CJUE16 juillet 2020CJUE, grande chambre, 16 juillet 2020, Facebook Ireland et Schrems, C‑311/18(source)
Transferts de données à caractère personnel effectués à des fins commerciales par un opérateur économique établi dans un État membre vers un autre opérateur établi dans un pays tiers – Inclusion – Données susceptibles d'être traitées par les autorités du pays tiers concerné à des fins de sécurité nationale – Absence d'incidence
L'article 2, paragraphes 1 et 2, du RGPD doit être interprété en ce sens que relève du champ d'application de ce règlement un transfert de données à caractère personnel effectué à des fins commerciales par un opérateur économique établi dans un État membre vers un autre opérateur économique établi dans un pays tiers, nonobstant le fait que, au cours ou à la suite de ce transfert, ces données sont susceptibles d'être traitées par les autorités du pays tiers concerné à des fins de sécurité publique, de défense et de sûreté de l'État.
CJUE22 juin 2021CJUE, grande chambre, 22 juin 2021, Latvijas Republikas Saeima, C-439/19, po ints 64-68(source)
Activités visant à préserver la sécurité nationale ou relevant de cette catégorie – Notion – Activité visant à améliorer la sécurité routière – Exclusion
L'exception relative à la non‑application du RGPD à un traitement effectué dans le cadre d'une activité ne relevant pas du droit de l'Union est à considérer comme ayant pour seul objet d'exclure du champ d'application de ce règlement les traitements de données à caractère personnel effectués par les autorités étatiques dans le cadre d'une activité visant à préserver la sécurité nationale ou d'une activité pouvant être rangée dans la même catégorie. Ces activités couvrent, en particulier, celles visant à protéger les fonctions essentielles de l'État et les intérêts fondamentaux de la société.
Les activités relatives à la sécurité routière ne poursuivent pas cet objectif et ne sauraient donc être rangées dans la catégorie des activités ayant pour but la préservation de la sécurité nationale.
CE27 mars 2020CE, 10-9 chambres réunies, 27 mars 2020, Cercle de réflexion et de proposition d'actions sur la psychiatrie et autres, n° 431350, T., point 10(source)
Traitement mettant en relation les traitements HOPSYWEB et FSPRT – Finalité – Prévention de la radicalisation à caractère terroriste – Conséquences – a) Application des dispositions relatives aux traitements intéressant la sûreté de l'État et la défense – Existence – b) Application du RGPD – Absence
1) Le traitement créé par le décret n° 2019‑412 du 6 mai 2019 qui met partiellement en relation les traitements dénommés HOPSYWEB relatifs au suivi des personnes en soins psychiatriques sans consentement, qui relève du RGPD, et le traitement dénommé fichier des signalements pour la prévention de la radicalisation à caractère terroriste (FSPRT) a pour finalité la prévention de la radicalisation à caractère terroriste.
2) a) Il s’ensuit qu’il relève, au même titre que ce dernier, des mêmes dispositions applicables aux traitements intéressant la sûreté de l'État et la défense aujourd’hui regroupées au sein du titre IV de la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dite loi Informatique et Libertés ainsi que des dispositions communes à l’ensemble des traitements figurant aujourd’hui au titre I.
b) Il ne relève dès lors pas du champ d’application du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD), ni du titre II de la loi Informatique et Libertés relatif aux traitements relevant du régime de protection prévu par ce règlement désormais applicable.
CE2 décembre 2019CE, Formation spécialisée, 2 décembre 2019, M. B… A…, n° 420917, Inédit., point 4(source)
Qualité d'ayant droit d'un père décédé dont les données figurent dans un fich ier intéressant la sûreté de l' État ou la défense – Qualité de personne concernée dudit ayant droit – Absence
La loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés n'ouvre la possibilité de demander la communication de données à caractère personnel figurant dans un traitement automatisé ou de solliciter un accès indirect à de telles données qu'à la personne concernée par celles-ci. La seule qualité d'ayant droit de son père décédé dont se prévaut une personne ne lui confère pas la qualité de personne concernée par les données susceptibles de concerner son père dans un fichier intéressant la sûreté de l'État ou la défense.
CE10 novembre 2021CE, 10ème – 9ème chambres réunies, 10 novembre 2021, M. M... B..., n° 444992, Inédit., point 7(source)
Juridictions compétentes pour le contentieux portant sur les traitements mixtes
Il résulte des articles L. 841‑2 et R. 841‑2 du code de la sécurité intérieure que la formation spécialisée du Conseil d’État statuant au contentieux n’est compétente, en ce qui concerne les litiges relatifs à l’accès indirect aux données recueillies dans le fichier STARTRAC, que pour celles de ces données qui intéressent la sûreté de l’État. Le tribunal administratif et la cour administrative d’appel restent compétents en première instance et en appel pour connaître des litiges relatifs à l’accès indirect aux données recueillies dans ce même fichier n’intéressant pas la sûreté de l’État.
