La liberté proclamée par l'article 2 de la Déclaration des droits de l'homme et du citoyen de 1789 implique le droit au respect de la vie privée. Par suite, la collecte, l'enregistrement, la conservation, la consultation et la communication de données à caractère personnel doivent être justifiés par un motif d'intérêt général et mis en œuvre de manière adéquate et proportionnée à cet objectif.

Aux termes de l'article L. 1121‑1 du Code du travail, nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives des restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché.

La cour d’appel a constaté que le salarié, qui exerçait seul son activité en cuisine, était soumis à la surveillance constante de la caméra qui y était installée. Elle en a déduit à bon droit que les enregistrements issus de ce dispositif de vidéosurveillance, attentatoire à la vie personnelle du salarié et disproportionné au but allégué par l’employeur de sécurité des personnes et des biens, n’étaient pas opposables au salarié et, par ces seuls motifs, légalement justifié sa décision.

Est disproportionné et peut légalement faire l'objet d'une sanction un dispositif de vidéosurveillance plaçant sous surveillance en permanence au moins un salarié. En l'espèce, la circonstance que la société ait voulu lutter contre des vols susceptibles d'être perpétrés par ses propres salariés ne permet pas de considérer que le dispositif était proportionné alors qu'en outre il était installé dans des locaux sécurisés, dont l'entrée ne peut s'effectuer qu'après autorisation et vérification d'identité.

1) Pour l'application de l'article 6 de la loi n°78‑17 du 6 janvier 1978, les données pertinentes au regard de la finalité d'un traitement automatisé de données à caractère personnel sont celles qui sont en adéquation avec la finalité du traitement et qui sont proportionnées à cette finalité.

2) En l'espèce, les données enregistrées dans la « Base élèves 1 degré », relatives à l'identification de l'élève, de ses responsables légaux et des autres personnes à contacter en cas d'urgence ou autorisées à le prendre en charge à la sortie de l'école, ainsi qu'à la gestion des établissements, de la scolarité des élèves et de leurs activités parascolaires et périscolaires, sont en adéquation avec la finalité du traitement, qui est la gestion de l'enseignement scolaire de premier cycle, et sont proportionnées à cette finalité.

Il n'a pas été porté à la connaissance de la Cour l'existence de mesures susceptibles de contribuer, de manière suffisamment efficace, au but tenant à la protection des passeports contre leur utilisation frauduleuse, tout en portant des atteintes moins importantes aux droits reconnus par les articles 7 et 8 de la Charte que celles entraînées par la méthode fondée sur les empreintes digitales. Ce recueil est donc proportionné.

Etaient conservés, sans limitation de durée et sans possibilité de réexamen, le profil ADN, les empreintes digitales et la photographie du requérant qui avait été reconnu coupable de conduite en état d'ivresse en Irlande du Nord et dont la condamnation avait été rayée de son casier judiciaire à l'expiration du délai prévu par la loi.

La Cour EDH a conclu à la violation de l'article 8 de la Convention.

La conservation du profil ADN et des empreintes digitales du requérant s'analyse en une atteinte à son droit au respect de sa vie privée. La conservation des données biométriques et des photographies poursuivait un but légitime, à savoir la prévention des infractions pénales.

Les États jouissent d'une marge d'appréciation réduite lorsqu'ils sont appelés à fixer des limites concernant la conservation des données biométriques de personnes ayant été condamnées. Néanmoins, la durée de conservation de ces données ne constitue pas nécessairement un critère déterminant lorsqu'il s'agit de rechercher si un État a outrepassé sa marge d'appréciation en la matière. La question de savoir si les règles mises en place tiennent compte de la gravité de l'infraction commise et de la nécessité de conserver les données en question, et si des garanties effectives ont été mises en place revêt également de l'importance. Lorsqu'un État se place aux confins de sa marge d'appréciation en s'attribuant le pouvoir le plus étendu en matière de conservation des données, c'est‑à‑dire le pouvoir de conserver des données sans limitation de durée, l'existence de certaines garanties effectives devient déterminante.

