Archives des Données personnelles - Philippe Schmitt Avocats

Libertés publiques et collectes de données biométriques, l’arrêt de la Cour de justice du 19 mars 2026,

Philippe Schmitt — Wed, 25 Mar 2026 09:17:48 +0000

Peut-on être condamné pour avoir refusé une mesure liée à une infraction dont on est par ailleurs acquitté ?

Cette question de Libertés publiques et de Protection des données, la Cour de justice y répond sur des questions préjudicielles de la Cour d'appel de Paris. CJUE, 19 mars 2026, aff. C-371/24 (Comdribus, ce nom est fictif, il ne correspond à aucune partie)

1°) L'affaire en bref : un militant climat, les Champs-Élysées et un refus de biométrie

Le 30 mai 2020, plus d'une centaine d'activistes pour le climat occupent l'avenue des Champs-Élysées à Paris. Parmi les manifestants interpellés, une personne—désignée HW dans la procédure—est placée en garde à vue.

2°) Cette personne est poursuivie devant le tribunal correctionnel de Paris pour trois infractions :

Organisation d'une manifestation non déclarée et rébellion — elle aurait donné des consignes aux participants (ne pas décliner son identité, former une chaîne humaine) ;
Refus de remettre le code de déverrouillage de son téléphone portable, constitutif d'un refus de communication d'une convention secrète de déchiffrement ;
Refus de se soumettre aux relevés signalétiques (empreintes digitales, palmaires et photographies), tels que prévus par l'article 55-1 du code de procédure pénale.

Par jugement du 8 septembre 2021, le tribunal correctionnel de Paris relaxe HW des deux premières infractions, mais le déclare coupable du seul refus de prélèvement de données biométriques et le condamne à une amende de 300 euros.

C'est précisément l'anomalie de cette situation — être condamné pour avoir refusé une mesure liée à une infraction dont on est par ailleurs acquitté — qui conduit la Cour de Paris à interroger la Cour de justice.

3°) La saisine de la CJUE par la Cour d'appel de Paris

HW et le ministère public interjettent appel.

La cour d'appel de Paris, par décision du 26 avril 2024, constate que la procédure ne comportait aucune motivation sur l'absolue nécessité de la collecte biométrique, et surseoit à statuer pour poser à la Cour de justice de l'Union européenne trois questions préjudicielles (il faut se reporter à l'arrêt pour leur exacte rédaction) portant sur l'interprétation de la Directive (UE) 2016/680.

Question 1 — L'article 10 de la directive s'oppose-t-il à une législation nationale qui prévoit le relevé signalétique systématique de toute personne soupçonnée d'une infraction ?
Question 2 — L'article 10 s'oppose-t-il à une législation qui ne prévoit pas d'obligation de motivation adéquate, cas par cas, de la « nécessité absolue » de la collecte ?
Question 3 — L'article 10 s'oppose-t-il à une législation permettant de condamner pour refus de prélèvement une personne relaxée de l'infraction initiale ayant justifié la demande de collecte ?

3°) Le dispositif de l'arrêt du 19 mars 2026 : trois points, trois avancées

La Cour de justice (cinquième chambre) répond point par point, avec une portée qui dépasse largement les faits de l'espèce.

Premier apport — Interdiction de la collecte biométrique systématique

L'article 10 de la directive 2016/680 s'oppose à toute législation nationale qui organiserait une collecte automatique et indifférenciée des données biométriques de l'ensemble des personnes soupçonnées. La Cour rappelle que ces données — empreintes digitales, photographies — appartiennent aux catégories particulières de données bénéficiant d'une protection renforcée.

La collecte n'est licite qu'à deux conditions cumulatives :

le droit national doit définir des finalités spécifiques, concrètes et suffisamment précises (vérifier une appartenance à une organisation criminelle, identifier des liens avec d'autres infractions, prévenir un risque de fuite...) ;
l'autorité compétente doit apprécier, dans chaque cas particulier, si la collecte est « absolument nécessaire » pour atteindre ces finalités.

En pratique : l'officier de police judiciaire ne peut plus se contenter d'invoquer l'article 55-1 CPP comme une habilitation générale. Il doit rattacher la mesure à une finalité identifiée et vérifier sa nécessité concrète.

Deuxième apport — Obligation de motivation adéquate, garantie d'un recours effectif

La Cour consacre une obligation de motivation circonstanciée de la nécessité absolue de chaque collecte, lue en combinaison avec l'article 47 de la Charte des droits fondamentaux (droit à un recours juridictionnel effectif).

Une législation qui dispense les autorités de cette justification individuelle est jugée non conforme au droit de l'Union. Sans motivation, la personne concernée est dans l'impossibilité de contester utilement la mesure devant un juge.

En pratique : la décision de procéder aux relevés signalétiques doit être tracée et documentée. On voit les conséquences de l'absence de motivation dans le dossier de procédure.

Troisième apport — Condamnation pour refus : possible, mais strictement proportionnée

Sur ce point, la Cour ne suit pas une lecture protectrice absolue : elle valide le principe de la sanction pénale du refus de se soumettre aux relevés signalétiques, y compris lorsque la personne est finalement relaxée de l'infraction initiale.

Le raisonnement est clair : la légalité de la demande de collecte s'apprécie au moment où elle est formulée, et non rétrospectivement à la lumière de l'issue du procès. Un acquittement ultérieur ne rend pas la demande initiale illicite si elle était, à l'époque, absolument nécessaire.

Cependant, la condamnation pour refus est soumise à une condition impérative de proportionnalité (article 49, §3, de la Charte) :

la peine doit être adaptée à la gravité de l'infraction suspectée à l'origine de la garde à vue ;
elle doit tenir compte des circonstances individuelles (profil, antécédents, comportement de l'intéressé).

En pratique : une condamnation à amende pour refus de biométrie n'est pas automatiquement proportionnée. Le juge national doit opérer une appréciation individualisée. On voit l'espace de contestation significatif, notamment lorsque l'infraction initiale est mineure ou que la personne est finalement acquittée.

L'arrêt Comdribus du 19 mars 2026 constitue une décision de premier plan pour les praticiens des libertés publiques en posant deux exigences essentielles :

l'examen individuel de la nécessité absolue
et l'obligation de motivation documentée.

Point essentiel : la Cour n'a pas interdit toute sanction du refus de biométrie, elle conditionne sa légalité à une double proportionnalité : celle de la demande initiale et celle de la peine infligée.

Le droit dit par la Cour de justice :

L'article 10 de la directive (UE) 2016/680 [...] doit être interprété en ce sens que : il s'oppose à une législation nationale qui prévoit la collecte systématique des données biométriques de toute personne à l'égard de laquelle il existe une ou plusieurs raisons plausibles de soupçonner qu'elle a commis ou tenté de commettre une infraction pénale, à moins qu'il ne soit établi, d'une part, que le droit national définit les finalités spécifiques et concrètes poursuivies par cette collecte de manière appropriée et suffisamment précise et, d'autre part, que l'autorité compétente est tenue, dans chaque cas particulier, d'apprécier si ladite collecte est absolument nécessaire à la réalisation de ces finalités, si bien qu'une telle collecte ne revêt pas un caractère systématique.
L'article 10 de la directive 2016/680 [...] doit être interprété en ce sens que : il s'oppose à une législation nationale qui ne prévoit pas l'obligation, pour l'autorité compétente, de motiver de façon adéquate, dans chaque cas particulier, la « nécessité absolue », au sens de cet article 10, de procéder à la collecte des données biométriques de toute personne à l'égard de laquelle il existe une ou plusieurs raisons plausibles de soupçonner qu'elle a commis ou tenté de commettre une infraction pénale.
L'article 10 de la directive 2016/680 [...] doit être interprété en ce sens que : il ne s'oppose pas à une législation nationale qui permet de poursuivre et de condamner une personne au titre d'une infraction pénale spécifique réprimant le refus de celle-ci de permettre la collecte de ses données biométriques, alors même que cette dernière n'a pas été poursuivie ou condamnée pour l'infraction pénale qui fondait la collecte envisagée de ces données, pour autant que ladite collecte réponde à la condition de « nécessité absolue », au sens de cet article 10, et que la sanction pénale infligée à ce titre respecte le principe de proportionnalité.

