Dispositions conférant aux agents de la Haute autorité pour la diffusion des œuvres et la protection des droits sur internet (Hadopi) le droit d'obtenir communication et copie des données de connexion détenues par les opérateurs de communication électronique. En adoptant ces dispositions, le législateur a entendu renforcer la lutte contre les pratiques de contrefaçon sur internet, qui répond à l'objectif de sauvegarde de la propriété intellectuelle. En outre, ce droit de communication, qui n'est pas assorti d'un pouvoir d'exécution forcée, ne s'applique qu'aux agents publics de la Haute autorité, dûment habilités et assermentés, qui sont soumis, dans l'utilisation de ces données, au secret professionnel. Enfin, le troisième alinéa de l'article L. 331‑21 du code de la propriété intellectuelle subordonne son exercice aux nécessités de la procédure mise en œuvre par la commission de protection des droits. Toutefois, ce droit de communication peut s'exercer sur toutes les données de connexion détenues par les opérateurs de communication électronique. Or, compte tenu de leur nature et des traitements dont elles peuvent faire l'objet, de telles données fournissent sur les personnes concernées des informations nombreuses et précises, particulièrement attentatoires à leur vie privée. Elles ne présentent pas non plus nécessairement de lien direct avec le manquement à l'obligation de respect du droit d'auteur et des droits voisins énoncée à l'article L. 336‑3 du code de la propriété intellectuelle. Il résulte de ce qui précède que, dans ces conditions, le législateur n'a pas entouré la procédure prévue par les dispositions contestées de garanties propres à assurer une conciliation qui ne soit pas manifestement déséquilibrée entre le droit au respect de la vie privée et l'objectif de sauvegarde de la propriété intellectuelle.

L'accès aux numéros de châssis des véhicules faisant l'objet d'une annonce publiée sur le portail Internet d'un opérateur économique par l'administration fiscale d'un État membre en vue de se voir fournir des informations sur les annonces publiées sur ce portail aux fins de la perception de l'impôt et de la lutte contre la fraude fiscale relève du champ d'application du RGPD dans la mesure où, dans ces circonstances, l'administration n'agit pas en tant qu'« autorité compétente », au sens de l'article 3, point 7, de la directive 2016/680 dite « Police - Justice » et que ces données à caractère personnel ne sont pas collectées dans l'objectif spécifique d'exercer des poursuites pénales ou dans le cadre des activités de l'État relatives à des domaines du droit pénal.

L'obligation qui incombe à l'employeur, en vertu du code du travail, de diligenter une enquête interne aux fins de protéger la santé et la sécurité des travailleurs ne saurait être regardée comme constituant une obligation légale au sens du c) de l'article 6 du RGPD et ne peut donc servir de base juridique au traitement de données personnelles éventuellement mis en œuvre dans une telle occasion.

C E, 10ᵉ - 9ᵉ chambres réunies, 01/12/2025, n° 498023

L'obligation légale ne peut être retenue comme base légale du traitement que si ledit traitement répond effectivement à une obligation légale qui s'impose au responsable de traitement sans viser d'autre objectif que celui poursuivi par l'auteur de l'obligation et sans qu'il existe un moyen moins intrusif d'atteindre cet objectif, et que la disposition légale en question institue une obligation suffisamment claire, précise et impérative pour le responsable de traitement de traiter des données à caractère personnel.

L'article 7, § e), de la directive 95/46/CE doit être interprété en ce sens qu'il ne s'oppose pas à un traitement de données à caractère personnel par les autorités d'un État membre aux fins de la perception de l'impôt et de la lutte contre la fraude fiscale tel que celui auquel il est procédé par l’établissement d’une liste de personnes telle que celle en cause dans l'affaire principale, sans le consentement des personnes concernées. À condition, d'une part, que ces autorités aient été investies par la législation nationale de missions d'intérêt public au sens de cette disposition, que l’établissement de cette liste et l'inscription sur celle‑ci du nom des personnes concernées soient effectivement aptes et nécessaires aux fins de la réalisation des objectifs poursuivis, et qu'il existe des indices suffisants pour présumer que les personnes concernées figurent à juste titre sur ladite liste ; d'autre part, que toutes les conditions de licéité de ce traitement de données à caractère personnel imposées par la directive 95/46/CE soient satisfaites.

