enregistrement intégral et systématique par une société de l'ensemble des appels téléphoniques sortants passés entre ses téléopérateurs et ses prospects commerciaux à des fins finalité probatoire et de finalité de formation constitue un manquement à l'article 5‑1‑c du RGPD, qui dispose que les données à caractère personnel doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ».

1) Concernant la finalité probatoire, l'article L.221‑16 du code de la consommation dispose qu'« à la suite d'un démarchage par téléphone, le professionnel adresse au consommateur, sur papier ou sur support durable, une confirmation de l'offre qu'il a faite et reprenant toutes les informations prévues à l'article L. 221‑5. Le consommateur n'est engagé par cette offre qu'après l'avoir signée et acceptée par écrit ou avoir donné son consentement par voie électronique ». Il en résulte que la souscription d'un contrat conclu à distance est prouvée par un autre moyen que l'enregistrement des appels téléphoniques passés avec les prospects.

2) Concernant la finalité relative à la formation, un enregistrement aléatoire de seulement quelques conversations téléphoniques permettrait à la personne chargée de la formation de disposer des éléments nécessaires à la réalisation de sa mission.

Dans le cadre d’un projet de décret autorisant la mise en œuvre par le ministère de l’éducation nationale d’un traitement ayant pour finalité d’améliorer la prise en charge et le parcours scolaire des élèves à besoins éducatifs particuliers, de mieux individualiser les réponses pédagogiques et de garantir aux familles la mise en place d’adaptations pédagogiques dès le repérage de difficultés d’apprentissage, la CNIL considère que la création et l’utilisation d’un identifiant spécifique et distinct de l’identifiant national élève (INE) permettra, conformément à sa doctrine, de segmenter les traitements afin d’éviter des interconnexions ou rapprochements de données qui ne sont pas nécessaires, et de limiter les risques de réidentification des personnes en cas de fuite de données.

Eu égard à la finalité du fichier ayant notamment trait à la gestion des contentieux entre l'administration pénitentiaire et les personnes placées sous main de justice, la durée de conservation de deux ans prévue à l'article R. 57-9-21 à compter de la date de levée de l'écrou n'est pas excessive. En revanche, la conservation ultérieure de ces données pour un délai de huit ans, qui poursuit, selon la garde des sceaux, la conduite éventuelle de contentieux, est dépourvue de fondement légal dès lors que cette finalité n'est pas explicitée par le décret attaqué et que la durée de conservation ainsi définie ne s'y rattache pas spécifiquement.

L'article 4, paragraphe 1, sous c) et e), de la directive (UE) 2016/680 du Parlement européen et du Conseil, du 27 avril 2016, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil, lu en combinaison avec les articles 5 et 10, l'article 13, paragraphe 2, sous b), ainsi que l'article 16, paragraphes 2 et 3, de celle‑ci, et à la lumière des articles 7 et 8 de la Charte des droits fondamentaux de l'Union européenne doit être interprété en ce sens qu'il s'oppose à une législation nationale qui prévoit la conservation, par les autorités de police, à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, de données à caractère personnel, notamment de données biométriques et génétiques, concernant des personnes ayant fait l'objet d'une condamnation pénale définitive pour une infraction pénale intentionnelle relevant de l'action publique, et ce jusqu'au décès de la personne concernée, y compris en cas de réhabilitation de celle‑ci, sans mettre à la charge du responsable du traitement l'obligation de vérifier régulièrement si cette conservation est toujours nécessaire, ni reconnaître à ladite personne le droit à l'effacement de ces données, dès lors que leur conservation n'est plus nécessaire au regard des finalités pour lesquelles elles ont été traitées, ou, le cas échéant, à la limitation du traitement de celles‑ci.

L'article 4, paragraphe 3, du règlement nº 2252/2004 établissant des normes pour les éléments de sécurité et les éléments biométriques intégrés dans les passeports et les documents de voyage délivrés par les états membres n'oblige pas ces derniers à garantir, dans leur législation, que les données biométriques rassemblées et conservées conformément à ce règlement ne seront pas utilisées ou conservées à des fins autres que la délivrance du passeport ou du document de voyage ; un tel aspect relève d'absence d'obligation pesant sur les états membres.

