1) Les dispositions du RGPD doivent être interprétées en ce sens que l'administration fiscale d'un État membre ne saurait déroger aux dispositions de l'article 5, paragraphe 1, de ce règlement, qui fixe les principes à respecter par tout traitement, alors qu'un tel droit ne lui a pas été octroyé par le droit national, au sens de l'article 23, paragraphe 1, de ce même texte.

2) Les dispositions du RGPD doivent être interprétées en ce sens qu'elles ne s'opposent pas à ce que l'administration fiscale d'un État membre impose à un prestataire de services d'annonces publiées sur internet de lui communiquer des informations relatives aux contribuables ayant publié des annonces dans l'une des rubriques de son portail en ligne, dès lors que cela est nécessaire à la mission d'intérêt public poursuivie par cette administration. Néanmoins, les données demandées doivent être nécessaires au regard des finalités spécifiques pour lesquelles elles sont collectées et la période sur laquelle porte leur collecte ne saurait excéder la durée strictement nécessaire pour atteindre l'objectif d'intérêt général visé.

L'article 67 de la loi n°2021-344 du 17 mars 2014 relative à la consommation crée un traitement de données à caractère personnel recensant les crédits à la consommation accordés aux personnes physiques n'agissant pas pour des besoins professionnels, dénommé « registre national des crédits aux particuliers ». Par la création de ce registre, le législateur a poursuivi un motif d'intérêt général de prévention du surendettement. Toutefois, ce registre est destiné à comprendre des données à caractère personnel d'un très grand nombre de personnes (plus de 12 millions), la durée de conservation est de plusieurs années (toute la durée du crédit ou du plan de surendettement), les motifs de consultation sont très nombreux (octroi d'un crédit à la consommation mais également d'un prêt sur gage corporel, reconduction d'un contrat de crédit renouvelable, vérification triennale de solvabilité de l'emprunteur, vérification relative aux personnes se portant caution d'un prêt à la consommation …) et plusieurs dizaines de milliers d'agents des établissements de crédit seront habilités à consulter le registre. Compte tenu de la nature des données enregistrées, de l'ampleur du traitement de données, de la fréquence de son utilisation, du grand nombre de personnes susceptibles d'y avoir accès et de l'insuffisance des garanties relatives à l'accès au registre, la création du registre national des crédits aux particuliers porte une atteinte au droit au respect de la vie privée qui ne peut être regardée comme proportionnée au but poursuivi.

Accord conclu le 14 novembre 2013 entre le Gouvernement de la République française et le Gouvernement des États-Unis d'Amérique en vue d'améliorer le respect des obligations fiscales à l'échelle internationale et de mettre en œuvre la loi relative au respect des obligations fiscales concernant les comptes étrangers (dite « loi FATCA »). Traitement d’échange automatique d’informations organisant notamment la collecte et le transfert de données à caractère personnel aux autorités fiscales américaines créé pour la mise en œuvre de cet accord.

Si le traitement créé par l’arrêté du 5 octobre 2015 a pour finalité de lutter contre la fraude et l'évasion fiscales et relève à ce titre du RGPD et non de la directive n° 2016/680, il doit être regardé comme ayant parmi ses objets la prévention, la recherche, la constatation ou la poursuite des infractions pénales. Il s’ensuit, eu égard à cet objet, qu’il est au nombre des traitements visés à l’article 31 de la loi n° 78-17 du 6 janvier 1978.

Arrêté créant un traitement ayant pour objet de permettre à des tiers à qui un contribuable a communiqué une copie de son avis d'impôt sur le revenu ou de son justificatif d'impôt sur le revenu, de vérifier l'authenticité des données qui y figurent au moyen d'une consultation directe du justificatif d'impôt sur le revenu du contribuable certifié par l'administration fiscale.

