1) L’article 23 du RGPD permet de limiter ou d’écarter le droit d’opposition à un traitement, à certaines conditions, par une « mesure législative ». Le considérant 41 du RGPD précise que cette « mesure législative » n’est pas nécessairement un acte adopté par le Parlement, mais doit être déterminée par le droit national de chaque État membre. En France, il peut en particulier s’agir d’un acte réglementaire. La CNIL estime que, s’agissant des traitements participant à l’exécution d’une mission d’intérêt public, tant l’État que les collectivités territoriales ou les établissements publics peuvent, dans leurs domaines de compétence respectifs et s’ils disposent d’un pouvoir réglementaire, limiter ou exclure le droit d’opposition.

2) Cependant, l’exercice de cette faculté est soumis à une double limite : d’une part, s’agissant de la compétence, ne pas empiéter sur le domaine réservé à la loi en application de l’article 34 de la Constitution ; d’autre part, veiller à ce que les conditions prévues à l’article 23 soient respectées. Dans ses lignes directrices 10/2020 du 13 octobre 2021 sur l’article 23, le Comité européen pour la protection des données a notamment rappelé l’obligation pour le responsable de traitement de veiller au caractère strictement nécessaire et proportionné de la limitation envisagée au regard de l’objectif poursuivi. Il a également souligné que l’acte écartant l’opposition doit faire l’objet d’une publicité suffisante et être accessible.

Développement des contrôles automatisés à grande échelle des véhicules à des fins de réduction des pollutions et de la congestion du trafic routier. Le projet de loi d'orientation des mobilités, dans la version dont le Conseil d'État a été saisi, prévoyait la mise en place de dispositifs de contrôle automatisé des données signalétiques des véhicules (dit « LAPI », c’est‑à‑dire de lecture automatique des plaques d’immatriculation) dans trois cas :

• Le premier était destiné à contrôler les voies réservées à certaines catégories de véhicules, parmi lesquelles les véhicules transportant un nombre minimal d’occupants et les véhicules à très faibles émissions.
• Le deuxième avait pour objet d’assurer le respect des restrictions de circulation dans la ZFE dont la mise en place sera obligatoire pour les collectivités sur le territoire où les niveaux de pollution sont régulièrement dépassés.
• Le troisième permettait de vérifier l’acquittement, par les véhicules entrant dans un périmètre urbain défini par une autorité organisatrice de la mobilité, de la taxe appelée « tarif de congestion » instituée par cette autorité à titre de « péage urbain » afin de réduire la circulation automobile et diminuer la pollution atmosphérique.

Le recueil systématique des photographies des véhicules et, par conséquent, tant de leurs plaques d’immatriculation que de leurs conducteurs et passagers, susceptibles ainsi d’être identifiés, est de nature à permettre la saisie sur une grande échelle de données personnelles relatives au déplacement des individus concernés.

Le Conseil d'État a cependant admis la possibilité, au regard des principes constitutionnels, de mettre en place de tels dispositifs de recueil de données potentiellement identifiantes en raison des motifs d’intérêt général poursuivis en termes de politique des transports et de l’environnement. La création de voies réservées comme les restrictions d’accès au profit de certains véhicules, notamment les véhicules à très faibles émissions, est indissociable de la mise en place d’un contrôle automatisé systématique des véhicules circulant sur ces voies ou dans ces zones, seul à même d’assurer le respect de ces dispositions. Il en va de même pour le contrôle automatisé systématique des véhicules assujettis au tarif de congestion, indispensable pour vérifier le respect de l’obligation faite aux assujettis à cette imposition.

En outre, s’agissant des ZFE, le projet de loi, pour préserver les libertés auxquelles l’extension de ce dispositif est susceptible de porter atteinte, encadrait strictement le déploiement et la mise en œuvre du contrôle en limitant l’étendue et les points où il est effectué, le dispositif étant soumis à autorisation préfectorale.

Pour le péage urbain, si le projet de loi ne limitait pas le nombre des points de contrôle ni ne comportait de contraintes concernant leur emplacement contrairement à ce qui était prévu pour les voies réservées et les zones à faibles émissions, il prévoyait plusieurs garanties : suppression des données dès que la vérification a permis de constater l’acquittement du tarif, consultation du système d’immatriculation des véhicules aux fins d’identification du titulaire du certificat d’immatriculation du véhicule pour les seuls véhicules en infraction, conservation des données collectées subordonnée à un masquage destiné à empêcher l'identification des occupants et limitée à huit jours.

Le Conseil d'État a considéré que les limitations et précautions dont étaient ainsi assorties ces procédures de contrôle sont de nature à assurer la conciliation qu’il incombe au législateur d’effectuer entre, d’une part, le respect de la vie privée des personnes et la liberté d’aller et venir, et, d’autre part, la répression des infractions aux règles édictées dans la ZFE pour réduire la pollution ou celle des comportements visant à éluder le paiement de la taxe.

Le projet de décret étend la liste des nationalités éligibles au dispositif PARAFE aux ressortissants de cinq États tiers à l’entrée et à l’ensemble des ressortissants de pays tiers, sans condition de nationalité, à la sortie.

La CNIL estime que ces évolutions apparaissent légitimes au regard du besoin opérationnel invoqué. Elles entraînent néanmoins une augmentation du volume de données traitées et de personnes concernées par le traitement. Dès lors, une attention particulière devra être portée aux modalités d’information concrètes de mise en œuvre du traitement, s’agissant notamment de l’information des personnes. La CNIL souligne que l’obligation d’informer les personnes pèse sur le responsable de traitement. Outre les mesures déjà prévues (éléments de communication comportant des mentions obligatoires, tenue d’audits…), des mesures supplémentaires devraient être déployées pour garantir que les gestionnaires fournissent, au moment de la collecte, l’ensemble des informations énumérées à l’article 13 du RGPD.

