Les données relatives à la santé des personnes atteintes par le virus responsable de la covid‑19 et des personnes en contact avec elles sont, le cas échéant sans leur consentement, traitées et tagées à travers un système d'information ad hoc. Ne méconnaît pas le droit au respect de la vie privée l'extension de l'accès à ces données à certains professionnels de santé qui participent à l'établissement du diagnostic et à l'identification des chaînes de contamination, sans consentement préalable, dès lors que ces professionnels ne peuvent avoir accès qu'aux seules données nécessaires à leur intervention et dans la stricte mesure où leur intervention sert les finalités poursuivies par le système d'information ; aux organismes assurant l'accompagnement social des personnes infectées ou susceptibles de l'être, lorsque cet accès est subordonné au recueil préalable du consentement des intéressés et ne peut porter que sur les données strictement nécessaires à l'exercice de la mission de ces organismes (voir à ce sujet la censure sous DC 2020‑800).

L'article 11 contesté prévoit que, par dérogation à l'exigence fixée à l'article L. 1110‑4 du code de la santé publique, les données à caractère personnel relatives à la santé des personnes atteintes par le covid-19 et des personnes en contact avec elles peuvent être traitées et partagées, sans le consentement des intéressés, dans le cadre d'un système d'information ad hoc ainsi que dans le cadre d'une adaptation des systèmes d'information relatifs aux données de santé déjà existants. La collecte, le traitement et le partage d'informations portent donc non seulement sur les données médicales personnelles des intéressés, mais aussi sur certains éléments d'identification et sur les contacts qu'ils ont noués avec d'autres personnes. Ce faisant, les dispositions contestées portent atteinte au droit au respect de la vie privée. Toutefois ce dispositif n'est pas contraire à la Constitution dès lors que : le législateur a entendu renforcer les moyens de lutte contre l'épidémie et poursuit l'objectif de valeur constitutionnelle (OVC) de protection de la santé ; le traitement des données ne peut être mis en œuvre que dans la mesure strictement nécessaire à quatre finalités précisément définies en lien avec cet objectif de valeur constitutionnel ; le champ des données susceptibles de faire l'objet du traitement en cause est circonscrit aux seules données relatives au covid-19 et strictement nécessaires à la poursuite de ces finalités ; le champ des personnes pouvant accéder aux données collectées, bien que large, est proportionné compte tenu de l'étendue des démarches à entreprendre pour organiser la collecte des informations nécessaires à la lutte contre le développement de l'épidémie. Par ailleurs, diverses garanties sont prévues par la loi (secret professionnel, encadrement de l'accès aux données pour les seules finalités dont relèvent les organismes concernés…) ; le traitement de ces données reste soumis aux règles issues du RGPD et de la loi du 6 janvier 1978 dite « Informatique et Libertés » ; ce dispositif ne peut s'appliquer au-delà du temps strictement nécessaire à la lutte contre la propagation de l'épidémie de covid-19 et les données à caractère personnel collectées, qu'elles soient ou non médicales, doivent, quant à elles, être supprimées trois mois après leur collecte ; le décret d'application de la loi est pris après avis public de la Commission nationale de l'informatique et des libertés. Le Conseil constitutionnel émet néanmoins des réserves : l'anonymisation prévue des données nominatives pour ce qui concerne la finalité de surveillance épidémiologique et de recherche contre le virus doit s'étendre aux coordonnées de contact électronique et téléphonique ; le recueil de ces données sans consentement préalable par des organismes d'accompagnement social méconnaît le droit au respect de la vie privée dans la mesure où l'accompagnement ne relève pas directement de la lutte contre l'épidémie ; il appartiendra au pouvoir réglementaire de définir des modalités de collecte, de traitement et de partage des informations assurant leur stricte confidentialité et, notamment, l'habilitation spécifique des agents chargés, au sein de chaque organisme, de participer à la mise en œuvre du système d'information ainsi que la traçabilité des accès à ce système d'information ; le recours à des sous‑traitants, qui agissent pour leur compte et sous leur responsabilité, doit s'effectuer en conformité avec les exigences de nécessité et de confidentialité des données.

Le VIN (Vehicule Identification Number), code alphanumérique attribué au véhicule par son constructeur afin d’assurer l’identification adéquate de ce véhicule et qui, en tant que tel, est dépourvu de caractère « personnel », acquiert ce caractère à l’égard de quiconque dispose raisonnablement de moyens permettant de l’associer à une personne déterminée.

