La collecte de données à caractère personnel effectuée par des membres d'une communauté religieuse dans le cadre d'une activité de prédication de porte-à-porte et les traitements ultérieurs de ces données relèvent de la directive 95/46/CE. En particulier, il ne s'agit ni de traitements de données à caractère personnel mis en œuvre pour l'exercice d'activités visées à l'article 3, paragraphe 2, premier tiret (traitements ne relevant pas du champ du droit de l'UE ou ayant pour objet la sécurité publique, la défense, la sûreté de l'État et les activités de l'État relatives au droit pénal), de la directive, ni de traitements de données à caractère personnel effectués par des personnes physiques pour l'exercice d'activités exclusivement personnelles ou domestiques, au sens de l'article 3, paragraphe 2, second tiret (traitements effectués par une personne physique pour l'exercice d'activités exclusivement personnelles ou domestiques), de ladite directive. La communauté religieuse doit être regardée comme étant responsable, conjointement avec ses membres prédicateurs, de ces traitements.

1) L'article 5, paragraphe 2, ainsi que les articles 24 à 26 du [RGPD] doivent être interprétés en ce sens que l'exploitant d'une place de marché en ligne est co‑responsable du traitement, au sens de l’article 4, point 7, de ce règlement, des données à caractère personnel contenues dans les annonces publiées sur sa place de marché. 2) Il est à ce titre tenu, avant la publication des annonces et au moyen de mesures techniques et organisationnelles appropriées : a) d’identification préalable des annonces qui contiennent des données sensibles, au sens de l’article 9, paragraphe 1, du règlement ; b) de vérifier si l’utilisateur annonceur s’apprêtant à placer une telle annonce est la personne dont les données sensibles figurent dans cette annonce ; c) si tel n’est pas le cas, de refuser la publication de ladite annonce, à moins que cet utilisateur annonceur ne puisse démontrer que la personne concernée a donné son consentement explicite à ce que les données en question soient publiées sur cette place de marché, au sens de l’article 9, paragraphe 2, sous‑a), ou que l’une des autres exceptions prévues à l’article 9, paragraphe 2, sous‑b) à j), soit remplie. 3) L'article 32 du [RGPD] doit être interprété en ce sens que l'exploitant d'une place de marché en ligne, en tant que responsable du traitement des données à caractère personnel contenues dans les annonces publiées sur sa place de marché, est tenu de mettre en œuvre des mesures de sécurité techniques et organisationnelles appropriées afin d’empêcher que des annonces y étant publiées et contenant des données sensibles soient copiées et illicitement publiées sur d’autres sites Internet. 4) L’article 1, paragraphe 5, sous‑b), de la directive 2000/31/CE sur le commerce électronique, et l'article 2, paragraphe 4, du RGPD doivent être interprétés en ce sens que l'exploitant d'une place de marché en ligne, en tant que responsable du traitement, au sens de l’article 4, point 7, du RGPD, des données à caractère personnel contenues dans les annonces publiées sur sa place de marché, ne peut pas se prévaloir, à l’égard d’une violation des obligations découlant de l’article 5, paragraphe 2, ainsi que des articles 24 à 26 et 32 de ce règlement, des articles 12 à 15 de cette directive, relatifs à la responsabilité des prestataires intermédiaires.

Limitation des autorités susceptibles de mettre en œuvre des traitements de données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté par l'article 9 de la loi n° 78‑17 du 6 janvier 1978.

1) Doivent être regardées comme entrant dans le champ d'application de cet article, non seulement les données relatives aux infractions, condamnations ou mesures de sûreté elles‑mêmes, mais également les données qui, en raison des finalités du traitement automatisé, ne sont collectées que dans le but d’d'établir l'existence ou de prévenir la commission d'infractions, y compris par des tiers.

2) En revanche, ces dispositions ne font pas obstacle à la mise en œuvre de traitements de données à caractère personnel relatives à des infractions par les personnes qui en ont été victimes ou sont susceptibles de l'être.

l'existence

En transcrivant et en conservant les indications relatives à l'identité des personnes qui, en tant que membres d'organe légalement prévu ou membres de tel organe, ont le pouvoir d'engager la société concernée à l’égard des tiers et de la représenter en justice ou participent à l'administration, à la surveillance ou au contrôle de cette société dans le registre et en communiquant celles‑ci, le cas échéant, sur demande à des tiers, l'autorité chargée de la tenue de ce registre effectue un « traitement de données à caractère personnel », pour lequel elle est le « responsable », au sens des définitions fournies à l'article 2, sous b) et d), de la directive 95/46.