Pour assurer l’effectivité des droits des personnes, l’information sur le traitement doit, en outre, être complétée d’éléments relatifs:
- au caractère facultatif, prévu par l’article R. 232‑6 du CSI, du recours au sas PARAFE pour le franchissement des frontières;
- et – le cas échéant – à l’articulation de PARAFE avec d’autres dispositifs de facilitation des contrôles.

Enfin, l’information fournie à la frontière et disponible sur les sites web précités devrait être traduite en plusieurs langues. La CNIL constate qu’elle devrait être traduite a minima en anglais et accompagnée de pictogrammes.

2) L’article R. 232‑8 du CSI prévoit que les données collectées sont « traitées à la seule fin de permettre l’authentification biométrique du voyageur et la consultation prévue à l’article R. 232‑9, permettant le contrôle aux frontières ». Autrement dit, les données alphanumériques collectées sont utilisées pour consulter, dans le cadre des contrôles prévus par le règlement (UE) 2016/399: le fichier des personnes recherchées, le système d’information Schengen et le fichier des documents de voyage volés et perdus d’Interpol. Ces traitements font alors l’objet d’une mise en relation avec PARAFE.

Le projet de décret supprime la mention des traitements consultés et prévoit, en conséquence, que les données sont traitées non plus pour la consultation de ces derniers, mais pour « la collecte des données nécessaires aux contrôles aux frontières ».

La CNIL ne remet pas en cause l’absence d’obligation de mentionner, au sein du projet de décret, les mises en relation. Elle rappelle néanmoins que, dans certains cas particuliers, leur mention peut constituer une bonne pratique, notamment lorsque les finalités principales du traitement sont étroitement liées à quelques mises en relation particulières. La transparence vis‑à‑vis du public quant aux conditions de mise en œuvre de ces opérations participe également de l’équilibre entre l’objectif poursuivi par les traitements en cause et le respect de la vie privée des personnes concernées (sur ce point, v. CNIL, SP, 27 mai 2021, avis sur projet de décret, LRPGN, n° 2021‑061, publié). Au regard de ces éléments, la CNIL recommande de maintenir, au niveau du décret, la mention des mises en relation. À défaut, elle recommande vivement au ministère de décrire sur son site web l’ensemble des mises en relation réalisées avec d’autres traitements.

1) Le transfert, le traitement et la conservation des données PNR (transport aérien) prévus par la Directive (UE) 2016/681 peuvent être considérés, au regard des exigences des articles 7, 8 et 21 ainsi que de l’article 52, paragraphe 1 de la Charte des droits fondamentaux de l'Union européenne, comme étant limités au strict nécessaire aux fins de la lutte contre les infractions terroristes et les formes graves de criminalité, à condition que les pouvoirs prévus par ladite directive fassent l’objet d’une interprétation restrictive. La Cour précise notamment que : le système établi par la directive PNR ne doit couvrir que les informations clairement identifiables et circonscrites dans les rubriques figurant dans l’annexe I de celle‑ci, lesquelles sont en rapport avec le vol effectué et avec le passager concerné, ce qui implique, pour certaines rubriques figurant dans cette annexe, que seuls les renseignements visés expressément sont couverts. L’application du système établi par la directive PNR doit être limitée aux infractions terroristes et aux seules formes graves de criminalité présentant un lien objectif, à tout le moins indirect, avec le transport aérien des passagers. S’agissant de ces formes, l’application de ce système ne saurait être étendue à des infractions qui, bien qu’elles remplissent le critère prévu par cette directive relatif au seuil de gravité et qu’elles soient notamment visées à l’annexe II de celle‑ci, relèvent de la criminalité ordinaire compte tenu des spécificités du système pénal national. L’éventuelle extension de l’application de la directive PNR à tout ou partie des vols intra‑UE, qu’un État membre peut décider en faisant usage de la faculté prévue par cette directive, doit être limitée au strict nécessaire. À cet effet, elle doit pouvoir faire l’objet d’un contrôle effectif par une juridiction ou par une entité administrative indépendante, dont la décision est dotée d’un effet contraignant. À cet égard, la Cour précise que : dans la seule situation où ledit État membre constate qu’il fait face à une menace terroriste qui s’avère réelle et actuelle ou prévisible, l’application de cette directive à tous les vols intra‑UE en provenance ou à destination dudit État membre, pour une durée limitée au strict nécessaire mais renouvelable, n’excède pas les limites du strict nécessaire ; en l’absence d’une telle menace terroriste, l’application de ladite directive ne saurait s’étendre à l’ensemble des vols intra‑UE, mais doit être limitée aux vols intra‑UE relatifs notamment à certaines liaisons aériennes ou à des schémas de voyage ou encore à certains aéroports pour lesquels il existe des indications de nature à justifier cette application. Aux fins de l’évaluation préalable des données PNR, qui a pour objectif d’identifier les personnes pour lesquelles est requis un examen plus approfondi avant leur arrivée ou leur départ et qui est, dans un premier temps, effectuée au moyen de traitements automatisés, la Cour considère que l’unité d’information passager (UIP) ne peut, d’une part, confronter ces données qu’aux seules bases de données concernant les personnes ou les objets recherchés ou faisant l’objet d’un signalement. Ces bases de données doivent être non discriminatoires et exploitées, par les autorités compétentes, en rapport avec la lutte contre des infractions terroristes et des formes graves de criminalité présentant un lien objectif, à tout le moins indirect, avec le transport aérien des passagers. S’agissant, d’autre part, de l’évaluation préalable au regard de critères préétablis, l’UIP ne saura utiliser des technologies d’intelligence artificielle dans le cadre de systèmes d’autoapprentissage (machine learning), susceptibles de modifier, sans intervention et contrôle humains, le processus d’évaluation et, en particulier, les critères d’évaluation sur lesquels se fonde le résultat de l’application de ce processus ainsi que la pondération de ces critères. Lesdits critères doivent être déterminés de manière à ce que leur application cible, spécifiquement, les individus à l’égard desquels pourrait peser un soupçon raisonnable de participation à des infractions terroristes ou à des formes graves de criminalité et à tenir compte tant des éléments « à charge » que des éléments « à décharge », tout en ne donnant pas lieu à des discriminations directes ou indirectes.