Or, il résulte de l’annexe I, point II.5, de la directive 1999/37 que le VIN doit figurer dans le certificat d’immatriculation d’un véhicule, tout comme le numéro et l’adresse du titulaire de ce certificat. En outre, en vertu des points II.5 et II.6 de cette annexe, une personne physique peut être désignée dans ledit certificat comme propriétaire du véhicule ou comme une personne pouvant disposer du véhicule à un titre juridique autre que celui de propriétaire. Dans ces conditions, le VIN constitue une donnée à caractère personnel, au sens de l’article 4, point 1, du RGPD, de la personne physique mentionnée dans le même certificat, dans la mesure où celui qui y a accès pourrait disposer de moyens lui permettant de l’utiliser pour identifier le propriétaire du véhicule auquel il se rapporte ou la personne pouvant disposer de ce véhicule à un titre juridique autre que celui de propriétaire.

Lorsque les opérateurs indépendants (personnes physiques ou morales, autres qu’un concessionnaire ou réparateur agréé, qui sont directement ou indirectement engagées dans la réparation et l’entretien de véhicules) peuvent raisonnablement disposer des moyens leur permettant de rattacher un VIN à une personne physique identifiée ou identifiable, ce VIN constitue pour eux une donnée à caractère personnel, au sens de l’article 4, point 1, du RGPD, ainsi que, indirectement, pour les constructeurs automobiles qui le mettent à disposition, même si le VIN n’est pas, en soi, pour ces derniers une donnée à caractère personnel et ne l’est pas, en particulier, lorsque le véhicule auquel ce VIN a été attribué n’appartient pas à une personne physique.

L'article 6, paragraphe 1, premier alinéa, sous f), du RGPD, lu en combinaison avec l'article 15, paragraphe 1, de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002 (directive vie privée et communications électroniques), doit être interprété en ce sens qu'il ne s'oppose, en principe, ni à l’enregistrement systématique, par le titulaire de droits de propriété intellectuelle ainsi que par un tiers pour son compte, d'adresses IP d'utilisateurs de réseaux de pair à pair (peer‑to‑peer) dont les connexions internet ont été prétendument utilisées dans des activités contrefaisantes ni à la communication des noms et des adresses postales de ces utilisateurs à ce titulaire ou à un tiers afin de lui permettre d'introduire un recours en indemnisation devant une juridiction civile pour un dommage prétendument causé par lesdits utilisateurs, à condition toutefois que les initiatives et les demandes en ce sens dudit titulaire ou d'un tel tiers soient justifiées, proportionnées et non abusives et trouvent leur fondement juridique dans une mesure législative nationale, au sens de l'article 15, paragraphe 1, de la directive 2002/58, qui limite la portée des règles énoncées aux articles 5 et 6 de cette directive.

Les codes d’identification propres aux établissements dans lesquels sont scolarisés les enfants, y compris dans les cas où l’enfant est scolarisé dans une structure hospitalière ou dans un établissement de santé, permettent de savoir que l’élève a été souffrant mais ne fournissent par eux‑mêmes aucune information sur la nature, la durée ou la gravité de l’affection de l’élève, information qui ne peut être obtenue qu’en accédant à un autre fichier mettant en correspondance les codes et la dénomination de l’établissement. Ce n’est que dans de très rares cas que la dénomination de l’établissement est explicite quant à la nature des pathologies qu’il soigne. Par conséquent, ces données ne sont pas relatives à la santé au sens de l’article 8 de la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dite loi Informatique et Libertés.

1) L'article 5, paragraphe 1, sous c), du RGPD (principe de minimisation) doit être interprété en ce sens que le principe de minimisation des données, prévu à cette disposition, s'oppose à ce que l'ensemble des données à caractère personnel qui ont été obtenues par un responsable du traitement, tel que l'exploitant d'une plateforme de réseau social en ligne, auprès de la personne concernée ou de tiers et qui ont été collectées tant sur cette plateforme qu'en dehors de celle‑ci, soient agrégées, analysées et traitées à des fins de publicité ciblée, sans limitation dans le temps et sans distinction en fonction de la nature de ces données.

2) L'article 9, paragraphe 2, sous e), du RGPD doit être interprété en ce sens que la circonstance qu'une personne se soit exprimée sur son orientation sexuelle lors d'une table ronde, dont la participation est ouverte au public, n'autorise pas l'exploitant d'une plateforme de réseau social en ligne à traiter d'autres données relatives à l'orientation sexuelle de cette personne, obtenues, le cas échéant, en dehors de cette plateforme à partir d'applications et de sites Internet de tiers partenaires, en vue de l'agrégation et l'analyse de celles‑ci, afin de lui proposer de la publicité personnalisée.

