Les données relatives au demandeur d'un titre de séjour figurant dans un document administratif, telle que la « minute » en cause au principal, exposant les motifs que l'agent instructeur avance à l'appui du projet de décision qu'il est chargé de rédiger dans le cadre de la procédure préalable à l'adoption d'une décision relative à la demande d'un tel titre, et, le cas échéant, celles figurant dans l’analyse juridique que contient ce document constituent des « données à caractère personnel », au sens de la directive 95/46/CE du 24 octobre 1995. Tel n'est pas le cas en revanche de ladite analyse juridique : si celle-ci peut certes contenir des données à caractère personnel, elle ne constitue pas pour autant en elle‑même une telle donnée.

1) Il résulte du 11 de l'article 4 et des articles 6 et 7 du RGPD, tels qu'interprétés par la Cour de justice de l'Union européenne dans son arrêt C‑673/17 du 1er octobre 2019 que le consentement libre, spécifique, éclairé ne peut être un consentement exprès de l'utilisateur, donné en toute connaissance de cause et après une information adéquate sur l'usage qui sera fait de ses données personnelles.

a) Un consentement donné au moyen d'une case cochée par défaut n'implique pas un comportement actif de la part de l'utilisateur et ne peut dès lors être considéré comme procédant d'un acte positif clair permettant valablement le recueil du consentement.

b) En outre, un consentement recueilli dans le cadre de l'acceptation globale de conditions générales d'utilisation d'un service ne revêt pas un caractère spécifique au sens du RGPD.

c) Enfin, indépendamment des modalités dans lesquelles il est recueilli, le consentement n'est valide que s'il est précédé d'une présentation claire et distincte de l'ensemble des finalités poursuivies par le traitement.

1) Lorsque les données des prospects n'ont pas été collectées directement auprès d'eux par l'organisme qui prospecte, le consentement peut avoir été recueilli au moment de la collecte initiale des données par le primo-collectant, pour le compte de l'organisation qui réalisera les opérations de prospection ultérieures ou par l'organisme qui prospecte avant de procéder à des actes de prospection. Le prospecteur doit alors être en mesure de prouver qu'il dispose de ce consentement au sens de l'article 7, paragraphe 1 du RGPD.

2) Lorsque le consentement est recueilli par le primo-collectant pour le compte de prospecteurs, celui‑là doit clairement informer les personnes de l'identité du ou des prospecteurs pour le compte duquel le consentement est collecté et des finalités pour lesquelles les données seront utilisées. À défaut, il revient à l'organisme qui prospecte de recueillir un tel consentement avant de procéder à des actes de prospection afin que le consentement soit éclairé. Pour ce faire, une liste exhaustive et mise à jour doit être tenue à la disposition des personnes au moment du recueil de leur consentement, par exemple directement sur le support de collecte ou, si celle‑ci est trop longue, via un lien hypertexte renvoyant vers ladite liste et les politiques de confidentialité des prestataires et fournisseurs.

1) L’article 5, paragraphe 3, de la directive 2002/58 doit être interprété en ce sens que les informations que le fournisseur de services doit donner à l’utilisateur d’un site internet incluent la durée de fonctionnement des cookies ainsi que la possibilité ou non pour des tiers d’avoir accès aux cookies.

L’article 10 de la directive 95/46, à laquelle fait référence l’article 5, paragraphe 3, de la directive 2002/58, ainsi que l’article 13 du RGPD énoncent les informations que le responsable du traitement doit fournir à la personne auprès de laquelle il collecte des données la concernant. Ces informations comprennent notamment, en vertu de l’article 10 de la directive, outre l’identité du responsable du traitement et les finalités du traitement auquel les données sont destinées, toute information supplémentaire telle que les destinataires ou les catégories de destinataires des données, dans la mesure où, compte tenu des circonstances particulières dans lesquelles les données sont collectées, ces informations supplémentaires sont nécessaires pour assurer à l’égard de la personne concernée un traitement loyal des données.

2) Si la durée du traitement des données ne figure pas parmi ces informations, il ressort toutefois de l’expression « au moins » figurant à l’article 10 de la directive 95/46 que celles‑ci ne sont pas énumérées de manière exhaustive. Or, la durée de fonctionnement des cookies doit être considérée comme répondant à l’exigence d’un traitement loyal des données prévue par ledit article, en ce que, dans une situation telle que celle en cause au principal, une durée longue, voire illimitée, implique la collecte de nombreuses informations sur les habitudes de navigation et la fréquence des visites éventuelles de l’utilisateur sur les sites des partenaires publicitaires de l’organisateur du jeu promotionnel.