Compte tenu du taux d’erreur inhérent à de tels traitements automatisés des données PNR et du nombre assez conséquent de résultats « faux positifs », ayant été obtenus à la suite de leur application au cours des années 2018 et 2019, l’aptitude du système établi par la directive PNR à réaliser les objectifs poursuivis dépend essentiellement du bon fonctionnement de la vérification des résultats positifs, obtenus au titre de ces traitements, que l’UIP effectue, dans un deuxième temps, par des moyens non automatisés. À cet égard, les États membres doivent prévoir des règles claires et précises de nature à guider et à encadrer l’analyse effectuée par les agents de l’UIP. Dans ce contexte, la Cour souligne que les autorités compétentes doivent s’assurer que l’intéressé peut comprendre le fonctionnement des critères d’évaluation préétablis et des programmes appliquant ces critères, de manière à ce qu’il puisse décider, en pleine connaissance de cause, s’il exerce ou non son droit à un recours juridictionnel. De même, dans le cadre d’un tel recours, le juge chargé du contrôle de la légalité de la décision adoptée par les autorités compétentes ainsi que, hormis les cas de menaces pour la sûreté de l’État, l’intéressé lui‑même doivent pouvoir prendre connaissance tant de l’ensemble des motifs que des éléments de preuve sur lesquels cette décision a été prise, y compris des critères d’évaluation préétablis et du fonctionnement des programmes appliquant ces critères.

La communication et l’évaluation postérieures des données PNR, c’est‑à‑dire après l’arrivée ou le départ de la personne concernée, ne peuvent être effectuées que sur la base de circonstances nouvelles et d’éléments objectifs qui soient de nature à fonder un soupçon raisonnable d’implication de cette personne dans des formes graves de criminalité présentant un lien objectif, à tout le moins indirect, avec le transport aérien des passagers, ou permettent de considérer que ces données pourraient, dans un cas concret, apporter une contribution effective à la lutte contre des infractions terroristes présentant un tel lien. La communication des données PNR aux fins d’une telle évaluation postérieure doit, en principe, sauf en cas d’urgence dûment justifiée, être subordonnée à un contrôle préalable effectué soit par une juridiction soit par une autorité administrative indépendante, sur demande motivée des autorités compétentes, et ce indépendamment du point de savoir si cette demande a été introduite avant ou après l’expiration du délai de six mois suivant le transfert de ces données à l’UIP.

2) La Directive (UE) 2016/681 s’oppose à une législation nationale qui autorise le traitement de données PNR à d’autres fins que la lutte contre les infractions terroristes et les formes graves de criminalité. Ainsi, une législation nationale admettant de surcroît, comme finalité du traitement des données PNR, le suivi des activités visées par les services de renseignement et de sécurité est susceptible de méconnaître le caractère exhaustif des objectifs énumérés par ladite directive. De même, le système établi par la directive PNR ne peut être prévu aux fins de l’amélioration des contrôles aux frontières et de la lutte contre l’immigration clandestine. Il s’ensuit également que les données PNR ne sauraient être conservées dans une base de données unique pouvant être consultée aux fins de la poursuite tant des finalités de la directive PNR que d’autres finalités.

3) La Directive (UE) 2016/681 s’oppose à une législation nationale selon laquelle l’autorité mise en place en tant qu’UIP a également la qualité d’autorité nationale compétente, habilitée à approuver la communication des données PNR à l’expiration des six mois suivant le transfert de ces données à l’UIP.

4) L’article 12 de la Directive (UE) 2016/681, lu à la lumière des articles 7 et 8 ainsi que de l’article 52, paragraphe 1, de la Charte, s’oppose à une législation nationale qui prévoit une durée générale de conservation de ces données de cinq ans, applicable indifféremment à tous les passagers aériens. En effet, après l’expiration de la période de conservation initiale de six mois, la conservation des données PNR n’apparaît pas limitée au strict nécessaire en ce qui concerne les passagers aériens pour lesquels ni l’évaluation préalable, ni les éventuelles vérifications effectuées au cours de la période de conservation initiale de six mois, ni aucune autre circonstance n’ont révélé l’existence d’éléments objectifs – tels que le fait que les données PNR des passagers concernés ont donné lieu à une concordance positive vérifiée dans le cadre de l’évaluation préalable – de nature à établir un risque en matière d’infractions terroristes ou de formes graves de criminalité présentant un lien objectif, à tout le moins indirect, avec le voyage aérien effectué par ces passagers. En revanche, au cours de la période initiale de six mois, la conservation des données PNR de l’ensemble des passagers aériens soumis au système instauré par cette directive ne paraît pas, par principe, excéder les limites du strict nécessaire.

