Aucune norme constitutionnelle ne s'oppose par principe à l'utilisation à des fins administratives de données nominatives recueillies dans le cadre d'activités de police judiciaire. Toutefois, cette utilisation méconnaîtrait les exigences résultant des articles 2, 4, 9 et 16 de la Déclaration de 1789 si, par son caractère excessif, elle portait atteinte aux droits ou aux intérêts légitimes des personnes concernées.

Considérant, en deuxième lieu, que les Articles 6 et 9 de la convention pour la protection des personnes à l’égard du traitement automatisé de données à caractère personnel signée à Strasbourg le 28 janvier 1981, ratifiée en vertu de la loi du 19 octobre 1982 et publiée au Journal Officiel en vertu du décret du 15 novembre 1985, n’autorisent le traitement des données nominatives qui font apparaître les origines raciales ou les opinions politiques, les convictions religieuses ou autres convictions, les données à caractère personnel relatives à la santé ou à la vie sexuelle que si ce traitement dérogatoire prévu « par la loi de la partie » constitue une mesure nécessaire, dans une société démocratique : a) à la protection de l’État, à la sûreté publique, aux intérêts monétaires de l’État ou à la répression des infractions pénales…

L'accès aux numéros de châssis des véhicules faisant l'objet d'une annonce publiée sur le portail Internet d'un opérateur économique par l'administration fiscale d'un État membre en vue de se voir fournir des informations sur les annonces publiées sur ce portail aux fins de la perception de l'impôt et de la lutte contre la fraude fiscale relève du champ d'application du RGPD dans la mesure où, dans ces circonstances, l'administration n'agit pas en tant qu'« autorité compétente », au sens de l'article 3, point 7, de la directive 2016/680 dite « Police - Justice » et que ces données à caractère personnel ne sont pas collectées dans l'objectif spécifique d'exercer des poursuites pénales ou dans le cadre des activités de l'État relatives à des domaines du droit pénal.

Le traitement de données à caractère personnel mis en œuvre par l'administration fiscale aux fins d'obtenir l'autorisation de procéder à des opérations de visite et saisies sur le fondement de l'article L. 16‑B du livre des procédures fiscales, qui a pour finalité d’obtenir le droit de procéder à une mesure d'enquête pouvant donner lieu à la constatation d'une infraction ou d'un manquement à la législation fiscale, dans le but de percevoir l'impôt et de lutter contre la fraude fiscale, entre dans le champ d'application matériel du RGPD.

Lorsqu'elle demande à un opérateur économique de lui communiquer des données à caractère personnel relatives à certains contribuables aux fins de la perception de l'impôt et de la lutte contre la fraude fiscale, il n'apparaît pas que l'administration fiscale d'un État membre puisse être considérée comme une « autorité compétente », au sens de l'article 3, point 7, de la directive 2016/680, ni, partant, que de telles demandes d'informations puissent relever de l'exception prévue à l'article 2, paragraphe 2, sous d), du RGPD. En outre, même s'il n'est pas exclu que les données à caractère personnel en cause au principal puissent être utilisées dans le cadre de poursuites pénales qui pourraient être exercées, en cas d'infraction dans le domaine fiscal, contre certaines des personnes concernées, il n'apparaît pas que ces données soient collectées dans l'objectif spécifique d'exercer de telles poursuites pénales ou dans le cadre des activités de l'État relatives à des domaines du droit pénal.

Le Conseil d'État constate qu'existent des traitements de données à caractère personnel qui relèvent à la fois du champ de la directive, en raison de certaines de leurs finalités mixtes, et du champ du règlement (UE) 2016/679 ou du droit interne, en raison de leurs autres finalités. Cette situation est traitée par l'article 9 de la directive (UE) 2016/680, qui dispose que le traitement à d’autres fins de données collectées dans le champ de la directive n'est possible que si un tel traitement est autorisé par le droit de l'Union ou le droit de l'État‑membre et que, dès lors que les données sont traitées à d'autres fins, le règlement s'applique, à moins que le traitement ne soit effectué dans le cadre d'une activité ne relevant pas du champ d'application du droit de l'Union.

1) D’une part, le Conseil d'État en conclut que, lorsqu’un traitement de données répond à des finalités mixtes, il convient que sa mise en œuvre soit prévue par un acte législatif ou réglementaire ou un acte répondant aux exigences de clarté, de précision et d’éventail rappelées au considérant 33 de la directive. Le Conseil d'État relève d'ailleurs que l'existence d'un tel acte est également nécessaire lorsqu'il est envisagé d'apporter des restrictions aux droits des personnes concernées en application des articles 13, 15 et 16 de la directive, transposés à l'article 70‑21 de la loi du 6 janvier 1978.