La réglementation nationale régissant une demande de communication de données à caractère personnel adressée par l'administration d'un État membre à un opérateur économique doit se fonder sur des critères objectifs pour définir les circonstances et les conditions dans lesquelles un prestataire de services en ligne est tenu de transmettre des données à caractère personnel relatives à ses utilisateurs (voir, en ce sens, arrêt du 6 octobre 2020, Privacy International, C ‑ 623/17, EU:C:2020:790, point 78 et jurisprudence citée). Les dispositions du RGPD doivent être interprétées en ce sens qu'elles ne s'opposent pas à ce que l'administration fiscale d'un État membre impose à un prestataire de services d'annonces publiées sur internet de lui communiquer des informations relatives aux contribuables ayant publié des annonces dans l'une des rubriques de son portail Internet pour autant, notamment, que ces données soient nécessaires au regard des finalités spécifiques pour lesquelles elles sont collectées et que la période sur laquelle porte la collecte desdites données n'excède pas la durée strictement nécessaire pour atteindre l'objectif d'intérêt général visé.

Sont déclarées conformes à la Constitution et ne méconnaissent pas le droit au respect de la vie privée des dispositions permettant au procureur de la République ou à l'officier de police judiciaire, ou, sous le contrôle de ce dernier, à l'agent de police judiciaire, par tout moyen, de requérir de toute personne, de tout établissement ou organisme privé ou public, ou de toute administration publique qui sont susceptibles de détenir des informations intéressantes pour l'enquête, y compris celles issues d'un système informatique ou d'un traitement de données nominatives, de lui remettre ces informations, notamment sous forme numérique, le cas échéant selon des normes fixées par voie réglementaire, sans que puisse lui être opposée une obligation au secret professionnel lorsqu'elles poursuivent l'objectif de valeur constitutionnelle de recherche des auteurs d'infraction et dès lors que d'une part, ces dispositions ne permettent les réquisitions de données que dans le cadre d'une enquête de police portant sur un crime flagrant ou un délit flagrant puni d'une peine d'emprisonnement, et, d'autre part, la durée de cette enquête est limitée à huit jours. Celle-ci ne peut être prolongée, pour une nouvelle durée maximale de huit jours, sur décision du procureur de la République, que si l'enquête porte sur un crime ou un délit puni d'une peine d'emprisonnement égale ou supérieure à cinq ans et si les investigations ne peuvent être différées.

Ces réquisitions ne peuvent intervenir qu'à l'initiative du procureur de la République, d'un officier de police judiciaire ou, sous le contrôle de ce dernier, d'un agent de police judiciaire. Ces officiers et agents sont placés sous la direction du procureur de la République ; les réquisitions sont mises en œuvre sous le contrôle d'un magistrat de l'ordre judiciaire auquel il revient, en application de l'article 39-3 du code de procédure pénale, de contrôler la proportionnalité des actes d'investigation au regard de la nature et de la gravité des faits.

Par son arrêt du 6 octobre 2020 La Quadrature du Net et autres (C‑511/18, C‑512/18, C‑520/18), la Cour de justice de l'Union européenne (CJUE) a dit pour droit que la directive 2002/58/CE du 12 juillet 2002 ne s'opposait pas à ce que des mesures législatives permettent, aux fins de sauvegarde de la sécurité nationale, d'imposer aux opérateurs la conservation généralisée et indifférenciée des données de trafic et des données de localisation, sous réserve qu'une décision soumise à un contrôle effectif constate l'existence d'une menace grave pour la sécurité nationale qui s'avère réelle et actuelle ou prévisible, pour une durée limitée au strict nécessaire, mais renouvelable en cas de persistance de la menace. Il ressort en outre du point 135 de cet arrêt que la responsabilité des États membres en matière de sécurité nationale, au sens du droit de l'Union, correspond à l'intérêt primordial de protéger les fonctions essentielles de l'État et les intérêts fondamentaux de la société, et inclut la prévention et la répression d'activités de nature à déstabiliser gravement les structures constitutionnelles, politiques, économiques ou sociales fondamentales d'un pays, et en particulier à menacer directement la société, la population ou l'État en tant que tel, telles que notamment des activités de terrorisme.

