable ayant procédé à ces opérations sous son autorité et conformément à ses instructions, sauf si ces informations sont indispensables pour permettre à la personne concernée d'exercer effectivement les droits qui lui sont conférés par le règlement et à condition de tenir compte des droits et libertés de ces salariés.

3) La circonstance que le responsable du traitement exerce une activité bancaire dans le cadre d'une mission réglementée et que la personne dont les données à caractère personnel ont été traitées en tant que cliente du responsable a également été employée par ce dernier est, en principe, sans incidence sur l'étendue du droit dont bénéficie cette personne en vertu de cette disposition.

L'ingérence dans le droit à la vie privée et à la protection des données à caractère personnel qu'emporte la publicité des données nominatives contenues dans le registre des sociétés n'est pas disproportionnée, étant donné le nombre de données concernées et le fait qu'elle vise à assurer la sécurité juridique dans les rapports entre les sociétés et les tiers ainsi qu'à protéger les intérêts des tiers par rapport aux sociétés par actions et aux sociétés à responsabilité limitée. Il ne peut donc être garanti aux personnes physiques dont les données sont inscrites dans le registre des sociétés le droit d'obtenir, après un certain délai à compter de la dissolution de la société, l'effacement des données à caractère personnel les concernant. En revanche, les États membres peuvent exceptionnellement déroger à cette exigence de publicité. Il leur appartient de déterminer si les personnes physiques visées à l'article 2, paragraphe 1, sous d) et j) de la directive 68/151/CEE, à savoir, d'une part, les personnes qui ont le pouvoir d'engager une société à l'égard des tiers et de la représenter en justice et celles qui participent à l'administration, à la surveillance ou au contrôle de la société et, d'autre part, les liquidateurs d'une société, peuvent demander à l'autorité chargée de la tenue du registre central, du registre du commerce ou du registre des sociétés de vérifier, sur la base d'une appréciation au cas par cas, s'il est exceptionnellement justifié, pour des raisons prépondérantes et légitimes tenant à leur situation particulière, de limiter, à l'expiration d'un délai suffisamment long après la dissolution de la société concernée, l'accès aux données à caractère personnel les concernant, inscrites dans ce registre, aux tiers justifiant d'un intérêt spécifique à la consultation de ces données.

Il résulte du point (4) de l’introduction du RGPD que le droit à la protection des données à caractère personnel n’est pas un droit absolu et doit être considéré par rapport à sa fonction dans la société et mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité, notamment le droit à un recours effectif et à accéder à un tribunal impartial. Selon l’article 145 du code de procédure civile, s’il existe un motif légitime de conserver ou d’établir avant tout procès la preuve de faits dont pourrait dépendre la solution d’un litige, les mesures d’instruction légalement admissibles peuvent être ordonnées à la demande de tout intéressé. Il résulte par ailleurs des articles 6 et 8 de la Convention européenne des droits de l’homme et des libertés fondamentales, de l’article 9 du code civil et de l’article 9 du code de procédure civile que le droit à la preuve peut justifier la production d’éléments portant atteinte à la vie privée à condition que cette production soit indispensable à l’exercice de ce droit et que l’atteinte soit proportionnée au but poursuivi. Il faut donc approuver l’arrêt qui ordonne à l’employeur de communiquer à une salariée les bulletins de salaire d’autres salariés occupant des postes de niveau comparable au sien, avec occultation des données personnelles à l’exception des noms et prénoms, de la classification conventionnelle et de la rémunération, après avoir relevé que cette communication d’éléments portant atteinte à la vie privée d’autres salariés était indispensable à l’exercice du droit à la preuve et proportionnée au but poursuivi, soit la défense de l’intérêt légitime de la salariée à l’égalité de traitement entre hommes et femmes en matière d’emploi et de travail.