Les autorités ont conservé les données biométriques et la photographie du requérant sans prendre en considération ni la gravité de l'infraction commise ni la nécessité de conserver ces données sans limitation de durée. En outre, la police n'avait le pouvoir d'effacer les données biométriques et les photographies de personnes reconnues coupables que dans des cas exceptionnels. Par ailleurs, aucune disposition ne permettait au requérant de présenter une demande d'effacement si la conservation des données le concernant n'apparaissait plus pertinente compte tenu de la finalité du fichier, au regard de la nature de l'infraction qu'il avait commise, de son âge lors de sa commission, du temps écoulé depuis lors et de sa personnalité actuelle. En conséquence, il apparaît que les possibilités de réexamen étaient tellement restreintes qu'elles en devenaient presque hypothétiques.

Le caractère indifférencié des pouvoirs de conservation du profil ADN, des empreintes digitales et de la photographie du requérant au motif qu'il avait été reconnu coupable d'une infraction, entre‑temps radiée de son casier judiciaire, sans examen de la gravité de l'infraction commise ni de la nécessité de conserver indéfiniment les données en question, et sans possibilité réelle de réexamen de la mesure litigieuse, n'a pas ménagé un juste équilibre entre les intérêts publics et privés concurrents en jeu. L'État jouissait d'une marge d'appréciation légèrement plus ample en ce qui concerne la conservation des empreintes digitales et des photographies. Néanmoins, cette marge d'appréciation n'était pas suffisamment ample pour que la conservation des données concernées puisse être considérée comme proportionnée compte tenu des circonstances de la cause, notamment de l'absence de garanties suffisantes, et plus particulièrement de l'absence de possibilité réelle de réexamen de la mesure litigieuse.

L'État défendeur a donc outrepassé la marge d'appréciation acceptable à cet égard. Partant, la conservation litigieuse s'analyse en une atteinte disproportionnée au droit du requérant au respect de sa vie privée et ne peut passer pour nécessaire dans une société démocratique.

La création d'un traitement de données à caractère personnel destiné à préserver l'intégrité des données nécessaires à la délivrance des titres d'identité et de voyage permet de sécuriser la délivrance de ces titres et d'améliorer l'efficacité de la lutte contre la fraude. Elle est ainsi justifiée par un motif d'intérêt général.

Toutefois, compte tenu de son objet, ce traitement de données à caractère personnel est destiné à recueillir les données relatives à la quasi-totalité de la population de nationalité française. Les données biométriques enregistrées dans ce fichier, notamment les empreintes digitales, étant par elles-mêmes susceptibles d'être rapprochées de traces physiques laissées involontairement par la personne ou collectées à son insu, sont particulièrement sensibles. Les caractéristiques techniques de ce fichier définies par les dispositions contestées permettent son interrogation à d'autres fins que la vérification de l'identité d'une personne. Les dispositions de la loi relative à la protection de l'identité autorisent la consultation ou l'interrogation de ce fichier non seulement aux fins de délivrance ou de renouvellement des titres d'identité et de voyage et de vérification de l'identité du possesseur d'un tel titre, mais également à d'autres fins de police administrative ou judiciaire.

Il résulte de ce qui précède qu'en égard à la nature des données enregistrées, à l'ampleur de ce traitement, à ses caractéristiques techniques et aux conditions de sa consultation, les dispositions de l'article 5 portent au droit au respect de la vie privée une atteinte qui ne peut être regardée comme proportionnée au but poursuivi. Par suite, les articles 5 et 10 de la loi relative à la protection de l'identité doivent être déclarés contraires à la Constitution.

1) L’article 23 du RGPD permet de limiter ou d’écarter le droit d’opposition à un traitement, à certaines conditions, par une mesure législative. Le considérant 41 du RGPD précise que cette mesure législative n’est pas nécessairement un acte adopté par le Parlement, mais doit être déterminée par le droit national de chaque État membre. En France, il peut en particulier s’agir d’un acte réglementaire. La CNIL estime que, s’agissant des traitements participant à l’exécution d’une mission d’intérêt public, tant l’État que les collectivités territoriales ou les établissements publics peuvent, dans leurs domaines de compétence respectifs et s’ils disposent d’un pouvoir réglementaire, limiter ou exclure le droit d’opposition.

