Dans le cadre d’un projet de décret autorisant la mise en œuvre par le ministère de l’Éducation nationale d’un traitement ayant pour finalité d’améliorer la prise en charge et le parcours scolaire des élèves à besoins éducatifs particuliers, de mieux individualiser les réponses pédagogiques et de garantir aux familles la mise en place d’adaptations pédagogiques dès le repérage de difficultés d’apprentissage, la CNIL considère que la création et l’utilisation d’un identifiant spécifique et distinct de l’identifiant national élève (INE) permettront, conformément à sa doctrine, de segmenter les traitements afin d’éviter des interconnexions ou rapprochements de données qui ne sont pas nécessaires, et de limiter les risques de réidentification des personnes en cas de fuite de données.

Lorsque l'enregistrement de signalements dans un fichier est possible par le biais de zones de texte libre pouvant conduire à enregistrer des données variées et parfois sensibles, il est recommandé d'assurer qu'il ne soit pas possible d'effectuer des recherches dans le fichier à partir des mots rédigés dans ces signalements, afin de limiter les mésusages possibles de ces données.

Cas d’une personne ayant souscrit une ligne téléphonique principale et une ligne téléphonique secondaire dans le cadre d’un abonnement téléphonique et qui résilie seulement la ligne principale ou secondaire.

Si l’information qu’une personne a été titulaire d’une ligne mobile résiliée peut effectivement être conservée à des fins d’exécution du contrat, à des fins comptables ou encore pour la gestion du contentieux, il n’est en revanche pas nécessaire de continuer à traiter cette information, notamment le numéro de la ligne résiliée, dans le cadre de l’émission des facturations en cours et de la faire apparaître sur ces dernières, alors que l’utilisation d’un identifiant permettant d’identifier le débiteur des différentes lignes mobiles (principales et secondaires) peut être mobilisée à la place. Il appartient au responsable du traitement de prévoir, dès la conception, des mesures organisationnelles et techniques pour ne plus traiter ces données dans ce cadre à la suite d’une demande de résiliation d’une ligne principale par la personne concernée.

Le projet de décret vise à permettre la mise en œuvre d'une application informatique, dénommée « StopCovid », qui pourra être téléchargée sur les téléphones mobiles et qui permettra d'informer les utilisateurs de ces téléphones du fait qu'ils ont été à proximité de personnes diagnostiquées positives au virus du covid‑19 via la technologie « Bluetooth ». Ni les personnes dépistées, ni les cas contacts ne sont identifiés ; les utilisateurs de l'application ne disposent que de très peu d'informations les concernant et le projet de décret consacre le caractère libre et volontaire du téléchargement et de l'utilisation de l'application.

Eu égard à l'objectif de protection de la santé publique poursuivi, le décret ne méconnaît pas ni le droit au respect de la vie privée ni le RGPD. En particulier, la durée du traitement, fixée à six mois après la fin de l'état d'urgence sanitaire, ainsi que la durée de conservation de l'historique de proximité des utilisateurs, fixée à quinze jours à compter de l'émission des données, paraît adaptée.

Le Conseil d'État estime en outre que ce projet ne porte pas secret médical garanti par l'article L. 1110‑4 du code de la santé publique, lequel ne s'impose qu'aux professionnels.

En revanche, le Conseil d'État émet un avis défavorable à une disposition prévoyant que le téléchargement et l'utilisation de l'application ne peuvent donner lieu à des avantages ou droits spécifiques qui seraient refusés aux personnes n'ayant pas téléchargé ou n'utilisant pas l'application et qu'aucun tiers ne peut obliger une personne à utiliser l'application, ni exercer un droit de regard sur l'existence de l'application ou son contenu, dès lors que ces dispositions édictent des interdictions, notamment applicables aux relations entre personnes privées, qui relèvent des principes fondamentaux des obligations civiles et commerciales dont la détermination est réservée au législateur par l'article 34 de la Constitution.

Toutefois, des limites sont posées par la législation en vigueur à des pratiques consistant pour des personnes privées à subordonner des droits ou avantages à l'utilisation de cette application.

L'article L. 411 - 10 du c ode de la construction et de l'habitation prévoit que le ministère chargé du logement tient un répertoire des logements locatifs sociaux et de leurs habitants, pour permettre l'élaboration et la mise en œuv re des politiques publiques de l'habitat.

