Dans la mesure où dispositifs de vidéosurveillance ont été installés dans les emprises des locaux et centres de rétention administrative ainsi que des zones d'attente relevant de la compétence de la police et de la gendarmerie nationales, il s'agit de dispositifs de « vidéosurveillance » car ces derniers filment des lieux non ouverts au public. À ce titre, le code de la sécurité intérieure, qui régit les dispositifs de « vidéoprotection » filmant la voie publique ou des lieux ouverts au public, n'est pas applicable et seules les dispositions de l'a loi n°78‑17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée et du RGPD encadrent la mise en œuvre de tels traitements automatisés. Le placement en centre ou en lieu de rétention est indépendant de toute qualification pénale. Le contrôle du respect des règles de sécurité du règlement intérieur de chaque local de rétention administrative et des règles de contrôle d'accès ne relève pas non plus d'une finalité pénale. Il en va de même de la finalité relative à la collecte de preuves dans le cadre des procédures administratives et disciplinaires. En revanche, les missions de maintien de la sécurité publique par les forces de l'ordre au sein des centres et lieux de rétention sont susceptibles de relever de la directive « Police‑Justice ». Les traitements automatisés de données à caractère personnel provenant de dispositifs de vidéosurveillance installés dans les emprises des locaux et centres de rétention administrative ainsi que des zones d'attente devraient donc relever d'un régime mixte (RGPD et directive « Police‑Justice » tel que transposée au titre III de la loi du 6 janvier 1978 dite « Informatique et Libertés ») en fonction des finalités poursuivies.

Le fichier créé par l’arrêté du 28 février 1984 du secrétaire d’État auprès du ministère des affaires sociales et de la solidarité nationale chargé des rapatriés concerne exclusivement des personnes visées à l’article 2 de l’ordonnance du 21 juillet 1962 qui définit les conditions dans lesquelles les « personnes de statut civil de droit local originaires d'Algérie » peuvent se faire reconnaître la nationalité française. Ce fichier fait ainsi apparaître indirectement les opinions religieuses des personnes intéressées.

a) Au sein d'un traitement automatisé d'informations nominatives destiné à aider à la prise des décisions d'octroi ou de refus d'un prêt, en contribuant à évaluer le risque qu'une demande présente pour l'établissement prêteur et consistant à combiner dans un calcul automatisé divers critères tirés des renseignements que les auteurs de demandes fournissent sur leur situation familiale, professionnelle et bancaire, la référence à la nationalité comme l'un des éléments de pur fait d'un calcul automatisé du risque, dont la mise en œuvre n'entraîne pas le rejet d'une demande sans l'examen individuel de celle-ci, ne constitue pas une discrimination et dès lors n'entre pas dans le champ d'application de l'article 6 du traité instituant la Communauté économique européenne (traité CE) devenu, après modification, l'article 12 du traité CE.

b) Elle ne saurait davantage, en l'absence d'élément intentionnel, être regardée comme tombant sous le coup des articles 225‑1 et 225‑2 du code pénal.

Un décret autorise la mise en œuvre, par le ministère de la défense, d'un traitement automatisé de données à caractère personnel ayant pour finalités, d'une part, la gestion administrative des demandes de pensions d'invalidité présentées en application du code des pensions militaires d'invalidité et des victimes de la guerre, et, d'autre part, la préparation et le suivi de la liquidation des dossiers des pensions attribuées au titre du même code. Ce décret, eu égard à son objet et à ses finalités, est justifié par un intérêt public et échappe ainsi, en application du IV de l'article 8 de la loi n°78‑17 du 6 janvier 1978, à l'interdiction de collecte et de traitement des données à caractère personnel relatives à la santé prévue par le I du même article. Compte tenu des dispositions de l'article 5 de la loi n°55‑356 du 3 avril 1955, qui autorisent la communication de renseignements médicaux ou de pièces médicales susceptibles de faciliter l'instruction d'une demande de pension aux services administratifs chargés de l'instruction des demandes, dont les agents sont eux‑mêmes tenus au secret professionnel, le décret n'a par lui‑même et ne pourrait d'ailleurs avoir légalement ni pour objet ni pour effet d'autoriser les services du ministère de la défense à accéder à des données personnelles relatives à la santé dans des conditions dérogeant aux exigences de protection du secret médical garanti par les dispositions de l'article L. 1110‑4 du code de la santé publique.