L'arrêt de la Cour de justice : bit.ly/cjue-comdribus

Le communiqué de presse : bit.ly/cjue-cp-comdribus

L’article Libertés publiques et collectes de données biométriques, l’arrêt de la Cour de justice du 19 mars 2026, est apparu en premier sur Philippe Schmitt Avocats.

La Cour de justice ouvre le contentieux contre les décisions du Comité Européen de la Protection des Données

Philippe Schmitt — Wed, 11 Feb 2026 14:25:54 +0000

La décision du 10 février 2026 de la Cour de justice présente un grand intérêt pour les entreprises visées par des procédures RGPD devant les autorités nationales comme la CNIL.

L'arrêt du 10 février 2026 ouvre la voie (ou confirme nettement l'accès) à un recours direct devant le juge de l'Union contre certaines décisions du CEPD, en plus du contentieux national contre la décision finale de l'autorité chef de file / de l'autorité nationale.

Les faits et décisions essentiels

L'autorité irlandaise de contrôle (DPC) ouvre une enquête sur WhatsApp, notamment au regard des obligations de transparence (RGPD).
Des désaccords surviennent entre autorités dans le mécanisme de cohérence (art. 63 RGPD), conduisant à l'activation du règlement des litiges par le CEPD (art. 65 RGPD).
Le CEPD adopte une décision (ici, décision 1/2021 du 28 juillet 2021) que l'arrêt indique contraignante.
L'autorité irlandaise adopte ensuite une décision finale (20 août 2021) conforme aux éléments tranchés par le CEPD. Le montant de l'amende initiale qui était de l'ordre de 30 à 50 millions atteint finalement 225 millions d'euros.
WhatsApp attaque directement la décision du CEPD devant le Tribunal de l'UE.
Le 7 décembre 2022, le Tribunal juge le recours irrecevable en qualifiant, en substance, la décision du CEPD d'acte intermédiaire ou d'acte préparatoire. Cet arrêt est commenté ici et aussi en juillet 2023 au Journal de droit européen.
Recours de WhatsApp.
La CJUE annule l'ordonnance du Tribunal, déclare le recours recevable et renvoie l'affaire au Tribunal pour juger le fond.

Les deux verrous contentieux sont levés

La décision du CEPD est un acte attaquable (art. 263 TFUE), car il a des effets juridiques contraignants pour l'autorité irlandaise.

L'entreprise est directement concernée puisque la décision du CEPD va modifier la situation de WhatsApp.

Conséquence immédiate pour les entreprises

Si une partie de la décision de l'autorité nationale qui vous est opposée découle nécessairement d'une décision contraignante du CEPD (art. 65), vous auriez un recours devant la juridiction de l'Union.

Mais il y a un bémol

Avec la décision du Tribunal du 7 décembre 2022, votre calendrier des actions contentieuses se fixait pour l'essentiel sur la décision de l'autorité nationale cheffe de file, y compris pour contester la position du CEPD.

Avec la position très claire de la Cour de justice, ne seriez-vous pas forclos ou prescrit dans vos actions contre les éléments contraignants en cas de décision du CEPD déjà intervenue ?

L’article La Cour de justice ouvre le contentieux contre les décisions du Comité Européen de la Protection des Données est apparu en premier sur Philippe Schmitt Avocats.

Données personnelles : l’arrêt du 2 décembre 2025 applicable à tous les contenus des usagers des plateformes

Philippe Schmitt — Thu, 04 Dec 2025 08:53:09 +0000

CJUE C-492/23 : Responsabilité des plateformes de petites annonces en ligne au titre du RGPD

CJUE, Grande chambre, 2 décembre 2025 (C-492/23) : Responsabilité des plateformes de petites annonces en ligne au titre du RGPD

Hiérarchisation des textes : RGPD, DSA, Directive commerce électronique et surtout la généralisation de la solution qui s'étend à tous ceux qui ouvrent des espaces de communication ou publications aux utilisateurs. Ce premier regard sur cet arrêt est long, mais cette décision le mérite d'autant qu'elle va à l'encontre des conclusions de l'avocat général plus favorables aux plateformes.

Les faits

Une personne a vu publiée sur la plateforme roumaine de petites annonces (exploitée par Russmedia Digital) une annonce frauduleuse la présentant comme offrant des services sexuels. L'annonce contenait ses photographies et son numéro de téléphone personnel, utilisés sans consentement. Bien que la plateforme ait retiré l'annonce moins d'une heure après notification, celle-ci avait déjà été copiée et diffusée sur d'autres sites internet.

En première instance, la victime a obtenu des dommages-intérêts.

En appel, cette décision a été annulée, le tribunal ayant considéré que Russmedia bénéficiait de l'exonération de responsabilité prévue pour les hébergeurs passifs par la directive e-commerce (2000/31/CE, articles 12-15).

Questions préjudicielles posées à la CJUE

La Cour d'appel de Cluj a interrogé la Cour de justice sur :

1. L'applicabilité de l'exonération de responsabilité des hébergeurs à une plateforme conservant des droits étendus sur les contenus publiés ;
2. L'obligation pour la plateforme de vérifier l'identité de l'annonceur avant publication d'annonces contenant des données sensibles ;
3. L'obligation de contrôler le contenu des annonces pour détecter les traitements illicites ;
4. L'obligation de mettre en œuvre des mesures de sécurité pour empêcher la copie et la rediffusion des annonces contenant des données sensibles.

Les conclusions de l'Avocat général Szpunar (6 février 2025)

Position radicalement différente de l'arrêt final

L'Avocat général Maciej Szpunar avait proposé une approche beaucoup plus favorable aux plateformes, reposant sur trois piliers :

1. Qualification de sous-traitant (et non de responsable du traitement)

L'Avocat général estimait que Russmedia devait être qualifiée de sous-traitant pour les données contenues dans les annonces, et non de responsable du traitement. Selon lui, la plateforme ne détermine pas « pour des fins qui lui sont propres » les finalités et moyens du traitement de ces données. Ce sont les utilisateurs-annonceurs qui sont les véritables responsables du traitement.

« L'exploitant d'une place de marché en ligne, tel que Russmedia, ne semble pas exercer une influence, à des fins qui lui sont propres, sur la détermination de la finalité et des moyens du traitement des données à caractère personnel éventuellement contenues dans les annonces postées. » (point 99)

2. Pas d'obligation de contrôle préalable du contenu

En tant que sous-traitant, Russmedia n'aurait aucune obligation de :

Vérifier le contenu des annonces avant publication
Contrôler la licéité du traitement des données sensibles
Mettre en œuvre des mesures techniques pour empêcher la copie/rediffusion

« Dans le cas où […] Russmedia était effectivement un sous-traitant, il ne lui incombait pas de vérifier si le traitement était autorisé et licite. » (point 121)

3. Applicabilité de l'exonération de la directive e-commerce

L'Avocat général confirmait que Russmedia pouvait bénéficier de l'exonération de responsabilité de l'article 14 de la directive e-commerce, y compris pour les violations du RGPD, tant qu'elle agit comme hébergeur neutre.

4. Seule obligation : vérification d'identité lors de l'inscription

La seule obligation de Russmedia serait de vérifier l'identité des utilisateurs lors de leur inscription sur la plateforme (en tant que responsable du traitement des données d'inscription), afin de prévenir l'usurpation d'identité.

« En revanche […] il agit en qualité de responsable du traitement en ce qui concerne les données à caractère personnel des utilisateurs annonceurs enregistrés sur son site Internet. Dans ce cadre, il est tenu de vérifier l'identité de ces utilisateurs annonceurs. » (point 137)

Réponses de la Cour : un rejet complet de l'approche de l'Avocat général

La CJUE a adopté une position radicalement opposée, marquant un tournant majeur dans la responsabilité des plateformes numériques :

1. Statut de responsable du traitement et obligations proactives (art. 5, §2 et art. 24-26 RGPD)

Rejet de la qualification de sous-traitant : Contrairement à l'Avocat général, la Cour juge que l'exploitant d'une plateforme de petites annonces est responsable du traitement (et non sous-traitant) des données personnelles contenues dans les annonces publiées.