Le c du 1° du paragraphe I de l'article 78 de la loi relative à l'égalité et à la citoyenneté complète cet article L. 411 - 10. Il prévoit que, pour alimenter ce répertoire, les bailleurs sociaux transmettent au min istère chargé du logement le numéro d'immatriculation au répertoire national d'identification des personnes physiques de chaque occupant majeur d'un logement locatif social.

En adoptant les dispositions contestées, le législateur a entendu que le ministère chargé du logement soit en mesure d'établir une cartographie de l'occupation socio - économique du parc de logements sociaux, afin d'améliorer la mise en œuvre de la politique en matière d'attribution de ces logements. Il a ainsi poursuivi un objectif d'int érêt général.

Si les collectivités territoriales et certains de leurs établissements publics peuvent obtenir du représentant de l'État dans la région les informations relatives aux logements situés sur leur territoire contenues dans le répertoire, c'est, e n vertu du huitième alinéa de l'article L. 411 - 10, à la condition que ces informations aient été préalablement rendues anonymes.

Par ailleurs, le législateur a prévu au 4° du paragraphe I de l'article 78 que l'exploitation des données du répertoire par le groupement d'intérêt public mentionné à l'article L. 441 - 2 - 1 du c ode de la construction et de l'habitation est réalisée de manière à rendre impossible l'identification des intéressés.

Il en résulte que le législateur a retenu des modalités de collecte, d' enregistrement, de conservation, et de communication du numéro d'immatriculation au répertoire national d'identification des personnes physiques adéquates et proportionnées à l'objectif poursuivi. Par conséquent, le grief tiré de la méconnaissance du droit au respect de la vie privée doit être écarté.

Il résulte du point (4) de l’introduction du RGPD que le droit à la protection des données à caractère personnel n’est pas un droit absolu et doit être considéré par rapport à sa fonction dans la société et mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité, notamment le droit à un recours effectif et à accéder à un tribunal impartial. Selon l’article 145 du code de procédure civile, s’il existe un motif légitime de conserver ou d’établir avant tout procès la preuve de faits dont pourrait dépendre la solution d’un litige, les mesures d’instruction légalement admissibles peuvent être ordonnées à la demande de tout intéressé. Il résulte par ailleurs des articles 6 et 8 de la Convention européenne des droits de l’homme et des libertés fondamentales, de l’article 9 du code civil et de l’article 9 du code de procédure civile que le droit à la preuve peut justifier la production d’éléments portant atteinte à la vie privée à condition que cette production soit indispensable à l’exercice de ce droit et que l’atteinte soit proportionnée au but poursuivi. Il faut donc approuver l’arrêt qui ordonne à l’employeur de communiquer à une salariée les bulletins de salaire d’autres salariés occupant des postes de niveau comparable au sien, avec occultation des données personnelles à l’exception des noms et prénoms, de la classification conventionnelle et de la rémunération, après avoir relevé que cette communication d’éléments portant atteinte à la vie privée d’autres salariés était indispensable à l’exercice du droit à la preuve et proportionnée au but poursuivi, soit la défense de l’intérêt légitime de la salariée à l’égalité de traitement entre hommes et femmes en matière d’emploi et de travail.

Constitution d'un traitement automatisé centralisé données à caractère personnel (état civil, image numérisée du visage et empreintes de huit doigts) recueillies auprès des personnes âgées d'au moins six ans lors de l'établissement ou du renouvellement des passeports.

La finalité de la consultation des empreintes digitales contenues dans le traitement automatisé (confirmer que la personne présentant une demande de renouvellement d'un passeport est bien celle à laquelle le passeport a été initialement délivré ou s'assurer de l'absence de falsification des données contenues dans le composant électronique du passeport) peut être atteinte de manière suffisamment efficace en comparant les empreintes figurant dans le composant électronique du passeport avec celles conservées dans le traitement, sans qu'il soit nécessaire que ce dernier en contienne davantage.

Dès lors, le Conseil d'État annule l'article litigieux du fait de l'inconventionnalité de la collecte et de la conservation d'un plus grand nombre d'empreintes digitales que celles figurant dans le composant électronique, ces données n'étant ni adéquates, ni pertinentes et apparaissant excessives au regard des finalités du traitement informatisé.