L'article 2, sous b), de la directive 95/46, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens que, d'une part, l'activité d'un moteur de recherche consistant à trouver des informations publiées ou placées sur Internet par des tiers, à les indexer de manière automatique, à les stocker temporairement et, enfin, à les mettre à disposition des internautes selon un ordre de préférence donné doit être qualifiée de traitement de données à caractère personnel lorsque ces informations contiennent des données à caractère personnel.

Par ailleurs, l'exploitant d'un moteur de recherche doit être considéré comme le responsable dudit traitement des données à caractère personnel au sens dudit article 2, sous d), de ladite directive. En effet, dans la mesure où l'activité d'un moteur de recherche est susceptible d'affecter significativement et de manière additionnelle par rapport à celle des éditeurs de sites web les droits fondamentaux de la vie privée et de la protection des données à caractère personnel, l'exploitant de ce moteur en tant que personne qui détermine les finalités et les moyens de cette activité doit assurer, dans le cadre de ses responsabilités, de ses compétences et de ses possibilités, que celle-ci satisfait aux exigences de la directive 95/46 pour que les garanties prévues par celle‑ci puissent développer leur plein effet et qu'une protection efficace et complète des personnes concernées, notamment de leur droit au respect de leur vie privée, puisse effectivement être réalisée.

1) L'article 4, point 7, du RGPD doit être interprété en ce sens que le service ou l'organisme chargé du Journal officiel d'un État membre, qui est notamment tenu, en vertu de la législation de cet État, de publier tels quels des actes et des documents officiels préparés par des tiers sous leur propre responsabilité dans le respect des règles applicables, puis déposés auprès d'une autorité judiciaire qui les lui adresse pour publication, peut, nonobstant son défaut de personnalité juridique, être qualifié de « responsable du traitement » des données à caractère personnel figurant dans ces actes et ces documents, lorsque le droit national concerné détermine les finalités et les moyens du traitement des données à caractère personnel effectué par ce Journal officiel.

2) L'article 5, paragraphe 2, du règlement 2016/679, lu en combinaison avec l'article 4, point 7, et l'article 26, paragraphe 1, de celui‑ci, doit être interprété en ce sens que le service ou l'organisme chargé du Journal officiel d'un État membre, qualifié de « responsable du traitement », au sens de l'article 4, point 7, de ce règlement, est seul responsable du respect des principes visés à l'article 5, paragraphe 1, de celui‑ci en ce qui concerne les opérations de traitement des données à caractère personnel qu'il est tenu d'effectuer en vertu du droit national, à moins qu'une responsabilité conjointe avec d'autres entités au regard de ces opérations ne découle de ce droit.

À l’occasion de l’examen d’un projet de décret relatif à la mise en œuvre de traitements de données à caractère personnel provenant des caméras individuelles des agents de la police municipale, le Conseil d’État (section de l’intérieur) estime qu’il résulte tant des finalités poursuivies par les dispositifs en cause que des missions confiées aux agents de police municipale, que les traitements projetés relèvent des dispositions de la directive (UE) n° 2016/680 du 27 avril 2016 telle que transposée aux articles 70‑1 et suivants de la loi n° 78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

Compte tenu de leurs finalités ils doivent être regardés comme mis en œuvre pour le compte de l’État au sens de l’article 31 de la loi « Informatique et Libertés ». Le traitement étant mis en œuvre au niveau des collectivités locales ou des établissements de coopérations intercommunales, le ministre de l’intérieur ne peut être regardé comme le responsable du traitement au sens du premier alinéa de l’article 70‑4, alors même que cette mise en œuvre est faite pour le compte de l’État.

Cas d'une filiale d'une société X qui exerce son activité sous la marque X.

Afin de déterminer si cette filiale doit être regardée comme le responsable de traitement, et non la société X, plusieurs éléments sont pris en compte : l'exploitation par ses propres soins des fichiers pour l'exercice de sa propre activité commerciale ; la détermination effective du champ des données renseignées ; l'indication au cours de la procédure devant la CNIL de la volonté de renoncer à la collecte de différentes données ou encore.

Sont sans incidence d'une part, l'indication, sous le timbre de la société X, qu'après la sanction, des instructions correctives ont été données dans la circonstance que d'autres filiales ou franchises utilisent lesdites données ; et d'autre part, l'indication au juge d'avoir accompli les nécessaires à la régularisation de l'exploitation des fichiers au regard des dispositions de la loi.