La Cour fonde cette qualification sur plusieurs éléments factuels :

Russmedia détermine les paramètres de diffusion des annonces (présentation, durée, classification, rubriques)
Elle exploite commercialement les données pour ses propres finalités
Ses conditions générales lui réservent des droits étendus (distribution, transmission, reproduction, modification des contenus)
Elle permet la publication anonyme, facilitant ainsi les abus

Obligations proactives : À ce titre, elle doit, avant toute publication :

Identifier les annonces contenant des données sensibles (art. 9, §1 RGPD : origine raciale/ethnique, opinions politiques, données de santé, vie sexuelle, etc.)
Vérifier l'identité de l'utilisateur postant l'annonce pour s'assurer qu'il est bien la personne concernée par ces données sensibles
En cas de divergence, refuser la publication, sauf si l'annonceur démontre que la personne concernée a donné son consentement explicite au traitement de ses données sensibles

2. Obligation de sécurité renforcée (art. 32 RGPD)

Rejet de l'absence d'obligation anti-copie : Contrairement à l'Avocat général, la Cour impose à la plateforme de mettre en œuvre des mesures techniques et organisationnelles appropriées pour empêcher que les annonces contenant des données sensibles soient copiées et republiées illicitement sur d'autres sites internet.

3. Impossibilité de se prévaloir de l'exonération de responsabilité de la directive e-commerce

Rejet total de l'exonération : Point crucial et en opposition frontale avec l'Avocat général, l'exploitant ne peut pas invoquer les articles 12 à 15 de la directive e-commerce (régime d'exonération des hébergeurs passifs) pour échapper à ses obligations au titre du RGPD.

L'article 2, §4 du RGPD prévoit expressément que le règlement s'applique "sans préjudice" de la directive e-commerce, ce qui signifie que les deux régimes coexistent sans que l'un puisse dispenser des obligations de l'autre.

Tableau comparatif : Avocat général vs. Cour de justice

Question	Avocat général Szpunar	Cour de justice	Divergence
Qualification juridique	Sous-traitant (pour données dans annonces)	Responsable du traitement	Opposé
Coresponsabilité art. 26	Non applicable	Coresponsable avec utilisateur annonceur	Opposé
Vérification identité	Uniquement lors inscription	Avant chaque publication d'annonce sensible	Opposé
Contrôle contenu préalable	Aucune obligation	Obligation d'identifier données sensibles	Opposé
Mesures anti-copie	Aucune obligation spécifique	Obligation art. 32 RGPD	Opposé
Exonération e-commerce	Applicable aux violations RGPD	Inapplicable aux violations RGPD	Opposé
Surveillance générale	Interdite (art. 15 directive)	Obligation ciblée sur données sensibles	Nuancé

Conséquences pratiques de cette décision

Cet arrêt emporte des conséquences importantes pour Toutes les entreprises mettant à dispositions des espaces de publications pour les tiers :

1. Fin du statut d'hébergeur passif pour les places de marché

Les plateformes ne peuvent plus se contenter d'un rôle purement technique. Elles deviennent des gardiens actifs des données personnelles publiées via leurs services.

2. Obligations de contrôle préalable

Les exploitants doivent mettre en place :

Des systèmes de détection automatisée des données sensibles (IA, filtres sémantiques)
Des procédures de vérification d'identité des annonceurs (KYC - Know Your Customer)
Des mécanismes de contrôle du consentement de la personne concernée

3. Responsabilité étendue pour la diffusion secondaire

L'obligation de sécurité s'étend à la prévention de la copie et rediffusion des contenus illicites sur d'autres plateformes, impliquant potentiellement :

Technologies de watermarking (filigrane numérique)
Digital Rights Management (DRM)
Content Security Policy (CSP) headers
Systèmes de détection du scraping (web crawling malveillant)

4. Coûts de mise en conformité

Cette jurisprudence impose des investissements substantiels en :

Technologies de reconnaissance et filtrage de contenu
Systèmes de vérification d'identité renforcée
Procédures de validation manuelle pour les contenus sensibles
Mesures de protection contre le scraping et la copie
Formation des équipes de modération

5. Impact sur le modèle économique

Les petites plateformes pourraient être contraintes de :

Abandonner la publication gratuite d'annonces
Restreindre les catégories d'annonces acceptées
Augmenter significativement leurs tarifs pour financer la conformité
Externaliser la modération à des prestataires spécialisés

6. Risque juridique accru

Les plateformes s'exposent désormais à :

Des actions en dommages-intérêts au titre de l'art. 82 RGPD
Des sanctions administratives des autorités de protection des données (jusqu'à 4% du CA mondial)
Une responsabilité solidaire avec les utilisateurs annonceurs (coresponsables du traitement, art. 26 RGPD)

7. Portée au-delà des places de marché

Bien que l'arrêt concerne une plateforme de petites annonces, ses principes s'appliquent potentiellement à tous les services permettant la publication de contenus par les utilisateurs :

Réseaux sociaux
Forums de discussion
Sites d'avis et de notation
Plateformes collaboratives
Marketplaces e-commerce
Sites de rencontres

Zones grises et limites pratiques de l'arrêt

Malgré sa portée considérable, cet arrêt soulève de nombreuses questions non résolues et crée des zones d'incertitude juridique pour les opérateurs :

1. Absence de standards techniques précis

Problème : La Cour impose des obligations de moyens (« mesures techniques et organisationnelles appropriées ») sans définir de seuil de conformité objectif.

Questions sans réponse :

Quel taux de détection des données sensibles est jugé « approprié » ? 80% ? 95% ? 99% ?
Quelles technologies sont considérées comme « état de l'art » ? IA générative ? Machine learning supervisé ?
Quelle marge d'erreur est acceptable (faux positifs vs. faux négatifs) ?
Les filtres automatiques suffisent-ils ou faut-il une modération humaine systématique ?

Risque : Chaque autorité nationale de protection des données pourrait interpréter différemment ces standards, créant une fragmentation du marché unique.

2. Proportionnalité et charge disproportionnée pour les PME

Problème : L'arrêt ne fait aucune distinction selon la taille ou les ressources de la plateforme. Faut-il se replonger dans les textes applicables pour trouver le critère discriminant ?

Impasses pratiques :

Une startup avec 2 employés est-elle soumise aux mêmes obligations qu'un géant du numérique ?
Comment une petite plateforme peut-elle financer des systèmes d'IA coûtant des centaines de milliers d'euros ?
La proportionnalité prévue par l'art. 24 RGPD (« compte tenu de la nature, de la portée, du contexte et des finalités du traitement ») est-elle suffisamment prise en compte ?

Risque : Barrière à l'entrée insurmontable pour les nouveaux acteurs, renforçant les positions dominantes des GAFAM.

3. Définition floue des « données sensibles »

Problème : L'art. 9 RGPD liste des catégories de données sensibles, mais leur détection automatisée est problématique.

Cas limites :

Une photo d'une personne en tenue de sport révèle-t-elle des « données concernant la santé » ?
Une référence à « services de bien-être » cache-t-elle une offre de services sexuels ?
Un prénom à consonance étrangère révèle-t-il l'« origine ethnique » ?
Comment détecter les « convictions religieuses » sans analyse sémantique invasive ?

Risque : Sur-blocage préventif (blocage d'annonces légitimes par précaution) ou sous-détection (annonces illicites passant entre les mailles du filet).

4. Vérification d'identité : quel niveau de KYC ?

Problème : La Cour impose de vérifier que l'annonceur est « la personne dont les données figurent dans l'annonce », mais ne précise aucune modalité.

Questions opérationnelles :

Faut-il exiger une pièce d'identité officielle (passeport, carte d'identité) ?
Une vérification par SMS au numéro figurant dans l'annonce suffit-elle ?
Faut-il un système de reconnaissance faciale comparant la photo d'identité et les photos de l'annonce ?
Comment vérifier l'identité pour des annonces commerciales (entreprises, associations) ?