En application du deuxième alinéa de l'article L. 242-4 du code de la sécurité intérieure, les dispositifs aéroportés ne peuvent procéder à la captation du son, ni comporter de traitements automatisés reconnaissance faciale. Ces dispositifs aéroportés ne peuvent procéder à aucun rapprochement, interconnexion ou mise en relation automatisée avec d'autres traitements de données à caractère personnel. Toutefois, ces dispositions ne sauraient, sans méconnaître le droit au respect de la vie privée, être interprétées comme autorisant les services compétents à procéder à l'analyse des images au moyen d'autres systèmes automatisés reconnaissance faciale qui ne seraient pas placés sur ces dispositifs aéroportés.

Saisi d'un projet de décret portant création d'un traitement au tomatisé de données à caractère personnel relatif à la gestion des ressources humaines d certains agents de l'État, le Conseil d'État constate que ce traitement a fait l'objet, comme il le devait, d'une analyse d’impact relative à la protection des données.

1) Il considère en premier lieu que la réalisation préalable de cette analyse d'impact est exigée par les dispositions du paragraphe 1 de l'article 35 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (dit RGPD) dans la mesure où ce traitement permet de procéder à une « évaluation systématique et approfondie d'aspects personnels fondée sur un traitement automatisé et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l'égard d'une personne physique ou l'affectant de manière significative de façon similaire » au sens du a) du paragraphe 3 du même article.

Il relève à cet égard que les traitements établissant des profil(s) de personnes physiques à des fins de gestion des ressources humaines figurent sur la liste des types d'opérations de traitement pour lesquelles une analyse d'impact relative à la protection des données est requise, annexée à la délibération n° 2018‑327 du 11 octobre 2018 de la CNIL portant adoption de cette liste.

2) En deuxième lieu, dans la mesure où le projet de décret ouvre à des services ou institutions distincts la possibilité de recourir à ce traitement dans des conditions similaires, la dernière phrase du paragraphe 1 de l'article 35 du RGPD, selon laquelle « une seule et même analyse peut porter sur un ensemble d'opérations de traitement similaires qui présentent des risques élevés similaires », a logiquement conduit à élaborer cette analyse d'impact lors de la préparation du projet de décret.

3) En troisième lieu, lorsque des services ou institutions décideront d'y recourir sans adapter les modalités de mise en œuvre de ce traitement, l'analyse d'impact réalisée lors de la préparation du projet de décret pourra être regardée comme suffisante. Toutefois, compte tenu de la diversité de ses caractéristiques et des modes d'organisation des services ou institutions susceptibles de recourir au traitement en cause et des adaptations qu'ils décident de lui apporter en fonction de leurs besoins, il appartiendra à chaque responsable, préalablement à la mise en œuvre du traitement, de compléter le cas échéant l'analyse d'impact produite initialement par l'autorité compétente, en fonction des spécificités propres à cette mise en œuvre.

Saisi d'un projet de décret relatif à la création d’un Traitement automatisé de données à caractère personnel pour la production des certificats de membre d'équipage sécurisés biométriques, le Conseil d'État (section de l'intérieur) estime que le projet peut prévoir la non‑application du Droit d'opposition au traitement des données pour des raisons tenant à l’Objectif d'intérêt public de sécurité publique dans un lieu aussi sensible qu’un aéroport et que le fondement juridique de cette disposition doit être, non pas l’article 38 de la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés mais directement l’article 23(1.c) du RGPD relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.

En application du deuxième alinéa de l'article L. 242‑4 du code de la sécurité intérieure, les dispositifs aéroportés ne peuvent procéder à la captation du son ni effectuer des traitements automatisés de reconnaissance faciale. Ces dispositifs aéroportés ne peuvent procéder à aucun rapprochement, interconnexion ou mise en relation automatisée avec d’autres traitements de données à caractère personnel. Toutefois, ces dispositions ne sauraient, sans méconnaître le droit au respect de la vie privée, être interprétées comme autorisant les services compétents à procéder à l’analyse des images au moyen d’autres systèmes automatisés de reconnaissance faciale qui ne seraient pas placés sur ces dispositifs aéroportés.