ème ème

Une société gestionnaire du site web qui, d'une part, décide de mettre en œuvre une fonctionnalité d'un prestataire de service, laquelle conduit à traiter des données à caractère personnel, à des fins de mesure d'audience, de performance des campagnes médias de la société, d'évaluation et d'optimisation du site web (détermination de la finalité), et qui, d'autre part, a déterminé les moyens de la collecte et du traitement des données collectées dans le cadre de l'intégration de cette fonctionnalité sur son site web (détermination des moyens), est responsable de traitement au sens de l'article 4.7 du RGPD.

Si le décret n° 2020‑551 du 12 mai 2020 modifié réglemente des traitements placés sous la responsabilité du traitement de la caisse nationale de l'assurance maladie, il se borne, s’agissant des Agences régionales de santé, à autoriser la mise en œuvre d’autres traitements de données personnelles par celles‑ci, pour la mise en place d’un système d’information aux fins d’enquêtes sanitaires.

Les logiciels de suivi des patients utilisés dans ce cadre le sont sous la seule responsabilité des Agences régionales de santé, ces dernières devant être considérées comme responsables du traitement de suivi des patients zéro et des cas contacts qu’elles mettent en œuvre. Ce traitement est soumis aux dispositions du RGPD et de la loi n° 78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

L'article 4, point 7, et l'article 26, paragraphe 1, du RGPD doivent être interprétés en ce sens que :

• d’une part, une organisation sectorielle, dans la mesure où elle propose à ses membres un cadre de règle qu’elle a établi relatif au consentement en matière de traitement de données à caractère personnel, qui contient non seulement des règles techniques contraignantes mais également des règles précisant de façon détaillée les modalités de stockage et de diffusion des données à caractère personnel relatives à ce consentement, doit être qualifiée de « responsable conjoint du traitement », au sens de ces dispositions, si, compte tenu des circonstances particulières du cas d’espèce, elle influe, à des fins qui lui sont propres, sur le traitement de données à caractère personnel concerné et détermine, de ce fait, conjointement avec ses membres, les finalités et les moyens d’un tel traitement. La circonstance qu’une telle organisation sectorielle n’a pas elle‑même directement accès aux données à caractère personnel traitées par ses membres dans le cadre desdites règles ne fait pas obstacle à ce qu’elle puisse présenter la qualité de responsable conjoint du traitement, au sens desdites dispositions ;

• d’autre part, la responsabilité conjointe de ladite organisation sectorielle ne s’étend pas automatiquement aux traitements ultérieurs de données à caractère personnel effectués par des tiers, tels que les fournisseurs de sites Internet ou d’applications, pour ce qui concerne les préférences des utilisateurs aux fins de la publicité ciblée en ligne.

Le gestionnaire d'un site internet qui insère sur ledit site un module social permettant au navigateur du visiteur de ce site de solliciter des contenus du fournisseur dudit module et de transmettre à cet effet à ce fournisseur des données à caractère personnel du visiteur (bouton « j’aime » de Facebook), peut être considéré comme étant conjointement responsable du traitement, au sens de l’article 2, sous d), de la directive 95/46. Cette responsabilité est cependant limitée à l’opération ou à l’ensemble des opérations de traitement des données à caractère personnel dont il détermine effectivement les finalités et les moyens, à savoir la collecte et la communication par transmission des données en cause.

Ainsi, le gestionnaire du site insérant un bouton (bouton « j’aime ») peut être considéré comme étant responsable, conjointement avec Facebook, des opérations de collecte et de communication à Facebook de ces données, dès lors qu’il peut être considéré que le gestionnaire et Facebook déterminent, conjointement, les finalités et les moyens de cette collecte et de cette transmission. En effet, l’insertion du bouton (bouton « j’aime ») sur son site permet d’optimiser la publicité pour les produits en les rendant plus visibles sur le réseau social lorsqu’un visiteur clique dessus. Ce faisant, le gestionnaire du site a consenti, implicitement du moins, à la collecte et à la communication de ces données, qui s’opère dans son intérêt économique et dans celui de Facebook. Il en résulte que le coresponsable de ces opérations doit fournir certaines informations à ses visiteurs au moment de la collecte de ces données, comme son identité et les finalités du traitement:

• Lorsqu’il le traitement repose sur le consentement, le gestionnaire du site doit recueillir le consentement au préalable pour les opérations dont il est coresponsable (collecte et transmission des données);
• Lorsque le traitement est nécessaire à la réalisation d’un intérêt légitime, chacun des coresponsables doit poursuivre, avec la collecte et la transmission des données, un intérêt légitime.