1) Ni l'article L. 34‑1 du code des postes et des communications électroniques (CPCE) ni l'article 6 de la loi n° 2004‑575 du 21 juin 2004 ne prévoient un réexamen périodique, au regard des risques pour la sécurité nationale, de la nécessité de maintenir l'obligation faite aux personnes concernées de conserver les données de connexion. Ces articles, ainsi, par suite, que l'article R. 10‑13 du CPCE et le décret n° 2011‑219 du 25 février 2011, en tant qu'ils ne subordonnent pas le maintien en vigueur de cette obligation au constat, à échéance régulière, qui ne saurait raisonnablement excéder un an, de la persistance d'une menace grave, réelle et actuelle ou prévisible, pour la sécurité nationale sont, dans cette mesure, contraires au droit de l'Union européenne. Il résulte de ce qui précède que, s'agissant de l'objectif de sauvegarde de la sécurité nationale, le refus d'abroger l'article R. 10‑13 du CPCE et l'article 1er du décret du 25 février 2011 doit être annulé en tant que leurs dispositions ne prévoient pas un réexamen périodique de l'existence d'une menace grave, réelle et actuelle ou prévisible pour la sécurité nationale, s'agissant des données qu'elles mentionnent autres que celles afférentes à l'identité civile, aux comptes et aux paiements des utilisateurs et aux adresses IP. Il y a lieu d'enjoindre au gouvernement de compléter ces dispositions dans un délai de six mois à compter de la présente décision.

2) Il ressort des pièces du dossier que la France est, à la date de la présente décision, confrontée à une menace grave, réelle et non seulement prévisible mais actuelle pour sa sécurité nationale, appréciée au regard de l'ensemble des intérêts fondamentaux de la Nation listés à l'article L. 811‑3 du code de la sécurité intérieure (CSI) qui, par son intensité, revêt un caractère grave et réel. Cette menace est, à la date de la présente décision, non seulement prévisible mais aussi actuelle. Cette menace procède d'abord de la persistance d'un risque terroriste élevé, ainsi qu'en témoigne notamment le fait que sont survenues sur le sol national au cours de l'année 2020 six attaques abouties ayant causé sept morts et onze blessés. Par ailleurs, la France est particulièrement exposée au risque d'espionnage et d'ingérence étrangère, en raison notamment de ses capacités et de ses engagements militaires et de son potentiel technologique et économique. La France est également confrontée à des menaces graves pour la paix publique, liées à une augmentation de l'activité de groupes radicaux et extrémistes. Dans la mesure où il résulte de la présente décision que la réalité et la gravité de la menace pesant sur la sécurité nationale justifient l'obligation de conserver généralisée et indifférenciée de l'ensemble des données de connexion à cette fin, les opérateurs ne sauraient, avant l'expiration du délai de six mois laissé au gouvernement pour compléter les dispositions litigieuses, se soustraire à cette obligation et aux sanctions dont sa méconnaissance est assortie au motif que la durée de l'injonction qui leur est faite n'a pas été limitée dans le temps par le pouvoir réglementaire.

La mention, dans un registre accessible au public, des noms du constituant, des bénéficiaires et de l’administrateur d'un trust fournit des informations sur la manière dont une personne entend disposer de son patrimoine. Il en résulte une atteinte au droit au respect de la vie privée. Or, le législateur, qui n'a pas précisé la qualité ni les motifs justifiant la consultation du registre, n'a pas limité le cercle des personnes ayant accès aux données de ce registre, placé sous la responsabilité de l'administration fiscale. Dès lors, les dispositions contestées portent au droit au respect de la vie privée une atteinte manifestement disproportionnée au regard de l'objectif poursuivi.

1) a) Il résulte du paragraphe 3 de l’article 38 du RGPD, éclairé par la Cour de justice de l’Union européenne (CJUE) dans son arrêt du 22 juin 2022 (C‑534/20), Leistritz AG c/ LH, qu’en protégeant le délegué à la protection des données contre toute décision défavorable qui mettrait en péril ses fonctions, on lui ferait subir un désavantage ou une sanction lorsqu’une telle décision serait liée à l’exercice de ses missions, ces dispositions visent essentiellement à préserver son indépendance fonctionnelle et, par conséquent, à garantir l’effectivité du RGPD.

b) En revanche, elles ne font pas obstacle au licenciement d'un délégué qui ne posséderait plus les qualités professionnelles requises pour exercer ses missions ou qui ne s’acquitterait pas de celles‑ci conformément au RGPD.

c) Il ressort également de cet arrêt que ces dispositions n’ont pas pour objet de régir globalement les relations de travail entre un responsable du traitement ou un sous‑traitant et des membres de son personnel, lesquelles ne sont susceptibles d’être affectées que de manière accessoire, dans la mesure strictement nécessaire à la réalisation des objectifs du RGPD.