La création d'un traitement de données à caractère personnel destiné à préserver l'intégrité des données nécessaires à la délivrance des titres d'identité et de voyage permet de sécuriser la délivrance de ces titres et d'améliorer l'efficacité de la lutte contre la fraude. Elle est ainsi justifiée par un motif d'intérêt général.

Toutefois, compte tenu de son objet, ce traitement de données à caractère personnel est destiné à recueillir les données relatives à la quasi-totalité de la population de nationalité française. Les données biométriques enregistrées dans ce fichier, notamment les empreintes digitales, étant par elles-mêmes susceptibles d'être rapprochées de traces physiques laissées involontairement par la personne ou collectées à son insu, sont particulièrement sensibles. Les caractéristiques techniques de ce fichier définies par les dispositions contestées permettent son interrogation à d'autres fins que la vérification de l'identité d'une personne. Les dispositions de la loi relative à la protection de l'identité autorisent la consultation ou l'interrogation de ce fichier non seulement aux fins de délivrance ou de renouvellement des titres d'identité et de voyage et de vérification de l'identité du possesseur d'un tel titre, mais également à d'autres fins de police administrative ou judiciaire.

Il résulte de ce qui précède qu'en égard à la nature des données enregistrées, à l'ampleur de ce traitement, à ses caractéristiques techniques et aux conditions de sa consultation, les dispositions de l'article 5 portent au droit au respect de la vie privée une atteinte qui ne peut être regardée comme proportionnée au but poursuivi. Par suite, les articles 5 et 10 de la loi relative à la protection de l'identité doivent être déclarés contraires à la Constitution.

Les dispositions combinées de l’article L. 34‑1 du code des postes et des communications électroniques, tel qu’il est modifié par l’article 14 de la loi favorisant la diffusion et la protection de la création sur internet et les troisième et cinquième alinéas de l’article L. 331‑21 du code de la propriété intellectuelle ainsi que son article L. 331‑24, tels qu’ils résultent de l’article 5 de cette loi, ont pour effet de modifier les finalités en vue desquelles les personnes privées peuvent mettre en œuvre des traitements portant sur des données à caractère personnel relatives à des infractions. Elles permettent en effet que, désormais, les données recueillies relatives aux infractions de contrefaçon commises sur internet acquièrent un caractère nominatif non seulement dans le cadre d’une procédure judiciaire, mais également dans le cadre de la procédure conduite devant la commission de protection des droits de la haute autorité pour la diffusion des œuvres et la protection des droits sur internet.

À l’issue de la censure résultant des considérants 19 et 20 de sa décision, le Conseil constate que la commission de protection des droits ne peut prononcer les sanctions prévues par la loi déférée : seul un rôle préalable à une procédure judiciaire lui est confié. Une telle intervention est justifiée par l’ampleur des contrefaçons commises au moyen d’internet et l’utilité, dans l’intérêt d’une bonne administration de la justice, de limiter le nombre d’infractions dont l’autorité judiciaire sera saisie. Il en résulte que les traitements de données à caractère personnel mis en œuvre par les sociétés et organismes précités ainsi que la transmission de ces données à la commission de protection des droits pour l’exercice de ses missions s’inscrivent dans un processus de saisine des juridictions compétentes.

En outre, ces traitements seront soumis aux exigences prévues par la loi n° 78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Les données ne pourront être transmises qu’à cette autorité administrative ou aux autorités judiciaires. Il appartiendra à la Commission nationale de l’informatique et des libertés, saisie pour autoriser de tels traitements, de s’assurer que les modalités de leur mise en œuvre, notamment les conditions de conservation des données, seront strictement proportionnées à cette finalité.

L'article L. 411 - 10 du c ode de la construction et de l'habitation prévoit que le ministère chargé du logement tient un répertoire des logements locatifs sociaux et de leurs habitants, pour permettre l'élaboration et la mise en œuv re des politiques publiques de l'habitat.

Le c du 1° du paragraphe I de l'article 78 de la loi relative à l'égalité et à la citoyenneté complète cet article L. 411 - 10. Il prévoit que, pour alimenter ce répertoire, les bailleurs sociaux transmettent au min istère chargé du logement le numéro d'immatriculation au répertoire national d'identification des personnes physiques de chaque occupant majeur d'un logement locatif social.