2) D’autre part, le Conseil d'État estime que l'article 9 de la directive impose un double régime aux traitements de données à finalités mixtes.

S’agissant des traitements relevant à la fois du champ de la directive et de celui du règlement, ce double régime paraît complexe à mettre en œuvre pour les droits des personnes concernées. Le Conseil d'État relève en effet qu'existent deux droits prévus par le règlement et absents de la directive : le droit à l'oubli et le droit à la portabilité des données. Dans les deux cas, le règlement prévoit que ces droits ne sont pas applicables lorsque le traitement est nécessaire « à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement ». Ces droits devraient donc être inapplicables aux traitements de données dont les finalités mixtes. Les autres droits des personnes concernées (information, accès, opposition…) sont plus ouverts dans le règlement que dans la directive.

Le Conseil d'État estime que, dès lors que les données sur lesquelles la personne concernée demande à exercer ses droits ne pourront pas être exclusivement rattachées aux finalités prévues par la directive, soit aux autres finalités du traitement de données, il convient que l'acte ayant autorisé le traitement de données à finalités mixtes s'appuie sur l'article 23 du règlement, qui permet une diminution de la portée des droits de la personne concernée sous plusieurs conditions, dont la sécurité publique et la préservation des procédures pénales, afin de déterminer un régime des droits des personnes concernées cohérent pour l'ensemble des données traitées pour les diverses finalités. Pour être conforme aux exigences du second paragraphe de l'article 23 du règlement, les dispositions apportant de telles limitations doivent être précises et ne sauraient prendre la forme d'habilitations générales.

S'agissant des traitements relevant à la fois du champ de la directive et de celui du droit interne, dès lors que les données sur lesquelles la personne concernée demande à exercer ses droits ne peuvent être exclusivement rattachées à l'un ou l'autre de ces deux champs, les restrictions apportées à ces droits ne pourront excéder celles prévues par la directive.

Les données relatives à la santé des personnes atteintes par le virus responsable de la covid‑19 et des personnes en contact avec elles sont, le cas échéant sans leur consentement, traitées et tagées à travers un système d'information ad hoc. Ne méconnaît pas le droit au respect de la vie privée l'extension de l'accès à ces données à certains professionnels de santé qui participent à l'établissement du diagnostic et à l'identification des chaînes de contamination, sans consentement préalable, dès lors que ces professionnels ne peuvent avoir accès qu'aux seules données nécessaires à leur intervention et dans la stricte mesure où leur intervention sert les finalités poursuivies par le système d'information ; aux organismes assurant l'accompagnement social des personnes infectées ou susceptibles de l'être, lorsque cet accès est subordonné au recueil préalable du consentement des intéressés et ne peut porter que sur les données strictement nécessaires à l'exercice de la mission de ces organismes (voir à ce sujet la censure sous DC 2020‑800).

L'article 11 contesté prévoit que, par dérogation à l'exigence fixée à l'article L. 1110‑4 du code de la santé publique, les données à caractère personnel relatives à la santé des personnes atteintes par le covid-19 et des personnes en contact avec elles peuvent être traitées et partagées, sans le consentement des intéressés, dans le cadre d'un système d'information ad hoc ainsi que dans le cadre d'une adaptation des systèmes d'information relatifs aux données de santé déjà existants. La collecte, le traitement et le partage d'informations portent donc non seulement sur les données médicales personnelles des intéressés, mais aussi sur certains éléments d'identification et sur les contacts qu'ils ont noués avec d'autres personnes. Ce faisant, les dispositions contestées portent atteinte au droit au respect de la vie privée. Toutefois ce dispositif n'est pas contraire à la Constitution dès lors que : le législateur a entendu renforcer les moyens de lutte contre l'épidémie et poursuit l'objectif de valeur constitutionnelle (OVC) de protection de la santé ; le traitement des données ne peut être mis en œuvre que dans la mesure strictement nécessaire à quatre finalités précisément définies en lien avec cet objectif de valeur constitutionnel ; le champ des données susceptibles de faire l'objet du traitement en cause est circonscrit aux seules données relatives au covid-19 et strictement nécessaires à la poursuite de ces finalités ; le champ des personnes pouvant accéder aux données collectées, bien que large, est proportionné compte tenu de l'étendue des démarches à entreprendre pour organiser la collecte des informations nécessaires à la lutte contre le développement de l'épidémie. Par ailleurs, diverses garanties sont prévues par la loi (secret professionnel, encadrement de l'accès aux données pour les seules finalités dont relèvent les organismes concernés…) ; le traitement de ces données reste soumis aux règles issues du RGPD et de la loi du 6 janvier 1978 dite « Informatique et Libertés » ; ce dispositif ne peut s'appliquer au-delà du temps strictement nécessaire à la lutte contre la propagation de l'épidémie de covid-19 et les données à caractère personnel collectées, qu'elles soient ou non médicales, doivent, quant à elles, être supprimées trois mois après leur collecte ; le décret d'application de la loi est pris après avis public de la Commission nationale de l'informatique et des libertés. Le Conseil constitutionnel émet néanmoins des réserves : l'anonymisation prévue des données nominatives pour ce qui concerne la finalité de surveillance épidémiologique et de recherche contre le virus doit s'étendre aux coordonnées de contact électronique et téléphonique ; le recueil de ces données sans consentement préalable par des organismes d'accompagnement social méconnaît le droit au respect de la vie privée dans la mesure où l'accompagnement ne relève pas directement de la lutte contre l'épidémie ; il appartiendra au pouvoir réglementaire de définir des modalités de collecte, de traitement et de partage des informations assurant leur stricte confidentialité et, notamment, l'habilitation spécifique des agents chargés, au sein de chaque organisme, de participer à la mise en œuvre du système d'information ainsi que la traçabilité des accès à ce système d'information ; le recours à des sous‑traitants, qui agissent pour leur compte et sous leur responsabilité, doit s'effectuer en conformité avec les exigences de nécessité et de confidentialité des données.