2) Il en résulte clairement que l’article 38 du RGPD ne fait pas obstacle à ce que le salarié exerçant les fonctions de délegué au sein de l’entreprise fasse l’objet d’une sanction ou d’un licenciement à raison de manquements aux règles internes à l’entreprise applicables à tous ses salariés, sous réserve que ces dernières ne soient pas incompatibles avec son indépendance fonctionnelle qui lui est garantie par le RGPD.

1) L’article 23 du RGPD permet de limiter ou d’écarter le droit d’opposition à un traitement, à certaines conditions, par une « mesure législative ». Le considérant 41 du RGPD précise que cette « mesure législative » n’est pas nécessairement un acte adopté par le Parlement, mais doit être déterminée par le droit national de chaque État membre. En France, il peut en particulier s’agir d’un acte réglementaire. La CNIL estime que, s’agissant des traitements participant à l’exécution d’une mission d’intérêt public, tant l’État que les collectivités territoriales ou les établissements publics peuvent, dans leurs domaines de compétence respectifs et s’ils disposent d’un pouvoir réglementaire, limiter ou exclure le droit d’opposition.

2) Cependant, l’exercice de cette faculté est soumis à une double limite : d’une part, s’agissant de la compétence, ne pas empiéter sur le domaine réservé à la loi en application de l’article 34 de la Constitution ; d’autre part, veiller à ce que les conditions prévues à l’article 23 soient respectées. Dans ses lignes directrices 10/2020 du 13 octobre 2021 sur l’article 23, le Comité européen pour la protection des données a notamment rappelé l’obligation pour le responsable de traitement de veiller au caractère strictement nécessaire et proportionné de la limitation envisagée au regard de l’objectif poursuivi. Il a également souligné que l’acte écartant l’opposition doit faire l’objet d’une publicité suffisante et être accessible.

1) Le II de l’article 2 de l’arrêté du 26 octobre 2010 relatif au fichier national des incidents de remboursement des crédits aux particuliers (FICP), combiné aux articles L. 751‑2 et L. 312‑16 du code de la consommation, prévoient les cas obligatoires de consultation du FICP par les établissements et organismes dans le cadre de l’octroi d’un crédit. Les traitements de données à caractère personnel mis en œuvre dans le cadre des opérations de consultation obligatoire du FICP, telles que définies par ces dispositions, ne peuvent être fondés que sur la base légale prévue à l’article 6, paragraphe 1, point c) du RGPD, à savoir le respect d’une obligation légale.

2) Le III de l’article 2 de l’arrêté du 26 octobre 2010 relatif au fichier national des incidents de remboursement des crédits aux particuliers (FICP) prévoit les cas de consultation facultative. Les traitements de données à caractère personnel mis en œuvre dans ce cadre peuvent, à certaines conditions, reposer sur la base légale de l’intérêt légitime poursuivi par le responsable de traitement (art. 6, §1, f). Dans ce cas, le responsable de traitement est tenu de réaliser, au cas par cas, une mise en balance entre l’intérêt légitime poursuivi et les intérêts, libertés et droits fondamentaux des personnes concernées afin de s’assurer que la consultation n’est pas de nature à porter une atteinte disproportionnée à leur vie privée.

Décret créant un traitement nominatif relatif aux détenus comportant notamment des données relatives à leurs antécédents médicaux ayant pour finalité l'exécution des sentences pénales et des décisions de justice s'y rattachant, la gestion de la détention des personnes placées sous main de justice et écrouées, la sécurité des personnes détenues et des personnels et la mise en œuvre du « parcours pluridisciplinaire de la personne détenue ». Eu égard à la finalité du fichier ayant notamment trait à la gestion des contentieux entre l'administration pénitentiaire et les personnes placées sous main de justice, la durée de conservation de deux ans prévue à l'article R. 57‑9‑21 à compter de la date de levée d'écrou n'est pas excessive. En revanche, la conservation ultérieure de ces données pour un délai de huit ans, qui poursuit, selon la garde des sceaux, la conduite éventuelle de contentieux, est dépourvue de fondement légal dès lors que cette finalité n'est pas explicitée par le décret attaqué et que la durée de conservation ainsi définie ne s'y rattache pas spécifiquement.

Il résulte tant du paragraphe 4 de l'article 36 du RGPD que de la première phrase du a) du 4° de l'article 11 de la loi n°78‑17 du 6 janvier 1978, dans sa rédaction résultant de la loi n°2018‑493 du 20 juin 2018, que la CNIL doit être préalablement consultée sur tout projet de loi ou de décret qui détermine, dans leurs caractéristiques essentielles, les conditions de création ou de mise en œuvre d'un traitement de données à caractère personnel.