1) L'article 6, paragraphe 1, premier alinéa, sous b) et f), du règlement général sur la protection des données, lu en combinaison avec l’article 5, paragraphe 1, sous c), de ce règlement doit être interprété en ce sens que :

• le traitement de données à caractère personnel relatives à la civilité des clients d’une entreprise de transport, ayant pour finalité une personnalisation de la communication commerciale fondée sur leur identité de genre, ne paraît ni objectivement indispensable ni essentiel afin de permettre l'exécution correcte d'un contrat et, partant, ne peut pas être considéré comme étant nécessaire à l'exécution de ce contrat ;
• le traitement de données à caractère personnel relatives à la civilité des clients d’une entreprise de transport, ayant pour finalité une personnalisation de la communication commerciale fondée sur leur identité de genre, ne peut pas être considéré comme étant nécessaire aux fins des intérêts légitimes poursuivis par le responsable de ce traitement ou par un tiers lorsque :
• l'intérêt légitime poursuivi n'a pas été indiqué à ces clients lors de la collecte de ces données ;
• ledit traitement n'est pas opéré dans les limites du strict nécessaire pour la réalisation de cet intérêt légitime ;
• au regard de l'ensemble des circonstances pertinentes, les libertés et droits fondamentaux desdits clients sont susceptibles de prévaloir sur ledit intérêt légitime, notamment en raison d'un risque de discrimination fondée sur l'identité de genre.

2) L'article 6, paragraphe 1, premier alinéa, sous f), du règlement général sur la protection des données doit être interprété en ce sens que, afin d'apprécier la nécessité d'un traitement de données à caractère personnel au titre de cette disposition, il n'y a pas lieu de prendre en considération l'existence éventuelle d'un droit d'opposition de la personne concernée, au titre de l'article 21 de ce règlement.

1) L'article 6, paragraphe 1, premier alinéa, sous b) et f), du règlement général sur la protection des données, lu en combinaison avec l'article 5, paragraphe 1, sous c), de ce règlement doit être interprété en ce sens que:

• le traitement de données à caractère personnel relatives à la civilité des clients d'une entreprise de transport, ayant pour finalité une personnalisation de la communication commerciale fondée sur leur identité de genre, ne paraît ni objectivement indispensable ni essentiel afin de permettre l'exécution correcte d'un contrat et, partant, ne peut pas être considéré comme étant nécessaire à l'exécution de ce contrat;
• le traitement de données à caractère personnel relatives à la civilité des clients d'une entreprise de transport, ayant pour finalité une personnalisation de la communication commerciale fondée sur leur identité de genre, ne peut pas être considéré comme étant nécessaire aux fins des intérêts légitimes poursuivis par le responsable de ce traitement ou par un tiers, lorsque:
• l'intérêt légitime poursuivi n'a pas été indiqué à ces clients lors de la collecte de ces données;
• ledit traitement n'est pas opéré dans les limites du strict nécessaire pour la réalisation de cet intérêt légitime;
• au regard de l'ensemble des circonstances pertinentes, les libertés et droits fondamentaux desdits clients sont susceptibles de prévaloir sur ledit intérêt légitime, notamment en raison d'un risque de discrimination fondée sur l'identité de genre.

2) L'article 6, paragraphe 1, premier alinéa, sous f), du règlement général sur la protection des données doit être interprété en ce sens que, afin d'apprécier la nécessité d'un traitement de données à caractère personnel au titre de cette disposition, il n'y a pas lieu de prendre en considération l'existence éventuelle d'un droit d'opposition de la personne concernée, au titre de l'article 21 de ce règlement.

1) L’article 5, paragraphe 1, sous c), du RGPD (principe de minimisation) doit être interprété en ce sens que le principe de la « minimisation des données », prévu à cette disposition, s’oppose à ce que l’ensemble des données à caractère personnel qui ont été obtenues par un responsable du traitement, tel que l’exploitant d’une plateforme de réseau social en ligne, auprès de la personne concernée ou de tiers et qui ont été collectées tant sur cette plateforme qu’en dehors de celle‑ci, soient agrégées, analysées et traitées à des fins de publicité ciblée, sans limitation dans le temps et sans distinction en fonction de la nature de ces données.