Cette interprétation est corroborée par l’article 13, paragraphe 2, sous a), du règlement 2016/679, qui prévoit que le responsable du traitement doit fournir à la personne concernée, pour garantir un traitement équitable et transparent, une information portant, notamment, sur la durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée.

Quant à la possibilité ou non pour des tiers d’avoir accès aux cookies, il s’agit d’une information comprise dans les informations mentionnées à l’article 10, sous c), de la directive 95/46, ainsi qu’à l’article 13, paragraphe 1, sous e), du règlement 2016/679, dès lors que ces dispositions mentionnent explicitement les destinataires ou les catégories de destinataires des données.

Dans le contexte d'une transmission de données à des partenaires en vue qu'ils les utilisent pour de la prospection commerciale, le recueil d'un consentement éclairé requiert en particulier d'informer les personnes concernées de l'étendue de la transmission de leurs données. À cet égard, des indications relatives au nombre et au secteur d'activité des partenaires rendus destinataires des données avant toute transmission sont de nature à éclairer les personnes concernées quant à l'utilisation ultérieure qui sera faite de leurs données.

L'article 7, sous f) de la directive 95/46/CE du 24 octobre 1995 s'oppose à une réglementation nationale qui, en l'absence du consentement de la personne concernée et pour autoriser le traitement de ses données à caractère personnel nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable de ce traitement ou par les tiers auxquels ces données sont communiquées, exige, outre le respect des droits et libertés fondamentaux de cette dernière, que lesdites données figurent dans des sources accessibles au public, excluant ainsi de façon catégorique et généralisée tout traitement de données ne figurant pas dans de telles sources.

1) L'article 9, paragraphe 1, du règlement 2016/679 doit être interprété en ce sens que dans le cas où un utilisateur d'un réseau social en ligne consulte des sites Internet ou des applications en rapport a vec une ou plusieurs des catégories visées à cette disposition et, le cas échéant, y insère des données en s'inscrivant ou en effectuant des commandes en ligne, le traitement de données à caractère personnel par l'opérateur de ce réseau social en ligne, co nsistant en la collecte, au moyen d'interfaces intégrées, de cookies ou de technologies d'enregistrement similaires, des données issues de la consultation de ces sites et de ces applications ainsi que des données insérées par l'utilisateur, en la mise en r elation de l'ensemble de ces données avec le compte du réseau social de celui - ci et en l'utilisation desdites données par cet opérateur, doit être considéré comme un « traitement portant sur des catégories particulières de données à caractère personnel », au sens de ladite disposition, qui est en principe interdit, sous réserve des dérogations prévues à cet article 9, paragraphe 2, lorsque ce traitement de données permet de révéler des informations relevant d'une de ces catégories, que ces informations conc ernent un utilisateur de ce réseau ou toute autre personne physique.

2) L'article 9, paragraphe 2, sous e), du règlement 2016/679 doit être interprété en ce sens que lorsqu'un utilisateur d'un réseau social en ligne consulte des sites Internet ou des appli cations en rapport avec une ou plusieurs des catégories visées à l'article 9, paragraphe 1, de ce règlement, il ne rend pas manifestement publiques, au sens de la première de ces dispositions, les données relatives à cette consultation, collectées par l'op érateur de ce réseau social en ligne à travers des cookies ou des technologies d'enregistrement similaires.

3) Lorsqu'il insère des données dans de tels sites Internet ou dans de telles applications ou lorsqu'il active des boutons de sélection intégrés à c es sites et à ces applications, tels que les boutons « j'aime » ou « partager » ou les boutons permettant à l'utilisateur de s'identifier sur ces sites ou ces applications en utilisant les identifiants de connexion liés à son compte d'utilisateur du réseau social, son numéro de téléphone ou son adresse électronique, un tel utilisateur ne rend manifestement publiques, au sens de cet article 9, paragraphe 2, sous e), les données ainsi insérées ou résultant de l'activation de ces boutons que dans le cas où il a explicitement exprimé son choix au préalable, le cas échéant sur la base d'un paramétrage individuel effectué en toute connaissance de cause, de rendre les données le concernant publiquement accessibles à un nombre illimité de personnes.