A été réservée par le Conseil d'État (section des travaux publics) la question de savoir si cet article doit être interprété comme limitant la portée matérielle de la consultation obligatoire prévue par le paragraphe 4 de l'article 36 du RGPD aux seuls projets de décret déterminant les caractéristiques essentielles d'un traitement relevant de ceux, mentionnés aux paragraphes 3 et 4 de l'article 35 du même règlement, qui sont susceptibles d'engendrer, compte tenu de leur nature, de leur portée, de leur contexte et des finalités poursuivies, « un risque élevé pour les droits et libertés des personnes physiques » ou bien de l'étendre à l'ensemble des traitements dont la mise en œuvre repose sur un texte législatif ou réglementaire qui en définit les caractéristiques essentielles, sans qu'il y ait lieu de distinguer à ce stade entre ceux présentant un risque élevé et les autres.

Dispositions relatives à un fichier prévoyant que le décret d'application de la loi est pris après avis public conforme de la Commission nationale de l'informatique et des libertés. Or, en vertu de l’article 21 de la Constitution et sous réserve de son article 13, le Premier ministre exerce le pouvoir réglementaire à l’échelon national. Ces dispositions n’autorisent pas le législateur à subordonner à l'avis conforme d’une autre autorité de l’État l’exercice, par le Premier ministre, de son pouvoir réglementaire. Censure, dès lors, du « conforme ».

1) L'auteur d'une plainte peut déférer au juge de l'excès de pouvoir le refus de la CNIL d'engager une procédure de sanction, y compris lorsque la CNIL procède à des mesures d'instruction ou constate l'existence d'un manquement aux dispositions de la loi du 6 janvier 1978. Il appartient au juge de censurer ce refus en cas d'erreur de fait ou de droit, d'erreur manifeste d'appréciation ou de détournement de pouvoir.

2) En revanche, lorsque la CNIL a décidé d'engager une telle procédure, l'auteur de la plainte n'a intérêt à contester ni la décision prise à l'issue de cette procédure, quel qu'en soit le dispositif, ni le sort réservé à sa plainte à l'issue de cette dernière. Il est toutefois recevable à déférer au juge de l'excès de pouvoir le défaut d'information par la CNIL des suites données à sa plainte.

1) L'auteur d'une plainte peut déférer au juge de l'excès de pouvoir le refus de la Commission nationale de l'informatique et des libertés (CNIL) d'y donner suite. Il appartient au juge de censurer ce refus en cas d'erreur de fait ou de droit, d'erreur manifeste d'appréciation ou de détournement de pouvoir. En revanche, lorsque la CNIL a décidé d'instruire une plainte, l'auteur de celle-ci n'a intérêt à contester ni la décision prise à l'issue de cette instruction, quel qu'en soit le dispositif, ni la clôture de sa plainte prononcée subséquemment.

2) Il s'ensuit que l'auteur d'une plainte n'est pas recevable à demander l'annulation de la sanction prononcée par la CNIL à l'encontre d'un tiers à l'issue de l'instruction de la plainte qu'il a formée, en tant que celle-ci ne serait pas assez sévère. En revanche, l'auteur d'une plainte est recevable à déférer au juge de l'excès de pouvoir le refus de la CNIL de lui fournir les informations relatives aux suites données à sa plainte auxquelles il a droit en application des dispositions de l'article 11 2° c) de la loi n°78‑17 du 6 janvier 1978. Il résulte de ces dispositions que, lorsque la plainte conduit à sanctionner la personne mise en cause, la complète information de son auteur comprend nécessairement, y compris lorsque la sanction a été rendue publique, la communication de la nature des manquements retenus et de la teneur de la sanction prononcée, sous réserve des secrets protégés par la loi.

La circonstance que l'existence d'un traitement automatisé d'informations nominatives aurait été révélée à l'occasion d'une procédure judiciaire ne saurait, à elle seule, faire obstacle à ce que la Commission nationale de l'informatique et des libertés (CNIL) exerce les attributions qu'elle confie la loi n°78-17 du 6 janvier 1978. En se déclarant incompétente pour connaître des faits dénoncés au seul motif qu'une juridiction avait à connaître de ces faits, la commission a entaché sa décision d'une erreur de droit.

La circonstance que des manquements aient été constatés avant la date d’entrée en application du RGPD ne fait pas obstacle à ce que le règlement soit applicable lorsque ces manquements se sont poursuivis après cette date, au-delà du délai imparti par une mise en demeure notifiée par la CNIL.