2) Cependant, l’exercice de cette faculté est soumis à une double limite : d’une part, s’agissant de la compétence, il convient de ne pas empiéter sur le domaine réservé à la loi en application de l’article 34 de la Constitution; d’autre part, de veiller à ce que les conditions prévues à l’art. 23 RGPD soient respectées. Dans ses lignes directrices 10/2020 du 13 octobre 2021 sur l’article 23, le Comité européen pour la protection des données a notamment rappelé l’obligation pour le responsable de traitement de veiller au caractère strictement nécessaire et proportionné de la limitation envisagée au regard de l’objectif poursuivi. Il a également souligné que l’acte écartant l’opposition doit faire l’objet d’une publicité suffisante et être accessible.

1) L’article 23 du RGPD permet de limiter ou d’écarter le droit d’opposition à un traitement, à certaines conditions, par une « mesure législative ». Le considérant 41 du RGPD précise que cette « mesure législative » n’est pas nécessairement un acte adopté par le Parlement, mais doit être déterminée par le droit national de chaque État membre. En France, il peut en particulier s’agir d’un acte réglementaire. La CNIL estime que, s’agissant des traitements participant à l’exécution d’une mission d’intérêt public, tant l’État que les collectivités territoriales ou les établissements publics peuvent, dans leurs domaines de compétence respectifs et s’ils disposent d’un pouvoir réglementaire, limiter ou exclure le droit d’opposition.

2) Cependant, l’exercice de cette faculté est soumis à une double limite : d’une part, s’agissant de la compétence, ne pas empiéter sur le domaine réservé à la loi en application de l’article 34 de la Constitution ; d’autre part, veiller à ce que les conditions prévues à l’article 23 soient respectées. Dans ses lignes directrices 10/2020 du 13 octobre 2021 sur l’article 23, le Comité européen pour la protection des données a notamment rappelé l’obligation pour le responsable de traitement de veiller au caractère strictement nécessaire et proportionné de la limitation envisagée au regard de l’objectif poursuivi. Il a également souligné que l’acte écartant l’opposition doit faire l’objet d’une publicité suffisante et être accessible.

1 ) L'article 47 de la Charte des droits fondamentaux de l'Union européenne doit être interprété en ce sens qu'il s'oppose à ce qu'une juridiction nationale rejette, en tant que moyen de preuve d'une violation de la protection des données à caractère personnel conférée par la directive 95/46, une liste, telle que la liste litigieuse, présentée par la personne concernée et contenant des données à caractère personnel de celle‑ci, dans l'hypothèse où cette personne aurait obtenu cette liste sans le consentement, légalement requis, du responsable du traitement de ces données, à moins qu'un tel rejet soit prévu par la législation nationale et qu'il respecte à la fois le contenu essentiel du droit à un recours effectif et le principe de proportionnalité. Ainsi, afin d'apprécier la proportionnalité d'un rejet de la liste litigeuse en tant que moyen de preuve, la juridiction de renvoi doit examiner si sa législation nationale limite ou non, par rapport aux données figurant sur cette liste, les droits d'information et d'accès énoncés aux articles 10 à 12 de la directive 95/46 et si une telle limitation est, le cas échéant, justifiée. En outre, même lorsque tel est le cas et qu'il existe des éléments plaidant en faveur d'un intérêt légitime à l'éventuelle confidentialité de la liste en cause, les juridictions nationales doivent vérifier au cas par cas si ceux‑ci prévalent sur l'intérêt à la protection des droits du particulier et s'il existe, dans le cadre de la procédure devant cette juridiction, d'autres moyens pour assurer cette confidentialité, notamment en ce qui concerne les données à caractère personnel des autres personnes physiques figurant sur cette liste.

2 ) L'article 47 de la Charte des droits fondamentaux de l'Union européenne doit être interprété en ce sens qu'il ne s'oppose pas à une législation nationale qui subordonne l'exercice d'un recours juridictionnel par une personne affirmant qu'il a été porté atteinte à son droit à la protection des données à caractère personnel garanti par la directive 95/46/CE à l'épuisement préalable des voies de recours disponibles devant les autorités administratives nationales, à condition que les modalités concrètes d'exercice desdites voies de recours n'affectent pas de manière disproportionnée le droit à un recours effectif devant un tribunal visé à cette disposition. Il importe, notamment, que l'épuisement préalable des voies de recours disponibles devant les autorités administratives nationales n'entraîne pas de retard substantiel pour l'introduction d'un recours juridictionnel, qu'il entraîne la suspension de la prescription des droits concernés et qu'il n'occasionne pas de frais excessifs.