CE2 décembre 2019CE, Formation spécialisée, 2 décembre 2019, M. B… A…, n° 420917, Inédit., point 4(source)
Principe – A yant droit d'une personne décédée à laquelle se rapportent des données à caractère personnel – Qualité de personne concernée – Exclusion
La loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés n'ouvre la possibilité demander la communication de données à caractère personnel figurant dans un traitement automatisé ou de solliciter un accès indirect à de telles données qu'à la personne concernée par celles-ci. La seule qualité d’ayant droit de son père décédé dont se p révaut une personne ne lui confère pas la qualité de personne concernée par les données susceptibles de concerner son père dans un fichier intéressant la sûreté de l'État ou la défense.
CE2 décembre 2019CE, Formation spécialisée, 2 décembre 2019, M. B… A…, n° 420917, Inédit, point 4(source)
Fichier intéressant la sûreté de l'État ou la défense – Ayant droit d'une personne décédée – Qualité de personne concernée – Absence – Droit d'accès ou possibilité de solliciter un accès indirect aux données à caractère personnel figurant dans le traitement – Absence
La loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés n'ouvre la possibilité de demander la communication de données à caractère personnel figurant dans un traitement automatisé ou de solliciter un accès indirect à de telles données qu'à la personne concernée par celles‑ci. La seule qualité d’ayant droit de son père décédé dont se prévaut une personne ne lui confère pas la qualité de personne concernée par les données susceptibles de concerner son père dans un fichier intéressant la sûreté de l'État ou la défense.
CE6 novembre 2002CE, Section, 6 novembre 2002, M.X, n° 194295, Rec., point 5(source)
Fichier intéressant la sûreté de l'État, la défense et la sécurité publique (article 39) – 1) Divisibilité des informations contenues dans ces fichiers – Existence – 2) Possibilité d'accéder directement aux informations contenues dans les fichiers – Existence – Informations ne remettant pas en cause les fins assignées au traitement
1) Un fichier intéressant la sûreté de l'État, la défense et la sécurité publique au sens de l'article 39 de la loi n°78‑17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dite loi Informatique et Libertés, peut comprendre, d'une part, des informations dont la communication à l'intéressé serait susceptible de mettre en cause les fins assignées à ce traitement et, d'autre part, des informations dont la communication ne mettrait pas en cause ces mêmes fins.
2) Pour l'accès aux informations susceptibles de mettre en cause les fins assignées au traitement, il incombe, en application de l'article 39 de la loi Informatique et Libertés, à la Commission nationale de l'informatique et des libertés, saisie par la personne visée par ces informations, de l'informer qu'il a été procédé aux vérifications nécessaires. Pour l'accès aux informations qui ne sont pas susceptibles de mettre en cause les fins assignées au traitement, il appartient au gestionnaire du traitement ou à la Commission nationale de l'informatique et des libertés, saisie par la personne visée, de lui donner communication avec, pour la commission, l'accord du gestionnaire du traitement.
CC18 janvier 1995CC, 94-352 DC, 18 janvier 1995, Loi d'orientation et de programmation relative à la sécurité, points 8-12(source)
Garanties relatives à la mise en œuvre de systèmes de vidéosurveillance – Loi n°95‑73 du 21 janvier 1995 d'orientation et de programmation relative à la sécurité – 1) Droit d'accès aux enregistrements – 2) Régime d'autorisation d'installation
1) La loi a ouvert à toute personne intéressée le droit de s'adresser au responsable d'un système de vidéosurveillance pour afin d'obtenir un accès aux enregistrements qui la concernent ou d'en vérifier la destruction dans un délai maximum d'un mois. Cet accès est de droit, sous réserve que soient opposés des motifs « tenant à la sûreté de l'État, à la défense, à la sécurité publique, au déroulement de procédures engagées devant les juridictions ou d'opérations préliminaires à de telles procédures, ou au droit des tiers ». La référence au « droit des tiers » doit être regardée comme ne visant que le cas où une telle communication serait de nature à porter atteinte au secret de leur vie privée.
2) Concernant le régime d'autorisation d'installation de système de vidéosurveillance, le législateur a prévu que « l'autorisation sollicitée est réputée acquise à défaut de réponse dans un délai de quatre mois ». Compte tenu des risques que peut comporter pour la liberté individuelle l'installation de systèmes de vidéosurveillance, la loi ne peut subordonner à la diligence de l'autorité administrative l'autorisation d'installer de tels systèmes sans priver alors de garanties légales des principes constitutionnels.
