1) Les dispositions du RGPD doivent être interprétées en ce sens que l'administration fiscale d'un État membre ne saurait déroger aux dispositions de l'article 5, paragraphe 1, de ce règlement, qui fixe les principes à respecter par tout traitement, alors qu'un tel droit ne lui a pas été octroyé par le droit national, au sens de l'article 23, paragraphe 1, de ce même texte.

2) Les dispositions du RGPD doivent être interprétées en ce sens qu'elles ne s'opposent pas à ce que l'administration fiscale d'un État membre impose à un prestataire de services d'annonces publiées sur internet de lui communiquer des informations relatives aux contribuables ayant publié des annonces dans l'une des rubriques de son portail en ligne, dès lors que cela est nécessaire à la mission d'intérêt public poursuivie par cette administration. Néanmoins, les données demandées doivent être nécessaires au regard des finalités spécifiques pour lesquelles elles sont collectées et la période sur laquelle porte leur collecte ne saurait excéder la durée strictement nécessaire pour atteindre l'objectif d'intérêt général visé.

Les articles 6, paragraphes 2 et 5 de la directive 2002/58/CE du 12 juillet 2002 (directive vie privée et communications électroniques) doivent être interprétés en ce sens qu'ils autorisent un fournisseur de réseaux publics de communications et de services de communications électroniques accessibles au public à transmettre des données relatives au trafic au cessionnaire de ses créances portant sur la fourniture de services de télécommunications en vue du recouvrement de celles-ci, et ce cessionnaire à traiter lesdites données à condition que, en premier lieu, celui‑ci agisse sous l'autorité du fournisseur de services pour ce qui concerne le traitement de ces mêmes données et, en second lieu, ledit cessionnaire se limite à traiter les données relatives au trafic qui sont nécessaires aux fins du recouvrement des créances cédées.

Indépendamment de la qualification du contrat de cession, le cessionnaire est censé agir sous l'autorité du fournisseur de services, au sens de l'article 6, paragraphe 5, de la directive 2002/58, lorsque, pour le traitement des données relatives au trafic, il agit sur la seule instruction et sous le contrôle dudit fournisseur. En particulier, le contrat conclu entre eux doit comporter des dispositions de nature à garantir le traitement licite, par le cessionnaire, des données relatives au trafic et à permettre au fournisseur de services de s’assurer, à tout moment, du respect de ces dispositions par ledit cessionnaire.

L'article 67 de la loi n°2021-344 du 17 mars 2014 relative à la consommation crée un traitement de données à caractère personnel recensant les crédits à la consommation accordés aux personnes physiques n'agissant pas pour des besoins professionnels, dénommé « registre national des crédits aux particuliers ». Par la création de ce registre, le législateur a poursuivi un motif d'intérêt général de prévention du surendettement. Toutefois, ce registre est destiné à comprendre des données à caractère personnel d'un très grand nombre de personnes (plus de 12 millions), la durée de conservation est de plusieurs années (toute la durée du crédit ou du plan de surendettement), les motifs de consultation sont très nombreux (octroi d'un crédit à la consommation mais également d'un prêt sur gage corporel, reconduction d'un contrat de crédit renouvelable, vérification triennale de solvabilité de l'emprunteur, vérification relative aux personnes se portant caution d'un prêt à la consommation …) et plusieurs dizaines de milliers d'agents des établissements de crédit seront habilités à consulter le registre. Compte tenu de la nature des données enregistrées, de l'ampleur du traitement de données, de la fréquence de son utilisation, du grand nombre de personnes susceptibles d'y avoir accès et de l'insuffisance des garanties relatives à l'accès au registre, la création du registre national des crédits aux particuliers porte une atteinte au droit au respect de la vie privée qui ne peut être regardée comme proportionnée au but poursuivi.