1) L'article 46, paragraphe 1, et l'article 46, paragraphe 2, sous c), du RGPD doivent être interprétés en ce sens que les garanties appropriées, les droits opposables et les voies de droit effectives requis par ces dispositions doivent assurer que les droits des personnes dont les données à caractère personnel sont transférées vers un pays tiers sur le fondement de clauses types de protection des données bénéficient d'un niveau de protection substantiellement équivalent à celui garanti au sein de l'Union européenne par ce règlement, lu à la lumière de la Charte des droits fondamentaux de l'Union européenne.

À cet effet, l'évaluation du niveau de protection assuré dans le contexte d'un tel transfert doit, notamment, prendre en considération tant les stipulations contractuelles convenues entre le responsable du traitement ou son sous‑traitant établi dans l'Union européenne et le destinataire du transfert établi dans le pays tiers concerné que, en ce qui concerne un éventuel accès des autorités publiques de ce pays tiers aux données à caractère personnel ainsi transférées, les éléments pertinents du système juridique de celui‑ci, notamment ceux énoncés à l'article 45, paragraphe 2, dudit règlement.

2) La décision d'exécution (UE) 2016/1250 de la Commission, du 12 juillet 2016, conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à l'adéquation de la protection assurée par le bouclier de protection des données UE – États-Unis, est invalide. Sont en particulier méconnus le principe de proportionnalité et le droit à une protection juridictionnelle effective.

a) La décision 2016/1250 consacre, à l'instar de la décision 2000/520, la primauté des exigences relatives à la sécurité nationale, à l'intérêt public et au respect de la législation américaine, rendant ainsi possibles des ingérences dans les droits fondamentaux des personnes dont les données sont transférées vers ce pays tiers. Les limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des États‑Unis portant sur l'accès et l'utilisation, par les autorités publiques américaines, de telles données transférées depuis l'Union vers ce pays tiers, et que la Commission a évaluées dans la décision 2016/1250, ne sont pas encadrées de manière à répondre à des exigences substantiellement équivalentes à celles requises, en droit de l'Union, par le principe de proportionnalité, en ce que les programmes de surveillance fondés sur cette réglementation ne sont pas limités au strict nécessaire. En se fondant sur les constatations figurant dans cette décision, il est relevé que, pour certains programmes de surveillance, ladite réglementation ne fait ressortir d'aucune manière l'existence de limitations à l'habilitation qu'elle comporte pour la mise en œuvre de ces programmes, pas plus que l'existence de garanties pour des personnes non américaines potentiellement visées.

b) Par ailleurs, si la même réglementation prévoit des exigences que les autorités américaines doivent respecter lors de la mise en œuvre des programmes de surveillance concernés, elle ne confère pas aux personnes concernées des droits opposables aux autorités américaines devant les tribunaux. Quant à l'exigence de protection juridictionnelle, contrairement à ce que la Commission a considéré dans la décision 2016/1250, le mécanisme de médiation visé par cette décision ne fournit pas à ces personnes une voie de recours devant un organe offrant des garanties substantiellement équivalentes à celles requises en droit de l'Union, de nature à assurer tant l'indépendance du médiateur prévu par ce mécanisme que l'existence de normes habilitant ledit médiateur à adopter des décisions contraignantes à l'égard des services de renseignement américains.

Il n'a pas été porté à la connaissance de la Cour l'existence de mesures susceptibles de contribuer, de manière suffisamment efficace, au but tenant à la Protection des passeports contre leur utilisation frauduleuse et aux droits reconnus par les articles 7 et 8 de la Charte que celles entraînées par la méthode fondée sur les Recueil des empreintes digitales. Ce recueil est donc proportionné.