Développement des contrôles automatisés à grande échelle des véhicules à des fins de réduction des pollutions et de la congestion du trafic routier. Le projet de loi d'orientation des mobilités, dans la version dont le Conseil d'État a été saisi, prévoyait la mise en place de dispositifs de contrôle automatisé des données signalétiques des véhicules (dit « LAPI », c’est‑à‑dire de lecture automatique des plaques d’immatriculation) dans trois cas :

• Le premier était destiné à contrôler les voies réservées à certaines catégories de véhicules, parmi lesquelles les véhicules transportant un nombre minimal d’occupants et les véhicules à très faibles émissions.
• Le deuxième avait pour objet d’assurer le respect des restrictions de circulation dans la ZFE dont la mise en place sera obligatoire pour les collectivités sur le territoire où les niveaux de pollution sont régulièrement dépassés.
• Le troisième permettait de vérifier l’acquittement, par les véhicules entrant dans un périmètre urbain défini par une autorité organisatrice de la mobilité, de la taxe appelée « tarif de congestion » instituée par cette autorité à titre de « péage urbain » afin de réduire la circulation automobile et diminuer la pollution atmosphérique.

Le recueil systématique des photographies des véhicules et, par conséquent, tant de leurs plaques d’immatriculation que de leurs conducteurs et passagers, susceptibles ainsi d’être identifiés, est de nature à permettre la saisie sur une grande échelle de données personnelles relatives au déplacement des individus concernés.

Le Conseil d'État a cependant admis la possibilité, au regard des principes constitutionnels, de mettre en place de tels dispositifs de recueil de données potentiellement identifiantes en raison des motifs d’intérêt général poursuivis en termes de politique des transports et de l’environnement. La création de voies réservées comme les restrictions d’accès au profit de certains véhicules, notamment les véhicules à très faibles émissions, est indissociable de la mise en place d’un contrôle automatisé systématique des véhicules circulant sur ces voies ou dans ces zones, seul à même d’assurer le respect de ces dispositions. Il en va de même pour le contrôle automatisé systématique des véhicules assujettis au tarif de congestion, indispensable pour vérifier le respect de l’obligation faite aux assujettis à cette imposition.

En outre, s’agissant des ZFE, le projet de loi, pour préserver les libertés auxquelles l’extension de ce dispositif est susceptible de porter atteinte, encadrait strictement le déploiement et la mise en œuvre du contrôle en limitant l’étendue et les points où il est effectué, le dispositif étant soumis à autorisation préfectorale.

Pour le péage urbain, si le projet de loi ne limitait pas le nombre des points de contrôle ni ne comportait de contraintes concernant leur emplacement contrairement à ce qui était prévu pour les voies réservées et les zones à faibles émissions, il prévoyait plusieurs garanties : suppression des données dès que la vérification a permis de constater l’acquittement du tarif, consultation du système d’immatriculation des véhicules aux fins d’identification du titulaire du certificat d’immatriculation du véhicule pour les seuls véhicules en infraction, conservation des données collectées subordonnée à un masquage destiné à empêcher l'identification des occupants et limitée à huit jours.

Le Conseil d'État a considéré que les limitations et précautions dont étaient ainsi assorties ces procédures de contrôle sont de nature à assurer la conciliation qu’il incombe au législateur d’effectuer entre, d’une part, le respect de la vie privée des personnes et la liberté d’aller et venir, et, d’autre part, la répression des infractions aux règles édictées dans la ZFE pour réduire la pollution ou celle des comportements visant à éluder le paiement de la taxe.

Dans le cadre de la mise en œuvre de dispositifs de lecture automatisée de plaques d'immatriculation (LAPI), le respect du principe de minimisation impose une vigilance particulière quant au respect de la vie privée des passagers des véhicules, des passants et des riverains et proscrit la prise de vue d'individus, y compris les occupants des véhicules.

En l'espèce, la mise en œuvre d'un tel dispositif à certaines entrées et sorties d'un village de vacances pour des finalités de sécurité des biens et des personnes (notamment dans le cadre d'évacuation d'urgence ou de la vérification d'absence d'entrée irrégulière sur le parc) apparaissait proportionnée, mais la captation de données à caractère personnel autres que les plaques minéralogiques était excessive. En particulier, la capture de l'identité des occupants du véhicule était disproportionnée au regard de la finalité du traitement.

Conservation des données d'opposition d'une personne à recevoir de la prospection commerciale.