L'article 12 de la directive 2002/58/CE du 12 juillet 2002 (directive «vie privée et communications électroniques») doit être interprété en ce sens qu'il ne s'oppose pas à une réglementation nationale qui fait obligation à une entreprise publiant des annuaires publics de transmettre des données à caractère personnel qu'elle détient concernant les abonnés d'autres fournisseurs de services téléphoniques à une entreprise tierce dont l'activité consiste à publier un annuaire public imprimé ou électronique ou à rendre de tels annuaires consultables par l'intermédiaire de services de renseignements, sans qu'une telle transmission soit subordonnée à un nouveau consentement des abonnés, pour autant toutefois que, d'une part, ces derniers ont été informés avant la première inscription de leurs données dans un annuaire public de la finalité de celui-ci ainsi que du fait que ces données seraient susceptibles d'être communiquées à un autre fournisseur de services téléphoniques; et que, d'autre part, il est garanti que lesdites données ne seront pas, à l'exception de leur transmission, utilisées à des fins autres que celles pour lesquelles elles ont été collectées en vue de leur première publication.

1) La transmission de données personnelles à des tiers (qui en sont alors destinataires au sens du RGPD), lorsqu’elle ne constitue pas un moyen d’atteindre la finalité initialement prévue pour le traitement de ces données, n’est en principe possible que si elle est compatible avec cette finalité première. En particulier, dans le cas d’une vente d’une base de données, l’appréciation de cette compatibilité nécessite, sauf exception, que le vendeur connaisse la finalité pour laquelle la base de données sera utilisée par l’acheteur et ne vende la base que pour cet usage. L’appréciation de la nécessité d’un consentement se fait au cas par cas.

2) a) S’agissant de la revente d’une base de données de clients ou prospects d’une société en situation de liquidation, en vue de sa réutilisation à des fins de prospection commerciale, la CNIL considère que, eu égard à la finalité initiale de la base de données et du contexte de liquidation de l’entreprise, cette vente peut en principe être regardée comme compatible avec le traitement initial des données. Un consentement peut cependant être requis en raison des règles spécifiques à la prospection par voie électronique.

b) Les bases légales mobilisables pour la transmission, à titre onéreux ou non, de données à caractère personnel à des partenaires commerciaux souhaitant les réutiliser à des fins commerciales dépendent du canal utilisé pour la prospection faite par ces partenaires : prospection par voie électronique ou prospection par voie postale/téléphonique.

i) Si la transmission a pour finalité de permettre aux partenaires commerciaux de réaliser de la prospection électronique qui nécessite le recueil du consentement préalable des personnes en application des dispositions de l’article L.34‑5 du code des postes et des communications électroniques, l’organisme transmettant les données doit informer les personnes concernées et recueillir leur consentement à cette transmission en application de l’article 6‑1‑a du RGPD.

ii) Si la transmission a pour finalité de permettre aux partenaires commerciaux de réaliser de la prospection sur la base de leur intérêt légitime (prospection non électronique, c’est‑à‑dire réalisée par voie téléphonique ou postale), elle peut elle‑même être réalisée sur le fondement de l’intérêt légitime en application de l’article 6‑1‑f du RGPD. Dans ce cadre, l’organisme transmettant les données doit informer les personnes concernées de la finalité de cette transmission et des catégories de partenaires rendus destinataires des données et offrir aux personnes concernées, de manière expresse et dénuée d’ambiguïté, la possibilité de s’opposer, sans frais et de manière simple, à la transmission de leurs données à caractère personnel.

c) Il résulte de l’ensemble de ces exigences que la vente d’une base de données à des fins de prospection commerciale par l’acquéreur n’est possible que si :
- la base est vendue spécifiquement pour cette finalité, et non pour tout usage des données;
- il est prévu d’informer les personnes dont les données figurant dans la base de données de la vente;
- ces personnes vont, selon le cas, soit donner leur consentement, soit pouvoir s’opposer à figurer dans la base vendue.

La Suède a instauré un système de contrôle du personnel pour les titulaires de postes importants pour la sécurité nationale ou les candidats à de tels postes. Ce système consiste en la collecte d'informations tirées de registres de police. Une ordonnance détaille les conditions de collecte et contient des dispositions explicites et détaillées sur la nature des renseignements pouvant être communiqués (antécédents personnels ou politiques), les autorités destinataires, les circonstances de pareille communication et la procédure que le Conseil national de la police, organe compétent pour décider de la communication desdites informations, doit suivre avant de se décider.