Risque :

KYC insuffisant → responsabilité engagée
KYC excessif → friction utilisateur, abandon de la plateforme, violation du principe de minimisation (art. 5.1.c RGPD)

5. Mesures anti-copie : mission impossible ?

Problème : L'obligation d'empêcher la copie et la rediffusion sur d'autres sites tiers est-elle techniquement réaliste ?

Limites techniques :

Toute information affichée à l'écran peut être capturée (screenshot, OCR, copier-coller)
Les DRM et watermarks sont contournables
La plateforme n'a aucun contrôle sur les sites tiers qui republieraient le contenu
Le web scraping par des robots est difficile à bloquer totalement (CAPTCHA, rate limiting, mais jamais 100% efficace)

Paradoxe : L'art. 17.2 RGPD impose au responsable du traitement qui a « rendu publiques » des données de « prendre des mesures raisonnables » pour informer les tiers, mais la Cour semble exiger davantage qu'une simple notification.

Risque : Responsabilité de la plateforme pour des actions de tiers sur lesquelles elle n'a aucune prise.

6. Tension avec l'interdiction de surveillance générale

Problème majeur : Contradiction apparente entre deux régimes juridiques :

D'un côté :

Art. 15 directive e-commerce (repris à l'art. 8 DSA) : « Les États membres ne doivent pas imposer aux prestataires […] une obligation générale de surveiller les informations qu'ils transmettent ou stockent »

De l'autre :

CJUE C-492/23 : La plateforme doit identifier avant publication toutes les annonces contenant des données sensibles

Comment concilier ?

La Cour affirme que l'interdiction de surveillance générale « ne s'applique pas aux obligations du responsable du traitement sous le RGPD », mais cette distinction est conceptuellement fragile :

Scanner automatiquement 100% des contenus = surveillance générale ?
Ou s'agit-il d'une surveillance « ciblée » sur les données sensibles, donc permise ?

Risque : Les plateformes sont prises en étau entre :

Obligation de filtrer (RGPD) sous peine de sanctions
Interdiction de filtrer (DSA) sous peine de sanctions

7. Rédaction des CGU : illusion de la solution contractuelle

Problème : Certains praticiens pourraient croire qu'il suffit de modifier les conditions générales pour échapper à la qualification de responsable du traitement.

Avertissement de la Cour : « En toute hypothèse, tout responsable du traitement est tenu, seul ou conjointement, de se conformer à l'ensemble des obligations qui découlent du RGPD ». (point 111)

Critères factuels prépondérants :

Design de la plateforme (algorithmes de classement, mise en avant)
Exploitation commerciale réelle des données
Contrôle éditorial exercé en pratique
Possibilité de publication anonyme

Risque : Faux sentiment de sécurité juridique en modifiant seulement les CGU, alors que la qualification dépend de l'analyse factuelle du modèle d'affaires.

8. Accord de coresponsabilité (art. 26 RGPD) : comment l'imposer ?

Problème : Si la plateforme et l'utilisateur sont coresponsables, l'art. 26 RGPD impose de conclure un accord définissant les obligations respectives.

Questions pratiques :

Comment imposer contractuellement un tel accord à des millions d'utilisateurs occasionnels ?
Faut-il un accord individualisé pour chaque annonce ?
Les CGU peuvent-elles tenir lieu d'accord art. 26 ?
Comment informer la personne concernée (dont les données figurent dans l'annonce) de l'identité des coresponsables et de leurs obligations respectives ?

Risque : Complexité administrative ingérable pour les plateformes à fort volume.

9. Incertitude sur le champ d'application matériel

Problème : L'arrêt concerne des données sensibles (services sexuels) publiées sans consentement. Quelle est sa portée exacte ?

Hypothèses incertaines :

Cas	Arrêt applicable ?	Incertitude
Annonce avec données ordinaires (nom, email)	A discuter	Probabilité moyenne
Annonce commerciale d'entreprise (SIRET, adresse)	A discuter	Probabilité faible
Photo de profil utilisateur (non sensible)	A discuter	Probabilité faible
Forum de discussion politique (opinions = données sensibles)	A discuter	Forte incertitude
Réseau social avec partage de photos personnelles	A discuter	Forte incertitude

Risque : Extension jurisprudentielle progressive à tous les contenus générés par les utilisateurs, transformant radicalement le modèle économique d'internet.

10. Conflit entre RGPD et liberté d'expression

Problème : L'obligation de filtrage préalable peut entrer en conflit avec la liberté d'expression (art. 11 Charte UE).

Cas sensibles :

Forums politiques : bloquer toute mention d'opinion politique ?
Témoignages de santé : censurer tout partage d'expérience médicale ?
Débats religieux : interdire toute référence aux convictions ?

Paradoxe : Le RGPD lui-même reconnaît que « le droit à la protection des données n'est pas un droit absolu ; il doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d'autres droits fondamentaux » (considérant 4).

Risque : Censure préventive excessive de contenus légitimes par crainte de sanctions RGPD.

RECOMMANDATIONS POUR LES OPERATEURS : LA LISTE SERA LONGUE !!!!

Conclusion : Un nouvel équilibre à trouver

L'arrêt Russmedia (C-492/23) marque la fin de l'âge d'or de l'irresponsabilité des plateformes numériques. En rejetant frontalement l'approche de l'Avocat général, la Cour de justice impose une révolution pour tous les acteurs de l'internet ( et nous ne parlons pas encore ici des éditeurs d'IA) :

Du modèle passif au modèle proactif : Les plateformes ne peuvent plus se cacher derrière leur neutralité technique. Elles doivent anticiper, détecter et prévenir les traitements illicites de données sensibles.

Du safe harbor au full accountability : L'exonération de responsabilité de la directive e-commerce ne protège plus contre les violations du RGPD. Les deux régimes coexistent sans s'exclure mutuellement.

Des zones grises persistantes : Malgré sa portée, l'arrêt laisse de nombreuses questions sans réponse :

Standards techniques précis
Proportionnalité pour les PME
Conciliation avec l'interdiction de surveillance générale
Faisabilité des mesures anti-copie
Champ d'application exact

Cet arrêt crée de nouvelles opportunités contentieuses pour les victimes de publication illicite de données sensibles, qui peuvent désormais assigner directement la plateforme (et pas seulement l'auteur anonyme) sur le fondement de l'art. 82 RGPD.

L’article Données personnelles : l’arrêt du 2 décembre 2025 applicable à tous les contenus des usagers des plateformes est apparu en premier sur Philippe Schmitt Avocats.

Consentement requis ou seul intérêt de la plateforme : votre visage ou les traits de votre visage repris par l’IA générative

Philippe Schmitt — Tue, 12 Aug 2025 14:15:17 +0000

Consentement ou Intérêt Légitime : IA et Protection des Données Personnelles selon le RGPD

Consentement ou Intérêt Légitime

La Surprise sur le Visage : Données Traitées par IA et RGPD

Les modèles d'IA génératifs surprennent, nous amusent-ils toujours ?

La réponse appartient aux utilisateurs de réseaux sociaux qui trop rapidement ont coché favorablement les utilisations des plateformes.

L'article publié le 1er août revient sur les évènements qui depuis fin mai 2025 interpellent les utilisateurs des réseaux sociaux, et illustre la distinction posée au RGPD entre le consentement requis et le seul intérêt de la plateforme.

« Votre visage ou vos traits sur une image générée par une IA »

Tout le monde ne supporte pas son image mise en scène dans des situations non acceptées. Cet été sera-t-il le début du cauchemar pour de nombreux utilisateurs des plates-formes des réseaux sociaux ? - Des personnalités publiques, notamment des politiciens et des célébrités, ont exprimé leur préoccupation face à l'utilisation non autorisée de leur image dans des contenus générés par IA.

Cadre Juridique Français

Article 9 du Code civil : "Chacun a droit au respect de sa vie privée"

Article 226-8 du Code pénal : Protection contre la publication de l'image d'une personne sans son consentement

Jurisprudence Cour de cassation (2007) : Renforcement de la protection du droit à l'image en droit français

Chronologie : L'Évolution du Cadre Légal (2024-2025)

Mars 2024

Meta soumet une demande à l'autorité irlandaise de protection des données pour modifier sa base juridique de traitement des données utilisateurs en Europe.

