Le considérant 30 du RGPD, qui s'inscrit dans une jurisprudence bien établie de la Cour de justice de l'Union européenne (CJUE, 24 nov. 2011, Scarlet Extended SAC 70/10, pt. 51 et 19 oct. 2016, Breyer, C - 582/14) prévoit qu'un identifiant en ligne associé à une personne physique, tel qu'une adresse IP ou un témoin de connexion, peut « laisser des traces qui, notamment lorsqu'elles sont combinées aux identifiants uniques et à d'autres informations reçues par les serveurs, peuvent servir à créer des profils de personnes physiques et à identifier ces personnes ».

Dans son arrêt Breyer précité, la CJUE a souligné l'importance d'une approche casuistique du Caractère identifiant ou non d'une donnée plutôt qu'une position générale et de principe. Elle a indiqué que, pour déterminer si une personne est identifiable, il convenait de prendre en considération l'ensemble des moyens susceptibles d'être raisonnablement mis en œuvre, soit par le responsable du traitement, soit par une autre personne, pour identifier ladite personne.

En l'espèce, l'identifiant attribué par la société au moyen des cookies qu'elle dépose a pour but de distinguer chaque individu dont elle collecte les données et de très nombreuses informations destinées à enrichir le profil publicitaire de l'internaute sont associées à cet identifiant, parmi lesquelles : des données liées à l'identification de la personne (emplacement géographique à partir d'adresse IP, identifiant utilisateur, identifiant de terminal, identifiants fournis par des partenaires, adresse de courrier électronique sous forme hachée fournie par les partenaires), des données liées à l'activité de la personne (suivi de l'historique de navigation de l'internaute à travers les sites visités, les produits consultés, ceux ajoutés au panier ainsi que l'acte d'achat, les éventuelles interactions de l'utilisateur avec les publicités qui lui sont présentées : l'utilisateur a‑t‑il cliqué sur la bannière ? a‑t‑il procédé à un achat ?) ou encore des données dérivées ou inférées à partir des informations précédentes afin de pouvoir proposer à l'utilisateur les produits les plus pertinents, compte tenu de ses centres d'intérêt.

Pour la CNIL, si la société ne dispose pas directement de l'identité des personnes physiques auxquelles sont liés les terminaux sur lesquels des cookies sont inscrits, la réidentification peut être facilitée par le fait que, dans certaines hypothèses, la société collecte, ou traite les données liées aux événements de navigation, d'autres données qui facilitent la réidentification telles que les adresses électroniques des personnes ayant fait leur parcours de navigation depuis un environnement authentifié (ou « logué ») sous forme hachée, des identifiants leur correspondant générés par d’autres acteurs, l'adresse IP sous forme hachée ou encore l'agent utilisateur du terminal utilisé. Par conséquent, dès lors que la société est en mesure de réidentifier des personnes par des moyens raisonnables, les données traitées conservent un caractère personnel, au sens de l'article 4, 1) du RGPD.

Dans le cadre de rapports employeur/employés, le fait d'effectuer des recherches sur des personnes portant sur données à caractère personnel telles qu'antécédents judiciaires, renseignements bancaires et téléphoniques, véhicules, propriétés, qualité de locataire ou de propriétaire, situation matrimoniale, santé, déplacement à l'étranger est susceptible de constituer un moyen déloyal dès lors que, issues de la capture et du recoupement d'informations diffusées sur des sites publics tels que sites web, annuaires, forums de discussion, réseaux sociaux, sites de presse régionale, ces données ont fait l'objet d'une utilisation sans rapport avec l'objet de leur mise en ligne et ont été recueillies à l'insu des personnes concernées, ainsi privées du droit d'opposition institué par la loi informatique et libertés. En effet, le fait que les données à caractère personnel collectées en l'espèce par le prévenu aient été pour partie en accès libre sur internet ne retire rien au caractère déloyal de cette collecte, dès lors qu'une telle collecte, de surcroît réalisée à des fins dévoyées de profilage des personnes concernées et d'investigation dans leur vie privée, à l'insu de celles-ci, ne pouvait s'effectuer sans qu'elles en soient informées.

Si elles peuvent raisonnablement s'attendre à ce que des tiers accèdent ponctuellement aux photographies mises en ligne par la personne concernée, le caractère publiquement accessible de celles-ci ne suffit pas pour considérer que les personnes concernées puissent raisonnablement s’attendre à ce que leurs images alimentent un logiciel de reconnaissance faciale, d'autant plus lorsque ce logiciel n'est pas public et que la grande majorité des personnes concernées ignorent son existence.

Les personnes qui ont publié des photographies les représentant sur des sites web, ou consenti à cette publication auprès d'un autre responsable de traitement, ne s'attendent pas à ce que celles-ci soient réutilisées pour la création d’un logiciel de reconnaissance faciale (qui associe l'image d'une personne à un profil contenant l'ensemble des photographies sur lesquelles elle figure, les informations que ces photographies contiennent ainsi que les sites web sur lesquels elles se trouvent) et la commercialisation de ce logiciel à des forces de l'ordre.