Les destinataires du traitement ne sont définis, par les dispositions de l'arrêté attaqué, que comme les personnes ayant besoin, dans le cadre de leurs activités, de connaître et de vérifier l'authenticité des informations contenues dans le justificatif d'impôt sur le revenu d'un contribuable. Une telle définition ne peut être regardée, eu égard à l'importance des données en cause, comme précisant suffisamment les destinataires ou catégories de destinataires habilités à en recevoir communication, comme l'exige l'article 29 de la loi n°78‑17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dite loi Informatique et Libertés. Dès lors que les dispositions en cause ne sont pas divisibles du reste de l'arrêté attaqué, celui‑ci doit être déclaré illégal.

1) a) Il résulte de l'article 82 de la loi n°78‑17 du 6 janvier 1978, éclairé par les dispositions respectives de la directive 2002/58/CE telles qu’interprétées par la Cour de justice de l’Union européenne dans son arrêt C‑673/17 du 1er octobre 2019 et du RGPD, que pour que le consentement préalable puisse être regardé comme consentement éclairé, l'utilisateur doit pouvoir disposer de l'identité du ou des responsables de traitement ainsi que de la liste des destinataires ou des catégories de destinataires de ses données. En particulier, si l'éditeur d'un site qui dépose des « cookies » doit être considéré comme un responsable de traitement, y compris lorsqu’il sous‑traite à des tiers la gestion de « cookies » mis en place pour son propre compte, doivent également être considérés comme responsables de traitement les tiers qui déposent des cookies à l'occasion de la visite du site d'un éditeur dès lors qu'ils agissent pour le leur compte propre. Il résulte clairement de l'article 7, point 1, du RGPD que le responsable de traitement doit être en mesure, à tout moment, de fournir la preuve du recueil valable du consentement de l'utilisateur. Par suite, la CNIL a pu légalement rappeler qu'une liste exhaustive et régulièrement mise à jour des responsables ou co‑responsables du traitement de données doit être mise à disposition de l'utilisateur directement lors du recueil de son consentement.

b) Il découle des dispositions de l'article 82 de la loi n°78‑17 du 6 janvier 1978 que le consentement de l'utilisateur doit porter sur chacune des finalités poursuivies par le traitement de données et que toute nouvelle finalité ultérieure, compatible avec la ou les finalités initiales, assignée au traitement de données est soumise au recueil d'un consentement propre. Le respect d'une telle exigence implique à tout le moins, dans l'hypothèse où le recueil du consentement serait effectué de manière globale, qu'il soit précédé d'une information spécifique à chacune des finalités.

2) Il résulte clairement de la combinaison de l'article 4, point 11 et de l'article 7, paragraphe 3 du RGPD avec l'article 82 de la loi n°78‑17 du 6 janvier 1978 que, d'une part, en l'absence de consentement exprimé par un acte positif clair, l'utilisateur doit être considéré comme ayant refusé l'accès à son terminal ou l'inscription d'informations dans ce dernier, et que, d'autre part, il peut retirer son consentement à tout moment. Il s'ensuit que la CNIL qui, en indiquant qu'il devait « être aussi facile de refuser ou de retirer son consentement que de le donner », s'est bornée à caractériser les conditions du refus de l'utilisateur sans définir de modalités techniques particulières d'expression d'un tel refus, n'a entaché sa délibération d'aucune méconnaissance des règles applicables en la matière.

3) La CNIL affirme, à l'article 2 de sa recommandation, que la validité du consentement est soumise à la condition que la personne concernée ne subisse pas d'inconvénient majeur en cas d'absence ou de retrait de son consentement, un tel inconvénient majeur pouvant consister, selon elle, dans l'impossibilité d'accéder à un site Internet, en raison de la pratique des « cookies walls ». En déduisant pareille interdiction générale et absolue de la seule exigence d'un consentement libre, posée par le RGPD, la CNIL a excédé ce qu'elle peut légalement faire, dans le cadre d'un instrument de droit souple, édicté sur le fondement du 2° du I de l'article 8 de la loi du 6 janvier 1978 cité au point 3. Il s'ensuit que la délibération attaquée est, dans cette mesure, entachée d'illégalité.