Décembre 2024

Publication de l'Avis 28/2024 du Comité européen de protection des données (CEPD) sur l'IA et la protection des données personnelles.

Mai 2025

Feu vert de l'autorité irlandaise : Meta peut désormais s'appuyer sur l'intérêt légitime (article 6.1.f du RGPD) pour entraîner ses systèmes d'IA sur les contenus publics des utilisateurs européens.

Fin mai 2025

Modification des conditions d'utilisation de Meta (Facebook, Instagram, WhatsApp) permettant l'entraînement IA sur contenus publics.

Été 2025

Multiplication des recours judiciaires, notamment en Allemagne, et opposition persistante de la société civile et d'autorités nationales.

Base Juridique : Intérêt Légitime vs Consentement

Fragilité de l'Accord

L'utilisation de l'intérêt légitime comme base juridique pour l'entraînement d'IA générative reste hautement contestée. Les actions judiciaires se multiplient, remettant en question la validité de ce fondement juridique.

L'Article 6.1.f du RGPD : Intérêt Légitime

Cet article permet le traitement des données personnelles lorsque :

Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement
Ces intérêts ne sont pas supplantés par les intérêts ou les droits et libertés fondamentaux de la personne concernée

Le Test en Trois Étapes du CEPD

1. Identification de l'Intérêt

Le responsable du traitement doit clairement identifier l'intérêt légitime poursuivi.

2. Nécessité du Traitement

Le traitement doit être strictement nécessaire pour atteindre cet intérêt légitime.

3. Mise en Balance

L'intérêt légitime doit être mis en balance avec les droits et libertés fondamentaux de la personne concernée.

Conséquences sur l'Exigence du Consentement Explicite

La distinction entre consentement et intérêt légitime soulève des questions fondamentales sur la protection des données personnelles dans l'ère de l'IA générative.

Validité et Facilité du Consentement

Le RGPD exige que le consentement soit :

Compréhensible : formulé en termes clairs et simples
Accessible : facilement identifiable dans l'interface utilisateur
Révocable : possibilité réelle de retrait du consentement ("opt-out")
Granulaire : consentement spécifique pour chaque finalité

Insuffisances de l'Anonymisation

Les premiers retours d'utilisateurs montrent que l'anonymisation actuellement pratiquée ne suffit pas : des utilisateurs reconnaissent leurs images dans des contenus générés par IA sans leur accord explicite.

Conformité UX des Plateformes

Les processus de consentement et d'opt-out proposés par Meta soulèvent des interrogations sur leur conformité au RGPD, notamment concernant la réelle facilité de retrait du consentement et la clarté des informations fournies aux utilisateurs.

Risques Juridiques et Jurisprudence

Protection Renforcée en Droit Français

La forte protection du droit à l'image et à la vie privée en droit français (articles 9 du Code civil, 226-8 du Code pénal, jurisprudence de 2007) crée un environnement juridique particulièrement strict pour l'utilisation d'images personnelles par l'IA.

Actions Judiciaires en Cours

Recours multiples en Allemagne contestant la validité de l'intérêt légitime
Opposition des autorités nationales de protection des données
Mobilisation de la société civile européenne
Remise en question de l'accord Meta-Irlande par d'autres États membres

Situation Juridique Incertaine

L'incertitude persiste quant à la base légale valable pour l'entraînement d'IA sur des données personnelles. Cette situation impose une vigilance accrue à tous les développeurs de modèles IA pour respecter scrupuleusement les exigences combinées du RGPD.

Références et Sources

Textes Légaux

Documents Officiels

Articles de Presse Référencés

Recommandations pour les Organisations

Évaluation Préalable

Analyser la base juridique appropriée (consentement vs intérêt légitime)
Effectuer le test en trois étapes du CEPD pour l'intérêt légitime
Documenter l'analyse de proportionnalité

Mise en Conformité

Garantir un consentement libre, éclairé et révocable
Implémenter des mécanismes d'opt-out effectifs
Assurer la transparence sur l'utilisation des données

Accompagnement Juridique Spécialisé

Face à la complexité croissante du cadre réglementaire et aux incertitudes juridiques actuelles, l'accompagnement par des professionnels spécialisés en droit des nouvelles technologies et protection des données devient essentiel.

Notre cabinet d'avocats vous accompagne dans l'analyse de vos obligations RGPD et la mise en conformité de vos traitements de données personnelles dans le contexte de l'intelligence artificielle.

L’article Consentement requis ou seul intérêt de la plateforme : votre visage ou les traits de votre visage repris par l’IA générative est apparu en premier sur Philippe Schmitt Avocats.

Une clarification favorable au responsable du traitement

Philippe Schmitt — Thu, 28 Nov 2024 14:43:07 +0000

Des données personnelles, nombreux sont ceux qui les collectent, et encore plus nombreux ceux qui les obtiennent.

Quand la personne physique en demande la communication au responsable du traitement, i) celui-ci ne doit-il transmettre que celles que son entreprise a collecté auprès de cette personne physique ou bien ii) doit-il aussi transmettre les données obtenues auprès d’une autre personne ou d’une autre entreprise et les données qu’il a lui-même généré par le traitement qu’il a effectué à partir des données collectées ou obtenues ?

Pour le responsable du traitement, quand les données à caractère personnel n’ont pas été collectées auprès de cette personne, il peut invoquer l’exception à l’obligation d’information de la personne concernée de l’article 14, § 5 sous c) du RGPD.

La Cour de justice, le 28 novembre 2024, l’arrêt, clarifie la portée de cette exception dans une affaire qui oppose un citoyen hongrois avec son autorité nationale de délivrance du certificat d’immunité à la COVID.

« l’exception à l’obligation d’information de la personne concernée par le responsable du traitement, prévue à cette disposition, concerne indistinctement toutes les données à caractère personnel que le responsable du traitement n’a pas collectées directement auprès de la personne concernée, que ces données aient été obtenues par le responsable du traitement auprès d’une personne autre que la personne concernée ou qu’elles aient été générées par le responsable du traitement lui-même, dans le cadre de l’exercice de ses missions ».

Et la Cour limite le droit de contrôle sous cet article 14, §5 sous c).

« Cette vérification ne porte toutefois pas sur le caractère approprié des mesures que le responsable du traitement est tenu de mettre en œuvre, en vertu de l’article 32 de ce règlement, afin de garantir la sécurité des traitements de données à caractère personnel ».

Les responsables de traitement n’en seront que plus rassurés.

L’article Une clarification favorable au responsable du traitement est apparu en premier sur Philippe Schmitt Avocats.

IA, c’est qui le responsable du traitement et du respect des autres dispositions du RGPD ?

Philippe Schmitt — Fri, 08 Dec 2023 11:35:28 +0000

En un an à peine, l’IA a envahi tous les secteurs d’activité.

Les dispositions du RGPD ne s’appliqueraient-elles qu’en bout de chaine au contact du consommateur, ou à tous les acteurs antérieurs y compris à ….l’utilisateur et au producteur de l’IA ?

La réponse de la Cour de justice, ce 7 décembre, constitue un rappel à l’ordre ! L’arrêt du 7 décembre 2023

L’article 22 dudit RGPD, intitulé « Décision individuelle automatisée, y compris le profilage », prévoit :

« 1. La personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire.

Des faits transposables à des emplois d’IA

En Allemagne, une société fournit à ses partenaires contractuels des informations sur la solvabilité de tiers, notamment de consommateurs. À cette fin, elle établit un pronostic sur la probabilité d’un comportement futur d’une personne (« score »), tel que le remboursement d’un prêt, à partir de certaines caractéristiques de cette personne, sur la base de procédures mathématiques et statistiques. L’établissement des scores (« scoring ») est fondé sur l’hypothèse selon laquelle il est possible, en assignant une personne à un groupe d’autres personnes possédant des caractéristiques comparables et qui se sont comportées d’une manière donnée, de prédire un comportement similaire.

Une communication d’informations trop partielles.