En adoptant les dispositions contestées, le législateur a entendu que le ministère chargé du logement soit en mesure d'établir une cartographie de l'occupation socio - économique du parc de logements sociaux, afin d'améliorer la mise en œuvre de la politique en matière d'attribution de ces logements. Il a ainsi poursuivi un objectif d'int érêt général.

Si les collectivités territoriales et certains de leurs établissements publics peuvent obtenir du représentant de l'État dans la région les informations relatives aux logements situés sur leur territoire contenues dans le répertoire, c'est, e n vertu du huitième alinéa de l'article L. 411 - 10, à la condition que ces informations aient été préalablement rendues anonymes.

Par ailleurs, le législateur a prévu au 4° du paragraphe I de l'article 78 que l'exploitation des données du répertoire par le groupement d'intérêt public mentionné à l'article L. 441 - 2 - 1 du c ode de la construction et de l'habitation est réalisée de manière à rendre impossible l'identification des intéressés.

Il en résulte que le législateur a retenu des modalités de collecte, d' enregistrement, de conservation, et de communication du numéro d'immatriculation au répertoire national d'identification des personnes physiques adéquates et proportionnées à l'objectif poursuivi. Par conséquent, le grief tiré de la méconnaissance du droit au respect de la vie privée doit être écarté.

L'accès d'autorités publiques aux données visant à l'identification des titulaires des cartes SIM activées avec un téléphone mobile volé, telles que les nom, prénom et, le cas échéant, adresse de ces titulaires, comporte une ingérence dans les droits fondamentaux de ces derniers qui ne présente pas une gravité telle que cet accès devrait être limité, en matière de prévention, de recherche, de détection et de poursuite d'infractions pénales, à la lutte contre la criminalité grave.

1) Il ressort du considérant 41 du RGPD, que la référence, dans ce règlement, à une « mesure législative » n’implique pas nécessairement que l’adoption d’un acte législatif par un parlement est exigée.

Toute mesure adoptée en vertu de l’article 23 du RGPD doit, ainsi que le législateur de l’Union l’a souligné au considérant 41 de ce règlement, être claire et précise, et son application prévisible pour les justiciables. En particulier, ces derniers doivent pouvoir identifier les circonstances et conditions dans lesquelles la portée des droits qu’ils confère ledit règlement est susceptible d’être limitée.

Il découle des considérations qui précèdent que l’administration fiscale d’un État‑membre ne saurait déroger aux dispositions de l’article 5, paragraphe 1, du RGPD en l’absence d’une base juridique claire et précise du droit de l’Union ou du droit national, dont l’application est prévisible pour les justiciables, prévoyant les circonstances et conditions dans lesquelles la portée des obligations et des droits prévues à cet article 5 peut être limitée.

2) a) Les dispositions du RGPD doivent être interprétées en ce sens que l’administration fiscale d’un État‑membre ne saurait déroger aux dispositions de l’article 5, paragraphe 1, de ce règlement, qui fixe les principes à respecter par tout traitement, alors qu’un tel droit ne lui a pas été octroyé par le droit national, au sens de l’article 23, paragraphe 1, de ce même texte.

b) Les dispositions du RGPD doivent être interprétées en ce sens qu’elles ne s’opposent pas à ce que l’administration fiscale d’un État‑membre impose à un prestataire de services d’annonces publiées sur internet de lui communiquer des informations relatives aux contribuables ayant publié des annonces dans l’une des rubriques de son portail en ligne, dès lors que cela est nécessaire à la mission d’intérêt public poursuivie par cette administration. Néanmoins, les données demandées doivent être nécessaires au regard des finalités spécifiques pour lesquelles elles sont collectées et la période sur laquelle porte leur collecte ne saurait excéder la durée strictement nécessaire pour atteindre l’objectif d’intérêt général visé.