La création d'un traitement de données à caractère personnel destiné à préserver l'intégrité des données nécessaires à la délivrance des titres d'identité et de voyage permet de sécuriser la délivrance de ces titres et d'améliorer l'efficacité de la lutte contre la fraude. Elle est ainsi justifiée par un motif d'intérêt général. Toutefois, compte tenu de son objet, ce traitement de données à caractère personnel est destiné à recueillir les données relatives à la quasi-totalité de la population de nationalité française. Les données biométriques enregistrées dans ce fichier, notamment les empreintes digitales, étant par elles-mêmes susceptibles d'être rapprochées de traces physiques laissées involontairement par la personne ou collectées à son insu, sont particulièrement sensibles. Les caractéristiques techniques de ce fichier définies par les dispositions contestées permettent son interrogation à d'autres fins que la vérification de l'identité d'une personne. Les dispositions de la loi relative à la protection de l'identité autorisent la consultation ou l'interrogation de ce fichier non seulement aux fins de délivrance ou de renouvellement des titres d'identité et de voyage et de vérification de l'identité du possesseur d'un tel titre, mais également à d'autres fins de police administrative ou judiciaire. Il résulte de ce qui précède qu'en égard à la nature des données enregistrées, à l'ampleur de ce traitement, à ses caractéristiques techniques et aux conditions de sa consultation, les dispositions de l'article 5 portent au droit au respect de la vie privée une atteinte qui ne peut être regardée comme proportionnée au but poursuivi. Par suite, les articles 5 et 10 de la loi relative à la protection de l'identité doivent être déclarés contraires à la Constitution.

L'article 15, paragraphe 1, de la directive vie privée et communications électroniques (2002/58/CE) modifiée, lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la Charte des droits fondamentaux de l'Union européenne, doit être interprété en ce sens qu’il ne s’oppose pas à une disposition nationale qui impose au juge national, intervenant dans le cadre d’un contrôle préalable du juge effectué à la suite d’une demande motivée d’accès à un ensemble de données relatives au trafic ou de données de localisation, susceptibles de permettre de tirer des conclusions précises sur la vie privée d'un utilisateur d'un moyen de communication électronique, conservées par les fournisseurs de services de communications électroniques, présentée par une autorité nationale compétente dans le cadre d'une enquête pénale, d'autoriser cet accès si celui‑ci est demandé aux fins de la recherche d'infractions pénales punies, par le droit national, d’une peine de réclusion maximale d’au moins trois ans, sous réserve qu’il existe des indices suffisants de telles infractions et que ces données soient pertinentes pour constater les faits, à condition toutefois que ce juge soit habilité à refuser ledit accès si celui‑ci est sollicité dans le cadre d'une enquête portant sur une infraction qui n’est manifestement pas grave, au regard des conditions sociétales prévalant dans l'État membre concerné.

1) a) La mise en œuvre d’un vidéosurveillance de salariés n’est licite qu’à condition de ne collecter que les données nécessaires à l’objectif poursuivi et de ne pas porter une atteinte disproportionnée aux droits et libertés de ceux‑ci, ainsi que conformément à l’article L. 1121‑1 du Code du travail. Le nombre, l’emplacement, l’orientation, les périodes de fonctionnement des caméras ou la nature des tâches accomplies par les personnes concernées sont autant d’éléments à prendre en compte lors de l’installation du système.

b) Si la surveillance de zones sensibles peut être justifiée par des impératifs de sécurité, le placement sous surveillance permanente d’un salarié attentatoire à leur vie privée ne peut toutefois intervenir que dans des circonstances exceptionnelles tenant, par exemple, à la nature de la tâche à accomplir. Il en est ainsi lorsqu’un employé manipule des objets de grande valeur ou lorsque le responsable de traitement est à même de justifier de vols ou de dégradations commises sur ces zones.

2) En l’espèce, il est manifestement disproportionnée l’utilisation d’un dispositif de vidéosurveillance conduisant à placer des traducteurs assermentés sous une surveillance permanente en vue de protéger des documents traduits. En effet, si la nature des documents peut justifier la mise en place de mesures particulières de protection, il convient d’envisager des procédés alternatifs tels que la sécurisation des accès sur le lieu de travail.