La publication du nom de l'ensemble des bénéficiaires des aides de la Politique Agricole Commune (PAC) et du montant perçu constitue une ingérence excessive dans la vie privée. Il est possible, en revanche, une publication limitée en fonction de la durée, de la fréquence et de l'importance des aides perçues – par exemple, une publication de la liste des principaux bénéficiaires de la PAC.

L'article R. 221‑15‑8 du code de l'action sociale et des familles, créé par le décret attaqué, dispose que, préalablement à la collecte de ses données, la personne se déclarant mineure et privée temporairement ou définitivement de la protection de sa famille est informée de la nature des données et informations collectées ainsi que des conséquences d'un refus de les communiquer ou d'une évaluation concluant à sa majorité. Elle reçoit également des informations relatives à la protection des données personnelles. Cette information est assurée par un formulaire dédié, rédigé dans une langue qu'elle comprend ou dont il est raisonnable de supposer qu’elle la comprend. À défaut, notamment lorsque l'intéressé ne sait pas lire, l'information est donnée sous forme orale. Le décret attaqué a ainsi prévu une information effective et adaptée des personnes sollicitant une protection en qualité de mineur, qui doit en outre satisfaire, sans que le pouvoir réglementaire ait eu à le rappeler, à l'exigence de clarté prévue par l'article 12 du RGPD.

L’information fournie au moyen d’une politique de confidentialité disponible uniquement en anglais, relative à des traitements de données ciblant majoritairement un public francophone, ne permet pas aux personnes concernées d’apprécier à l’avance la portée et les conséquences des traitements et n’est par conséquent pas conforme aux exigences de transparence de l’information posées par l’article 12 du RGPD. Il en va de même du renvoi opéré vers une politique de confidentialité uniquement en anglais depuis un formulaire de création de compte.

1) Il résulte de l'article 14 du RGPD que, lorsqu'un prospecteur récupère un numéro de téléphone d'un tiers, par exemple un fournisseur d'accès à internet (FAI), à des fins de prospection téléphonique, il doit informer la personne prospectée du traitement de ces données pour cette finalité, au plus tard lors de l'appel téléphonique.

2) Lorsqu'une information prévue par le RGPD est fournie dans le cadre d'échanges téléphoniques, il est admis que cette information puisse se limiter aux éléments les plus importants pour l'interlocuteur, afin de rester brève, à condition d'indiquer un moyen d'obtenir les informations complètes (exemples : touche à activer sur le téléphone, courriel reçu par l'interlocuteur, renvoi vers une page web). L'information sur le traitement des données transmises par les FAI, notamment les coordonnées téléphoniques des personnes, à des fins de prospection téléphonique en application de l'article 14 du RGPD, et celle relative à l'enregistrement de la conversation, en application de l'article 13 du RGPD, peuvent par ailleurs être fusionnées.

Dans la symbolique couramment utilisée en informatique, le fait de cliquer sur « X » en haut à droite de la dernière fenêtre visible d’une application permet généralement de la quitter. En l’espèce, le fait de cliquer sur « X » ne fait en réalité que mettre l’application en arrière‑plan et non la quitter. Eu égard au fait que des données à caractère personnel de l’utilisateur peuvent être communiquées à des tiers sans qu’il en ait nécessairement conscience, soit l’utilisateur doit se voir délivrer une information spécifique sur ce point, soit le comportement de réduction en arrière‑plan ne doit pas être activé par défaut et c’est à l’utilisateur de le paramétrer manuellement. Tout autre fonctionnement ne saurait correspondre aux attentes de l'utilisateur.

L'article 14, paragraphe 5, sous‑c), du règlement général sur la protection des données doit être interprété en ce sens que l'exception à l'obligation d'information de la personne concernée par le responsable du traitement, prévue à cette disposition, concerne indistinctement toutes les données à caractère personnel que le responsable du traitement n'a pas collectées directement auprès de la personne concernée, que ces données aient été obtenues par le responsable du traitement auprès d'une personne autre que la personne concernée ou qu'elles aient été générées par le responsable du traitement lui‑même, même dans le cadre de l'exercice de ses missions.

Les articles 10, 11 et 13 de la directive 95/46/CE du 24 octobre 1995 doivent être interprétés en ce sens qu'ils s'opposent à des mesures nationales qui permettent à une administration publique d'un État membre de transmettre des données à caractère personnel à une autre administration publique et leur traitement subséquent, sans que les personnes concernées n'aient été informées de cette transmission ou de ce traitement.