5) La directive, lue à la lumière de l’article 3, paragraphe 2, TUE, de l’article 67, paragraphe 2, TFUE et de l’article 45 de la Charte, s’oppose à un système de transfert et de traitement des données PNR de l’ensemble des transports effectués par d’autres moyens (train, bateau, etc.) à l’intérieur de l’Union en l’absence de menace terroriste réelle et actuelle ou prévisible à laquelle fait face l’État membre concerné. Dans une telle situation, comme pour les vols intra‑UE, l’application du système établi par la directive PNR doit être limitée aux données PNR des transports relatifs notamment à certaines liaisons ou à des schémas de voyage ou encore à certaines gares ou certains ports maritimes pour lesquels il existe des indications de nature à justifier cette application. Il appartient à l’État membre concerné de sélectionner les transports pour lesquels de telles indications existent et de réexaminer régulièrement cette application en fonction de l’évolution des conditions ayant justifié leur sélection.

La mention, dans un registre accessible au public, des noms du constituant, des bénéficiaires et de l’administrateur d’un trust fournit des informations sur la manière dont une personne entend disposer de son patrimoine. Il en résulte une atteinte au droit au respect de la vie privée. Or, le législateur, qui n’a pas précisé la qualité ni les motifs justifiant la consultation du registre, n’a pas limité le cercle des personnes ayant accès aux données de ce registre, placé sous la responsabilité de l’administration fiscale. Dès lors, les dispositions contestées portent au droit au respect de la vie privée une atteinte manifestement disproportionnée au regard de l’objectif poursuivi.

1) S’agissant de l’exigence d’obtenir un consentement préalable à la prospection commerciale par voie électronique, il résulte de l’article 2, second alinéa, sous f), de la directive 2002/58, lu en combinaison avec l’article 94, paragraphe 2, du règlement 2016/679, que ce consentement doit satisfaire aux exigences résultant de l’article 2, sous h), de la directive 95/46 ou de l’article 4, point 11, de ce règlement, selon que l’une ou l’autre de ces deux normes est applicable ratione temporis aux faits en cause au principal.

2) Lorsqu’un service gratuit de messagerie électronique est proposé aux utilisateurs sous la forme de deux catégories de services de messageries, à savoir, d’une part, un service de messagerie gratuit, financé par la publicité et, d’autre part, un service de messagerie payant, sans publicité, il appartient à la juridiction de renvoi de déterminer si l’utilisateur concerné, ayant opté pour la gratuité du service de messagerie électronique, a été dûment informé des modalités précises de diffusion d’une telle publicité et a effectivement consenti à recevoir des messages publicitaires tels que ceux en cause au principal. En particulier, il y a lieu de s’assurer, d’une part, que cet utilisateur a été informé de manière claire et précise notamment du fait que des messages publicitaires sont affichés au sein de la liste des courriels privés reçus et, d’autre part, qu’il a manifesté son consentement spécifique et en pleine connaissance de cause à recevoir de tels messages publicitaires (voir, en ce sens, arrêt du 11 novembre 2020, Orange Romania, C‑61/19, EU:C: 2020:901, point 52).

1) Les dispositions de l'article 32 de la loi n°78‑17 du 6 janvier 1978 éclairées par les objectifs de la directive n°2002/58/CE du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques qu'elles transposent, instituent une obligation d'information claire et complète des utilisateurs d'internet sur les témoins de connexion (cookies) qui sont susceptibles d'être déposés, notamment sous la forme de fichiers, sur leurs terminaux lorsqu'ils visitent un site. Ces témoins de connexion et les informations qu'ils contiennent étant par la suite accessibles lors de connexions ultérieures à internet à l'aide du même terminal, elles imposent, d'une part, une information des utilisateurs de services de communications électroniques, en particulier des utilisateurs d'internet, sur la finalité de ces cookies et les moyens dont ils disposent pour s'y opposer. Elles imposent, d'autre part, le recueil de leur consentement avant tout dépôt de cookies sur le terminal grâce auquel ils accèdent à ces services. Ne sont pas concernés par ces obligations les cookies qui sont essentiels au fonctionnement technique du site ni ceux qui correspondent à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur. En revanche, le fait que certains cookies ayant une finalité publicitaire soient nécessaires à la viabilité économique d'un site ne saurait conduire à les regarder comme « strictement nécessaires à la fourniture » du service de communication en ligne.

2) Alors que la société requérante soutient qu'elle s'est mise en conformité avec ces exigences, en proposant aux personnes concernées le paramétrage de leur navigateur pour s'opposer au dépôt de cookies, les éléments portés à la connaissance des utilisateurs du site « www.challenges.fr » ne leur permettaient ni de différencier clairement les catégories de cookies susceptibles d'être déposés sur leur terminal, ni de s'opposer seulement à ceux dont le dépôt est soumis à leur consentement préalable, ni de connaître les conséquences, en termes de navigation sur le site, attachées à leur éventuelle opposition. Dans ces conditions, c'est à bon droit que la formation restreinte de la Commission nationale de l'informatique et des libertés (CNIL) a considéré que le paramétrage du navigateur proposé aux utilisateurs ne constituait pas un mode valable d'opposition au dépôt de cookies et en a déduit qu'il n'avait pas été remédié au manquement à l'obligation d'information et de mise en œuvre d'un mécanisme d'opposition en cas de dépôt de témoins de connexion qu'elle avait constaté dans sa mise en demeure.