Les articles 5‑1 a) du RGPD et 4‑1° de la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dite loi Informatique et Liberté, disposent que tout traitement de données à caractère personnel doit être « licite » et, d’autre part, que l’article 16 de cette loi donne compétence à la formation restreinte de la Commission nationale de l’informatique et des libertés pour sanctionner les responsables de traitement ou sous‑traitants qui ne respectent pas les obligations découlant du RGPD et de la loi Informatique et Liberté.

Il en résulte que, lorsqu’une disposition limite expressément les finalités d’un traitement de données à caractère personnel, qu’elle soit contenue dans un acte réglementaire autorisant et régissant un traitement particulier de données sur le fondement des articles 31 et suivants de la loi Informatique et Liberté ou des dispositions qui y renvoient, ou qu’elle résulte d’une disposition législative ou réglementaire spéciale limitant la ou les finalités d’un traitement ou d’une catégorie de traitement, la formation restreinte de la CNIL est compétente pour sanctionner le traitement illicite que constitue la méconnaissance de cette disposition.

La formation restreinte est donc compétente en l’espèce pour examiner le manquement à l’article 5‑1 a) du RGPD qui résulterait, selon la rapporteure, de la méconnaissance de l’article L. 37 du code électoral prohibant l’utilisation des listes électorales, qui contiennent des données personnelles, pour des finalités commerciales.

En cas de responsabilité conjointe, l'article 26 du RGPD oblige les responsables de traitement conjoints à s'assurer, par le biais d'un accord, qu'ils respectent mutuellement le RGPD et notamment qu'ils organisent entre eux la meilleure façon de répondre aux droits des personnes concernées, en fonction de la nature du traitement et de leur responsabilité respective vis‑à‑vis de ce traitement.

En l'espèce, le fait que la collecte du consentement des internautes pour la mise en œuvre du traitement en cause revenait aux sociétés partenaires de la société mise en cause n'exonérait pas cette dernière de son obligation, en application de l'article 7 du RGPD, d'être en mesure de démontrer que la personne concernée avait donné son consentement et de procéder à certaines vérifications à cette fin.

En effet, la seule clause issue de conditions générales d'utilisation aux termes desquelles la société exigeait de ses partenaires, « lorsque la loi le prévoit », que la politique de confidentialité de leur site inclue « des mentions et des mécanismes de choix conformes aux lois et réglementations applicables » ne permettait pas de garantir l'existence d'un consentement valide et il convenait à tout le moins qu'elle soit complétée pour préciser que l'organisme qui recueille le consentement doit mettre à disposition de l'autre partie la preuve du consentement.

Les articles 6, paragraphe 1, sous b) et c), ainsi que 7, sous c) de la directive 95/46/CE ne s'opposent pas à une réglementation nationale qui impose à l'employeur l'obligation de mettre à la disposition de l'autorité nationale compétente en matière de surveillance des conditions de travail le registre du temps de travail afin d'en permettre la consultation immédiate, pour autant que cette obligation soit nécessaire aux fins de l'exercice par cette autorité de ses missions de surveillance de l'application de la réglementation en matière de conditions de travail, notamment en ce qui concerne le temps de travail.

Tout logiciel doit en principe être utilisé dans une version permettant encore de recevoir et d'intégrer les correctifs de sécurité, fournis par un éditeur compétent. L'utilisation d'une version d'un logiciel qui n'est plus suivie par les éditeurs compétents ne peut constituer qu'une situation temporaire, en attendant une adaptation des systèmes internes du responsable de traitement à une montée de version du logiciel ou un transfert vers un autre logiciel. L'admissibilité de l'utilisation temporaire d'une version non suivie d'un logiciel dépend de la sensibilité des données traitées et des risques encourus par les personnes.

Il résulte du paragraphe 1 de l’article 33 du règlement (UE) 2016/679 du 27 avril 2016 (RGPD) que l’obligation de notifier à la Commission nationale de l’informatique et des libertés (CNIL) une violation de données à caractère personnel susceptible de faire naître un risque pour les droits et libertés des personnes physiques ne s’impose pas au responsable du traitement dans le cas où la CNIL l’a elle‑même informé de cette violation et a engagé son contrôle sur la base des informations portées à sa connaissance par ailleurs.

1) L'article 5, paragraphe 2, ainsi que les articles 24 à 26 du [RGPD] doivent être interprétés en ce sens que l'exploitant d'une place de marché en ligne est coresponsable d u traitement, au sens de l'article 4, point 7, de ce règlement, des données à caractère personnel contenues dans des annonces publiées sur sa place de marché en ligne.