Un consommateur se voit refuser l’octroi d’un prêt par un tiers après avoir fait l’objet d’informations négatives établies par cette société, il lui demande de lui communiquer des informations sur les données à caractère personnel enregistrées et d’effacer celles d’entre elles qui étaient prétendument erronées.

Si la société informe le consommateur du niveau de son score, elle refuse « à divulguer les différentes informations prises en compte aux fins de ce calcul ainsi que leur pondération ».

Enfin, cette entreprise considérait « qu’elle se limitait à faire parvenir des informations à ses partenaires contractuels et que c’était ces derniers qui prenaient les décisions contractuelles proprement dites ».

L’affaire vient devant la Cour de justice de l’Union.

Que nous dit la Cour :

50 Il en découle que, dans des circonstances telles que celles en cause au principal, dans lesquelles la valeur de probabilité établie par une société fournissant des informations commerciales et communiquée à une banque joue un rôle déterminant dans l’octroi d’un crédit, l’établissement de cette valeur doit être qualifié en soi de décision produisant à l’égard d’une personne concernée « des effets juridiques la concernant ou l’affectant de manière significative de façon similaire », au sens de l’article 22, paragraphe 1, du RGPD.

Le 5 décembre 2023, deux autres décisions de la Cour de justice concernent le RGPD et la sanction de ses violation, c’est là

L’article IA, c’est qui le responsable du traitement et du respect des autres dispositions du RGPD ? est apparu en premier sur Philippe Schmitt Avocats.

Qui a condamné WhatsApp à 225 millions d’euros d’amende en 2021 ?

Philippe Schmitt — Thu, 08 Dec 2022 15:01:18 +0000

Différentes autorités ont à connaitre des manquements au RGPD et aux règles applicables aux données personnelles. Quand une sanction intervient, quelle décision est à contester ? La décision du 7 décembre 2022 du Tribunal de l’Union montre que cette interrogation n’est pas dépourvue d’intérêt.

La décision du 7 décembre 2022

Très brièvement les deux événements centraux

À compter de décembre 2018, l’autorité de contrôle irlandais a entamé d’office une enquête à caractère général sur le respect par WhatsApp, – société irlandaise -, des obligations de transparence et d’information à l’égard des particuliers (articles 12, 13 et 14 du règlement 2016/679, le Règlement Général sur la Protection des Données).

Le 20 août 2021, l’autorité de contrôle irlandaise a adressé à WhatsApp un rappel à l’ordre d’un certain nombre d’actions à mettre en œuvre ainsi que différentes amendes administratives d’un montant cumulé de 225 millions d’euros.

Mais entre ces deux date, cette autorité irlandaise, – l’autorité de contrôle chef de file – à échanger avec d’autres autorités de contrôle nationales (Allemagne, Hongrie, Pays-Bas, Pologne, France, Italie et Portugal), sans que puisse être établi entre ces différentes autorités un consensus sur les mesures à prendre .

L’autorité irlandaise a alors saisi le Comité Européen de la Protection des Données, selon la procédure prévue au RGPD ( articles 64 et 64), dont la décision intervient le 28 juillet 2021.

Quelle décision WhatsApp devait contester celle d’août 2021 de l’autorité irlandaise chef de file ou celle de juillet 2021 du CEPD ?

La réponse est donnée par l’ordonnance du 7 décembre 2022 du Tribunal de l’union qui examine le recours de WhatsApp contre la décision du ….. CEPD.

Reprenant la jurisprudence de la Cour sur les procédures conduisant à l’élaboration d’actes en plusieurs phases, l’ordonnance rappelle « ..en principe ne constituent pas des actes attaquables les mesures intermédiaires dont l’objectif est de préparer la décision finale ».
De plus à la décision du 2 juillet 2021 ne sont parties que les autorités de contrôle nationales et non WhatsApp !
Comme WhatsApp bénéficie d’une voie de recours prévue par le RGPD devant le juge national de l’autorité chef de file, c’est-à-dire que WhatsApp bénéficie d’une protection juridictionnelle effective.

Le recours de WhatsApp est jugé irrecevable.

Toutefois, si WhatsApp a déjà déposé un recours contre la décision de l’autorité irlandaise, le contentieux européen n’est pas terminé, l’ordonnance précisant :

« il appartiendra le cas échéant à la juridiction irlandaise saisie, seule compétente à cet égard, de contrôler la légalité de la décision finale opposable à WhatsApp en posant une question préjudicielle en appréciation de validité à la Cour de justice de l’Union européenne en ce qui concerne la décision attaquée si elle l’estime nécessaire pour statuer sur le litige opposant WhatsApp à l’autorité de contrôle irlandaise. La juridiction irlandaise saisie pourrait, à cet égard, régler le litige qui lui est soumis soit en écartant l’exception d’illégalité qui pourrait être soulevée à l’encontre de la décision attaquée sans s’adresser à la Cour, si elle n’éprouve pas de doutes sur la validité de cette décision, soit au contraire saisir la Cour si elle éprouve de tels doutes, soit encore régler le litige indépendamment de la question de la validité de la décision attaquée compte tenu des moyens soulevés devant elle. »

L’article Qui a condamné WhatsApp à 225 millions d’euros d’amende en 2021 ? est apparu en premier sur Philippe Schmitt Avocats.

Données personnelles. Leurs collectes et conservations de manière généralisée et indifférenciée, les précisions apportées par la Cour de Justice le 5 avril 2022.

Philippe Schmitt — Wed, 06 Apr 2022 09:32:49 +0000

La Grande Chambre de la Cour de Justice de l’Union, le 2 mars 2021, – l’arrêt – , avait déjà limité à certaines infractions pénales la collecte des données relatives au trafic ou de localisation et limité leur accès au seul contrôle du Ministère public :

1) L’article 15, paragraphe 1, de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques), telle que modifiée par la directive 2009/136/CE du Parlement européen et du Conseil, du 25 novembre 2009, lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne, doit être interprété en ce sens qu’il s’oppose à une réglementation nationale permettant l’accès d’autorités publiques à un ensemble de données relatives au trafic ou de données de localisation, susceptibles de fournir des informations sur les communications effectuées par un utilisateur d’un moyen de communication électronique ou sur la localisation des équipements terminaux qu’il utilise et de permettre de tirer des conclusions précises sur sa vie privée, à des fins de prévention, de recherche, de détection et de poursuite d’infractions pénales, sans que cet accès soit circonscrit à des procédures visant à la lutte contre la criminalité grave ou à la prévention de menaces graves contre la sécurité publique, ce indépendamment de la durée de la période pour laquelle l’accès auxdites données est sollicité et de la quantité ou de la nature des données disponibles pour une telle période.

2) L’article 15, paragraphe 1, de la directive 2002/58, telle que modifiée par la directive 2009/136, lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la charte des droits fondamentaux, doit être interprété en ce sens qu’il s’oppose à une réglementation nationale donnant compétence au ministère public, dont la mission est de diriger la procédure d’instruction pénale et d’exercer, le cas échéant, l’action publique lors d’une procédure ultérieure, pour autoriser l’accès d’une autorité publique aux données relatives au trafic et aux données de localisation aux fins d’une instruction pénale.

Le 5 avril 2022, la Grande Chambre de la Cour de Justice se prononce sur l’effet dans le temps d’une loi nationale non-conforme au droit de l’Union. Il s’agit dans cette affaire de la loi irlandaise de 2011 confrontée aux dispositions des deux directives de 2002 et de 2009. L’arrêt du 5 avril 2022.

3) Le droit de l’Union doit être interprété en ce sens qu’il s’oppose à ce qu’une juridiction nationale limite dans le temps les effets d’une déclaration d’invalidité qui lui incombe, en vertu du droit national, à l’égard d’une législation nationale imposant aux fournisseurs de services de communications électroniques une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation, en raison de l’incompatibilité de cette législation avec l’article 15, paragraphe 1, de la directive 2002/58, telle que modifiée par la directive 2009/136, lu à la lumière de la charte des droits fondamentaux. L’admissibilité des éléments de preuve obtenus au moyen d’une telle conservation relève, conformément au principe d’autonomie procédurale des États membres, du droit national, sous réserve du respect, notamment, des principes d’équivalence et d’effectivité.