L'Directive 2002/58/CE, Article 15, paragraphe 1, lu à la lumière de l'article 47, deuxième alinéa, de la charte des droits fondamentaux de l'Union européenne, doit être interprété en ce sens qu'il ne s'oppose pas à une pratique nationale en vertu de laquelle les décisions judiciaires autorisant le recours à des techniques spéciales de renseignement à la suite d'une demande motivée et circonstanciée des autorités pénales sont rédigées au moyen d'un texte préétabli et dépourvu de motifs individualisés, mais se limitant à indiquer, outre la durée de validité de l'autorisation, que les exigences prévues par la législation dont ces décisions font mention, sont respectées, à condition que les raisons précises pour lesquelles le juge compétent a considéré que les exigences légales étaient respectées au regard des éléments factuels et juridiques caractérisant le cas d'espèce puissent être inférées aisément et sans ambiguïté d'une lecture croisée de la décision et de la demande d'autorisation, cette dernière devant être rendue accessible, postérieurement à l'autorisation donnée, à la personne contre laquelle le recours à des techniques spéciales de renseignement a été autorisé. Faculté pour les États membres de limiter la portée de certains droits et obligations – Exigence de motivation – Portée

La Suède a instauré un système de contrôle du personnel pour les titulaires de postes importants pour la sécurité nationale ou les candidats à de tels postes. Ce système consiste en la collecte d'informations tirées de registres de police. Une ordonnance détaille les conditions de collecte et contient des dispositions explicites et détaillées sur la nature des renseignements pouvant être communiqués (antécédents personnels ou politiques), les autorités destinataires, les circonstances de pareille communication et la procédure que le Conseil national de la police, organe compétent pour décider de la communication desdites informations, doit suivre avant de se décider.

La Cour EDH affirme que la mémorisation et la communication des données relatives à la vie privée, assorties du refus d'accorder au requérant la faculté de les réfuter, portent atteinte à son droit au respect de sa vie privée, garanti par l'article 8 paragraphe 1 de la conv. EDH.

Si la Cour EDH reconnaît que le système mis en place poursuit un but légitime, la protection de la sécurité nationale, elle recherche si cette ingérence est « prévue par la loi » et « nécessaire dans une société démocratique ».

L'expression « prévue par la loi », au sens du paragraphe 2 de l'article 8 (art. 8 - 2), veut d'abord que l'ingérence ait une base en droit interne, mais l'observation de celui‑ci ne suffit pas : la loi en cause doit être accessible à l'intéressé, qui en outre doit pouvoir en prévoir les conséquences pour lui (voir, mutatis mutandis, l'arrêt Malone du 2 août 1984, série A no 82, pp. 31 - 32, par. 66). En l'espèce, il existe des dispositions explicites et détaillées sur la nature des renseignements pouvant être communiqués, les autorités destinataires, les circonstances de pareille communication et la procédure que le Conseil national de la police doit suivre avant de s'y décider. Aussi, l'ingérence litigieuse était donc "prévue par la loi" au sens de l'article 8.

S'agissant du caractère « nécessaire dans une société démocratique », la notion de nécessité implique une ingérence fondée sur un besoin social impérieux, et notamment proportionnée au but légitime recherché. Les autorités nationales jouissent d'une marge d'appréciation dont l'ampleur dépend non seulement de la finalité, mais encore du caractère propre de l'ingérence. En l'occurrence, il échec de mettre en balance l'intérêt de l'État défendeur à protéger sa sécurité nationale avec la gravité de l'atteinte au droit du requérant au respect de sa vie privée.

La Cour admet, la marge dont l'État défendeur disposait pour apprécier en l'espèce le besoin social impérieux, et notamment pour choisir les moyens de sauvegarder la sécurité nationale, revêtait une grande ampleur. Néanmoins, la Cour doit se convaincre de l'existence de garanties adéquates et suffisantes contre les abus car un système de surveillance secrète destiné à protéger la sécurité nationale crée un risque de saper, voire de détruire, la démocratie au motif de la défendre (arrêt Klass et autres du 6 septembre 1978, série A no 28, pp. 23 - 24, paras. 49 - 50). La Cour conclut ainsi que les garanties dont s'entoure le système suédois de contrôle du personnel, par exemple la présence de parlementaires dans le Conseil national et le contrôle du ministre de la Justice, remplissent les exigences du paragraphe 2 de l'article 8. Vu sa grande marge d'appréciation, le gouvernement défendeur était en droit de considérer que les intérêts de la sécurité nationale prévalaient en l'occurrence sur les intérêts individuels du requérant. L'ingérence que M. Leander a subie ne saurait donc passer pour disproportionnée au but légitime poursuivi. La Cour EDH exclut la violation de l'article 8 CEDH.

Il résulte du point (4) de l'introduction du RGPD que le droit à la protection des données à caractère personnel n'est pas un droit absolu et doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité, notamment le droit à un recours effectif et à accéder à un tribunal impartial. Selon l’article 145 du code de procédure civile, s’il existe un motif légitime de conserver ou d’établir avant tout procès la preuve de faits dont pourrait dépendre la solution d’un litige, les mesures d’instruction légalement admissibles peuvent être ordonnées à la demande de tout intéressé. Il résulte par ailleurs des articles 6 et 8 de la Convention européenne des droits de l’homme et des libertés fondamentales, l’article 9 du code civil et l’article 9 du code de procédure civile, que le droit à la preuve peut justifier la production d’éléments portant atteinte à la vie personnelle à la condition que cette production soit indispensable à l’exercice de ce droit et que l’atteinte soit proportionnée au but poursuivi. Il faut donc approuver l’arrêt qui ordonne à l’employeur de communiquer à une salariée les bulletins de salaire d’autres salariés occupant des postes de niveau comparable au sien avec occultation des données personnelles à l'exception des noms et prénoms, de la classification conventionnelle et de la rémunération, après avoir relevé que cette communication d’éléments portant atteinte à la vie personnelle d’autres salariés était indispensable à l’exercice du droit à la preuve et proportionnée au but poursuivi, soit la défense de l’intérêt légitime de la salariée à l'égalité de traitement entre hommes et femmes en matière d’emploi et de travail.