1) Afin d'assurer l'effectivité du droit d'opposition, le responsable de traitement peut créer une « liste repoussoir » lui permettant de ne pas utiliser à nouveau les données de contact si elles venaient à lui être transmises à nouveau par une autre personne que la personne concernée. La CNIL recommande de conserver l'inscription à la « liste repoussoir » de la personne ayant fait opposition pendant une durée minimale de trois ans et de ne conserver que les empreintes de l'adresse ou du numéro utilisé pour la prospection. Cela permet de prendre en compte l'opposition dans le temps sans conserver de données directement identifiantes.

2) En l'espèce, la liste repoussoir comprenait la civilité, le nom, le prénom, la date de naissance, le numéro de téléphone, l'adresse électronique, la ville ou le code postal, le niveau d'imposition et la situation familiale alors que l'ensemble de ces données n'apparaissaient pas nécessaires au regard de la finalité liée à la prise en compte de l'opposition des prospects à recevoir de la prospection. Seules les données nécessaires à la prise en compte de l'opposition dans le temps et qui correspondent à l'espèce au numéro de téléphone et à l'adresse électronique de la personne concernée auraient dû être conservées sous une forme hachée. Il en résulte une méconnaissance de l'article 5‑1‑c) du RGPD.

Il résulte du point (4) de l'introduction du RGPD que le droit à la protection des données à caractère personnel n'est pas un droit absolu et doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité, notamment le droit à un recours effectif et à accéder à un tribunal impartial. Selon l’article 145 du code de procédure civile, s’il existe un motif légitime de conserver ou d’établir avant tout procès la preuve de faits dont pourrait dépendre la solution d’un litige, les mesures d’instruction légalement admissibles peuvent être ordonnées à la demande de tout intéressé. Il résulte par ailleurs des articles 6 et 8 de la Convention européenne des droits de l’homme et des libertés fondamentales, l’article 9 du code civil et l’article 9 du code de procédure civile, que le droit à la preuve peut justifier la production d’éléments portant atteinte à la vie personnelle à la condition que cette production soit indispensable à l’exercice de ce droit et que l’atteinte soit proportionnée au but poursuivi. Il faut donc approuver l’arrêt qui ordonne à l’employeur de communiquer à une salariée les bulletins de salaire d’autres salariés occupant des postes de niveau comparable au sien avec occultation des données personnelles à l'exception des noms et prénoms, de la classification conventionnelle et de la rémunération, après avoir relevé que cette communication d’éléments portant atteinte à la vie personnelle d’autres salariés était indispensable à l’exercice du droit à la preuve et proportionnée au but poursuivi, soit la défense de l’intérêt légitime de la salariée à l'égalité de traitement entre hommes et femmes en matière d’emploi et de travail.

Cas d'un système automatisé de gestion d'un très grand nombre de marchandises dans un entrepôt au moyen de scanners permettant de suivre toutes les manipulations des objets et les principales actions des salariés. Les données brutes des scanners sont conservées et permettent l'établissement d'un très grand nombre d'indicateurs individuels de qualité, de productivité et de temps de travail.

1) a) Lorsqu'un service rendu à des clients entraîne des contraintes exceptionnelles, en raison de volumes importants et de courts délais de livraison, un suivi très précis en temps réel de toutes les manipulations des objets dans un entrepôt et de la situation de chaque poste de travail, donc de chaque salarié, peut s'avérer nécessaire. Néanmoins, ce type de suivi entraîne le traitement d'un très grand nombre de données, dont beaucoup de données personnelles en temps réel, chaque fois qu'un colis est manipulé par un salarié dans le cadre de tâches directes. Aussi, si le traitement en temps réel par une société de données brutes et indicateurs pour la bonne gestion de stocks et de commandes ne saurait être remis en cause de façon générale, les indicateurs mobilisés dans ce cadre, sur le fondement de l'intérêt légitime de l'employeur, doivent répondre aux exigences de nécessité et de proportionnalité de l'article 6 du RGPD.

b) i) La collecte de données pour mesurer la rapidité d'exécution des actions d'un salarié lors de la réalisation de certaines tâches, en associant un indicateur d'erreur chaque fois que cette rapidité est inférieure à une certaine durée de l'ordre de la seconde, au motif que cette rapidité est en principe incompatible avec la bonne exécution desdites tâches, est de nature à exercer sur lui une surveillance continue. Ce type d'indicateur est intrusif et peut avoir des répercussions morales négatives sur les salariés. Une telle précision dans la surveillance dépasse les attentes raisonnables des salariés, qui peuvent s'attendre à une certaine surveillance de leur travail, mais pas à ce que leurs actions fassent l'objet d'une évaluation informatique à un rythme de l'ordre de la seconde. Par conséquent, le traitement de cet indicateur excède ce qui est admissible pour servir les intérêts légitimes de l'entreprise en matière de qualité et de sécurité dans ses entrepôts, car il porte atteinte de manière excessive aux droits et intérêts des salariés, notamment à leur vie privée et personnelle, ainsi qu'à leur droit à des conditions de travail respectueuses de leur santé et de leur sécurité. Absence de base légale du traitement.