La Cour EDH affirme que la mémorisation et la communication des données relatives à la vie privée, assorties du refus d'accorder au requérant la faculté de les réfuter, portent atteinte à son droit au respect de sa vie privée, garanti par l'article 8 paragraphe 1 de la conv. EDH.

Si la Cour EDH reconnaît que le système mis en place poursuit un but légitime, la protection de la sécurité nationale, elle recherche si cette ingérence est « prévue par la loi » et « nécessaire dans une société démocratique ».

L'expression « prévue par la loi », au sens du paragraphe 2 de l'article 8 (art. 8 - 2), veut d'abord que l'ingérence ait une base en droit interne, mais l'observation de celui‑ci ne suffit pas : la loi en cause doit être accessible à l'intéressé, qui en outre doit pouvoir en prévoir les conséquences pour lui (voir, mutatis mutandis, l'arrêt Malone du 2 août 1984, série A no 82, pp. 31 - 32, par. 66). En l'espèce, il existe des dispositions explicites et détaillées sur la nature des renseignements pouvant être communiqués, les autorités destinataires, les circonstances de pareille communication et la procédure que le Conseil national de la police doit suivre avant de s'y décider. Aussi, l'ingérence litigieuse était donc "prévue par la loi" au sens de l'article 8.

S'agissant du caractère « nécessaire dans une société démocratique », la notion de nécessité implique une ingérence fondée sur un besoin social impérieux, et notamment proportionnée au but légitime recherché. Les autorités nationales jouissent d'une marge d'appréciation dont l'ampleur dépend non seulement de la finalité, mais encore du caractère propre de l'ingérence. En l'occurrence, il échec de mettre en balance l'intérêt de l'État défendeur à protéger sa sécurité nationale avec la gravité de l'atteinte au droit du requérant au respect de sa vie privée.

La Cour admet, la marge dont l'État défendeur disposait pour apprécier en l'espèce le besoin social impérieux, et notamment pour choisir les moyens de sauvegarder la sécurité nationale, revêtait une grande ampleur. Néanmoins, la Cour doit se convaincre de l'existence de garanties adéquates et suffisantes contre les abus car un système de surveillance secrète destiné à protéger la sécurité nationale crée un risque de saper, voire de détruire, la démocratie au motif de la défendre (arrêt Klass et autres du 6 septembre 1978, série A no 28, pp. 23 - 24, paras. 49 - 50). La Cour conclut ainsi que les garanties dont s'entoure le système suédois de contrôle du personnel, par exemple la présence de parlementaires dans le Conseil national et le contrôle du ministre de la Justice, remplissent les exigences du paragraphe 2 de l'article 8. Vu sa grande marge d'appréciation, le gouvernement défendeur était en droit de considérer que les intérêts de la sécurité nationale prévalaient en l'occurrence sur les intérêts individuels du requérant. L'ingérence que M. Leander a subie ne saurait donc passer pour disproportionnée au but légitime poursuivi. La Cour EDH exclut la violation de l'article 8 CEDH.

Cas d'un système automatisé de gestion d'un très grand nombre de marchandises dans un entrepôt au moyen de scanners permettant de suivre toutes les manipulations des objets et les principales actions des salariés. Les données brutes des scanners sont conservées et permettent l'établissement d'un très grand nombre d'indicateurs individuels de qualité, de productivité et de temps de travail.