Cas d'un système automatisé de gestion d'un très grand nombre de marchandises dans un entrepôt au moyen de scanners permettant de suivre toutes les manipulations des objets et les principales actions des salariés. Les données brutes des scanners sont conservées et permettent l'établissement d'un très grand nombre d'indicateurs individuels de qualité, de productivité et de temps de travail.

1) a) Lorsqu'un service rendu à des clients entraîne des contraintes exceptionnelles, en raison de volumes importants et de courts délais de livraison, un suivi très précis en temps réel de toutes les manipulations des objets dans un entrepôt et de la situation de chaque poste de travail, donc de chaque salarié, peut s'avérer nécessaire. Néanmoins, ce type de suivi entraîne le traitement d'un très grand nombre de données, dont beaucoup de données personnelles en temps réel, chaque fois qu'un colis est manipulé par un salarié dans le cadre de tâches directes. Aussi, si le traitement en temps réel par une société de données brutes et indicateurs pour la bonne gestion de stocks et de commandes ne saurait être remis en cause de façon générale, les indicateurs mobilisés dans ce cadre, sur le fondement de l'intérêt légitime de l'employeur, doivent répondre aux exigences de nécessité et de proportionnalité de l'article 6 du RGPD.

b) i) La collecte de données pour mesurer la rapidité d'exécution des actions d'un salarié lors de la réalisation de certaines tâches, en associant un indicateur d'erreur chaque fois que cette rapidité est inférieure à une certaine durée de l'ordre de la seconde, au motif que cette rapidité est en principe incompatible avec la bonne exécution desdites tâches, est de nature à exercer sur lui une surveillance continue. Ce type d'indicateur est intrusif et peut avoir des répercussions morales négatives sur les salariés. Une telle précision dans la surveillance dépasse les attentes raisonnables des salariés, qui peuvent s'attendre à une certaine surveillance de leur travail, mais pas à ce que leurs actions fassent l'objet d'une évaluation informatique à un rythme de l'ordre de la seconde. Par conséquent, le traitement de cet indicateur excède ce qui est admissible pour servir les intérêts légitimes de l'entreprise en matière de qualité et de sécurité dans ses entrepôts, car il porte atteinte de manière excessive aux droits et intérêts des salariés, notamment à leur vie privée et personnelle, ainsi qu'à leur droit à des conditions de travail respectueuses de leur santé et de leur sécurité. Absence de base légale du traitement.

ii) De façon similaire, la collecte d'un indicateur signalant les temps d'inactivité et de latence de chaque salarié supérieurs à dix minutes à tout moment de la journée présente un caractère intrusif important, car elle contraint en pratique le salarié à pouvoir justifier de tout temps considéré comme non productif. Le traitement de cet indicateur peut avoir des répercussions négatives sur le salarié en raison du suivi continu qu'il permet des temps très courts considérés comme non productifs. Un tel traitement, pour des finalités de gestion d'un entrepôt, d'exécution des commandes et de fourniture de conseils aux salariés, est disproportionné par rapport aux intérêts et droits fondamentaux des salariés, notamment leur droit à la protection de leur vie privée et personnelle ainsi qu'à des conditions de travail respectueuses de leur santé et de leur sécurité. La base légale de l'intérêt légitime ne peut donc être retenue.

iii) Il en va de même de la collecte d'un indicateur signalant les temps d'inactivité et de latence inférieurs à dix minutes de chaque salarié à certains moments de la journée (en particulier avant et après les pauses), laquelle est disproportionnée au regard des finalités de gestion d'un entrepôt, d'exécution des commandes et de fourniture de conseils aux salariés. La base légale de l'intérêt légitime ne peut donc être retenue.

2) La conservation et l'utilisation, pour chaque salarié, de données aussi fines et riches que l'intégralité des données brutes remontées par les scanners, ainsi que l'ensemble des nombreux indicateurs associés mesurant diverses variables, y compris sur de courtes périodes (une heure), sur une profondeur de 31 jours, pour des finalités d'évaluations individuelles régulières des salariés et, s'agissant de la plupart de ces données, pour des finalités d'organisation du travail dans les entrepôts, ne sont ni nécessaires ni proportionnées, notamment dès lors que la société peut atteindre ces finalités sans conserver l'intégralité des données brutes sur 31 jours et en ayant recours à des statistiques individuelles de qualité et de productivité, par exemple hebdomadaires. La conservation et l'utilisation de l'ensemble de ces données méconnaît le principe de minimisation de l'article 5.1.c) du RGPD et, en tout état de cause, porte une atteinte disproportionnée aux droits du salarié contraire à l'article 6 du RGPD.

Il découle des exigences, prévues à l'article 6, paragraphe 1, sous c) à e), de la Directive 95/46, que même un traitement initialement licite de données exactes peut devenir, avec le temps, incompatible avec cette directive lorsque ces données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées. Ainsi, dans l'hypothèse où il est constaté, à la suite d'une demande de la personne concernée en application de l'article 12, sous b), de la Directive 95/46, que l'inclusion dans la liste de résultats, affichée à la suite d'une recherche effectuée à partir de son nom, des liens vers des pages web publiées légalement par des tiers et contenant des informations véridiques relatives à sa personne, est, au stade actuel, incompatible avec ledit article 6, paragraphe 1, sous c) à e), en raison du fait que ces informations apparaissent, eu égard à l'ensemble des circonstances caractérisant le cas d'espèce, inadéquates, pas ou plus pertinentes ou excessives au regard des finalités du traitement en cause réalisé par l'exploitant du moteur de recherche, les informations et les liens concernés de ladite liste de résultats doivent être effacés.