CNIL8 avril 2021CNIL, SP, 8 avril 2021, Avis sur projet de loi, PJL Renseignement, n° 2021-040, publié, points 38-40(source)
Recherche et développement en matière de capacités techniques de recueil et d'exploitation des renseignements – Dispositions expresses prévoyant un mécanisme d'autorisation de mise en œuvre de tels traitements – Conséquence – Application du régime d'autorisation préalable de la loi Informatique et Libertés – Absence
Des dispositions législatives spéciales peuvent déroger au régime de formalités préalables prévu par la loi du 6 janvier 1978 modifiée. Les dispositions des titres I et IV de la loi du 6 janvier 1978 modifiée ont vocation à s'appliquer aux traitements intéressant la sûreté de l'État, tel que le traitement des données collectées par le biais de techniques de recueil de renseignement à des fins de recherche et de développement en matière de capacités techniques de recueil et d'exploitation des renseignements, sous réserve des dispositions spéciales du code de la sécurité intérieure y dérogeant. À cet égard, dès lors que des dispositions expresses prévoient un mécanisme spécifique d'autorisation de mise en œuvre de tels traitements, les programmes de recherche ne nécessitent pas l'autorisation par arrêté ministériel ou décret en Conseil d'État pris après avis de la Commission prévue par l'article 31 de la loi précitée.
CE11 avril 2014CE, 10ème/9ème SSR, 11 avril 2014, Union générale des syndicats pénitentiaires CGT, n° 355624, Inédit., point 7(source)
Traitement mis en œuvre pour le compte de l'État relatif à la sûreté de l'État, la défense ou la sécurité publique faisant apparaître directement ou indirectement des données sensibles – Autorisation par décret en Conseil d'État pris après avis motivé et publié de la CNIL – Caractère consultatif de ce avis
Les traitements de données à caractère personnel mis en œuvre pour le compte de l'État, qui intéressent la sûreté de l'État, la défense ou la sécurité publique et qui portent sur des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci, sont autorisés par décret en Conseil d'État pris après avis motivé et publié de la CNIL. Cet avis ne saurait lier l'autorité administrative, mais celle-ci doit en toute hypothèse respecter les exigences de la loi du 6 janvier 1978 et les intérêts que le législateur a entendu protéger.
CE4 mai 2021CE, Section de l'intérieur, 4 mai 2021, Avis, n° 402612, Projet de décret modifiant l'article R. 841‑2 du code de la sécurité intérieure et le décret, n° 2007‑914 du 15 mai 2007 pris pour l'application du I de l'article 30 de la loi, n° 78‑17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiant l'article R. 841‑2 du code de la sécurité intérieure(source)
Détermination de la juridiction compétente pour connaître du contentieux de l'accès aux données contenues dans un traitement – Contentieux ne relevant pas de la formation spécialisée du Conseil d'État en matière de contentieux des fichiers intéressant la sûreté de l'État et la défense nationale – Incidence sur la protection des données à caractère personnel – Consultation obligatoire de la CNIL
Saisi d'un projet de décret modifiant l'article R. 841-2 du code de la sécurité intérieure et le décret n°2007-914 du 15 mai 2007 pris pour l'application du I de l'article 30 de la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiant l'article R. 841-2 du code de la sécurité intérieure qui fixe la liste des traitements ou parties de traitements de données à caractère personnel intéressant la sûreté de l'État, le Conseil d'État (section de l'intérieur) lui donne un avis favorable, à l'exception de ses dispositions attribuant le contentieux relatif au traitement de données de Tracfin, Startrac, à la formation spécialisée du Conseil d'État en matière de contentieux des fichiers intéressant la sûreté de l'État et la défense nationale. En effet, le traitement de données Startrac, qui contient notamment les déclarations de soupçon adressées à Tracfin par les professionnels qui y sont tenus aux termes de l'article L. 561-2 du code monétaire et financier, n'intéresse pas uniquement la sûreté de l'État et la défense nationale. Startrac étant un fichier mixte, le Conseil d'État estime que l'article R. 841-2 du code de la sécurité intérieure, qui dispose que « Le Conseil d'État est compétent pour connaître, dans les conditions prévues au chapitre III bis du titre VII du livre VII du code de justice administrative, des requêtes concernant la mise en œuvre de l'article 118 de la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, pour les traitements ou parties de traitements intéressant la sûreté de l'État dont la liste est fixée par décret en Conseil d'État », fait obstacle à ce que le contentieux de l'accès aux données qu'il contient, dont certaines n'intéressent pas la sûreté de l'État, soit unifié en premier ressort au profit de la formation spécialisée du Conseil d'État.
CE10 novembre 2021CE, 10-9 chambres réunies, 10 novembre 2021, M. M... B..., n° 444992, Inédit., point 7(source)
Juridictions compétentes pour le contentieux portant sur les traitements mixtes
Il résulte des articles L. 841‑2 et R. 841‑2 du code de la sécurité intérieure que la formation spécialisée du Conseil d’État statuant au contentieux n’est compétente, en ce qui concerne les litiges relatifs à l’accès indirect aux données recueillies dans le fichier STARTRAC, que pour celles de ces données qui intéressent la sûreté de l’État. Le tribunal administratif et la cour administrative d’appel restent compétents en première instance et en appel pour connaître des litiges relatifs à l’accès indirect aux données recueillies dans ce même fichier n’intéressant pas la sûreté de l’État.