ii) De façon similaire, la collecte d'un indicateur signalant les temps d'inactivité et de latence de chaque salarié supérieurs à dix minutes à tout moment de la journée présente un caractère intrusif important, car elle contraint en pratique le salarié à pouvoir justifier de tout temps considéré comme non productif. Le traitement de cet indicateur peut avoir des répercussions négatives sur le salarié en raison du suivi continu qu'il permet des temps très courts considérés comme non productifs. Un tel traitement, pour des finalités de gestion d'un entrepôt, d'exécution des commandes et de fourniture de conseils aux salariés, est disproportionné par rapport aux intérêts et droits fondamentaux des salariés, notamment leur droit à la protection de leur vie privée et personnelle ainsi qu'à des conditions de travail respectueuses de leur santé et de leur sécurité. La base légale de l'intérêt légitime ne peut donc être retenue.

iii) Il en va de même de la collecte d'un indicateur signalant les temps d'inactivité et de latence inférieurs à dix minutes de chaque salarié à certains moments de la journée (en particulier avant et après les pauses), laquelle est disproportionnée au regard des finalités de gestion d'un entrepôt, d'exécution des commandes et de fourniture de conseils aux salariés. La base légale de l'intérêt légitime ne peut donc être retenue.

2) La conservation et l'utilisation, pour chaque salarié, de données aussi fines et riches que l'intégralité des données brutes remontées par les scanners, ainsi que l'ensemble des nombreux indicateurs associés mesurant diverses variables, y compris sur de courtes périodes (une heure), sur une profondeur de 31 jours, pour des finalités d'évaluations individuelles régulières des salariés et, s'agissant de la plupart de ces données, pour des finalités d'organisation du travail dans les entrepôts, ne sont ni nécessaires ni proportionnées, notamment dès lors que la société peut atteindre ces finalités sans conserver l'intégralité des données brutes sur 31 jours et en ayant recours à des statistiques individuelles de qualité et de productivité, par exemple hebdomadaires. La conservation et l'utilisation de l'ensemble de ces données méconnaît le principe de minimisation de l'article 5.1.c) du RGPD et, en tout état de cause, porte une atteinte disproportionnée aux droits du salarié contraire à l'article 6 du RGPD.

Le traitement de données à caractère personnel sur lequel repose un dispositif de Contrôle des horaires de travail, fondé sur l'intérêt légitime, doit respecter le principe de minimisation des données fixé à l'article 5‑1‑c du RGPD. Il ne doit, en outre, pas porter une atteinte disproportionnée à la vie personnelle des salariés, en application de l'article 6‑1‑f du RGPD et de l'article L. 1121‑1 du code du travail.

1) La CNIL estime en principe adéquat le recours à des « badgeuses », qui enregistrent l'identifiant ou le nom rattaché au badge associés au jour et à l'heure de pointage de la personne utilisant le badge. Ces dispositifs prévoient parfois un mécanisme d'authentification des salariés par un numéro d’identification personnel – NIP (ou Personal Identification Number – PIN). De tels systèmes permettent en principe d’assurer un contrôle satisfaisant des horaires de travail des salariés.

2) En revanche, la CNIL estime en principe que le recours à des photographies systématiques au moment de la prise de poste constitue une méconnaissance du principe de minimisation, dès lors que les badgeuses sans photographie suffisent généralement à atteindre les objectifs fixés. Cela est disproportionné, car la lutte contre la fraude peut en principe être détectée par d’autres moyens, notamment par l’action du personnel encadrant qui doit s’assurer du respect des consignes par les salariés. Il n’en va autrement que lorsque la société fait valoir des circonstances particulières justifiant le recours à un contrôle par photographie, telles que des difficultés spécifiques de contrôles des salariés ayant badgé ou des cas de fraude massive.