L'ingérence dans le droit à la vie privée et à la protection des données à caractère personnel qu'emporte la publicité des données nominatives contenues dans le registre des sociétés n'est pas disproportionnée, étant donné le nombre de données concernées et le fait qu'elle vise à assurer la sécurité juridique dans les rapports entre les sociétés et les tiers ainsi qu'à protéger les intérêts des tiers par rapport aux sociétés par actions et aux sociétés à responsabilité limitée. Il ne peut donc être garanti aux personnes physiques dont les données sont inscrites dans le registre des sociétés le droit d'obtenir, après un certain délai à compter de la dissolution de la société, l'effacement des données à caractère personnel les concernant. En revanche, les États membres peuvent exceptionnellement déroger à cette exigence de publicité. Il leur appartient de déterminer si les personnes physiques visées à l'article 2, paragraphe 1, sous d) et j) de la directive 68/151/CEE, à savoir, d'une part, les personnes qui ont le pouvoir d'engager une société à l'égard des tiers et de la représenter en justice et celles qui participent à l'administration, à la surveillance ou au contrôle de la société et, d'autre part, les liquidateurs d'une société, peuvent demander à l'autorité chargée de la tenue du registre central, du registre du commerce ou du registre des sociétés de vérifier, sur la base d'une appréciation au cas par cas, s'il est exceptionnellement justifié, pour des raisons prépondérantes et légitimes tenant à leur situation particulière, de limiter, à l'expiration d'un délai suffisamment long après la dissolution de la société concernée, l'accès aux données à caractère personnel les concernant, inscrites dans ce registre, aux tiers justifiant d'un intérêt spécifique à la consultation de ces données.

L'article 4, paragraphe 1, sous c) et e), de la directive (UE) 2016/680 du Parlement européen et du Conseil, du 27 avril 2016, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision - cadre 2008/977/JAI du Conseil, lu en combinaison avec les articles 5 et 10, l'article 13, paragraphe 2, sous b), ainsi que l'article 16, paragraphes 2 et 3, de celle-ci, et à la lumière des articles 7 et 8 de la charte des droits fondamentaux de l'Union européenne doit être interprété en ce sens qu'il s'oppose à une législation nationale qui prévoit la conservation, par les autorités de police, à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, de données à caractère personnel, notamment de données biométriques et génétiques, concernant des personnes ayant fait l'objet d'une condamnation pénale définitive pour une infraction pénale intentionnelle relevant de l'action publique, et ce jusqu'au décès de la personne concernée, y compris en cas de réhabilitation de celle-ci, sans mettre à la charge du responsable du traitement l'obligation de vérifier régulièrement si cette conservation est toujours nécessaire, ni reconnaître à ladite personne le droit à l'effacement de ces données, dès lors que leur conservation n'est plus nécessaire au regard des finalités pour lesquelles elles ont été traitées, ou, le cas échéant, à la limitation du traitement de celles-ci.

L’Article 4, paragraphe 3, du règlement n°2252/2004 établissant des normes pour les éléments de sécurité et les éléments biométriques intégrés dans les passeports et les documents de voyage délivrés par les États membres n’oblige pas les États membres à garantir, dans leur législation, que les données biométriques rassemblées et conservées conformément audit règlement ne seront pas rassemblées, traitées et utilisées à des fins autres que la délivrance du passeport ou du document de voyage ; un tel aspect ne relevant pas du champ d’application dudit règlement.

La création d'un traitement de données à caractère personnel destiné à préserver l'intégrité des données nécessaires à la délivrance des titres d'identité et de voyage permet de sécuriser la délivrance de ces titres et d'améliorer l'efficacité de la lutte contre la fraude. Elle est ainsi justifiée par un motif d'intérêt général. Toutefois, compte tenu de son objet, ce traitement de données à caractère personnel est destiné à recueillir les données relatives à la quasi-totalité de la population de nationalité française. Les données biométriques enregistrées dans ce fichier, notamment les empreintes digitales, étant par elles-mêmes susceptibles d'être rapprochées de traces physiques laissées involontairement par la personne ou collectées à son insu, sont particulièrement sensibles. Les caractéristiques techniques de ce fichier définies par les dispositions contestées permettent son interrogation à d'autres fins que la vérification de l'identité d'une personne. Les dispositions de la loi relative à la protection de l'identité autorisent la consultation ou l'interrogation de ce fichier non seulement aux fins de délivrance ou de renouvellement des titres d'identité et de voyage et de vérification de l'identité du possesseur d'un tel titre, mais également à d'autres fins de police administrative ou judiciaire. Il résulte de ce qui précède qu'en égard à la nature des données enregistrées, à l'ampleur de ce traitement, à ses caractéristiques techniques et aux conditions de sa consultation, les dispositions de l'article 5 portent au droit au respect de la vie privée une atteinte qui ne peut être regardée comme proportionnée au but poursuivi. Par suite, les articles 5 et 10 de la loi relative à la protection de l'identité doivent être déclarés contraires à la Constitution.

