Aucune exception n'est prévue dans le RGPD en ce qui concerne les activités parlementaires. Par conséquent, dans la mesure où la Commission des pétitions du Parlement du Land de Hesse détermine, seule ou avec d'autres, les finalités et les moyens du traitement, cette commission doit être qualifiée de « responsable du traitement », au sens de l'article 4, point 7, du règlement. Le traitement de données à caractère personnel effectué par une telle commission relève du champ d'application de ce règlement, notamment de l'article 15 de celui-ci (droit d'accès) et de la Commission des pétitions.

La collecte de données à caractère personnel effectuée par des membres d'une communauté religieuse dans le cadre d'une activité de prédication de porte - à - porte et les traitements ultérieurs de ces données relèvent de la directive 95/46/CE. En particulier, il ne s'agit ni de traitements de données à caractère personnel mis en œuvre pour l'exercice d'activités visées à l'article 3, paragraphe 2, premier tiret (traitements ne relevant pas du champ du droit de l'UE ou ayant pour objet la sécurité publique, la défense, la sûreté de l'État et les activités de l'État relatives au droit pénal), de la directive, ni de traitements de données à caractère personnel effectués par des personnes physiques pour l'exercice d'activités exclusivement personnelles ou domestiques, au sens de l'article 3, paragraphe 2, second tiret (traitements effectués par une personne physique pour l'exercice d'activités exclusivement personnelles ou domestiques), de ladite directive. La communauté religieuse doit être regardée comme étant responsable, conjointement avec ses membres prédicateurs, de ces traitements.

Il ressort des articles 41 de la loi n° 78‑17 du 6 janvier 1978 et 88 du décret n° 2005‑1309 du 20 octobre 2005, dans leur rédaction applicable au litige, que, dans le cadre du droit d'accès indirect aux données à caractère personnel contenues dans l'un des fichiers intéressant la sûreté de l'État, la défense ou la sécurité publique, le responsable du traitement communique les informations sollicitées à la personne concernée selon les modalités qu'il définit.

Le ministre de l'intérieur, qui n'était pas tenu de remettre au requérant une copie des documents consultés, a pu valablement exécuter l'injonction qui lui était faite en s'assurant que le requérant puisse consulter les données sollicitées en préfecture. Il s'ensuit qu'en jugeant que le ministre de l'intérieur n'avait pas complètement exécuté l'injonction qui lui était faite en ne délivrant pas au requérant une copie des documents consultés, une cour administrative d'appel entache son arrêt d'erreur de droit.

Dans le cadre d’un traitement mis en œuvre pour le compte de l’État et contenant des données recueillies par des professionnels de santé et couvertes par le secret médical, il revient au responsable du traitement de s’assurer que les personnes accédant au traitement ou destinataires de données qui pourraient avoir connaissance des données couvertes par le secret médical ont bien le droit d’en connaître.

Excepté dans les cas de dérogation expresse et sommaire prévus par la loi, ce secret couvre l’ensemble des informations concernant la personne portée à la connaissance d’un professionnel de santé, de tout membre du personnel d’un établissement, service ou organisme concourant à la prévention ou aux soins et de toute autre personne en relation, de par ses activités, avec ces établissements ou organismes. La Commission rappelle que ce secret s’impose à tous les professionnels intervenant dans le système de santé qui pourraient être amenés à transmettre des informations afin qu’elles soient enregistrées dans le traitement.