ème ème

1) Les dispositions de l'article 32 de la loi n°78‑17 du 6 janvier 1978 éclairées par les objectifs de la directive n°2002/58/CE du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques qu'elles transposent, instituent une obligation d'information claire et complète des utilisateurs d'internet sur les témoins de connexion (cookies) qui sont susceptibles d'être déposés, notamment sous la forme de fichiers, sur leurs terminaux lorsqu'ils visitent un site. Ces témoins de connexion et les informations qu'ils contiennent étant par la suite accessibles lors de connexions ultérieures à internet à l'aide du même terminal, elles imposent, d'une part, une information des utilisateurs de services de communications électroniques, en particulier des utilisateurs d'internet, sur la finalité de ces cookies et les moyens dont ils disposent pour s'y opposer. Elles imposent, d'autre part, le recueil de leur consentement avant tout dépôt de cookies sur le terminal grâce auquel ils accèdent à ces services. Ne sont pas concernés par ces obligations les cookies qui sont essentiels au fonctionnement technique du site ni ceux qui correspondent à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur. En revanche, le fait que certains cookies ayant une finalité publicitaire soient nécessaires à la viabilité économique d'un site ne saurait conduire à les regarder comme « strictement nécessaires à la fourniture » du service de communication en ligne.

2) Alors que la société requérante soutient qu'elle s'est mise en conformité avec ces exigences, en proposant aux personnes concernées le paramétrage de leur navigateur pour s'opposer au dépôt de cookies, les éléments portés à la connaissance des utilisateurs du site « www.challenges.fr » ne leur permettaient ni de différencier clairement les catégories de cookies susceptibles d'être déposés sur leur terminal, ni de s'opposer seulement à ceux dont le dépôt est soumis à leur consentement préalable, ni de connaître les conséquences, en termes de navigation sur le site, attachées à leur éventuelle opposition. Dans ces conditions, c'est à bon droit que la formation restreinte de la Commission nationale de l'informatique et des libertés (CNIL) a considéré que le paramétrage du navigateur proposé aux utilisateurs ne constituait pas un mode valable d'opposition au dépôt de cookies et en a déduit qu'il n'avait pas été remédié au manquement à l'obligation d'information et de mise en œuvre d'un mécanisme d'opposition en cas de dépôt de témoins de connexion qu'elle avait constaté dans sa mise en demeure.

Si un responsable de traitement peut se prévaloir d'une exemption à l'information et au recueil du consentement lorsque les opérations de lecture/écriture effectuées dans le terminal d'un utilisateur ont pour seule finalité la sécurisation d'un mécanisme d'authentification au bénéfice des utilisateurs, il en va autrement lorsque ces opérations poursuivent également d'autres finalités complémentaires qui ne sont pas strictement nécessaires à la fourniture d'un service. Ainsi, un mécanisme de reCAPTCHA n'a pas pour seule finalité la sécurisation du mécanisme d'authentification au bénéfice des utilisateurs mais permet tant par ailleurs des opérations d'analyse de la part d'une société tierce qui doit faire l'objet d'une information des utilisateurs et du recueil de leur consentement.

Lorsqu'un identifiant mobile est créé pour chaque compte utilisateur sur les serveurs d'une société, des « informations » sont lues sur l'équipement terminal de ce dernier afin de permettre d'associer les requêtes émises à un compte utilisateur (c'est‑à‑dire le fait que l'utilisateur effectue une recherche, télécharge ou achète des applications) et, plus tard, d'affecter cet utilisateur unique à des segments au sein d'un univers nécessitant une authentification (univers « authentifié » ou « logué »). Même si la principale fonction de ces informations serait de permettre l'authentification d’un utilisateur au sein d'un univers logué – ce qui constituerait en soi une finalité dispensée du recueil du consentement car strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur – la circonstance que les informations collectées grâce à ces témoins de connexion soient également utilisées pour permettre la segmentation à des fins publicitaires empêche nécessairement lesdits témoins de connexion de rentrer dans les catégories de traceurs dont la lecture est exemptée du recueil du consentement au sens de l'article 82 de la loi n°78‑17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée.