Le Conseil d'État (section de l'intérieur) a donné un avis favorable au projet de décret pris pour l'application des articles L. 744 - 6 et L. 744 - 7 CESEDA et portant création du traitement automatisé de données à caractère personnel prévu par ces articles sous réserve de plusieurs observations.

L'article L. 744-6 du CESEDA confie à l'Office français de l'immigration et de l'intégration (OFII) la charge d'évaluer la vulnérabilité des demandeurs d'asile et permet que les informations recueillies dans ce cadre puissent faire l'objet d'un traitement automatisé de données, dans les conditions fixées par la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. Le décret mettant en œuvre ce fichier est justifié par un intérêt public et échappe, en application du IV de l'article 8 de la même loi, à l'interdiction de collecte et de traitement des données à caractère personnel relatives à la santé prévue par le I du même article.

Le Conseil d'État estime que le projet de décret pouvait légalement prévoir l'enregistrement des données de vulnérabilité, à l'exception toutefois des données de santé à caractère personnel qui n'auraient pas été volontairement communiquées par le demandeur d'asile, ainsi que l'accès à ces données par les personnels de l'OFII, les agents chargés de l'accueil des demandeurs d'asile relevant des ministères de l'intérieur et des affaires sociales et de l'Office français de protection des réfugiés et des apatrides, dans la limite de leurs attributions et du besoin d'en connaître.

Le Conseil d'État souligne également la légalité de ce projet de décret.

Le Conseil d'État, saisi d'un projet de décret relatif au système national d'inf ormation Schengen de deuxième génération (N - SIS II), lui a donné un avis favorable, sous réserve d'observations relatives à l'enregistrement des empreintes digitales.

L'article R. 231 - 9 du c ode de la sécurité intérieure, dans sa version résultant du proje t, disposait que les empreintes digitales des personnes signalées pourraient désormais figurer parmi les données enregistrées dans le traitement N - SIS II. Cet enregistrement est prévu à l'article 20 du règlement (CE) n° 1987/2006 du 20 décembre 2006 et de la décision 2007/533/JAI du 12 juin 2007 sur l'établissement, le fonctionnement et l'utilisation du système d'information Schengen de deuxième génération (SIS II), d'application immédiate.

D'après les informations fournies au Conseil d'État, les empreinte s devaient provenir pour la plupart du fichier automatisé des empreintes digitales (FAED). Si une telle utilisation de ces données n'est pas contraire aux finalités du FAED, telles qu'elles sont mentionnées au décret n° 87 - 249 du 8 avril 1987 relatif au fi chier automatisé des empreintes digitales géré par le ministère de l'intérieur, ce texte ne prévoit pas que les empreintes peuvent être transmises aux services chargés du traitement N - SIS II. Le Conseil d'État (section de l'intérieur) attire donc l'attenti on du Gouvernement sur la nécessité de modifier ce décret dans les meilleurs délais.

Le Conseil d'État relève en revanche, comme l'avait également signalé la Commission nationale de l'informatique et des libertés, que les empreintes digitales enregistrées dans le traitement N - SIS II ne pourront en aucun cas provenir du traitement de données à caractère personnel relatif aux passeports et aux cartes nationales d'identité dénommé « titres électroniques sécurisés » (TES). En effet, ce traitement a pour seul o bjet de procéder à l'établissement, à la délivrance, au renouvellement et à l'invalidation des titres en question ainsi que de prévenir et détecter leur falsification et contrefaçon.

1) L’article L. 251‑2 du Code de la sécurité intérieure (CSI) liste les finalités pour lesquelles la transmission et l’enregistrement d’images prises sur la voie publique par le moyen de la vidéoprotection peuvent être mis en œuvre par les autorités publiques compétentes. Mettre les données collectées à la disposition de la gendarmerie nationale pour l’exercice de ses missions de police judiciaire, qui n’est pas parmi les finalités visées par cet article, ne constitue pas, pour un dispositif de transmission et d’enregistrement d’images prises sur la voie publique par le moyen de la vidéoprotection, une finalité légitime.