Les données collectées relèvent du champ de l'article 25 de la loi n°78‑17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés dans sa rédaction applicable (dispositions abrogées) et sont par conséquent soumises au régime d'autorisation prévu par cet article mais également au régime de déclaration de l'article 22 (dispositions abrogées), les données collectées dans le but d'établir l'existence ou de prévenir la commission d'infractions.

Par conséquent, n'en relèvent pas les traitements créés par le décret du 28 décembre 2016, qui sont, ainsi que le prévoit le 2° de l'article R. 332‑15 du code du sport créé par ce dernier, relatifs à des manquements « aux dispositions des conditions générales de vente ou du règlement intérieur concernant la sécurité des manifestations sportives », qui exploitent les données collectées dans le seul but d'assurer la sécurité des manifestations sportives en permettant aux organisateurs de telles manifestations d'empêcher certaines personnes d'accéder à leurs enceintes sportives, en raison de comportements dangereux correspondant à des manquements à des obligations de nature contractuelle, même si certains faits ou comportements susceptibles d'être enregistrés dans ces traitements sont pénalement réprimés.

Le Conseil d'État a donné un avis favorable à un projet de décret portant création d'un traitement automatisé de données à caractère personnel, dénommé « Automatisation de la consultation centralisée de renseignements et de données » (ACCReD). Le projet crée un traitement automatisé de données à caractère personnel permettant, à l'occasion de la réalisation d'enquêtes administratives sur le fondement des articles L. 114‑1, L. 114‑2 et L. 211‑11‑1 du code de la sécurité intérieure, de consulter automatiquement d'autres traitements automatisés de données à caractère personnel ou d'entrer en relation avec eux. Cette consultation peut prendre la forme d'une consultation automatique ou d'une mise en relation. Le Conseil d'État relève que la consultation automatique d'un traitement aux fins de vérifier si l'identité d'une personne y est enregistrée, suivie de l'inscription automatique de cette information au nombre des données qui peuvent être enregistrées dans le nouveau traitement, constitue une interconnexion. En revanche, l'interrogation, par les services autorisés à mettre en œuvre le nouveau traitement, des services autorisés à mettre en œuvre d'autres traitements, dont la réponse prend la forme d'un courriel, n'est pas une interconnexion, mais une mise en relation, alors même que le contenu de cette réponse peut consister en des données enregistrées dans ces autres traitements et pourra figurer au nombre des données enregistrées dans le nouveau traitement. Le Conseil d'État estime que les services autorisés à mettre en œuvre le nouveau traitement doivent figurer au nombre des destinataires des données du traitement au sens des dispositions du 4° de l'article 29 de la loi n°78‑17 du 6 janvier 1978, dans l'acte autorisant chacun des traitements qui fait l'objet d'une consultation automatique ou avec lequel le nouveau traitement est mis en relation. La consultation de traitements automatisés de données à caractère personnel relevant du III de l'article 26 de la même loi, qu'elle prenne la forme d'une consultation automatique ou d'une mise en relation, doit être limitée à certaines des enquêtes administratives réalisées sur le fondement de l'article L. 114‑1. Est à cet égard légitime une consultation opérée dans le cadre d'enquêtes administratives relatives à des emplois ou activités comportant l'exercice de prérogatives de puissance publique ou pour lesquels le port d'une arme est prescrit ou autorisé, ou encore comportant des risques au regard de l'interdiction du blanchiment.