Cas d’un annuaire ayant enrichi ses données en collectant les données publiquement accessibles sur des réseaux sociaux. La circonstance que, dans le cadre de leur politique de confidentialité, certains réseaux sociaux auraient averti leurs membres de la possible indexation de données à caractère personnel par des moteurs de recherche ne saurait les faire considérer comme déjà informés, au sens de la loi du 6 janvier 1978, de la possible agrégation de leurs données à caractère personnel à un service d’annuaire. Eu égard à l’intérêt qui s’attache au respect des libertés et droits fondamentaux des vingt‑cinq millions de personnes touchées par le traitement litigieux, et notamment au respect de leur vie privée, la société responsable du traitement n’est pas fondée à soutenir que l’information de ces personnes, dont elle avait les coordonnées dans son annuaire, exigeait des efforts disproportionnés par rapport à l’intérêt de la démarche au sens des dispositions du III de l’article 32 de la loi du 6 janvier 1978.

Lorsque des données à caractère personnel sont collectées par un responsable de traitement de manière indirecte à partir de sources publiques, il résulte de l'article 14 du RGPD que le responsable de traitement est tenu d'en informer individuellement les personnes concernées, sauf notamment si la fourniture de cette information est impossible en pratique ou requiert des efforts disproportionnés.

Pour apprécier le caractère proportionné des efforts requis pour la fourniture de l'information, il y a lieu d'apprécier notamment les ressources financières et humaines dont dispose le responsable du traitement, les moyens et renseignements dont dispose déjà le responsable du traitement pour procéder à cette information, ainsi que l'intérêt pour les personnes concernées de disposer de cette information, en prenant en compte le volume de données traitées, les usages qui peuvent en être faits et les éventuelles atteintes à la vie privée qui pourraient en résulter.

L'article 7, sous f), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995 doit être interprété en ce sens qu'il n'impose pas l'obligation de communiquer des données à caractère personnel à un tiers afin de lui permettre d'introduire un recours en indemnisation devant une juridiction civile pour un dommage causé par la personne concernée par la protection de ces données. Toutefois, l'article 7, sous f), de cette directive 95/46/CE ne s'oppose pas à une telle communication sur la base du droit national.

Un SMS de prospection doit informer la personne de ce qu’elle peut s’opposer gratuitement au traitement de ses données.

Est-il illégal un dispositif qui informe la personne qu’il est possible de s’opposer au traitement en adressant un SMS ou un appel téléphonique payants dans le message de prospection reçu par SMS, ou en remplissant un formulaire sur internet, sans que cette faculté ait été mentionnée dans le SMS de prospection ?

1 ) L'article 47 de la Charte des droits fondamentaux de l'Union européenne doit être interprété en ce sens qu'il s'oppose à ce qu'une juridiction nationale rejette, en tant que moyen de preuve d'une violation de la protection des données à caractère personnel conférée par la directive 95/46, une liste, telle que la liste litigieuse, présentée par la personne concernée et contenant des données à caractère personnel de celle‑ci, dans l'hypothèse où cette personne aurait obtenu cette liste sans le consentement, légalement requis, du responsable du traitement de ces données, à moins qu'un tel rejet soit prévu par la législation nationale et qu'il respecte à la fois le contenu essentiel du droit à un recours effectif et le principe de proportionnalité. Ainsi, afin d'apprécier la proportionnalité d'un rejet de la liste litigeuse en tant que moyen de preuve, la juridiction de renvoi doit examiner si sa législation nationale limite ou non, par rapport aux données figurant sur cette liste, les droits d'information et d'accès énoncés aux articles 10 à 12 de la directive 95/46 et si une telle limitation est, le cas échéant, justifiée. En outre, même lorsque tel est le cas et qu'il existe des éléments plaidant en faveur d'un intérêt légitime à l'éventuelle confidentialité de la liste en cause, les juridictions nationales doivent vérifier au cas par cas si ceux‑ci prévalent sur l'intérêt à la protection des droits du particulier et s'il existe, dans le cadre de la procédure devant cette juridiction, d'autres moyens pour assurer cette confidentialité, notamment en ce qui concerne les données à caractère personnel des autres personnes physiques figurant sur cette liste.