2) L’article L. 233‑1 du CSI autorise uniquement les services des douanes, de police et de gendarmerie nationales à mettre en œuvre les dispositifs de contrôle automatisé des données signalétiques des véhicules prenant la photographie de leurs occupants pour les finalités qu’il prévoit. Par conséquent, une commune ne saurait mettre en œuvre un tel dispositif, même si les données collectées étaient destinées à être mises à disposition de la gendarmerie nationale à des fins d’aide à l’identification des auteurs d’infractions.

mise à disposition de la gendarmerie nationale

1) Le transfert, le traitement et la conservation des données PNR (transport aérien) prévus par la Directive (UE) 2016/681 peuvent être considérés, au regard des exigences des articles 7, 8 et 21 ainsi que de l’article 52, paragraphe 1 de la Charte des droits fondamentaux de l'Union européenne, comme étant limités au strict nécessaire aux fins de la lutte contre les infractions terroristes et les formes graves de criminalité, à condition que les pouvoirs prévus par ladite directive fassent l’objet d’une interprétation restrictive. La Cour précise notamment que : le système établi par la directive PNR ne doit couvrir que les informations clairement identifiables et circonscrites dans les rubriques figurant dans l’annexe I de celle‑ci, lesquelles sont en rapport avec le vol effectué et avec le passager concerné, ce qui implique, pour certaines rubriques figurant dans cette annexe, que seuls les renseignements visés expressément sont couverts. L’application du système établi par la directive PNR doit être limitée aux infractions terroristes et aux seules formes graves de criminalité présentant un lien objectif, à tout le moins indirect, avec le transport aérien des passagers. S’agissant de ces formes, l’application de ce système ne saurait être étendue à des infractions qui, bien qu’elles remplissent le critère prévu par cette directive relatif au seuil de gravité et qu’elles soient notamment visées à l’annexe II de celle‑ci, relèvent de la criminalité ordinaire compte tenu des spécificités du système pénal national. L’éventuelle extension de l’application de la directive PNR à tout ou partie des vols intra‑UE, qu’un État membre peut décider en faisant usage de la faculté prévue par cette directive, doit être limitée au strict nécessaire. À cet effet, elle doit pouvoir faire l’objet d’un contrôle effectif par une juridiction ou par une entité administrative indépendante, dont la décision est dotée d’un effet contraignant. À cet égard, la Cour précise que : dans la seule situation où ledit État membre constate qu’il fait face à une menace terroriste qui s’avère réelle et actuelle ou prévisible, l’application de cette directive à tous les vols intra‑UE en provenance ou à destination dudit État membre, pour une durée limitée au strict nécessaire mais renouvelable, n’excède pas les limites du strict nécessaire ; en l’absence d’une telle menace terroriste, l’application de ladite directive ne saurait s’étendre à l’ensemble des vols intra‑UE, mais doit être limitée aux vols intra‑UE relatifs notamment à certaines liaisons aériennes ou à des schémas de voyage ou encore à certains aéroports pour lesquels il existe des indications de nature à justifier cette application. Aux fins de l’évaluation préalable des données PNR, qui a pour objectif d’identifier les personnes pour lesquelles est requis un examen plus approfondi avant leur arrivée ou leur départ et qui est, dans un premier temps, effectuée au moyen de traitements automatisés, la Cour considère que l’unité d’information passager (UIP) ne peut, d’une part, confronter ces données qu’aux seules bases de données concernant les personnes ou les objets recherchés ou faisant l’objet d’un signalement. Ces bases de données doivent être non discriminatoires et exploitées, par les autorités compétentes, en rapport avec la lutte contre des infractions terroristes et des formes graves de criminalité présentant un lien objectif, à tout le moins indirect, avec le transport aérien des passagers. S’agissant, d’autre part, de l’évaluation préalable au regard de critères préétablis, l’UIP ne saura utiliser des technologies d’intelligence artificielle dans le cadre de systèmes d’autoapprentissage (machine learning), susceptibles de modifier, sans intervention et contrôle humains, le processus d’évaluation et, en particulier, les critères d’évaluation sur lesquels se fonde le résultat de l’application de ce processus ainsi que la pondération de ces critères. Lesdits critères doivent être déterminés de manière à ce que leur application cible, spécifiquement, les individus à l’égard desquels pourrait peser un soupçon raisonnable de participation à des infractions terroristes ou à des formes graves de criminalité et à tenir compte tant des éléments « à charge » que des éléments « à décharge », tout en ne donnant pas lieu à des discriminations directes ou indirectes.