1) a) Lorsqu'un service rendu à des clients entraîne des contraintes exceptionnelles, en raison de volumes importants et de courts délais de livraison, un suivi très précis en temps réel de toutes les manipulations des objets dans un entrepôt et de la situation de chaque poste de travail, donc de chaque salarié, peut s'avérer nécessaire. Néanmoins, ce type de suivi entraîne le traitement d'un très grand nombre de données, dont beaucoup de données personnelles en temps réel, chaque fois qu'un colis est manipulé par un salarié dans le cadre de tâches directes. Aussi, si le traitement en temps réel par une société de données brutes et indicateurs pour la bonne gestion de stocks et de commandes ne saurait être remis en cause de façon générale, les indicateurs mobilisés dans ce cadre, sur le fondement de l'intérêt légitime de l'employeur, doivent répondre aux exigences de nécessité et de proportionnalité de l'article 6 du RGPD.

b) i) La collecte de données pour mesurer la rapidité d'exécution des actions d'un salarié lors de la réalisation de certaines tâches, en associant un indicateur d'erreur chaque fois que cette rapidité est inférieure à une certaine durée de l'ordre de la seconde, au motif que cette rapidité est en principe incompatible avec la bonne exécution desdites tâches, est de nature à exercer sur lui une surveillance continue. Ce type d'indicateur est intrusif et peut avoir des répercussions morales négatives sur les salariés. Une telle précision dans la surveillance dépasse les attentes raisonnables des salariés, qui peuvent s'attendre à une certaine surveillance de leur travail, mais pas à ce que leurs actions fassent l'objet d'une évaluation informatique à un rythme de l'ordre de la seconde. Par conséquent, le traitement de cet indicateur excède ce qui est admissible pour servir les intérêts légitimes de l'entreprise en matière de qualité et de sécurité dans ses entrepôts, car il porte atteinte de manière excessive aux droits et intérêts des salariés, notamment à leur vie privée et personnelle, ainsi qu'à leur droit à des conditions de travail respectueuses de leur santé et de leur sécurité. Absence de base légale du traitement.

ii) De façon similaire, la collecte d'un indicateur signalant les temps d'inactivité et de latence de chaque salarié supérieurs à dix minutes à tout moment de la journée présente un caractère intrusif important, car elle contraint en pratique le salarié à pouvoir justifier de tout temps considéré comme non productif. Le traitement de cet indicateur peut avoir des répercussions négatives sur le salarié en raison du suivi continu qu'il permet des temps très courts considérés comme non productifs. Un tel traitement, pour des finalités de gestion d'un entrepôt, d'exécution des commandes et de fourniture de conseils aux salariés, est disproportionné par rapport aux intérêts et droits fondamentaux des salariés, notamment leur droit à la protection de leur vie privée et personnelle ainsi qu'à des conditions de travail respectueuses de leur santé et de leur sécurité. La base légale de l'intérêt légitime ne peut donc être retenue.

iii) Il en va de même de la collecte d'un indicateur signalant les temps d'inactivité et de latence inférieurs à dix minutes de chaque salarié à certains moments de la journée (en particulier avant et après les pauses), laquelle est disproportionnée au regard des finalités de gestion d'un entrepôt, d'exécution des commandes et de fourniture de conseils aux salariés. La base légale de l'intérêt légitime ne peut donc être retenue.

2) La conservation et l'utilisation, pour chaque salarié, de données aussi fines et riches que l'intégralité des données brutes remontées par les scanners, ainsi que l'ensemble des nombreux indicateurs associés mesurant diverses variables, y compris sur de courtes périodes (une heure), sur une profondeur de 31 jours, pour des finalités d'évaluations individuelles régulières des salariés et, s'agissant de la plupart de ces données, pour des finalités d'organisation du travail dans les entrepôts, ne sont ni nécessaires ni proportionnées, notamment dès lors que la société peut atteindre ces finalités sans conserver l'intégralité des données brutes sur 31 jours et en ayant recours à des statistiques individuelles de qualité et de productivité, par exemple hebdomadaires. La conservation et l'utilisation de l'ensemble de ces données méconnaît le principe de minimisation de l'article 5.1.c) du RGPD et, en tout état de cause, porte une atteinte disproportionnée aux droits du salarié contraire à l'article 6 du RGPD.