Dans ce contexte, la constatation d'un droit de la personne concernée à ce que l'information relative à sa personne ne soit plus liée à son nom par une liste de résultats ne présuppose pas que l'inclusion de l'information en question dans la liste de résultats cause un préjudice à la personne concernée.

La personne concernée, pouvant, eu égard à ses droits fondamentaux au titre des articles 7 et 8 de la Charte des droits fondamentaux de l'Union européenne, demander à ce que l'information en question ne soit plus mise à la disposition du grand public par son inclusion dans une telle liste de résultats, ces droits prévalent, en principe, non seulement sur l'intérêt économique de l'exploitant du moteur de recherche, mais également sur l'intérêt de ce public à trouver ladite information lors d'une recherche portant sur le nom de cette personne. Cependant, tel ne serait pas le cas s'il apparaissait, pour des raisons particulières, telles que le rôle joué par ladite personne dans la vie publique, que l'ingérence dans ses droits fondamentaux est justifiée par l'intérêt prépondérant dudit public à avoir, du fait de cette inclusion, accès à l'information en question.

Lorsque l'avis de la CNIL est réputé donné en vertu de l'article 6‑1 du décret du 20 octobre 2005, la circonstance que le décret adopté diffère de la version soumise à la CNIL n'emporte pas son irrégularité si cette nouvelle version ne soulève aucune question nouvelle.

La seule circonstance qu'un avis rendu par la CNIL ne comporte que la signature de son président ne suffit pas à établir qu'il n'aurait pas été rendu en formation plénière dès lors qu'aucune disposition ni aucun principe n'impose d'autres signatures ni ne prévoit de mentions obligatoires devant assortir l'avis. Lorsque l'avis a la forme d'une « délibération » et mentionne qu'il a été rendu par la Commission, il ne saurait être regardé, en l'absence d'élément contraire, comme émanant du seul président de la commission.

Aucune disposition de la loi n°78‑17 du 6 janvier 1978 ni aucune autre disposition ni aucun principe n'impose la publication d'un avis rendu par la CNIL sur le fondement du d) de l’article 11 sur un projet d'arrêté préalablement à son adoption.

1) L'auteur d'une plainte peut déférer au juge de l'excès de pouvoir le refus de la Commission nationale de l'informatique et des libertés (CNIL) d'y donner suite. Il appartient au juge de censurer ce refus en cas d'erreur de fait ou de droit, d'erreur manifeste d'appréciation ou de détournement de pouvoir. En revanche, lorsque la CNIL a décidé d'instruire une plainte, l'auteur de celle-ci n'a intérêt à contester ni la décision prise à l'issue de cette instruction, quel qu'en soit le dispositif, ni la clôture de sa plainte prononcée subséquemment.

2) Il s'ensuit que l'auteur d'une plainte n'est pas recevable à demander l'annulation de la sanction prononcée par la CNIL à l'encontre d'un tiers à l'issue de l'instruction de la plainte qu'il a formée, en tant que celle-ci ne serait pas assez sévère. En revanche, l'auteur d'une plainte est recevable à déférer au juge de l'excès de pouvoir le refus de la CNIL de lui fournir les informations relatives aux suites données à sa plainte auxquelles il a droit en application des dispositions de l'article 11 2° c) de la loi n°78‑17 du 6 janvier 1978. Il résulte de ces dispositions que, lorsque la plainte conduit à sanctionner la personne mise en cause, la complète information de son auteur comprend nécessairement, y compris lorsque la sanction a été rendue publique, la communication de la nature des manquements retenus et de la teneur de la sanction prononcée, sous réserve des secrets protégés par la loi.

Il résulte de la combinaison du fait de l’article 11 et de l’article 44 de la loi n°78‑17 du 6 janvier 1978 dans sa rédaction applicable au litige qu’une opération de contrôle consiste pour la Commission à procéder ou à faire procéder par les agents de ses services à des vérifications portant sur tous traitements et à recueillir, sur place ou sur convocation, tout renseignement, document ou justification utile à ses missions, sans que le nombre des opérations de contrôle soit limité. Par suite, le moyen tiré de ce que les membres ou agents de la Commission, qui avaient été habilités par la décision n° 2012‑12C du 31 janvier 2012 de la présidente de la Commission à procéder à la vérification sur place de la conformité des traitements de données à caractère personnel mis en œuvre par la société PS Consulting en matière de vidéosurveillance, auraient irrégulièrement procédé aux contrôles sur place les 15 octobre et 11 décembre 2012, faute pour chacun d’eux d’avoir été précédé d’une nouvelle décision d’y procéder, doit être écarté. En revanche, en vertu du I de l’article 44, chaque opération de contrôle sur place doit être précédée d’une information du procureur de la République.

Si les exigences du procès équitable et du respect des droits de la défense découlant de l’article 6 de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales s’appliquent seulement à la procédure de sanction ouverte par la présidente de la CNIL, et non à la phase préalable des enquêtes réalisées par les agents de la Commission, elles nécessitent toutefois que, lors du déroulement de la phase préalable, il ne soit pas porté une atteinte irrémédiable aux droits de la défense des personnes auxquelles des griefs sont ensuite notifiés.

En l’espèce, d’une part, par trois lettres, la CNIL a notifié à la société PS Consulting son droit à s’opposer aux contrôles envisagés et, d’autre part, il ne résulte pas de l’instruction que, faute d’avoir été informée qu’elle pouvait garder le silence pendant les contrôles ou se faire assister par un conseil, la société aurait été amenée à prendre des positions qui lui auraient été particulièrement préjudiciables dans l’établissement des griefs qui lui ont ensuite été notifiés. Par suite, le moyen tiré de la méconnaissance des stipulations de l’article 6 de la convention ne peut qu’être écarté.