1) a) La mise en œuvre d’un vidéosurveillance de salariés n’est licite qu’à condition de ne collecter que les données nécessaires à l’objectif poursuivi et de ne pas porter une atteinte disproportionnée aux droits et libertés de ceux‑ci, ainsi que conformément à l’article L. 1121‑1 du Code du travail. Le nombre, l’emplacement, l’orientation, les périodes de fonctionnement des caméras ou la nature des tâches accomplies par les personnes concernées sont autant d’éléments à prendre en compte lors de l’installation du système.

b) Si la surveillance de zones sensibles peut être justifiée par des impératifs de sécurité, le placement sous surveillance permanente d’un salarié attentatoire à leur vie privée ne peut toutefois intervenir que dans des circonstances exceptionnelles tenant, par exemple, à la nature de la tâche à accomplir. Il en est ainsi lorsqu’un employé manipule des objets de grande valeur ou lorsque le responsable de traitement est à même de justifier de vols ou de dégradations commises sur ces zones.

2) En l’espèce, il est manifestement disproportionnée l’utilisation d’un dispositif de vidéosurveillance conduisant à placer des traducteurs assermentés sous une surveillance permanente en vue de protéger des documents traduits. En effet, si la nature des documents peut justifier la mise en place de mesures particulières de protection, il convient d’envisager des procédés alternatifs tels que la sécurisation des accès sur le lieu de travail.

Les dispositions du RGPD, notamment l'article 5, paragraphe 1, l'article 6, paragraph e 1, sous e), et l'article 10 de celui‑ci, doivent être interprétées en ce sens qu'elles s'opposent à une législation nationale qui fait obligation à l'organisme public chargé du registre dans lequel sont inscrits les points de pénalité imposés aux conducteurs de véhicules pour des infractions routières de rendre ces données à caractère personnel accessibles au public, sans que la personne demandant l'accès ait à justifier d'un intérêt spécifique à obtenir lesdites données. L'amélioration de la sécurité routière constitue un objectif d'intérêt général reconnu par l'Union et, partant, les États membres peuvent qualifier la sécurité routière de « mission d'intérêt public ». Cependant, dans le cas d'espèce, la nécessité du régime letton de communication de données à caractère personnel relatives aux points de pénalité pour assurer l'objectif visé n'est pas établie. En effet, d'une part, le législateur letton dispose d'une multitude de voies d'actions qui lui auraient permis d'atteindre cet objectif par d'autres moyens moins attentatoires aux droits fondamentaux des personnes concernées. D'autre part, il convient de tenir compte de la sensibilité des données relatives aux points de pénalité et du fait que leur communication au public est susceptible de constituer une ingérence grave dans les droits au respect de la vie privée et à la protection des données à caractère personnel, dès lors qu'elle peut provoquer la désapprobation de la société et entraîner la stigmatisation de la personne concernée.

La Cour considère que, compte tenu de la sensibilité de ces données et de la gravité de cette ingérence dans ces deux droits fondamentaux, ces droits prévalent tant sur l'intérêt du public à avoir accès à des documents officiels, tels que le registre national des véhicules et de leurs conducteurs, que sur le droit à la liberté d'information.