1) Les dispositions de l'article 8, paragraphes 1 et 5, de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doivent être interprétées en ce sens que l’interdiction ou les restrictions relatives au traitement des catégories particulières de données à caractère personnel, visées par ces dispositions, s’appliquent, sous réserve des exceptions prévues par cette directive, également à l’exploitant d’un moteur de recherche dans le cadre de ses responsabilités, de ses compétences et de ses possibilités en tant que responsable du traitement effectué lors de l’activité de ce moteur, à l’occasion d’une vérification opérée par cet exploitant, sous le contrôle des autorités nationales compétentes, à la suite d’une demande introduite par la personne concernée.

2) Les dispositions de l’article 8, paragraphes 1 et 5, de la directive 95/46 doivent être interprétées en ce sens que, en vertu de celles‑ci, l’exploitant d’un moteur de recherche est en principe obligé, sous réserve des exceptions prévues par cette directive, de faire droit aux demandes de déréférencement portant sur des liens menant vers des pages web sur lesquelles figurent des données à caractère personnel qui relèvent des catégories particulières visées par ces dispositions.

L’article 8, paragraphe 2, sous e), de la directive 95/46 doit être interprété en ce sens que, en application de celui‑ci, un tel exploitant peut refuser de faire droit à une demande de déréférencement lorsqu’il constate que les liens en cause mènent vers des contenus comportant des données à caractère personnel qui relèvent des catégories particulières visées à cet article 8, paragraphe 1, mais dont le traitement est couvert par l’exception prévue audit article 8, paragraphe 2, sous e), à condition que ce traitement réponde à l’ensemble des autres conditions dlicéité posées par cette directive et à moins que la personne concernée n’ait, en vertu de l’article 14, premier alinéa, sous a), de ladite directive, le droit de s’opposer audit traitement pour des raisons prépondérantes et légitimes tenant à sa situation particulière.

Les dispositions de la directive 95/46 doivent être interprétées en ce sens que, lorsque l’exploitant d’un moteur de recherche est saisi d’une demande de déréférencement portant sur un lien vers une page web sur laquelle des données à caractère personnel relevant des catégories particulières visées à l’article 8, paragraphe 1 ou 5, de cette directive sont publiées, cet exploitant doit, sur la base de tous les éléments pertinents du cas d’espèce et compte tenu de la gravité de l’ingérence dans les droits fondamentaux de la personne concernée au respect de la vie privée et à la protection des données à caractère personnel, consacrés aux articles 7 et 8 de la charte des droits fondamentaux de l’Union européenne, vérifier, au titre des motifs d’intérêt public important visés à l’article 8, paragraphe 4, de ladite directive et dans le respect des conditions prévues à cette dernière disposition, si l’inclusion de ce lien dans la liste de résultats, qui est affichée à la suite d’une recherche effectuée à partir du nom de cette personne, s’avère strictement nécessaire pour protéger la liberté d’information des internautes potentiellement intéressés à avoir accès à cette page web au moyen d’une telle recherche, consacrée à l’article 11 de cette charte.

3) Les dispositions de la directive 95/46 doivent être interprétées en ce sens que,
a) d’une part, les informations relatives à une procédure judiciaire dont une personne physique a été l’objet ainsi que, le cas échéant, celles relatives à la condamnation qui en a découlé constituent des données relatives aux « infractions » et aux « condamnations pénales », au sens de l’article 8, paragraphe 5, de cette directive, et
b) d’autre part, l’exploitant d’un moteur de recherche est tenu de faire droit à une demande de déréférencement portant sur des liens vers des pages web, sur lesquelles figurent de telles informations, lorsque ces informations se rapportent à une étape antérieure de la procédure judiciaire en cause et ne correspondent plus, compte tenu du dérolement de celle‑ci, à la situation actuelle, dans la mesure où il est constaté, dans le cadre de la vérification des motifs d’intérêt public important visés à l’article 8, paragraphe 4, de ladite directive, que, eu égard à l’ensemble des circonstances de l’espèce, les droits fondamentaux de la personne concernée, garantis par les articles 7 et 8 de la charte des droits fondamentaux de l’Union européenne, prévalent sur ceux des internautes potentiellement intéressés, protégés par l’article 11 de cette charte.