Dans le contexte d'une transmission de données à des tiers afin qu'ils les utilisent pour de la prospection commerciale, le recueil d'un consentement spécifique implique que la personne soit en mesure de marquer son assentiment particulier à la transmission de ses données à des tiers, qui l'utiliseront pour de la prospection commerciale. L'exigence de spécificité du consentement exclut l'obtention d'un consentement global donné à la fois aux conditions générales contractuelles régissant un service et pour l'ensemble des finalités d'un traitement.

L'article 7, sous f), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, doit être interprété en ce sens qu'il n'impose pas l'obligation de communiquer des données à caractère personnel à un tiers afin de lui permettre d'introduire un recours en indemnisation devant une juridiction civile pour un dommage causé par la personne concernée par la protection de ces données. Toutefois, l'article 7, sous f), de cette directive ne s'oppose pas à une telle communication sur la base du droit national.

Les dispositions combinées de l’article L. 34‑1 du code des postes et des communications électroniques, tel qu’il est modifié par l’article 14 de la loi favorisant la diffusion et la protection de la création sur internet et les troisième et cinquième alinéas de l’article L. 331‑21 du code de la propriété intellectuelle ainsi que son article L. 331‑24, tels qu’ils résultent de l’article 5 de cette loi, ont pour effet de modifier les finalités en vue desquelles les personnes privées peuvent mettre en œuvre des traitements portant sur des données à caractère personnel relatives à des infractions. Elles permettent en effet que, désormais, les données recueillies relatives aux infractions de contrefaçon commises sur internet acquièrent un caractère nominatif non seulement dans le cadre d’une procédure judiciaire, mais également dans le cadre de la procédure conduite devant la commission de protection des droits de la haute autorité pour la diffusion des œuvres et la protection des droits sur internet.

À l’issue de la censure résultant des considérants 19 et 20 de sa décision, le Conseil constate que la commission de protection des droits ne peut prononcer les sanctions prévues par la loi déférée : seul un rôle préalable à une procédure judiciaire lui est confié. Une telle intervention est justifiée par l’ampleur des contrefaçons commises au moyen d’internet et l’utilité, dans l’intérêt d’une bonne administration de la justice, de limiter le nombre d’infractions dont l’autorité judiciaire sera saisie. Il en résulte que les traitements de données à caractère personnel mis en œuvre par les sociétés et organismes précités ainsi que la transmission de ces données à la commission de protection des droits pour l’exercice de ses missions s’inscrivent dans un processus de saisine des juridictions compétentes.

En outre, ces traitements seront soumis aux exigences prévues par la loi n° 78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Les données ne pourront être transmises qu’à cette autorité administrative ou aux autorités judiciaires. Il appartiendra à la Commission nationale de l’informatique et des libertés, saisie pour autoriser de tels traitements, de s’assurer que les modalités de leur mise en œuvre, notamment les conditions de conservation des données, seront strictement proportionnées à cette finalité.

1) Les dispositions du règlement 2016/679, notamment l’article 6, paragraphe 1, sous‑e), et l’article 10 de celui‑ci, doivent être interprétées en ce sens qu’elles s’opposent à ce que des données relatives à des condamnations pénales d’une personne physique figurant dans un fichier tenu par une juridiction puissent être communiquées oralement à toute personne aux fins de garantir un accès du public à des documents officiels, sans que la personne demandant la communication ait à justifier d’un intérêt spécifique pour obtenir lesdites données.

2) La circonstance que cette personne soit une société commerciale ou un particulier n’ayant pas d’incidence à cet égard.

L'article 12 de la directive 2002/58/CE du 12 juillet 2002 (directive «vie privée et communications électroniques») doit être interprété en ce sens qu'il ne s'oppose pas à une réglementation nationale qui fait obligation à une entreprise publiant des annuaires publics de transmettre des données à caractère personnel qu'elle détient concernant les abonnés d'autres fournisseurs de services téléphoniques à une entreprise tierce dont l'activité consiste à publier un annuaire public imprimé ou électronique ou à rendre de tels annuaires consultables par l'intermédiaire de services de renseignements, sans qu'une telle transmission soit subordonnée à un nouveau consentement des abonnés, pour autant toutefois que, d'une part, ces derniers ont été informés avant la première inscription de leurs données dans un annuaire public de la finalité de celui-ci ainsi que du fait que ces données seraient susceptibles d'être communiquées à un autre fournisseur de services téléphoniques; et que, d'autre part, il est garanti que lesdites données ne seront pas, à l'exception de leur transmission, utilisées à des fins autres que celles pour lesquelles elles ont été collectées en vue de leur première publication.

Les directives 2002/58/CE du 12 juillet 2002 (directive vie privée et communications électroniques), et 2004/48 (droits de propriété intellectuelle) ne s'opposent pas à une législation nationale qui, aux fins d'identification d'un abonné Internet ou d'un utilisateur d'Internet, permet d'enjoindre à un fournisseur d'accès Internet de communiquer au titulaire d'un droit d'auteur ou à son ayant droit l'identité de l'abonné à qui une adresse IP (protocole internet) qui aurait servi à l'atteinte audit droit a été attribuée, dans la mesure où cette législation permet, à la juridiction nationale saisie d'une demande d'injonction de communiquer des données à caractère personnel, introduite par une personne ayant qualité pour agir, de pondérer, en fonction des circonstances de chaque espèce et en tenant dûment compte des exigences résultant du principe de proportionnalité, les intérêts opposés en présence.