2) Il est à ce titre tenu, avant la p ublication des annonces et au moyen de mesures techniques et organisationnelles appropriées:

a) d'identifier les annonces qui contiennent des données sensibles, au sens de l'article 9, paragraphe 1, dudit règlement,

b) de vérifier si l'utilisateur annonce ur s'apprêtant à placer une telle annonce est la personne dont les données sensibles figurent dans cette annonce,

c) si tel n'est pas le cas, de refuser la publication de ladite annonce, à moins que cet utilisateur annonceur ne puisse démontrer que la pe rsonne concernée a donné son consentement explicite à ce que les données en question soient publiées sur cette place de marché en ligne, au sens de cet article 9, paragraphe 2, sous a), ou que l'une des autres exceptions prévues audit article 9, paragraphe 2, sous b) à j), est remplie.

3 ) L'article 32 du [RGPD] doit être interprété en ce sens que l'exploitant d'une place de marché en ligne, en tant que responsable du traitement des données à caractère personnel contenues dans des annonces publiées sur sa p lace de marché en ligne, est tenu de mettre en œuvre des mesures de sécurité techniques et organisationnelles appropriées afin d'empêcher que des annonces y étant publiées et contenant des données sensibles soient copiées et illicitement publiées sur d'aut res sites Internet.

4 ) L'article 1, paragraphe 5, sous b), de la directive 2000/31/CE sur le commerce électronique, et l'article 2, paragraphe 4, du RGPD doivent être interprétés en ce sens que l'exploitant d'une place de marché en ligne, en tant qu e responsable du traitement, au sens de l'article 4, point 7, du RGPD, des données à caractère personnel contenues dans des annonces publiées sur sa place de marché en ligne, ne peut pas se prévaloir, à l'égard d'une violation des obligations découlant de l'article 5, paragraphe 2, ainsi que des articles 24 à 26 et 32 de ce règlement, des articles 12 à 15 de cette directive, relatifs à la responsabilité des prestataires intermédiaires.

1) L'article 82, paragraphe 1, du règlement général sur la protection des données (RGPD), lu à la lumière de l’article 8, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne, doit être interprété en ce sens qu’une violation de dispositions de ce règlement ne suffit pas, à elle seule, pour constituer un dommage, au sens de cet article 82, paragraphe 1.

2) L’article 82, paragraphe 1, du RGPD doit être interprété en ce sens que la présentation d’excuses peut constituer une réparation adéquate d’un dommage moral sur le fondement de cette disposition, notamment lorsqu’il est impossible de rétablir la situation antérieure à la survenance de ce dommage, pour autant que cette forme de réparation soit de nature à compenser intégralement le préjudice subi par la personne concernée.

3) L’article 82, paragraphe 1, du RGPD doit être interprété en ce sens qu’il s’oppose à ce que l’attitude et la motivation du responsable de traitement puissent être prises en compte afin, le cas échéant, d’accorder à la personne concernée une réparation inférieure au préjudice qu’elle a concrètement subi.

1) L'article 82, paragraphe 1, du règlement 2016/679 doit être interprété en ce sens que dans l'hypothèse où un document contenant des données à caractère personnel a été remis à un tiers non autorisé dont il est établi qu'il n'a pas pris connaissance de celles - ci, un « dommage moral », au sens de cette disposition, n'est pas constitué par le simple fait que la personne concernée craint que, à la suite de cette communication ayant rendu possib le la réalisation d'une copie dudit document avant sa restitution, une diffusion, voire un usage abusif, de ses données se produise dans le futur.

Les articles 5, 24, 32 et 82 du règlement (UE) 2016/679 doivent être interprétés en ce sens que dans le cadr e d'une action en réparation fondée sur cet article 82, le fait que des employés du responsable du traitement ont remis par erreur à un tiers non autorisé un document contenant des données à caractère personnel ne suffit pas, à lui seul, pour considérer qu e les mesures techniques et organisationnelles mises en œuvre par le responsable du traitement en cause n'étaient pas « appropriées », au sens de ces articles 24 et 32.

2 ) L'article 82 du règlement 2016/679 doit être interprété en ce sens que cet article n e requiert pas que le degré de gravité de la violation commise par le responsable du traitement soit pris en compte aux fins de la réparation d'un dommage sur le fondement de cette disposition.

3 ) L'article 82, paragraphe 1, du règlement 2016/679 doit être interprété en ce sens que la personne demandant réparation au titre de cette disposition est tenue d'établir non seulement la violation de dispositions de ce règlement, mais également que cette violation lui a causé un dommage matériel ou moral.