Conformité à la Constitution d'un dispositif autorisant à titre expérimental et pour une durée de trois ans, les administrations fiscales et douanières à collecter et à exploiter de manière automatisée les contenus accessibles publiquement sur les sites internet de certains opérateurs de plateforme, aux fins de recherche de manquements et d'infractions en matière fiscale et douanière malgré l'atteinte au droit au respect de la vie privée dès lors que : le dispositif poursuit l'objectif à valeur constitutionnelle de lutte contre la fraude et l'évasion fiscale ; les traitements de données autorisés par les dispositions contestées peuvent être mis en œuvre, d'une part, pour les besoins de la recherche de certains manquements et certaines infractions dont la commission est rendue possible ou favorisée par l'usage d'internet et, d'autre part, pour rechercher l'insuffisance de déclaration découlant d'un manquement aux règles de domiciliation fiscale. Si la commission de ce manquement n'est pas rendue possible ou favorisée par l'usage d'internet, il résulte des travaux parlementaires que le législateur, qui a souhaité limiter le nombre de manquements susceptibles d'être recherchés, a entendu viser un des cas les plus graves de soustraction à l'impôt, qui peut être particulièrement difficile à déceler ; les données susceptibles d'être collectées et exploitées doivent répondre à deux conditions cumulatives. D'une part, il doit s'agir de contenus librement accessibles sur un service de communication au public en ligne d'une des plateformes précitées, à l'exclusion donc des contenus accessibles seulement après saisie d'un mot de passe ou après inscription sur le site en cause. D'autre part, ces contenus doivent être manifestement rendus publics par les utilisateurs de ces sites. Il en résulte que ne peuvent être collectés et exploités que les contenus se rapportant à la personne qui les a délibérément divulgués. En outre, les données sensibles au sens du paragraphe I de l'article 6 de la loi du 6 janvier 1978, c'est‑à‑dire celles qui révèlent la prétendue origine raciale ou l'origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale d'une personne, les données génétiques et biométriques et celles concernant la santé et la vie ou l'orientation sexuelle, ne peuvent faire l'objet d'aucune exploitation à des fins de recherche de manquements ou d'infractions ; d'une part, les traitements de données autorisés par les dispositions contestées ne peuvent comporter aucun système de reconnaissance faciale. D'autre part, ils ne peuvent être mis en œuvre que par des agents des administrations fiscales et douanières ayant au moins le grade de contrôleur et spécialement habilités ; les données qui s'avèrent manifestement sans lien avec les manquements et infractions recherchés ou qui constituent des données sensibles sont détruites au plus tard dans les cinq jours suivant leur collecte, sans aucune autre exploitation possible de ces données pendant ce délai. Les autres données doivent être détruites dans les trente jours si elles ne sont pas de nature à concourir à la constatation des manquements ou infractions. Seules peuvent être conservées les données strictement nécessaires à une telle constatation, dans la limite d'une année ou, le cas échéant, jusqu'au terme de la procédure pénale, fiscale ou douanière dans le cadre de laquelle elles sont utilisées ; aucune procédure pénale, fiscale ou douanière ne peut être engagée sans qu'ait été portée une appréciation individuelle de la situation de la personne par l'administration, qui ne peut alors se fonder exclusivement sur les résultats du traitement automatisé ; le traitement instauré par les dispositions contestées est mis en œuvre dans le respect de la loi du 6 janvier 1978, à l'exception du droit d'opposition prévu à son article 110 ; la mise en œuvre des traitements de données, tant lors de leur création que lors de leur utilisation, doit être proportionnée aux finalités poursuivies. Il appartiendra notamment, à ce titre, au pouvoir réglementaire, sous le contrôle du juge, de veiller à ce que les algorithmes utilisés par ces traitements ne permettent de collecter, d'exploiter et de conserver que les données strictement nécessaires à ces finalités.

Le procureur de la République tient des articles 39‑3 et 41 du code de procédure pénale le pouvoir de faire procéder, sous son contrôle effectif et selon les modalités qu’il autorise s’agissant de sa durée et de son périmètre, à une vidéosurveillance sur la voie publique, aux fins de rechercher la preuve des infractions à la loi pénale. L’ingérence dans la vie privée qui résulte d’une telle mesure présentant par sa nature même un caractère limité et étant proportionnée au regard de l’objectif poursuivi n’est pas contraire à l’article 8 de la Convention européenne des droits de l’homme.

Est disproportionné et peut légalement faire l'objet d'une sanction un dispositif de vidéosurveillance plaçant sous surveillance en permanence au moins un salarié. En l'espèce, la circonstance que la société ait voulu lutter contre des vols susceptibles d'être perpétrés par ses propres salariés ne permet pas de considérer que le dispositif était proportionné alors qu'en outre il était installé dans des locaux sécurisés, dont l'entrée ne peut s'effectuer qu'après autorisation et vérification d'identité.