1) Si un cookie multi-finalités peut être déposé sans consentement pour une finalité essentielle qui relève de l'une des deux exemptions prévues à l'article 82 de la loi Informatique et Libertés, la société ne pourra utiliser ce cookie pour des finalités non essentielles que si l'utilisateur a effectivement consenti à ces finalités spécifiques préalablement à son inscription dans son terminal. En effet, déposer un cookie multi-finalités sur le terminal de l'utilisateur pour des finalités essentielles exemptées du recueil du consentement au titre des exemptions prévues à l'article 82 de la loi Informatique et Libertés, puis faire relever du RGPD les traitements ultérieurs réalisés pour des finalités non essentielles dudit cookie, reviendrait à détourner les dispositions de l'article 82 de la loi Informatique et Libertés puisque le consentement de l'utilisateur ne serait plus jamais sollicité préalablement au dépôt de cookies.

2) À ce titre, la finalité de lutte contre la fraude publicitaire, comprise comme l'ensemble des pratiques de tiers visant à manipuler la distribution et la mesure publicitaire opérée par une régie, que cette fraude soit opérée au détriment de ladite régie ou de ses partenaires publicitaires, concerne la diffusion publicitaire et n'impacte pas la fourniture d'un service de moteur de recherche aux utilisateurs. Les cookies ayant cette finalité ne remplissent aucune des conditions prévues pour les deux exceptions de l'article 82 de la loi Informatique et Libertés, dès lors notamment que la publicité n'est pas le service demandé par l'utilisateur, et nécessitent le consentement de l'utilisateur.

L'article 12 de la directive 2002/58/CE du 12 juillet 2002 (directive «vie privée et communications électroniques») doit être interprété en ce sens qu'il ne s'oppose pas à une réglementation nationale qui fait obligation à une entreprise publiant des annuaires publics de transmettre des données à caractère personnel qu'elle détient concernant les abonnés d'autres fournisseurs de services téléphoniques à une entreprise tierce dont l'activité consiste à publier un annuaire public imprimé ou électronique ou à rendre de tels annuaires consultables par l'intermédiaire de services de renseignements, sans qu'une telle transmission soit subordonnée à un nouveau consentement des abonnés, pour autant toutefois que, d'une part, ces derniers ont été informés avant la première inscription de leurs données dans un annuaire public de la finalité de celui-ci ainsi que du fait que ces données seraient susceptibles d'être communiquées à un autre fournisseur de services téléphoniques; et que, d'autre part, il est garanti que lesdites données ne seront pas, à l'exception de leur transmission, utilisées à des fins autres que celles pour lesquelles elles ont été collectées en vue de leur première publication.

1) Les données des médecins référencés sur un service d'annuaire, bien que déjà publiquement accessibles et d'ordre professionnel, sont des données personnelles. Dès lors, elles ne peuvent être réutilisées par les éditeurs de tels annuaires que dans le respect du règlement général sur la protection des données (RGPD).

2) À cet égard, la CNIL estime que lorsque ces annuaires consistent uniquement à référencer des professionnels et se limitent, par défaut (c'est-à-dire sauf intervention directe de ces derniers), à rediffuser les données « élémentaires » sur leur activité (données d'identité, spécialités / domaines d'expertise, coordonnées du lieu d'exercice de la profession, etc.) qui se trouvent publiées dans un format ouvert en vertu d'un cadre légal spécifique (en l'espèce, dans le cadre du « Répertoire partagé des professionnels intervenant dans le système de santé »), leur licéité n'est pas subordonnée au recueil d'un consentement préalable du professionnel concerné.

3) Pour autant, si un consentement n'est pas requis, les éditeurs d'annuaires doivent informer les personnes dont ils traitent les données des finalités qu'ils poursuivent et des conditions de mise en œuvre de leurs traitements. Une telle information permet aux personnes de conserver la maîtrise des usages qui sont faits de leurs données, en les mettant notamment en mesure d'exercer leurs droits, dont celui de pouvoir s'opposer à un tel traitement.