L'article 9 de la directive 95/46 doit être interprété en ce sens que des circonstances de fait telles que celles de l'affaire principale, à savoir l'enregistrement vidéo de membres de la police dans un commissariat, lors d'une prise de déposition, et la publication de la vidéo ainsi enregistrée sur un site Internet de vidéos où les utilisateurs peuvent envoyer, regarder et partager celles‑ci, peuvent constituer un traitement de données à caractère personnel aux seules fins de journalisme, au sens de cette disposition, pour autant qu'il ressort de ladite vidéo que ledit enregistrement et la publication ont pour seule finalité la divulgation au public d'informations, d'opinions ou d'idées ; ce qu'il incombe à la juridiction de renvoi de vérifier.

L'ingérence dans le droit à la vie privée et à la protection des données à caractère personnel qu'emporte la publicité des données nominatives contenues dans le regi stre des sociétés n'est pas disproportionnée eu égard au nombre de données concernées et au fait qu'elle vise à assurer la sécurité juridique dans les rapports entre les sociétés et les tiers ainsi qu'à protéger les intérêts des tiers par rapport aux socié tés par actions et aux sociétés à responsabilité limitée.

Il ne peut donc être garanti aux personnes physiques dont les données sont inscrites dans le registre des sociétés le droit d'obtenir, après un certain délai à compter de la dissolution de la socié té, l'effacement des données à caractère personnel les concernant.

En revanche, les États membres peuvent exceptionnellement déroger à cette exigence de publicité. Il leur appartient de déterminer si les personnes physiques, visées à l'article 2, paragrap he 1, sous d) e t j) de la directive 68/151/CEE, à savoir, d'une part, les personnes qui ont le pouvoir d'engager une société à l'égard des tiers et de la représenter en justice et celles qui participent à l'administration, à la surveillance ou au contrôle de la société et, d'autre part, les liquidateurs d'une société, peuvent demander à l'autorité chargée de la tenue, respectivement, du registre central, du registre du commerce ou du registre des sociétés de vérifier, sur la base d'une appréciation au cas p ar cas, s'il est exceptionnellement justifié, pour des raisons prépondérantes et légitimes tenant à leur situation particulière, de limiter, à l'expiration d'un délai suffisamment long après la dissolution de la société concernée, l'accès aux données à car actère personnel les concernant, inscrites dans ce registre, aux tiers justifiant d'un intérêt spécifique à la consultation de ces données.

Il découle des exigences, prévues à l'article 6, paragraphe 1, sous c) à e), de la Directive 95/46, que même un traitement initialement licite de données exactes peut devenir, avec le temps, incompatible avec cette directive lorsque ces données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées. Ainsi, dans l'hypothèse où il est constaté, à la suite d'une demande de la personne concernée en application de l'article 12, sous b), de la Directive 95/46, que l'inclusion dans la liste de résultats, affichée à la suite d'une recherche effectuée à partir de son nom, des liens vers des pages web publiées légalement par des tiers et contenant des informations véridiques relatives à sa personne, est, au stade actuel, incompatible avec ledit article 6, paragraphe 1, sous c) à e), en raison du fait que ces informations apparaissent, eu égard à l'ensemble des circonstances caractérisant le cas d'espèce, inadéquates, pas ou plus pertinentes ou excessives au regard des finalités du traitement en cause réalisé par l'exploitant du moteur de recherche, les informations et les liens concernés de ladite liste de résultats doivent être effacés.

Dans ce contexte, la constatation d'un droit de la personne concernée à ce que l'information relative à sa personne ne soit plus liée à son nom par une liste de résultats ne présuppose pas que l'inclusion de l'information en question dans la liste de résultats cause un préjudice à la personne concernée.

La personne concernée, pouvant, eu égard à ses droits fondamentaux au titre des articles 7 et 8 de la Charte des droits fondamentaux de l'Union européenne, demander à ce que l'information en question ne soit plus mise à la disposition du grand public par son inclusion dans une telle liste de résultats, ces droits prévalent, en principe, non seulement sur l'intérêt économique de l'exploitant du moteur de recherche, mais également sur l'intérêt de ce public à trouver ladite information lors d'une recherche portant sur le nom de cette personne. Cependant, tel ne serait pas le cas s'il apparaissait, pour des raisons particulières, telles que le rôle joué par ladite personne dans la vie publique, que l'ingérence dans ses droits fondamentaux est justifiée par l'intérêt prépondérant dudit public à avoir, du fait de cette inclusion, accès à l'information en question.