Conformité à la Constitution d'un dispositif autorisant à titre expérimental et pour une durée de trois ans, les administrations fiscales et douanières à collecter et à exploiter de manière automatisée les contenus accessibles publiquement sur les sites internet de certains opérateurs de plateforme, aux fins de recherche de manquements et d'infractions en matière fiscale et douanière malgré l'atteinte au droit au respect de la vie privée dès lors que : le dispositif poursuit l'objectif à valeur constitutionnelle de lutte contre la fraude et l'évasion fiscale ; les traitements de données autorisés par les dispositions contestées peuvent être mis en œuvre, d'une part, pour les besoins de la recherche de certains manquements et certaines infractions dont la commission est rendue possible ou favorisée par l'usage d'internet et, d'autre part, pour rechercher l'insuffisance de déclaration découlant d'un manquement aux règles de domiciliation fiscale. Si la commission de ce manquement n'est pas rendue possible ou favorisée par l'usage d'internet, il résulte des travaux parlementaires que le législateur, qui a souhaité limiter le nombre de manquements susceptibles d'être recherchés, a entendu viser un des cas les plus graves de soustraction à l'impôt, qui peut être particulièrement difficile à déceler ; les données susceptibles d'être collectées et exploitées doivent répondre à deux conditions cumulatives. D'une part, il doit s'agir de contenus librement accessibles sur un service de communication au public en ligne d'une des plateformes précitées, à l'exclusion donc des contenus accessibles seulement après saisie d'un mot de passe ou après inscription sur le site en cause. D'autre part, ces contenus doivent être manifestement rendus publics par les utilisateurs de ces sites. Il en résulte que ne peuvent être collectés et exploités que les contenus se rapportant à la personne qui les a délibérément divulgués. En outre, les données sensibles au sens du paragraphe I de l'article 6 de la loi du 6 janvier 1978, c'est‑à‑dire celles qui révèlent la prétendue origine raciale ou l'origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale d'une personne, les données génétiques et biométriques et celles concernant la santé et la vie ou l'orientation sexuelle, ne peuvent faire l'objet d'aucune exploitation à des fins de recherche de manquements ou d'infractions ; d'une part, les traitements de données autorisés par les dispositions contestées ne peuvent comporter aucun système de reconnaissance faciale. D'autre part, ils ne peuvent être mis en œuvre que par des agents des administrations fiscales et douanières ayant au moins le grade de contrôleur et spécialement habilités ; les données qui s'avèrent manifestement sans lien avec les manquements et infractions recherchés ou qui constituent des données sensibles sont détruites au plus tard dans les cinq jours suivant leur collecte, sans aucune autre exploitation possible de ces données pendant ce délai. Les autres données doivent être détruites dans les trente jours si elles ne sont pas de nature à concourir à la constatation des manquements ou infractions. Seules peuvent être conservées les données strictement nécessaires à une telle constatation, dans la limite d'une année ou, le cas échéant, jusqu'au terme de la procédure pénale, fiscale ou douanière dans le cadre de laquelle elles sont utilisées ; aucune procédure pénale, fiscale ou douanière ne peut être engagée sans qu'ait été portée une appréciation individuelle de la situation de la personne par l'administration, qui ne peut alors se fonder exclusivement sur les résultats du traitement automatisé ; le traitement instauré par les dispositions contestées est mis en œuvre dans le respect de la loi du 6 janvier 1978, à l'exception du droit d'opposition prévu à son article 110 ; la mise en œuvre des traitements de données, tant lors de leur création que lors de leur utilisation, doit être proportionnée aux finalités poursuivies. Il appartiendra notamment, à ce titre, au pouvoir réglementaire, sous le contrôle du juge, de veiller à ce que les algorithmes utilisés par ces traitements ne permettent de collecter, d'exploiter et de conserver que les données strictement nécessaires à ces finalités.

L'article R.112-1-3 dispose que la Réutilisation de ces informations ne doit avoir ni pour objet ni pour effet de permettre la réidentification des personnes concernées par les mutations immobilières. 1) Dès lors qu'un site internet se contente de reprendre les données en open data pour les publier, sans croisement, le traitement repose sur un intérêt légitime et est conforme à la réglementation de cette base de données. 2) En cas d'exercice du droit d'opposition, en application des articles 21 du RGPD et R.112-1-3, les personnes qui indiquent que les données publiées par l'État, même limitées à celles publiées par l'État, ont pour effet de permettre leur réidentification (par exemple lorsqu'une recherche sur un moteur de recherche avec l'adresse du bien permet de retrouver la personne ayant acquis) ont le droit à ce que des mesures empêchant la réidentification soient mises en œuvre. En particulier, il est possible de ne plus lier le prix du bien immobilier en question à une adresse précise mais à une zone géographique plus large.

1) Pour apprécier le respect du principe de collecte de données adéquates, pertinentes et limitées en matière de vidéosurveillance, il convient de procéder à une analyse des conditions de mise en œuvre du dispositif concerné au regard de la finalité poursuivie, du nombre de caméras installées, de leur emplacement, de leur orientation, de leur fonctionnalité, de leur période de fonctionnement et des caractéristiques propres à l’établissement concerné.

2) Si la CNIL ne remet pas en cause la légitimité de traitement ayant pour finalité d’assurer la sécurité des personnes et des biens, cette finalité ne saurait justifier de filmer, en permanence, des personnes qui sont en grande partie des mineurs.

3) S’agissant des établissements scolaires, la CNIL considère de manière constante que des caméras peuvent filmer les accès de l’établissement (entrées et sorties) et les espaces de circulation (couloirs). Elle estime en revanche que, eu égard à la sensibilité d’images qui filmeraient la vie quotidienne de mineurs, parfois dans des moments d’intimité, dans un lieu déjà soumis à l’autorité du chef d’établissement et à la surveillance organisée par son personnel, les lieux de vie (tels que les salles de classe, la cour de récréation, la cantine et les toilettes) ne sauraient être filmés en continu, pendant les heures principales d’utilisation, sauf circonstances exceptionnelles.