Sur cette question, le Conseil Constitutionnel s’est exprimé,par exemple, à sa décision du 3 décembre 2021.

Est à noter que cet arrêt réaffirme la nécessité d’une autorisation préalable à l’accès par un fonctionnaire de police auxdites données,

2) L’article 15, paragraphe 1, de la directive 2002/58, telle que modifiée par la directive 2009/136, lu à la lumière des articles 7, 8, 11 et de l’article 52, paragraphe 1, de la charte des droits fondamentaux, doit être interprété en ce sens qu’il s’oppose à une législation nationale en vertu de laquelle le traitement centralisé des demandes d’accès à des données conservées par les fournisseurs de services de communications électroniques, émanant de la police dans le cadre de la recherche et de la poursuite d’infractions pénales graves, incombe à un fonctionnaire de police, assisté par une unité instituée au sein de la police jouissant d’un certain degré d’autonomie dans l’exercice de sa mission et dont les décisions peuvent faire ultérieurement l’objet d’un contrôle juridictionnel.

Ce principe a conduit le Conseil d’Etat à interroger la Cour de justice à propos de l’accès par les agents de l’HADOPI aux données fournies par les opérateurs de communications électroniques, c’est là.

Toutefois, au-delà des actes de terrorisme, cet arrêt précise la catégories et l’étendue des mesures de conservation de ces données dans le cas des actes de criminalité grave ( les faits à l’origine de la saisine de la Cour étaient une condamnation pour meurtre ).

1)      L’article 15, paragraphe 1, de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques), telle que modifiée par la directive 2009/136/CE du Parlement européen et du Conseil, du 25 novembre 2009, lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne, doit être interprété en ce sens qu’il s’oppose à des mesures législatives prévoyant, à titre préventif, aux fins de la lutte contre la criminalité grave et de la prévention des menaces graves contre la sécurité publique, une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation. En revanche, ledit article 15, paragraphe 1, lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la charte des droits fondamentaux, ne s’oppose pas à des mesures législatives prévoyant, aux fins de la lutte contre la criminalité grave et de la prévention des menaces graves contre la sécurité publique,

–        une conservation ciblée des données relatives au trafic et des données de localisation qui soit délimitée, sur la base d’éléments objectifs et non discriminatoires, en fonction de catégories de personnes concernées ou au moyen d’un critère géographique, pour une période temporellement limitée au strict nécessaire, mais renouvelable ;

–        une conservation généralisée et indifférenciée des adresses IP attribuées à la source d’une connexion, pour une période temporellement limitée au strict nécessaire ;

–        une conservation généralisée et indifférenciée des données relatives à l’identité civile des utilisateurs de moyens de communications électroniques, et

–        le recours à une injonction faite aux fournisseurs de services de communications électroniques, au moyen d’une décision de l’autorité compétente soumise à un contrôle juridictionnel effectif, de procéder, pour une durée déterminée, à la conservation rapide des données relatives au trafic et des données de localisation dont disposent ces fournisseurs de services,

dès lors que ces mesures assurent, par des règles claires et précises, que la conservation des données en cause est subordonnée au respect des conditions matérielles et procédurales y afférentes et que les personnes concernées disposent de garanties effectives contre les risques d’abus.

L’article Données personnelles. Leurs collectes et conservations de manière généralisée et indifférenciée, les précisions apportées par la Cour de Justice le 5 avril 2022. est apparu en premier sur Philippe Schmitt Avocats.

Données personnelles : à propos des réquisitions des données de connexion et autres données informatique portant sur des données nominatives.

Philippe Schmitt — Wed, 02 Feb 2022 10:02:14 +0000

Le 3 décembre 2021, le Conseil constitutionnel s’est prononcé sur la licéité de la collecte des données personnelles sur réquisition de données informatiques par le procureur de la République dans le cadre d’une enquête préliminaire. La décision

La question de la collecte des données nominatives lors de mesure d’enquête administrative ou d’enquête préliminaire a déjà été signalée ici à propos de l’HADOPI et de la collecte massive et préalable de données auprès des opérateurs de téléphonies.

La Cour de justice s’est également prononcée sur cette question plus récemment par une décision du 5 avril 2022.

Les dispositions contestées de la loi française:

L’article 77-1-1 du code de procédure pénale, dans sa rédaction résultant de la loi 24 décembre 2020, prévoit :
« Le procureur de la République ou, sur autorisation de celui-ci, l’officier ou l’agent de police judiciaire, peut, par tout moyen, requérir de toute personne, de tout établissement ou organisme privé ou public ou de toute administration publique qui sont susceptibles de détenir des informations intéressant l’enquête, y compris celles issues d’un système informatique ou d’un traitement de données nominatives, de lui remettre ces informations, notamment sous forme numérique, le cas échéant selon des normes fixées par voie réglementaire, sans que puisse lui être opposée, sans motif légitime, l’obligation au secret professionnel. Lorsque les réquisitions concernent des personnes mentionnées aux articles 56-1 à 56-5, la remise des informations ne peut intervenir qu’avec leur accord.
« En cas d’absence de réponse de la personne aux réquisitions, les dispositions du second alinéa de l’article 60-1 sont applicables.
« Le dernier alinéa de l’article 60-1 est également applicable.
« Le procureur de la République peut, par la voie d’instructions générales prises en application de l’article 39-3, autoriser les officiers ou agents de police judiciaire, pour des catégories d’infractions qu’il détermine, à requérir de toute personne, de tout établissement ou organisme privé ou public ou de toute administration publique, de leur remettre des informations intéressant l’enquête qui sont issues d’un système de vidéoprotection. Le procureur est avisé sans délai de ces réquisitions. Ces instructions générales ont une durée qui ne peut excéder six mois. Elles peuvent être renouvelées ».
L’article 77-1-2 du même code, dans sa rédaction résultant de la loi du 23 mars 2019, prévoit :
« Sur autorisation du procureur de la République, l’officier ou l’agent de police judiciaire peut procéder aux réquisitions prévues par le premier alinéa de l’article 60-2.
« Sur autorisation du juge des libertés et de la détention saisi à cette fin par le procureur de la République, l’officier ou l’agent de police peut procéder aux réquisitions prévues par le deuxième alinéa de l’article 60-2.
« Les organismes ou personnes concernés mettent à disposition les informations requises par voie télématique ou informatique dans les meilleurs délais.
« Le fait de refuser de répondre sans motif légitime à ces réquisitions est puni conformément aux dispositions du quatrième alinéa de l’article 60-2 ».

Le 3 décembre 2021, le Conseil constitutionnel s’est prononcé sur la compatibilité de ces dispositions :

Qui permettent « au procureur de la République d’autoriser, sans contrôle préalable d’une juridiction indépendante, la réquisition d’informations issues d’un système informatique ou d’un traitement de données nominatives, qui comprennent les données de connexion. »
Au regard du droit de l’Union européenne et, d’autre part, du droit au respect de la vie privée, ainsi que des droits de la défense et du droit à un recours juridictionnel effectif.

Ce que dit le Conseil Constitutionnel.

Sur le droit de l’Union invoqué :

….sans qu’il soit besoin de se prononcer ni sur le grief tiré de la méconnaissance du droit de l’Union européenne qu’il n’appartient pas, au demeurant, au Conseil constitutionnel d’examiner..

Au regard des dispositions nationales :

D’une part, les données de connexion comportent notamment les données relatives à l’identification des personnes, à leur localisation et à leurs contacts téléphoniques et numériques ainsi qu’aux services de communication au public en ligne qu’elles consultent. Compte tenu de leur nature, de leur diversité et des traitements dont elles peuvent faire l’objet, les données de connexion fournissent sur les personnes en cause ainsi que, le cas échéant, sur des tiers, des informations nombreuses et précises, particulièrement attentatoires à leur vie privée.

D’autre part, en application des dispositions contestées, la réquisition de ces données est autorisée dans le cadre d’une enquête préliminaire qui peut porter sur tout type d’infraction et qui n’est pas justifiée par l’urgence ni limitée dans le temps.