L'article 6, paragraphe 1, premier alinéa, sous f), du RGPD, lu en combinaison avec l’article 15, paragraphe 1, de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002 (directive vie privée et communications électroniques), doit être interprété en ce sens qu’il ne s’oppose, en principe, ni à l’enregistrement systématique, par le titulaire de droits de propriété intellectuelle ainsi que par un tiers pour son compte, d’adresses IP d’utilisateurs de réseaux de pair à pair dont les connexions internet ont été prétendument utilisées dans des activités contrefaisantes ni à la communication des noms et des adresses postales de ces utilisateurs à ce titulaire ou à un tiers afin de lui permettre d’introduire un recours en indemnisation devant une juridiction civile pour un dommage prétendument causé par lesdites utilisateurs, à condition toutefois que les initiatives et les demandes en ce sens dudit titulaire ou d’un tel tiers soient justifiées, proportionnées et non abusives et trouvent leur fondement juridique dans une mesure législative nationale, au sens de l’article 15, paragraphe 1, de la directive 2002/58, telle que modifiée par la directive 2009/136, qui limite la portée des règles énoncées aux articles 5 et 6 de cette directive, telle que modifiée.

Les directives 2002/58/CE du 12 juillet 2002 (directive vie privée et communications électroniques), et 2004/48 (droits de propriété intellectuelle) ne s'opposent pas à une législation nationale qui, aux fins d'identification d'un abonné Internet ou d'un utilisateur d'Internet, permet d'enjoindre à un fournisseur d'accès Internet de communiquer au titulaire d'un droit d'auteur ou à son ayant droit l'identité de l'abonné à qui une adresse IP (protocole internet) qui aurait servi à l'atteinte audit droit a été attribuée, dans la mesure où cette législation permet, à la juridiction nationale saisie d'une demande d'injonction de communiquer des données à caractère personnel, introduite par une personne ayant qualité pour agir, de pondérer, en fonction des circonstances de chaque espèce et en tenant dûment compte des exigences résultant du principe de proportionnalité, les intérêts opposés en présence.

Un responsable du traitement, qui souhaite enregistrer des conversations téléphoniques à des fins probatoires, doit démontrer qu'il ne dispose pas d'autres moyens moins intrusifs pour prouver que le contrat conclu à distance a bien été conclu avec la personne concernée. En application de l'article L.221-16 du code de la consommation, dès lors que la preuve de la souscription d'un contrat conclu à distance, à la suite d'un démarchage téléphonique, peut être apportée par la confirmation écrite de l'offre, l'enregistrement des conversations téléphoniques passées entre les téléopérateurs et les prospects, à des fins de preuve de la formation du contrat, n'apparait pas nécessaire.

1) La transmission de données personnelles à des tiers (qui en sont alors destinataires au sens du RGPD), lorsqu’elle ne constitue pas un moyen d’atteindre la finalité initialement prévue pour le traitement de ces données, n’est en principe possible que si elle est compatible avec cette finalité première. En particulier, dans le cas d’une vente d’une base de données, l’appréciation de cette compatibilité nécessite, sauf exception, que le vendeur connaisse la finalité pour laquelle la base de données sera utilisée par l’acheteur et ne vende la base que pour cet usage. L’appréciation de la nécessité d’un consentement se fait au cas par cas.

2) a) S’agissant de la revente d’une base de données de clients ou prospects d’une société en situation de liquidation, en vue de sa réutilisation à des fins de prospection commerciale, la CNIL considère que, eu égard à la finalité initiale de la base de données et du contexte de liquidation de l’entreprise, cette vente peut en principe être regardée comme compatible avec le traitement initial des données. Un consentement peut cependant être requis en raison des règles spécifiques à la prospection par voie électronique.

b) Les bases légales mobilisables pour la transmission, à titre onéreux ou non, de données à caractère personnel à des partenaires commerciaux souhaitant les réutiliser à des fins commerciales dépendent du canal utilisé pour la prospection faite par ces partenaires : prospection par voie électronique ou prospection par voie postale/téléphonique.

i) Si la transmission a pour finalité de permettre aux partenaires commerciaux de réaliser de la prospection électronique qui nécessite le recueil du consentement préalable des personnes en application des dispositions de l’article L.34‑5 du code des postes et des communications électroniques, l’organisme transmettant les données doit informer les personnes concernées et recueillir leur consentement à cette transmission en application de l’article 6‑1‑a du RGPD.