Compte tenu du taux d’erreur inhérent à de tels traitements automatisés des données PNR et du nombre assez conséquent de résultats « faux positifs », ayant été obtenus à la suite de leur application au cours des années 2018 et 2019, l’aptitude du système établi par la directive PNR à réaliser les objectifs poursuivis dépend essentiellement du bon fonctionnement de la vérification des résultats positifs, obtenus au titre de ces traitements, que l’UIP effectue, dans un deuxième temps, par des moyens non automatisés. À cet égard, les États membres doivent prévoir des règles claires et précises de nature à guider et à encadrer l’analyse effectuée par les agents de l’UIP. Dans ce contexte, la Cour souligne que les autorités compétentes doivent s’assurer que l’intéressé peut comprendre le fonctionnement des critères d’évaluation préétablis et des programmes appliquant ces critères, de manière à ce qu’il puisse décider, en pleine connaissance de cause, s’il exerce ou non son droit à un recours juridictionnel. De même, dans le cadre d’un tel recours, le juge chargé du contrôle de la légalité de la décision adoptée par les autorités compétentes ainsi que, hormis les cas de menaces pour la sûreté de l’État, l’intéressé lui‑même doivent pouvoir prendre connaissance tant de l’ensemble des motifs que des éléments de preuve sur lesquels cette décision a été prise, y compris des critères d’évaluation préétablis et du fonctionnement des programmes appliquant ces critères.

La communication et l’évaluation postérieures des données PNR, c’est‑à‑dire après l’arrivée ou le départ de la personne concernée, ne peuvent être effectuées que sur la base de circonstances nouvelles et d’éléments objectifs qui soient de nature à fonder un soupçon raisonnable d’implication de cette personne dans des formes graves de criminalité présentant un lien objectif, à tout le moins indirect, avec le transport aérien des passagers, ou permettent de considérer que ces données pourraient, dans un cas concret, apporter une contribution effective à la lutte contre des infractions terroristes présentant un tel lien. La communication des données PNR aux fins d’une telle évaluation postérieure doit, en principe, sauf en cas d’urgence dûment justifiée, être subordonnée à un contrôle préalable effectué soit par une juridiction soit par une autorité administrative indépendante, sur demande motivée des autorités compétentes, et ce indépendamment du point de savoir si cette demande a été introduite avant ou après l’expiration du délai de six mois suivant le transfert de ces données à l’UIP.

2) La Directive (UE) 2016/681 s’oppose à une législation nationale qui autorise le traitement de données PNR à d’autres fins que la lutte contre les infractions terroristes et les formes graves de criminalité. Ainsi, une législation nationale admettant de surcroît, comme finalité du traitement des données PNR, le suivi des activités visées par les services de renseignement et de sécurité est susceptible de méconnaître le caractère exhaustif des objectifs énumérés par ladite directive. De même, le système établi par la directive PNR ne peut être prévu aux fins de l’amélioration des contrôles aux frontières et de la lutte contre l’immigration clandestine. Il s’ensuit également que les données PNR ne sauraient être conservées dans une base de données unique pouvant être consultée aux fins de la poursuite tant des finalités de la directive PNR que d’autres finalités.

3) La Directive (UE) 2016/681 s’oppose à une législation nationale selon laquelle l’autorité mise en place en tant qu’UIP a également la qualité d’autorité nationale compétente, habilitée à approuver la communication des données PNR à l’expiration des six mois suivant le transfert de ces données à l’UIP.

4) L’article 12 de la Directive (UE) 2016/681, lu à la lumière des articles 7 et 8 ainsi que de l’article 52, paragraphe 1, de la Charte, s’oppose à une législation nationale qui prévoit une durée générale de conservation de ces données de cinq ans, applicable indifféremment à tous les passagers aériens. En effet, après l’expiration de la période de conservation initiale de six mois, la conservation des données PNR n’apparaît pas limitée au strict nécessaire en ce qui concerne les passagers aériens pour lesquels ni l’évaluation préalable, ni les éventuelles vérifications effectuées au cours de la période de conservation initiale de six mois, ni aucune autre circonstance n’ont révélé l’existence d’éléments objectifs – tels que le fait que les données PNR des passagers concernés ont donné lieu à une concordance positive vérifiée dans le cadre de l’évaluation préalable – de nature à établir un risque en matière d’infractions terroristes ou de formes graves de criminalité présentant un lien objectif, à tout le moins indirect, avec le voyage aérien effectué par ces passagers. En revanche, au cours de la période initiale de six mois, la conservation des données PNR de l’ensemble des passagers aériens soumis au système instauré par cette directive ne paraît pas, par principe, excéder les limites du strict nécessaire.