Les articles 5‑1 a) du RGPD et 4‑1° de la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dite loi Informatique et Liberté, disposent que tout traitement de données à caractère personnel doit être « licite » et, d’autre part, que l’article 16 de cette loi donne compétence à la formation restreinte de la Commission nationale de l’informatique et des libertés pour sanctionner les responsables de traitement ou sous‑traitants qui ne respectent pas les obligations découlant du RGPD et de la loi Informatique et Liberté.

Il en résulte que, lorsqu’une disposition limite expressément les finalités d’un traitement de données à caractère personnel, qu’elle soit contenue dans un acte réglementaire autorisant et régissant un traitement particulier de données sur le fondement des articles 31 et suivants de la loi Informatique et Liberté ou des dispositions qui y renvoient, ou qu’elle résulte d’une disposition législative ou réglementaire spéciale limitant la ou les finalités d’un traitement ou d’une catégorie de traitement, la formation restreinte de la CNIL est compétente pour sanctionner le traitement illicite que constitue la méconnaissance de cette disposition.

La formation restreinte est donc compétente en l’espèce pour examiner le manquement à l’article 5‑1 a) du RGPD qui résulterait, selon la rapporteure, de la méconnaissance de l’article L. 37 du code électoral prohibant l’utilisation des listes électorales, qui contiennent des données personnelles, pour des finalités commerciales.

Aucune norme constitutionnelle ne s'oppose par principe à ce qu'un traitement automatisé poursuit plusieurs finalités.

La collecte de données à caractère personnel issues de sites internet, sans que cette collecte puisse être justifiée par un usage de ces données, constitue un traitement dépourvu de finalités, en violation de l’article 5 § 1, b) du RGPD.

Un office public de l'habitat exploitant un traitement ayant pour finalité informative l'information de ses locataires méconnaît l'obligation de respecter les finalités pour lesquelles le traitement a été autorisé lorsqu'il adresse un courrier aux locataires qui n'est pas de nature purement informative et comporte une critique « virulente » d'une réforme en cours, appelant à la mobilisation des locataires contre ce projet.

Il résulte des dispositions de l’article 6 de la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dans sa rédaction applicable au litige que, pour être compatible avec les finalités du traitement, la transmission des données à caractère personnel doit être strictement limitée à celles qui permettent aux destinataires de poursuivre les finalités du traitement. Par suite, un traitement relatif à la prévention des atteintes à la sécurité publique en marge d’événements sportifs ne peut pas légalement prévoir que les associations et fédérations sportives, qui n’exercent aucune mission relative aux finalités poursuivies, puissent être destinataires des données collectées.

L'article 7, § e), de la directive 95/46/CE doit être interprété en ce sens qu'il ne s'oppose pas à un traitement de données à caractère personnel par les autorités d'un État membre aux fins de la perception de l'impôt et de la lutte contre la fraude fiscale tel que celui auquel il est procédé par l’établissement d’une liste de personnes telle que celle en cause dans l'affaire principale, sans le consentement des personnes concernées. À condition, d'une part, que ces autorités aient été investies par la législation nationale de missions d'intérêt public au sens de cette disposition, que l’établissement de cette liste et l'inscription sur celle‑ci du nom des personnes concernées soient effectivement aptes et nécessaires aux fins de la réalisation des objectifs poursuivis, et qu'il existe des indices suffisants pour présumer que les personnes concernées figurent à juste titre sur ladite liste ; d'autre part, que toutes les conditions de licéité de ce traitement de données à caractère personnel imposées par la directive 95/46/CE soient satisfaites.

1) L'article 6, paragraphe 1, premier alinéa, sous b) et f), du règlement général sur la protection des données, lu en combinaison avec l’article 5, paragraphe 1, sous c), de ce règlement doit être interprété en ce sens que :

• le traitement de données à caractère personnel relatives à la civilité des clients d’une entreprise de transport, ayant pour finalité une personnalisation de la communication commerciale fondée sur leur identité de genre, ne paraît ni objectivement indispensable ni essentiel afin de permettre l'exécution correcte d'un contrat et, partant, ne peut pas être considéré comme étant nécessaire à l'exécution de ce contrat ;
• le traitement de données à caractère personnel relatives à la civilité des clients d’une entreprise de transport, ayant pour finalité une personnalisation de la communication commerciale fondée sur leur identité de genre, ne peut pas être considéré comme étant nécessaire aux fins des intérêts légitimes poursuivis par le responsable de ce traitement ou par un tiers lorsque :
• l'intérêt légitime poursuivi n'a pas été indiqué à ces clients lors de la collecte de ces données ;
• ledit traitement n'est pas opéré dans les limites du strict nécessaire pour la réalisation de cet intérêt légitime ;
• au regard de l'ensemble des circonstances pertinentes, les libertés et droits fondamentaux desdits clients sont susceptibles de prévaloir sur ledit intérêt légitime, notamment en raison d'un risque de discrimination fondée sur l'identité de genre.