ii) Si la transmission a pour finalité de permettre aux partenaires commerciaux de réaliser de la prospection sur la base de leur intérêt légitime (prospection non électronique, c’est‑à‑dire réalisée par voie téléphonique ou postale), elle peut elle‑même être réalisée sur le fondement de l’intérêt légitime en application de l’article 6‑1‑f du RGPD. Dans ce cadre, l’organisme transmettant les données doit informer les personnes concernées de la finalité de cette transmission et des catégories de partenaires rendus destinataires des données et offrir aux personnes concernées, de manière expresse et dénuée d’ambiguïté, la possibilité de s’opposer, sans frais et de manière simple, à la transmission de leurs données à caractère personnel.

c) Il résulte de l’ensemble de ces exigences que la vente d’une base de données à des fins de prospection commerciale par l’acquéreur n’est possible que si :
- la base est vendue spécifiquement pour cette finalité, et non pour tout usage des données;
- il est prévu d’informer les personnes dont les données figurant dans la base de données de la vente;
- ces personnes vont, selon le cas, soit donner leur consentement, soit pouvoir s’opposer à figurer dans la base vendue.

Les articles 6 et 7, paragraphe 1, sous b) et c), ainsi que directive 95/46, ne s’opposent pas à une réglementation nationale qui impose à l’employeur l’obligation de mettre à la disposition de l’autorité nationale compétente en matière de surveillance des conditions de travail le registre du temps de travail afin d’en permettre la consultation immédiate, pour autant que cette obligation soit nécessaire aux fins de l’exercice par cette autorité de ses missions de surveillance de l’application de la réglementation en matière de conditions de travail, notamment, en ce qui concerne le temps de travail.

La Suède a instauré un système de contrôle du personnel pour les titulaires de postes importants pour la sécurité nationale ou les candidats à de tels postes. Ce système consiste en la collecte d'informations tirées de registres de police. Une ordonnance détaille les conditions de collecte et contient des dispositions explicites et détaillées sur la nature des renseignements pouvant être communiqués (antécédents personnels ou politiques), les autorités destinataires, les circonstances de pareille communication et la procédure que le Conseil national de la police, organe compétent pour décider de la communication desdites informations, doit suivre avant de se décider.

La Cour EDH affirme que la mémorisation et la communication des données relatives à la vie privée, assorties du refus d'accorder au requérant la faculté de les réfuter, portent atteinte à son droit au respect de sa vie privée, garanti par l'article 8 paragraphe 1 de la conv. EDH.

Si la Cour EDH reconnaît que le système mis en place poursuit un but légitime, la protection de la sécurité nationale, elle recherche si cette ingérence est « prévue par la loi » et « nécessaire dans une société démocratique ».

L'expression « prévue par la loi », au sens du paragraphe 2 de l'article 8 (art. 8 - 2), veut d'abord que l'ingérence ait une base en droit interne, mais l'observation de celui‑ci ne suffit pas : la loi en cause doit être accessible à l'intéressé, qui en outre doit pouvoir en prévoir les conséquences pour lui (voir, mutatis mutandis, l'arrêt Malone du 2 août 1984, série A no 82, pp. 31 - 32, par. 66). En l'espèce, il existe des dispositions explicites et détaillées sur la nature des renseignements pouvant être communiqués, les autorités destinataires, les circonstances de pareille communication et la procédure que le Conseil national de la police doit suivre avant de s'y décider. Aussi, l'ingérence litigieuse était donc "prévue par la loi" au sens de l'article 8.

S'agissant du caractère « nécessaire dans une société démocratique », la notion de nécessité implique une ingérence fondée sur un besoin social impérieux, et notamment proportionnée au but légitime recherché. Les autorités nationales jouissent d'une marge d'appréciation dont l'ampleur dépend non seulement de la finalité, mais encore du caractère propre de l'ingérence. En l'occurrence, il échec de mettre en balance l'intérêt de l'État défendeur à protéger sa sécurité nationale avec la gravité de l'atteinte au droit du requérant au respect de sa vie privée.