5) La directive, lue à la lumière de l’article 3, paragraphe 2, TUE, de l’article 67, paragraphe 2, TFUE et de l’article 45 de la Charte, s’oppose à un système de transfert et de traitement des données PNR de l’ensemble des transports effectués par d’autres moyens (train, bateau, etc.) à l’intérieur de l’Union en l’absence de menace terroriste réelle et actuelle ou prévisible à laquelle fait face l’État membre concerné. Dans une telle situation, comme pour les vols intra‑UE, l’application du système établi par la directive PNR doit être limitée aux données PNR des transports relatifs notamment à certaines liaisons ou à des schémas de voyage ou encore à certaines gares ou certains ports maritimes pour lesquels il existe des indications de nature à justifier cette application. Il appartient à l’État membre concerné de sélectionner les transports pour lesquels de telles indications existent et de réexaminer régulièrement cette application en fonction de l’évolution des conditions ayant justifié leur sélection.

Le décret n°2020-151 du 20 février 2020 portant autorisation d'un traitement automatisé de données à caractère personnel dénommé « application mobile de prise de notes » (GendNotes) autorise le ministre de l'intérieur à mettre en œuvre un traitement automatisé de données à caractère personnel dénommé GendNotes.

L'une des finalités du traitement est de « faciliter le recueil et la conservation en vue de leur exploitation ultérieure dans d'autres traitements de données » notamment par le biais d'un système de pré‑renseignement des données collectées.

Le Conseil d'État annule ledit décret au motif que le traitement ne satisfait pas à l'exigence « déterminée, explicite et légitime ». En effet, dès lors qu'un décret prévoit, au titre des finalités du traitement, sa mise en relation avec d'autres traitements, il doit comporter des indications quant à la nature ou à l'objet des traitements concernés ou aux conditions d'exploitation, dans ces autres traitements, des données collectées par le traitement initial, afin de satisfaire pas à l'exigence d'une finalité « déterminée, explicite et légitime » énoncée au 2° de l'article 4 de la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

Saisi d'un projet de décret portant autorisation d'un traitement automatisé de données à caractère personnel dénommé « application mobile de prise de notes » (GendNotes), le Conseil d'État (section de l'intérieur) lui a donné un avis favorable sous réserve des modifications qu'il lui a apportées. Ce traitement de données a pour finalités, d'une part, de faciliter le recueil et la conservation, en vue de leur exploitation dans d'autres traitements de données, notamment par le biais d'un système de pré-renseignement, des informations collectées par les militaires de la gendarmerie nationale à l'occasion d'actions de prévention, d'investigations ou d'interventions, et nécessaires à l'exercice de leurs missions de police judiciaire et administrative, et, d'autre part, de faciliter la transmission de comptes rendus aux autorités judiciaires. Le traitement offre la possibilité à l'utilisateur de compléter, outre des champs prédéfinis, des zones de commentaires libres dans une interface « Note ». Ce traitement, par ses finalités, relève du titre III de la loi du 6 janvier 1978 et de la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016. Ces dispositions ne font pas obstacle à ce qu'un traitement comporte une zone de commentaires libres destinée à la consignation d'appréciations. Toutefois, afin d'éviter tout contournement des restrictions imposées tant par le droit de l'Union européenne que par la loi, le Conseil d'État estime que l'acte créant ce type de zone de commentaire doit respecter les principes suivants :

• une zone de commentaires libres ne doit être prévue que lorsque cela est strictement nécessaire à l'atteinte des finalités que poursuit le traitement ;

• les faits doivent y être présentés séparément des appréciations personnelles ;

• la liberté de formulation régissant ces espaces ne peut en aucune manière aboutir à collecter et traiter des données autres que celles expressément prévues par l'acte créant le traitement ;

• au regard de la difficulté de préciser le contenu de ces zones, il est nécessaire qu'une attention spécifique à celles-ci soit portée par l'analyse d'impact, qui doit en justifier l'existence et en analyser les risques.