Requérant demandant l'annulation d'une décision portant création d'un traitement de données à caractère personnel et produisant à l'appui de sa demande des éléments qui ne permettent, en l'état, ni de regarder comme établie l'existence d'un tel traitement ni, par suite, d'identifier une éventuelle décision de le créer. Il appartient au requérant, s'il estime cependant que ces éléments sont de nature à faire présumer de l'existence d'un traitement de données personnelles et s'il s'y croit fondé, de demander à la Commission nationale de l'informatique et des libertés (CNIL) de faire usage des pouvoirs qu'elle détient pour vérifier la licéité des traitements au regard des dispositions de la loi n°78‑17 du 6 janvier 1978. En l'état, rejet des conclusions à fin d'annulation présentées par le requérant.

L'article 17 de la directive (UE) 2016/680 du Parlement européen et du Conseil, du 27 avril 2016, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, abrogeant le cadre 2008/977/JAI du Conseil, lu en combinaison avec l'article 46, paragraphe 1, sous g), l'article 47, paragraphes 1 et 2, et l'article 53, paragraphe 1, de cette directive ainsi qu'avec l'article 8, paragraphe 3, et l'article 47 de la Charte des droits fondamentaux de l'Union européenne doit être interprété en ce sens que lorsque les droits d'une personne ont été exercés, en application dudit article 17, par l'intermédiaire de l'autorité de contrôle compétente et que cette autorité informe ladite personne du résultat des vérifications opérées, cette dernière doit disposer d'un recours juridictionnel effectif contre la décision de ladite autorité de clôturer le processus de vérification.

1) a) En application des stipulations de l'article 106 de la Convention d'application de l'accord de Schengen du 19 juin 1990, il incombe aux autorités françaises, saisies par une personne qui conteste son inscription dans le système informatique national du Système d'Information Schengen (SIS), de procéder, dans le cas d'un signalement opéré par la France, à l'effacement des données entachées d'erreur de droit ou d'erreur de fait. Dans le cas d'un signalement opéré par un État Partie autre que la France, il appartient à l'autorité de contrôle française, dès lors qu'elle estime disposer d'indices faisant présumer qu'une donnée est entachée d'erreur de droit ou de fait, d'en aviser les autorités de cet État.

b) Il ressort des stipulations des articles 106 et 114 de la convention du 19 juin 1990 que la Commission nationale de l'informatique et des libertés, lorsqu'elle saisit l'autorité de contrôle d'un État signalant en vue de la vérification et de l'effacement d'une inscription, est tenue de procéder à l'examen de ce signalement en étroite coordination avec celle‑ci, sans que sa responsabilité puisse être transférée à l'autorité requise. Elle doit demander l'ensemble des informations lui permettant de procéder à ce contrôle, et, en cas de désaccord avec l'autorité requise, saisir l'autorité de contrôle commune mentionnée par le paragraphe 3 de l'article 106. Si, dans certains cas limitativement énumérés par la convention, la Commission nationale de l'informatique et des libertés est tenue de ne pas communiquer au demandeur les informations le concernant, ces stipulations ne font pas obstacle à ce qu'elle exerce son contrôle sur le bien‑fondé du signalement en « étroite coordination » avec l'autorité correspondante de l'État signalant.

2) Le requérant, ressortissant français, a saisi la Commission nationale de l'informatique et des libertés d'une demande d'effacement des données le concernant contenues dans le système informatique national du Système d'Information Schengen (SIS), en faisant notamment état de sa mobilisation au début des années 1990 aux côtés d'opposants tunisiens pour dénoncer les violations par le régime tunisien des droits de l'homme et des libertés fondamentales, et en indiquant « avoir fait manifestement l'objet d'une dénonciation calomnieuse des services de ce pays ». La Commission nationale de l'informatique et des libertés, après avoir constaté que l'intéressé avait été signalé par les autorités allemandes, a saisi le 18 mai 2004 l'autorité de contrôle allemande chargée d'exercer un contrôle de la partie nationale du Système d'Information Schengen (SIS) dans le cadre de la procédure de coordination prévue au paragraphe 2 de l'article 114 de la convention du 19 juin 1990. L'autorité de contrôle allemande lui a répondu qu’« au terme de la vérification effectuée par le délégué régional compétent en matière de protection des données, (…) rien ne s'oppose, du point de vue du droit en matière de protection des données, au signalement de l'intéressé au Système d'Information Schengen (SIS) ».

Dans ces circonstances, et eu égard à l'ensemble des éléments d'information produits par le requérant, la Commission nationale de l'informatique et des libertés, en se fondant sur cette seule réponse, sans demander communication des informations nécessaires au contrôle sollicité, pour refuser de poursuivre la procédure relative à la demande d'effacement du signalement de l'intéressé, a méconnu les stipulations des articles 106 et 114 de la convention du 19 juin 1990. Elle a ainsi entaché sa décision d'erreur de droit. Le requérant est fondé à en demander l'annulation.

3) Cette annulation implique que la Commission nationale de l'informatique et des libertés reprenne la procédure de vérification relative au signalement du requérant, en « étroite coordination » avec l'autorité de contrôle allemande, aux fins d'aboutir soit au rejet de la demande en accord avec les autorités allemandes, soit à l'effacement des données litigieuses par les autorités allemandes, soit enfin, en cas de désaccord, à la saisine de l'autorité de contrôle commune mentionnée au paragraphe 3 de l'article 106 de la convention du 19 juin 1990.