La Cour admet, la marge dont l'État défendeur disposait pour apprécier en l'espèce le besoin social impérieux, et notamment pour choisir les moyens de sauvegarder la sécurité nationale, revêtait une grande ampleur. Néanmoins, la Cour doit se convaincre de l'existence de garanties adéquates et suffisantes contre les abus car un système de surveillance secrète destiné à protéger la sécurité nationale crée un risque de saper, voire de détruire, la démocratie au motif de la défendre (arrêt Klass et autres du 6 septembre 1978, série A no 28, pp. 23 - 24, paras. 49 - 50). La Cour conclut ainsi que les garanties dont s'entoure le système suédois de contrôle du personnel, par exemple la présence de parlementaires dans le Conseil national et le contrôle du ministre de la Justice, remplissent les exigences du paragraphe 2 de l'article 8. Vu sa grande marge d'appréciation, le gouvernement défendeur était en droit de considérer que les intérêts de la sécurité nationale prévalaient en l'occurrence sur les intérêts individuels du requérant. L'ingérence que M. Leander a subie ne saurait donc passer pour disproportionnée au but légitime poursuivi. La Cour EDH exclut la violation de l'article 8 CEDH.

Il résulte du point (4) de l'introduction du RGPD que le droit à la protection des données à caractère personnel n'est pas un droit absolu et doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité, notamment le droit à un recours effectif et à accéder à un tribunal impartial. Selon l’article 145 du code de procédure civile, s’il existe un motif légitime de conserver ou d’établir avant tout procès la preuve de faits dont pourrait dépendre la solution d’un litige, les mesures d’instruction légalement admissibles peuvent être ordonnées à la demande de tout intéressé. Il résulte par ailleurs des articles 6 et 8 de la Convention européenne des droits de l’homme et des libertés fondamentales, l’article 9 du code civil et l’article 9 du code de procédure civile, que le droit à la preuve peut justifier la production d’éléments portant atteinte à la vie personnelle à la condition que cette production soit indispensable à l’exercice de ce droit et que l’atteinte soit proportionnée au but poursuivi. Il faut donc approuver l’arrêt qui ordonne à l’employeur de communiquer à une salariée les bulletins de salaire d’autres salariés occupant des postes de niveau comparable au sien avec occultation des données personnelles à l'exception des noms et prénoms, de la classification conventionnelle et de la rémunération, après avoir relevé que cette communication d’éléments portant atteinte à la vie personnelle d’autres salariés était indispensable à l’exercice du droit à la preuve et proportionnée au but poursuivi, soit la défense de l’intérêt légitime de la salariée à l'égalité de traitement entre hommes et femmes en matière d’emploi et de travail.

Cas d'un système automatisé de gestion d'un très grand nombre de marchandises dans un entrepôt au moyen de scanners permettant de suivre toutes les manipulations des objets et les principales actions des salariés. Les données brutes des scanners sont conservées et permettent l'établissement d'un très grand nombre d'indicateurs individuels de qualité, de productivité et de temps de travail.

1) a) Lorsqu'un service rendu à des clients entraîne des contraintes exceptionnelles, en raison de volumes importants et de courts délais de livraison, un suivi très précis en temps réel de toutes les manipulations des objets dans un entrepôt et de la situation de chaque poste de travail, donc de chaque salarié, peut s'avérer nécessaire. Néanmoins, ce type de suivi entraîne le traitement d'un très grand nombre de données, dont beaucoup de données personnelles en temps réel, chaque fois qu'un colis est manipulé par un salarié dans le cadre de tâches directes. Aussi, si le traitement en temps réel par une société de données brutes et indicateurs pour la bonne gestion de stocks et de commandes ne saurait être remis en cause de façon générale, les indicateurs mobilisés dans ce cadre, sur le fondement de l'intérêt légitime de l'employeur, doivent répondre aux exigences de nécessité et de proportionnalité de l'article 6 du RGPD.