1) a ) La mise en œuvre d'un vidéosurveillance de salariés n'est licite qu'à condition de ne collecter que les données nécessaires à l'objectif poursuivi et de ne pas porter une atteinte disproportionnée aux droits et libertés de ceux-ci, ainsi qu'en dispose l'article L. 1121-1 du code du travail. Le nombre, l'emplacement, l'orientation, les périodes de fonctionnement des caméras ou la nature des tâches accomplies par les personnes concernées sont autant d'éléments à prendre en compte lors de l'installation du système.

b) Si la surveillance permanente de zones sensibles peut être justifiée par des impératifs de sécurité, le placement sous surveillance permanente de salariés, attentatoire à leur vie privée, ne peut toutefois intervenir que dans des circonstances exceptionnelles tenant, par exemple, à la nature de la tâche à accomplir. Il en est ainsi lorsqu'un employé manipule des objets de grande valeur ou lorsque le responsable de traitement est à même de justifier de vols ou de dégradations commises sur ces zones.

2) En l'espèce, il est manifestement disproportionnée l'utilisation d'un dispositif de vidéosurveillance conduisant à placer des traducteurs assermentés sous une surveillance permanente en vue de protéger des documents traduits. En effet, si la nature des documents peut justifier la mise en place de mesures particulières de protection, il convient d'envisager des procédés alternatifs tels que la sécurisation des accès sur le lieu de travail.

Le traitement de collecte et de conservation quasi permanente des données géolocalisation d'un véhicule de location s'analyse au regard de la nécessité et de la proportionnalité de chacune de ses finalités.

1) S'agissant de la gestion de la flotte de véhicules et des contrats de location, l'activation de la géolocalisation quand l'utilisateur allume ou coupe le moteur peut être utile pour déterminer si le véhicule est de retour à son point de départ. À contrario, la collecte et la conservation des données de géolocalisation pendant le reste du trajet n'est pas nécessaire pour déterminer si le véhicule est de retour à sa station de départ en vue d'être restitué. En outre, s'agissant de l'usage de la géolocalisation pour contrôler l'entrée et la sortie d'un véhicule d'une zone de péage urbain, traitement qui n'est susceptible de s'appliquer en l'espèce que dans une seule ville de l'Union européenne, une collecte et conservation quasi permanente des données de géolocalisation sur l'ensemble des véhicules loués, sur le fondement de l'intérêt légitime, apparaissent disproportionnées par rapport à la finalité avancée qui est celle d'une facturation immédiate et automatisée des frais aux clients.

2) S'agissant de la lutte contre le vol de véhicules, les cas où, d'une part, la géolocalisation est le seul moyen de connaître la dernière position connue du véhicule et où, d'autre part, cette dernière position connue est effectivement proche de la localisation du véhicule, apparaissent limités. Dans ces situations, la CNIL ne remet pas en cause l'utilité de connaître la dernière position connue du véhicule grâce à la dernière donnée de géolocalisation. Cependant, cette hypothèse ne suffit pas à justifier la collecte et la conservation de l'ensemble des données de géolocalisation de l'ensemble des trajets des utilisateurs. Au surplus, d'autres mesures de sécurité pourraient être mises en place pour prévenir le vol des véhicules. Il en résulte que le fait de procéder systématiquement à cette collecte et conservation des données de géolocalisation pour les cas d'usages où elle pourrait être effectivement utile, alors que d'autres moyens de prévention et de lutte contre le vol existent, sur le fondement de l'intérêt légitime de la société, porte une atteinte disproportionnée à la vie privée des utilisateurs.

3) S'agissant de la localisation du véhicule en cas d'accident, la CNIL estime que la géolocalisation tous les 500 mètres de l'ensemble des véhicules au cours de toute la durée de location, avec conservation des données, préalablement à toute information relative à un accident, n'est pas nécessaire pour porter assistance à un utilisateur.

Lorsqu'aucune des finalités avancées par le responsable du traitement n'est susceptible de justifier une collecte et la conservation des données de géolocalisation, ces opérations de traitement constituent un manquement à l'article 5.1.c du RGPD.