Si ces réquisitions sont soumises à l’autorisation du procureur de la République, magistrat de l’ordre judiciaire auquel il revient, en application de l’article 39-3 du code de procédure pénale, de contrôler la légalité des moyens mis en œuvre par les enquêteurs et la proportionnalité des actes d’investigation au regard de la nature et de la gravité des faits, le législateur n’a assorti le recours aux réquisitions de données de connexion d’aucune autre garantie.

Les termes visés par la décision d’inconstitutionnalité.

Article 1^er. – Les mots «, y compris celles issues d’un système informatique ou d’un traitement de données nominatives, » figurant à la première phrase du premier alinéa de l’article 77-1-1 du code de procédure pénale, dans sa rédaction résultant de la loi n° 2020-1672 du 24 décembre 2020 relative au Parquet européen, à la justice environnementale et à la justice pénale spécialisée, et « aux réquisitions prévues par le premier alinéa de l’article 60-2 » figurant au premier alinéa de l’article 77-1-2 du même code, dans sa rédaction résultant de la loi n° 2019-222 du 23 mars 2019 de programmation 2018-2022 et de réforme pour la justice, sont contraires à la Constitution.

Article 2. – La déclaration d’inconstitutionnalité de l’article 1^er prend effet dans les conditions fixées au paragraphe 17 de cette décision. [31 décembre 2022]

L’article Données personnelles : à propos des réquisitions des données de connexion et autres données informatique portant sur des données nominatives. est apparu en premier sur Philippe Schmitt Avocats.

Données personnelles : l’identification des dirigeants d’entreprises dans les annuaires professionnels est-elle soumise au RGPD ?

Philippe Schmitt — Fri, 17 Sep 2021 09:22:01 +0000

Chacun sait qu’au RGPD la notion de données personnelles des personnes physiques est très large, l’article 4 au point 2, prévoit en effet :

« «données à caractère personnel», toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale; »

S’agissant des personnes morales, le considérant 14 du RGPD les exclut de son champ d’application.

(14) La protection conférée par le présent règlement devrait s’appliquer aux personnes physiques, indépendamment de leur nationalité ou de leur lieu de résidence, en ce qui concerne le traitement de leurs données à caractère personnel. Le présent règlement ne couvre pas le traitement des données à caractère personnel qui concernent les personnes morales, et en particulier des entreprises dotées de la personnalité juridique, y compris le nom, la forme juridique et les coordonnées de la personne morale.

Mais toutes les entreprises n’étant pas des personnes morales, resterait-il en suspend la seule situation des données personnelles de ceux qui exercent en leur nom personnel ? Antérieurement au RGPD, la Cour justice s’était prononcée en faveur d’une balance entre les intérêts en cause c’est-à-dire l’intérêt de cette personne qui souhaitait la suppression de données personnelles la concernant et qui étaient accessibles en ligne, et la nécessité d’information du public.

Ttoutefois, dans ces annuaires professionnels existe bien souvent une troisième catégorie de données, les données personnelles des représentants légaux des personnes morales.

La décision de la CNIL du 15 septembre 2021 serait donc du plus grand intérêt.

Brièvement les faits

Le site web ….. est un annuaire professionnel recensant les entreprises françaises et qui dresse, pour chacune d’elles, une fiche de présentation reprenant ses principales informations administratives, notamment le nom et l’adresse de son dirigeant. Ces données proviennent exclusivement de la base publique SIRENE publiée par l’INSEE sur son site web. Environ une fois par mois, le dirigeant de la société télécharge manuellement le fichier mis à disposition par l’INSEE et compare la nouvelle liste avec celle précédemment publiée sur le site web de la société pour mettre à jour sa base de données. Les dirigeants des sociétés peuvent créer un compte sur le site, pour accéder à un espace personnel permettant de souscrire aux offres commerciales de la société proposant une présentation personnalisée de leur entreprise.

Les circonstances de l’intervention de la CNIL

La Commission nationale de l’informatique et des libertés (ci-après « la CNIL » ou « la Commission » ) a été destinataire, entre le 1er mars 2018 et le 16 mai 2019, de seize plaintes ……… relatives aux difficultés rencontrées lors de demandes d’effacement et de rectification des données à caractère personnel.

Mission de contrôle ( 135 demandes d’exercices des droits non traitées ), audition du dirigeant de la société exploitante cet annuaire professionnel, différentes demandes d‘informations auxquelles la société répond imparfaitement, mise en demeure et relance de celle-ci avec là aussi une réponse incomplète, différentes diligences de la CNIL qui vont la conduire à prononcer une sanction administrative de 3 000 € .

De quelles personnes physiques, les données présentes sur cet annuaire professionnel sont qualifiées au sens du RGPD de données personnelles par la CNIL ?

L’article 4.1 du RGPD définit les « données à caractère personnel » comme « toute information se rapportant à une personne physique identifiée ou identifiable » .
La société a émis des doutes quant au caractère personnel des données traitées et, partant, quant à la compétence de la Commission. Selon la société, les données qu’elle publie dans son annuaire ne sont pas soumises au règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016 au motif qu’elles ne seraient pas des données à caractère personnel mais des données relatives à des entreprises.
La rapporteure considère que les informations présentes sur ces pages contiennent des données qui ont le caractère de « données à caractère personnel » au sens du RGPD dès lors qu’elles permettent une identification directe d’une personne physique.
La formation restreinte relève que les fiches relatives aux entreprises référencées dans l’annuaire accessible à partir du site web de la société font figurer, notamment, les noms, prénoms et adresses des personnes physiques lorsque celles-ci ont le statut d’autoentrepreneur ou lorsqu’elles exercent une profession libérale sans être membre d’une structure d’exercice. Dès lors, des données présentes sur les fiches se rapportent à une personne physique identifiée et ont ainsi le caractère de « données à caractère personnel » au sens du RGPD.
A cet égard, la formation restreinte observe que la CNIL adopte cette position de manière constante, depuis de nombreuses années. Elle indiquait en ce sens, dès 1985, que « sont directement nominatives : les informations relatives aux dirigeants, quelle que soit la forme de l’entreprise, de même que les informations relatives aux électeurs dans le cadre de l’organisation des élections consulaires ; les informations relatives à la raison sociale de l’entreprise, dès lors qu’il s’agit d’une entreprise en nom » (délibération n° 85-45 du 15 octobre 1985). Le Conseil d’Etat affirme également que sont des données à caractère personnel les données qui permettent une identification directe d’une personne physique (voir en ce sens la décision Conseil d’État, 10ème SSJS, 30 décembre 2015, n° 376845, §8).
La formation restreinte considère donc que les données traitées par ….. l’annuaire ….. sont des données à caractère personnel au sens de l’article 4.1 du Règlement et que les dispositions du Règlement sont applicables au traitement opéré par la société.

Pour mémoire à cet arrêt de 1985 du Conseil d’État, l’arrêt, le point 8 ne détaillait pas la nature des emplois de ces données personnelles :

8. En dernier lieu, aux termes du deuxième alinéa de l’article 2 de la loi du 6 janvier 1978 : » Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne. « . Il résulte de cette définition que le nom et les coordonnées des personnes physiques, telles que leurs adresses et leurs numéros de téléphone, constituent des informations relatives à une personne physique identifiée et, par suite, des données à caractère personnel au sens des dispositions de la loi du 6 janvier 1978. Dès lors, que ces données soient des coordonnées professionnelles des personnes physiques en cause, et qu’elles soient le cas échéant par ailleurs rendues publiques, est sans incidence à cet égard ; c’est donc à bon droit, contrairement à ce qui est soutenu, que la Commission nationale de l’informatique et des libertés les a qualifiées de données à caractère personnel.

Sauf à cette référence « depuis de nombreuses années » qui renvoie à 1985, cette décision ne préciserait donc pas clairement si le RGPD s’applique ou non aux données personnelles des représentants légaux des sociétés personnes morales.

L’article Données personnelles : l’identification des dirigeants d’entreprises dans les annuaires professionnels est-elle soumise au RGPD ? est apparu en premier sur Philippe Schmitt Avocats.