2) L’article 9, paragraphe 2, sous e), du RGPD doit être interprété en ce sens que la circonstance qu’une personne se soit exprimée sur son orientation sexuelle lors d’une table ronde, dont la participation est ouverte au public, n’autorise pas l’exploitant d’une plateforme de réseau social en ligne à traiter d’autres données relatives à l’orientation sexuelle de cette personne, obtenues, le cas échéant, en dehors de cette plateforme à partir d’applications et de sites Internet de tiers partenaires, en vue de l’agrégation et de l’analyse de celles‑ci, afin de lui proposer de la publicité personnalisée.

1) Pour l'examen de l'existence de la base légale de l'obligation légale, la condition tenant à la nécessité du traitement portant publication en ligne sur le site internet d'une autorité publique de données à caractère personnel contenues dans une déclaration d'intérêts privés que tout directeur d'établissement percevant des fonds publics est tenu de déposer auprès de cette autorité en vue d'assurer la prévalence de l'intérêt public, l'impartialité des décisions, la prévention des situations de conflits d'intérêts et la lutte contre la corruption doit être examinée conjointement avec le principe dit de la « minimisation des données » consacré à l'article 5, paragraphe 1, sous‑c), du RGPD.

2) Seules les données dont la publication est effectivement de nature à renforcer les garanties de probité et d'impartialité des responsables publics, à prévenir les conflits d'intérêts et à lutter contre la corruption dans le secteur public peuvent faire l'objet d'un tel traitement. La divulgation publique, en ligne, de données nominatives relatives au conjoint, concubin ou partenaire ainsi qu'aux personnes proches ou connues du déclarant susceptibles de donner lieu à un conflit d'intérêts, ou encore sur toute transaction conclue au cours des douze derniers mois dont la valeur excède 3000 euros paraît aller au-delà de ce qui est strictement nécessaire.

Il résulte des dispositions de l’article 6 de la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dans sa rédaction applicable au litige que, pour être compatible avec les finalités d’un traitement, la transmission des données à caractère personnel doit être strictement limitée à celles qui permettent aux destinataires de poursuivre les finalités du traitement. Par suite, un traitement relatif à la prévention des atteintes à la sécurité publique en marge d’événements sportifs ne peut pas légalement prévoir que les associations et fédérations sportives, qui n’exercent aucune mission relative aux finalités poursuivies, puissent être destinataires des données collectées.

Constitution d'un traitement automatisé centralisé des données à caractère personnel (état civil, image numérisée du visage et empreintes de huit doigts) recueillies auprès des personnes âgées d'au moins six ans lors de l'établissement ou du renouvellement des passeports.

La finalité de la consultation des empreintes digitales contenues dans le traitement automatisé (confirmer que la personne présentant une demande de renouvellement d'un passeport est bien celle à laquelle le passeport a été initialement délivré ou s'assurer de l'absence de falsification des données contenues dans le composant électronique du passeport) peut être atteinte de manière suffisamment efficace en comparant les empreintes figurant dans le composant électronique du passeport avec celles conservées dans le traitement, sans qu'il soit nécessaire que ce dernier en contienne davantage.

Dès lors, le Conseil d'État annule l'article litigieux du fait de l'inconventionalité de la collecte et de la conservation d'un plus grand nombre d'empreintes digitales que celles figurant dans le composant électronique, ces données n'étant ni adéquates, ni pertinentes et apparaissant excessives au regard des finalités du traitement informatisé.

Conservation des données d'opposition d'une personne à recevoir de la prospection commerciale.

1) Afin d'assurer l'effectivité du droit d'opposition, le responsable de traitement peut créer une « liste repoussoir » lui permettant de ne pas utiliser à nouveau les données de contact si elles venaient à lui être transmises à nouveau par une autre personne que la personne concernée. La CNIL recommande de conserver l'inscription à la « liste repoussoir » de la personne ayant fait opposition pendant une durée minimale de trois ans et de ne conserver que les empreintes de l'adresse ou du numéro utilisé pour la prospection. Cela permet de prendre en compte l'opposition dans le temps sans conserver de données directement identifiantes.

2) En l'espèce, la liste repoussoir comprenait la civilité, le nom, le prénom, la date de naissance, le numéro de téléphone, l'adresse électronique, la ville ou le code postal, le niveau d'imposition et la situation familiale alors que l'ensemble de ces données n'apparaissaient pas nécessaires au regard de la finalité liée à la prise en compte de l'opposition des prospects à recevoir de la prospection. Seules les données nécessaires à la prise en compte de l'opposition dans le temps et qui correspondent en l'espèce au numéro de téléphone et à l'adresse électronique de la personne concernée auraient dû être conservées sous une forme hachée. Il en résulte une méconnaissance de l'article 5‑1‑c) du RGPD.