L'article 22, paragraphe 1, du RGPD doit être interprété en ce sens que l'établissement automatisé, par une société fournissant des informations commerciales, d'une valeur de probabilité fondée sur des données à caractère personnel relatives à une personne et concevant la capacité de celle‑ci à honorer des engagements de paiement à l'avenir constitue une « décision individuelle automatisée », au sens de cette disposition, lorsque dépend de manière déterminante de cette valeur de probabilité le fait qu'une tierce partie, à laquelle ladite valeur de probabilité est communiquée, établisse, exécute ou mette fin à une relation contractuelle avec cette personne.

Les dispositions du dernier alinéa du paragraphe I de l'article L. 612-3 du code de l'éducation ne sauraient, sans méconnaître le droit d'accès aux documents administratifs garanti par l'article 15 de la Déclaration de 1789, être interprétées comme dispensant chaque établissement d'enseignement supérieur de publier, à l'issue de la procédure nationale de préinscription à l'entrée en premier cycle et dans le respect de la vie privée des candidats, le cas échéant sous la forme d'un rapport, les critères en fonction desquels les candidatures ont été examinées et précisant, le cas échéant, dans quelle mesure des traitements algorithmiques ont été utilisés pour procéder à cet examen.

Saisi d'un projet de décret portant création d'un traitement au tomatisé de données à caractère personnel relatif à la gestion des ressources humaines d certains agents de l'État, le Conseil d'État constate que ce traitement a fait l'objet, comme il le devait, d'une analyse d’impact relative à la protection des données.

1) Il considère en premier lieu que la réalisation préalable de cette analyse d'impact est exigée par les dispositions du paragraphe 1 de l'article 35 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (dit RGPD) dans la mesure où ce traitement permet de procéder à une « évaluation systématique et approfondie d'aspects personnels fondée sur un traitement automatisé et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l'égard d'une personne physique ou l'affectant de manière significative de façon similaire » au sens du a) du paragraphe 3 du même article.

Il relève à cet égard que les traitements établissant des profil(s) de personnes physiques à des fins de gestion des ressources humaines figurent sur la liste des types d'opérations de traitement pour lesquelles une analyse d'impact relative à la protection des données est requise, annexée à la délibération n° 2018‑327 du 11 octobre 2018 de la CNIL portant adoption de cette liste.

2) En deuxième lieu, dans la mesure où le projet de décret ouvre à des services ou institutions distincts la possibilité de recourir à ce traitement dans des conditions similaires, la dernière phrase du paragraphe 1 de l'article 35 du RGPD, selon laquelle « une seule et même analyse peut porter sur un ensemble d'opérations de traitement similaires qui présentent des risques élevés similaires », a logiquement conduit à élaborer cette analyse d'impact lors de la préparation du projet de décret.

3) En troisième lieu, lorsque des services ou institutions décideront d'y recourir sans adapter les modalités de mise en œuvre de ce traitement, l'analyse d'impact réalisée lors de la préparation du projet de décret pourra être regardée comme suffisante. Toutefois, compte tenu de la diversité de ses caractéristiques et des modes d'organisation des services ou institutions susceptibles de recourir au traitement en cause et des adaptations qu'ils décident de lui apporter en fonction de leurs besoins, il appartiendra à chaque responsable, préalablement à la mise en œuvre du traitement, de compléter le cas échéant l'analyse d'impact produite initialement par l'autorité compétente, en fonction des spécificités propres à cette mise en œuvre.

Le Conseil d'État (section de l'intérieur) saisi d'un projet de décret portant transposition en droit interne des principes du code mondial antidopage et de diverses modifications relatives à la procédure disciplinaire lui donne un avis favorable. Ce projet modifie les dispositions réglementaires du code du sport relatives au traitement automatisé de données à caractère personnel visant à mettre en œuvre l'établissement du profil biologique des sportifs, ainsi que celles relatives aux modalités d'utilisation d'un algorithme prédictif pour les besoins de l'établissement de ce même profil biologique.

Le Conseil d'État considère, eu égard au caractère sensible des données médicales qui font l'objet d'un traitement pour l'établissement du profil biologique des sportifs, au grand nombre de sportifs concernés, ainsi qu'aux modalités de réalisation de ce traitement, au moyen d'un algorithme prédictif, et à ses finalités, notamment de sanction, que le traitement permettant l'établissement du profil biologique des sportifs impose de conduire l'analyse d'impact prévue par l'article 35 du règlement général sur la protection des données.

Si la réalisation de cette dernière n'est pas une modalité de la procédure consultative de la CNIL et ne conditionne pas la légalité du décret modifiant les dispositions réglementaires relatives à ce traitement, elle n'en est pourtant pas moins une obligation de fond s'imposant au responsable dudit traitement. Aussi le Conseil d'État attire-t-il l'attention du Gouvernement sur la nécessité pour le responsable du traitement de réaliser l'analyse d'impact dans les plus brefs délais.

L'article 22, paragraphe 1, du RGPD doit être interprété en ce sens que l'établissement automatisé, par une société fournissant des informations commerciales, d'une valeur de probabilité fondée sur des données à caractère personnel relatives à une personne et concernant la capacité de celle‑ci à honorer des engagements de paiement à l'avenir constitue une « décision individuelle automatisée », au sens de cette disposition, lorsque dépend de manière déterminante de cette valeur de probabilité le fait qu'une tierce partie, à laquelle ladite valeur de probabilité est communiquée, établisse, exécute ou mette fin à une relation contractuelle avec cette personne.