1) L'article L. 251‑2 du Code de la sécurité intérieure (CSI) liste les finalités pour lesquelles la transmission et l'enregistrement d'images prises sur la voie publique par le moyen de la vidéoprotection peuvent être mis en œuvre par les autorités publiques compétentes. Mettre les données collectées à la disposition de la gendarmerie nationale pour l'exercice de ses missions de police judiciaire, qui n'est pas aux nombres des finalités visées par cet article, ne constitue pas, pour un dispositif de transmission et d'enregistrement d'images prises sur la voie publique par le moyen de la vidéoprotection, une finalité légitime.

2) L'article L. 233‑1 du CSI autorise les seuls services des douanes, de police et de gendarmerie nationales à mettre en œuvre les dispositifs de contrôle automatisé des données signalétiques des véhicules prenant la photographie de leurs occupants pour les finalités qu'il prévoit. Par suite, une commune ne saurait mettre en œuvre un tel dispositif, alors même que les données collectées seraient destinées à être mises à disposition de la gendarmerie nationale à des fins d'aide à l'identification des auteurs d'infractions.

Fait de dispositions expresses la régissant, la durée de conservation des empreintes digitales relevées sur le fondement de l'article 5 du décret du 22 octobre 1955 est illimitée. Une telle durée de conservation ne peut être regardée comme nécessaire aux finalités du fichier, eu égard à la durée de validité de la carte nationale d'identité et au délai dans lequel tout détenteur d'une carte nationale d'identité périmée peut en solliciter le renouvellement. Elle est donc illégale.

Décret créant un traitement nominatif relatif aux détenus comportant notamment des données relatives à leurs antécédents médicaux ayant pour finalité l'exécution des sentences pénales et des décisions de justice s'y rattachant, la gestion de la détention des personnes placées sous main de justice et écrouées, la sécurité des personnes détenues et des personnels et la mise en œuvre du « parcours pluridisciplinaire de la personne détenue ». Eu égard à la finalité du fichier ayant notamment trait à la gestion des contentieux entre l'administration pénitentiaire et les personnes placées sous main de justice, la durée de conservation de deux ans prévue à l'article R. 57‑9‑21 à compter de la date de levée d'écrou n'est pas excessive. En revanche, la conservation ultérieure de ces données pour un délai de huit ans, qui poursuit, selon la garde des sceaux, la conduite éventuelle de contentieux, est dépourvue de fondement légal dès lors que cette finalité n'est pas explicitée par le décret attaqué et que la durée de conservation ainsi définie ne s'y rattache pas spécifiquement.

1) D'une part, les articles 5‑1a du RGPD et 4‑1° de la loi du 6 janvier 1978 disposent que tout traitement de données à caractère personnel doit être « licite ». D'autre part, l'article 16 de cette loi donne compétence à la formation restreinte de la Commission nationale de l'informatique et des libertés pour sanctionner les responsables de traitement ou sous‑traitants qui ne respectent pas les obligations découlant du RGPD et de la loi Informatique et Libertés. Il en résulte que, lorsqu'une disposition limite expressément les finalités d'un traitement de données à caractère personnel, que celle‑ci soit contenue dans un acte réglementaire autorisant et régissant un traitement particulier de données sur le fondement des articles 31 et suivants de la loi Informatique et Libertés ou des dispositions qui y renvoient, ou qu'elle résulte d'une disposition législative ou réglementaire spéciale limitant la ou les finalités d'un traitement ou d'une catégorie de traitement, la formation restreinte de la CNIL est compétente pour sanctionner le traitement illicite que constitue la méconnaissance de cette disposition. 2) La formation restreinte est donc compétente en l'espèce pour examiner le manquement à l'article 5‑1a du RGPD qui résulterait, selon la rapporteur, de la méconnaissance de l'article L. 37 du code électoral prohibant l'utilisation des listes électorales, qui contiennent des données personnelles, pour des finalités commerciales.