2) L'article 6, paragraphe 1, premier alinéa, sous f), du règlement général sur la protection des données doit être interprété en ce sens que, afin d'apprécier la nécessité d'un traitement de données à caractère personnel au titre de cette disposition, il n'y a pas lieu de prendre en considération l'existence éventuelle d'un droit d'opposition de la personne concernée, au titre de l'article 21 de ce règlement.

L'article 6, paragraphe 1, premier alinéa, sous f), du règlement 2016/679 doit être interprété en ce sens que le traitement de données à caractère personnel effectué par un opérateur d'un réseau social en ligne, consistant en la Collecte de données des utilisateurs d'un tel réseau issues d'autres services du groupe auquel appartient cet opérateur ou issues de la consultation par ces utilisateurs de sites Internet ou d'applications tiers, en la mise en relation de ces données avec le compte du réseau social désignés utilisateurs et en l'utilisation des données, ne peut être considéré comme étant nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, au sens de cette disposition, qu'à la condition que ledit opérateur ait indiqué aux utilisateurs auprès desquels les données ont été collectées un intérêt légitime poursuivi par leur traitement, que ce traitement est opéré dans les limites du strict nécessité pour la réalisation de cet intérêt légitime et qu'il ressort d'une pondération des intérêts opposés, au regard de l'ensemble des circonstances pertinentes, que les intérêts ou les libertés et les droits fondamentaux de ces utilisateurs ne prévalent pas sur ledit intérêt légitime du responsable du traitement ou d'un tiers.

L'article 7, sous f), de la directive 95/46 doit être interprété en ce sens qu'il s'oppose à une réglementation d'un État membre en vertu de laquelle un fournisseur de services de médias en ligne ne peut collecter et utiliser des données à caractère personnel afférentes à un utilisateur de ces services, en l'absence du consentement de celui-ci, que dans la mesure où cette collecte et cette utilisation sont nécessaires pour permettre et facturer l'utilisation concrète des désdites services par cet utilisateur, sans que l'objectif visant à garantir la capacité générale de fonctionnement des mêmes services puisse justifier l'utilisation desdites données après une session de consultation de ceux-ci.

1) L'article 6, paragraphe 1, premier alinéa, sous b) et f), du règlement général sur la protection des données, lu en combinaison avec l'article 5, paragraphe 1, sous c), de ce règlement doit être interprété en ce sens que:

• le traitement de données à caractère personnel relatives à la civilité des clients d'une entreprise de transport, ayant pour finalité une personnalisation de la communication commerciale fondée sur leur identité de genre, ne paraît ni objectivement indispensable ni essentiel afin de permettre l'exécution correcte d'un contrat et, partant, ne peut pas être considéré comme étant nécessaire à l'exécution de ce contrat;
• le traitement de données à caractère personnel relatives à la civilité des clients d'une entreprise de transport, ayant pour finalité une personnalisation de la communication commerciale fondée sur leur identité de genre, ne peut pas être considéré comme étant nécessaire aux fins des intérêts légitimes poursuivis par le responsable de ce traitement ou par un tiers, lorsque:
• l'intérêt légitime poursuivi n'a pas été indiqué à ces clients lors de la collecte de ces données;
• ledit traitement n'est pas opéré dans les limites du strict nécessaire pour la réalisation de cet intérêt légitime;
• au regard de l'ensemble des circonstances pertinentes, les libertés et droits fondamentaux desdits clients sont susceptibles de prévaloir sur ledit intérêt légitime, notamment en raison d'un risque de discrimination fondée sur l'identité de genre.

2) L'article 6, paragraphe 1, premier alinéa, sous f), du règlement général sur la protection des données doit être interprété en ce sens que, afin d'apprécier la nécessité d'un traitement de données à caractère personnel au titre de cette disposition, il n'y a pas lieu de prendre en considération l'existence éventuelle d'un droit d'opposition de la personne concernée, au titre de l'article 21 de ce règlement.