2 ) L'article 47 de la Charte des droits fondamentaux de l'Union européenne doit être interprété en ce sens qu'il ne s'oppose pas à une législation nationale qui subordonne l'exercice d'un recours juridictionnel par une personne affirmant qu'il a été porté atteinte à son droit à la protection des données à caractère personnel garanti par la directive 95/46/CE à l'épuisement préalable des voies de recours disponibles devant les autorités administratives nationales, à condition que les modalités concrètes d'exercice desdites voies de recours n'affectent pas de manière disproportionnée le droit à un recours effectif devant un tribunal visé à cette disposition. Il importe, notamment, que l'épuisement préalable des voies de recours disponibles devant les autorités administratives nationales n'entraîne pas de retard substantiel pour l'introduction d'un recours juridictionnel, qu'il entraîne la suspension de la prescription des droits concernés et qu'il n'occasionne pas de frais excessifs.

Le projet d'accord entre le Canada et l'Union européenne sur le transfert et le traitement de données des dossiers passagers permet le transfert systématique et continu des données PNR de l'ensemble des passagers aériens à une autorité canadienne en vue de leur utilisation et de leur conservation, ainsi que de leur éventuel transfert ultérieur à d'autres autorités et d'autres pays tiers, dans le but de lutter contre le terrorisme et les formes graves de criminalité transnationale. À cet effet, l'accord envisagé prévoit, entre autres, une durée de stockage des données de cinq ans ainsi que des exigences en matière de sécurité et d'intégrité des données PNR, un masquage immédiat des données sensibles, des droits d'accès aux données, de rectification et d'effacement et la possibilité d'introduire des recours administratifs ou judiciaires.

La Cour juge que certaines stipulations du projet d'accord envisagé sont incompatibles avec les droits fondamentaux, à moins que celui‑ci ne soit révisé pour mieux encadrer et préciser les ingérences. Cet accord doit, pour être compatible avec les articles 7 et 8 ainsi qu'avec l'article 52, paragraphe 1, de la Charte des droits fondamentaux:

a) déterminer de manière claire et précise les données des dossiers passagers à transférer depuis l'Union européenne vers le Canada;

b) prévoir que les modèles et les critères utilisés dans le cadre du traitement automatisé des données des dossiers passagers seront spécifiques, fiables et non discriminatoires; prévoir que les bases de données utilisées seront limitées à celles exploitées par le Canada en rapport avec la lutte contre le terrorisme et la criminalité transnationale grave;

c) soumettre, hormis dans le cadre des vérifications relatives aux modèles et aux critères préétablis sur lesquels sont fondés les traitements automatisés des données des dossiers passagers, l'utilisation de ces données par l'autorité canadienne compétente pendant le séjour des passagers aériens au Canada et après leur départ de ce pays, ainsi que toute communication desdites données à d'autres autorités, à des conditions matérielles et procédurales fondées sur des critères objectifs; subordonner cette utilisation et cette communication, sauf cas d'urgence dûment justifiés, à un contrôle préalable effectué soit par une juridiction soit par une entité administrative indépendante, dont la décision autorisant l'utilisation intervient à la suite d'une demande motivée de ces autorités, notamment dans le cadre de procédures de prévention, de détection ou de poursuites pénales;

d) limiter la conservation des données des dossiers passagers après le départ des passagers aériens à celles des passagers à l'égard desquels il existe des éléments objectifs permettant de considérer qu'ils pourraient présenter un risque en termes de lutte contre le terrorisme et la criminalité transnationale grave;

e) soumettre la communication des données des dossiers passagers par l'autorité canadienne compétente aux autorités publiques d'un pays tiers à la condition qu'il existe soit un accord entre l'Union européenne et ce pays tiers équivalent à l'accord entre le Canada et l'Union européenne sur le transfert et le traitement de données des dossiers passagers, soit une décision de la Commission européenne, au titre de l'article 25, paragraphe 6, de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, couvrant les autorités vers lesquelles la communication des données des dossiers passagers est envisagée;

f) prévoir un droit à l'information individuelle des passagers aériens en cas d'utilisation des données des dossiers passagers les concernant pendant leur séjour au Canada et après leur départ de ce pays ainsi qu'en cas de divulgation de ces données par l'autorité canadienne compétente à d'autres autorités ou à des particuliers, et

g) garantir que la surveillance des règles prévues par l'accord entre le Canada et l'Union européenne sur le transfert et le traitement de données des dossiers passagers, relatives à la protection des passagers aériens à l'égard du traitement des données des dossiers passagers les concernant, est assurée par une autorité de contrôle indépendante.