b) i) La collecte de données pour mesurer la rapidité d'exécution des actions d'un salarié lors de la réalisation de certaines tâches, en associant un indicateur d'erreur chaque fois que cette rapidité est inférieure à une certaine durée de l'ordre de la seconde, au motif que cette rapidité est en principe incompatible avec la bonne exécution desdites tâches, est de nature à exercer sur lui une surveillance continue. Ce type d'indicateur est intrusif et peut avoir des répercussions morales négatives sur les salariés. Une telle précision dans la surveillance dépasse les attentes raisonnables des salariés, qui peuvent s'attendre à une certaine surveillance de leur travail, mais pas à ce que leurs actions fassent l'objet d'une évaluation informatique à un rythme de l'ordre de la seconde. Par conséquent, le traitement de cet indicateur excède ce qui est admissible pour servir les intérêts légitimes de l'entreprise en matière de qualité et de sécurité dans ses entrepôts, car il porte atteinte de manière excessive aux droits et intérêts des salariés, notamment à leur vie privée et personnelle, ainsi qu'à leur droit à des conditions de travail respectueuses de leur santé et de leur sécurité. Absence de base légale du traitement.

ii) De façon similaire, la collecte d'un indicateur signalant les temps d'inactivité et de latence de chaque salarié supérieurs à dix minutes à tout moment de la journée présente un caractère intrusif important, car elle contraint en pratique le salarié à pouvoir justifier de tout temps considéré comme non productif. Le traitement de cet indicateur peut avoir des répercussions négatives sur le salarié en raison du suivi continu qu'il permet des temps très courts considérés comme non productifs. Un tel traitement, pour des finalités de gestion d'un entrepôt, d'exécution des commandes et de fourniture de conseils aux salariés, est disproportionné par rapport aux intérêts et droits fondamentaux des salariés, notamment leur droit à la protection de leur vie privée et personnelle ainsi qu'à des conditions de travail respectueuses de leur santé et de leur sécurité. La base légale de l'intérêt légitime ne peut donc être retenue.

iii) Il en va de même de la collecte d'un indicateur signalant les temps d'inactivité et de latence inférieurs à dix minutes de chaque salarié à certains moments de la journée (en particulier avant et après les pauses), laquelle est disproportionnée au regard des finalités de gestion d'un entrepôt, d'exécution des commandes et de fourniture de conseils aux salariés. La base légale de l'intérêt légitime ne peut donc être retenue.

2) La conservation et l'utilisation, pour chaque salarié, de données aussi fines et riches que l'intégralité des données brutes remontées par les scanners, ainsi que l'ensemble des nombreux indicateurs associés mesurant diverses variables, y compris sur de courtes périodes (une heure), sur une profondeur de 31 jours, pour des finalités d'évaluations individuelles régulières des salariés et, s'agissant de la plupart de ces données, pour des finalités d'organisation du travail dans les entrepôts, ne sont ni nécessaires ni proportionnées, notamment dès lors que la société peut atteindre ces finalités sans conserver l'intégralité des données brutes sur 31 jours et en ayant recours à des statistiques individuelles de qualité et de productivité, par exemple hebdomadaires. La conservation et l'utilisation de l'ensemble de ces données méconnaît le principe de minimisation de l'article 5.1.c) du RGPD et, en tout état de cause, porte une atteinte disproportionnée aux droits du salarié contraire à l'article 6 du RGPD.

L'article 9 de la directive 95/46 doit être interprété en ce sens que des circonstances de fait telles que celles de l'affaire principale, à savoir l'enregistrement vidéo de membres de la police dans un commissariat, lors d'une prise de déposition, et la publication de la vidéo ainsi enregistrée sur un site Internet de vidéos où les utilisateurs peuvent envoyer, regarder et partager celles‑ci, peuvent constituer un traitement de données à caractère personnel aux seules fins de journalisme, au sens de cette disposition, pour autant qu'il ressort de ladite vidéo que ledit enregistrement et la publication ont pour seule finalité la divulgation au public d'informations, d'opinions ou d'idées ; ce qu'il incombe à la juridiction de renvoi de vérifier.