Un responsable du traitement, qui souhaite enregistrer des conversations téléphoniques à des fins probatoires, doit démontrer qu'il ne dispose pas d'autres moyens moins intrusifs pour prouver que le contrat conclu à distance ait bien été conclu avec la personne concernée. En application de l'article L.221‑16 du Code de la consommation, dès lors que la preuve de la souscription d'un contrat conclu à distance, à la suite d'un démarchage téléphonique, peut être apportée par la confirmation écrite de l'offre, l'enregistrement des conversations téléphoniques passées entre les téléopérateurs et les prospects, à des fins de preuve de la formation du contrat, n'apparaît pas nécessaire.

enregistrement intégral et systématique par une société de l'ensemble des appels téléphoniques sortants passés entre ses téléopérateurs et ses prospects commerciaux à des fins finalité probatoire et de finalité de formation constitue un manquement à l'article 5‑1‑c du RGPD, qui dispose que les données à caractère personnel doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ».

1) Concernant la finalité probatoire, l'article L.221‑16 du code de la consommation dispose qu'« à la suite d'un démarchage par téléphone, le professionnel adresse au consommateur, sur papier ou sur support durable, une confirmation de l'offre qu'il a faite et reprenant toutes les informations prévues à l'article L. 221‑5. Le consommateur n'est engagé par cette offre qu'après l'avoir signée et acceptée par écrit ou avoir donné son consentement par voie électronique ». Il en résulte que la souscription d'un contrat conclu à distance est prouvée par un autre moyen que l'enregistrement des appels téléphoniques passés avec les prospects.

2) Concernant la finalité relative à la formation, un enregistrement aléatoire de seulement quelques conversations téléphoniques permettrait à la personne chargée de la formation de disposer des éléments nécessaires à la réalisation de sa mission.

Dans le cadre d’un projet de décret autorisant la mise en œuvre par le ministère de l’éducation nationale d’un traitement ayant pour finalité d’améliorer la prise en charge et le parcours scolaire des élèves à besoins éducatifs particuliers, de mieux individualiser les réponses pédagogiques et de garantir aux familles la mise en place d’adaptations pédagogiques dès le repérage de difficultés d’apprentissage, la CNIL considère que la création et l’utilisation d’un identifiant spécifique et distinct de l’identifiant national élève (INE) permettra, conformément à sa doctrine, de segmenter les traitements afin d’éviter des interconnexions ou rapprochements de données qui ne sont pas nécessaires, et de limiter les risques de réidentification des personnes en cas de fuite de données.

Les principes de nécessité d'un traitement fondé sur l'intérêt public et de minimisation des données s'opposent à la mise en œuvre de systèmes d'identification par reconnaissance faciale d'enfants à des fins de contrôle d'accès à des établissements scolaires, dès lors que les objectifs de sécurisation et la fluidification des entrées dans de tels établissements peuvent être atteints par des moyens aussi efficaces et moins intrusifs, compte tenu de la protection particulière dont doivent bénéficier les enfants, même si ces systèmes étaient mis en œuvre à titre expérimental et reposeraient sur le consentement des élèves concernés.

Collecte et conservation de données personnelles indiquant que le requérant était concerné par la contre‑indication au don de sang, alors prévue pour les hommes ayant eu un rapport sexuel avec un homme en droit interne. De telles données comportent des indications explicites sur la vie sexuelle et sur l'orientation sexuelle supposée du requérant. Le fait que cette contre‑indication était conservée avec la simple référence à un code et non la description explicite d'un comportement sexuel n'est pas déterminant. Il était en outre prévu que les données saisies en 2004 soient conservées jusqu'en 2278.

La Cour EDH conclut que cette collecte et conservation de données personnelles sensibles constitue une ingérence dans le droit au respect de la vie privée du requérant. Néanmoins, cette ingérence était « prévue par la loi » et poursuivait le but légitime de la protection de la santé.

La collecte et la conservation de données personnelles relatives aux résultats des procédures de sélection des candidats au don du sang, et en particulier aux motifs d'exclusion du don éventuellement retenus, contribuent à garantir la sécurité transfusionnelle. Sans qu'il soit besoin de rechercher si d'autres critères de sélection des donneurs étaient envisageables, la collecte et la conservation des données litigieuses reposaient sur des motifs pertinents et suffisants.