1) a ) La mise en œuvre d'un vidéosurveillance de salariés n'est licite qu'à condition de ne collecter que les données nécessaires à l'objectif poursuivi et de ne pas porter une atteinte disproportionnée aux droits et libertés de ceux-ci, ainsi qu'en dispose l'article L. 1121-1 du code du travail. Le nombre, l'emplacement, l'orientation, les périodes de fonctionnement des caméras ou la nature des tâches accomplies par les personnes concernées sont autant d'éléments à prendre en compte lors de l'installation du système.

b) Si la surveillance permanente de zones sensibles peut être justifiée par des impératifs de sécurité, le placement sous surveillance permanente de salariés, attentatoire à leur vie privée, ne peut toutefois intervenir que dans des circonstances exceptionnelles tenant, par exemple, à la nature de la tâche à accomplir. Il en est ainsi lorsqu'un employé manipule des objets de grande valeur ou lorsque le responsable de traitement est à même de justifier de vols ou de dégradations commises sur ces zones.

2) En l'espèce, il est manifestement disproportionnée l'utilisation d'un dispositif de vidéosurveillance conduisant à placer des traducteurs assermentés sous une surveillance permanente en vue de protéger des documents traduits. En effet, si la nature des documents peut justifier la mise en place de mesures particulières de protection, il convient d'envisager des procédés alternatifs tels que la sécurisation des accès sur le lieu de travail.

Le traitement de collecte et de conservation quasi permanente des données géolocalisation d'un véhicule de location s'analyse au regard de la nécessité et de la proportionnalité de chacune de ses finalités.

1) S'agissant de la gestion de la flotte de véhicules et des contrats de location, l'activation de la géolocalisation quand l'utilisateur allume ou coupe le moteur peut être utile pour déterminer si le véhicule est de retour à son point de départ. À contrario, la collecte et la conservation des données de géolocalisation pendant le reste du trajet n'est pas nécessaire pour déterminer si le véhicule est de retour à sa station de départ en vue d'être restitué. En outre, s'agissant de l'usage de la géolocalisation pour contrôler l'entrée et la sortie d'un véhicule d'une zone de péage urbain, traitement qui n'est susceptible de s'appliquer en l'espèce que dans une seule ville de l'Union européenne, une collecte et conservation quasi permanente des données de géolocalisation sur l'ensemble des véhicules loués, sur le fondement de l'intérêt légitime, apparaissent disproportionnées par rapport à la finalité avancée qui est celle d'une facturation immédiate et automatisée des frais aux clients.

2) S'agissant de la lutte contre le vol de véhicules, les cas où, d'une part, la géolocalisation est le seul moyen de connaître la dernière position connue du véhicule et où, d'autre part, cette dernière position connue est effectivement proche de la localisation du véhicule, apparaissent limités. Dans ces situations, la CNIL ne remet pas en cause l'utilité de connaître la dernière position connue du véhicule grâce à la dernière donnée de géolocalisation. Cependant, cette hypothèse ne suffit pas à justifier la collecte et la conservation de l'ensemble des données de géolocalisation de l'ensemble des trajets des utilisateurs. Au surplus, d'autres mesures de sécurité pourraient être mises en place pour prévenir le vol des véhicules. Il en résulte que le fait de procéder systématiquement à cette collecte et conservation des données de géolocalisation pour les cas d'usages où elle pourrait être effectivement utile, alors que d'autres moyens de prévention et de lutte contre le vol existent, sur le fondement de l'intérêt légitime de la société, porte une atteinte disproportionnée à la vie privée des utilisateurs.

3) S'agissant de la localisation du véhicule en cas d'accident, la CNIL estime que la géolocalisation tous les 500 mètres de l'ensemble des véhicules au cours de toute la durée de location, avec conservation des données, préalablement à toute information relative à un accident, n'est pas nécessaire pour porter assistance à un utilisateur.

Lorsqu'aucune des finalités avancées par le responsable du traitement n'est susceptible de justifier une collecte et la conservation des données de géolocalisation, ces opérations de traitement constituent un manquement à l'article 5.1.c du RGPD.