Eu égard à la sensibilité des données personnelles litigieuses, qui comportent des indications sur les pratiques et l'orientation sexuelles du requérant, il est particulièrement important qu'elles répondent aux exigences de qualité prévues à l'article 5 de la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel du Conseil de l'Europe. Il importe en particulier qu'elles soient exactes et, le cas échéant, mises à jour, qu'elles soient adéquates, pertinentes et non excessives par rapport aux finalités du traitement, et que leur durée de conservation n'excède pas celle qui est nécessaire. Par ailleurs, les données litigieuses, qui touchaient à l'intimité du requérant, ont été collectées et conservées sans le consentement explicite du requérant. En conséquence, la Cour se doit de procéder à cet examen de façon rigoureuse.

En premier lieu, s'agissant de l'exactitude des données personnelles, celle‑ci doit être appréciée au regard de la finalité pour laquelle ces données ont été collectées. Dans le traitement litigieux, cette catégorie de données avait pour finalité d'assurer le respect d'une contre‑indication au don spécifique, que le droit interne prévoyait alors de façon permanente. À cette fin, elle devait reposer sur une base factuelle précise et exacte. Or, le requérant s'est vu appliquer une contre‑indication propre aux hommes ayant eu un rapport sexuel avec un homme au seul motif qu'il avait refusé de répondre à des questions relatives à sa sexualité lors de l'entretien médical préalable au don. Aucun des éléments soumis à l'appréciation du médecin ne lui permettait de tirer une telle conclusion sur ses pratiques sexuelles. C'est pourtant ce motif d'exclusion du don qui fut renseigné et conservé. Les données collectées se fondaient sur de simples spéculations et ne reposaient pas sur aucune base factuelle avérée. Or, c'est aux autorités qu'il incombe de démontrer l'exactitude des données collectées. De surcroît, elles n'ont pas été mises à jour à la suite des protestations et de la plainte du requérant.

Par ailleurs, il est inadéquat de collecter une donnée personnelle relative aux pratiques et à l'orientation sexuelles sur le seul fondement de spéculations ou de présomptions. Au surplus, il aurait suffi, pour atteindre l'objectif de sécurité transfusionnelle recherché, de garder trace du refus du requérant de répondre aux questions relatives à sa sexualité, cet élément étant de nature à justifier, à lui seul, un refus de la candidature au don de sang.

En second lieu, le Gouvernement ne démontre pas qu'à l'époque des faits, la durée de conservation des données litigieuses était encadrée de telle sorte qu'elle ne puisse pas excéder celle nécessaire aux finalités pour lesquelles elles ont été collectées. Au moment de la collecte de ces données en 2004, l'outil informatique employé par l'ÉFS prévoyait leur conservation jusqu'en 2278, rendant ainsi possible leur utilisation de manière répétée. À la date du 26 mai 2016, soit près de douze ans après leur collecte, les données relatives au motif d'exclusion étaient encore conservées. À cet égard, la durée de conservation des données doit être encadrée pour chacune des catégories de données concernées et elle doit être révisée si les finalités pour lesquelles elles ont été collectées ont évolué. Au vu de la pratique constante de l'ÉFS, la durée excessive de conservation des données litigieuses a rendu possible leur utilisation répétée à l'encontre du requérant, entraînant son exclusion automatique du don de sang.

Au vu de l'ensemble des éléments qui précèdent, l'État défendeur a outrepassé sa marge d'appréciation en la matière.

Afin d'assurer l'effectivité du droit d'opposition, le responsable de traitement peut créer une « liste repoussoir » lui permettant de ne pas utiliser à nouveau les données de contact si elles venaient à lui être transmises à nouveau par une autre personne que la personne concernée. La CNIL recommande de conserver l'inscription à la « liste repoussoir » de la personne ayant fait opposition pendant une durée minimale de trois ans et de ne conserver que les empreintes de l'adresse ou du numéro utilisé pour la prospection. Cela permet de prendre en compte l'opposition dans le temps sans conserver de données directement identifiantes.

Lorsqu'enregistrement de signalements dans un fichier est possible par le biais de zones de texte libre pouvant conduire à enregistrer des données variées et parfois sensibles, il est recommandé d'assurer qu'il ne soit pas possible d'effectuer des recherches dans le fichier à partir des mots rédigés dans ces signalements, afin de limiter les mésusages possibles de ces données.