« «données à caractère personnel», toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale; »

S’agissant des personnes morales, le considérant 14 du RGPD les exclut de son champ d’application.

(14) La protection conférée par le présent règlement devrait s’appliquer aux personnes physiques, indépendamment de leur nationalité ou de leur lieu de résidence, en ce qui concerne le traitement de leurs données à caractère personnel. Le présent règlement ne couvre pas le traitement des données à caractère personnel qui concernent les personnes morales, et en particulier des entreprises dotées de la personnalité juridique, y compris le nom, la forme juridique et les coordonnées de la personne morale.

Mais toutes les entreprises n’étant pas des personnes morales, resterait-il en suspend la seule situation des données personnelles  de ceux qui exercent en leur nom personnel ? Antérieurement au RGPD, la Cour justice s’était prononcée en faveur d’une balance entre les intérêts en cause c’est-à-dire  l’intérêt de cette personne qui souhaitait la suppression de données personnelles la concernant et qui étaient accessibles en ligne,  et la nécessité d’information du public.

Ttoutefois, dans ces annuaires professionnels existe bien souvent une troisième catégorie de données, les données personnelles des représentants légaux des personnes morales.  

La décision de la CNIL du 15 septembre 2021 serait donc du plus grand intérêt.

Brièvement les faits

2. Le site web ….. est un annuaire professionnel recensant les entreprises françaises et qui dresse, pour chacune d’elles, une fiche de présentation reprenant ses principales informations administratives, notamment le nom et l’adresse de son dirigeant. Ces données proviennent exclusivement de la base publique SIRENE publiée par l’INSEE sur son site web. Environ une fois par mois, le dirigeant de la société télécharge manuellement le fichier mis à disposition par l’INSEE et compare la nouvelle liste avec celle précédemment publiée sur le site web de la société pour mettre à jour sa base de données. Les dirigeants des sociétés peuvent créer un compte sur le site, pour accéder à un espace personnel permettant de souscrire aux offres commerciales de la société proposant une présentation personnalisée de leur entreprise.

Les circonstances de l’intervention de la CNIL

3. La Commission nationale de l’informatique et des libertés (ci-après « la CNIL » ou « la Commission » ) a été destinataire, entre le 1er mars 2018 et le 16 mai 2019, de seize plaintes ……… relatives aux difficultés rencontrées lors de demandes d’effacement et de rectification des données à caractère personnel.

Mission de contrôle ( 135 demandes d’exercices des droits non traitées ), audition du dirigeant de la société exploitante cet annuaire professionnel, différentes demandes d‘informations auxquelles la société répond imparfaitement, mise en demeure et relance de celle-ci avec là aussi une réponse incomplète, différentes diligences de la CNIL qui vont la conduire à prononcer une sanction administrative de 3 000 € .  

De quelles personnes physiques, les données présentes sur cet annuaire professionnel sont qualifiées au sens du RGPD de données personnelles par la CNIL ?

22. L’article 4.1 du RGPD définit les « données à caractère personnel » comme « toute information se rapportant à une personne physique identifiée ou identifiable » .
23. La société a émis des doutes quant au caractère personnel des données traitées et, partant, quant à la compétence de la Commission. Selon la société, les données qu’elle publie dans son annuaire ne sont pas soumises au règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016 au motif qu’elles ne seraient pas des données à caractère personnel mais des données relatives à des entreprises.
24. La rapporteure considère que les informations présentes sur ces pages contiennent des données qui ont le caractère de « données à caractère personnel » au sens du RGPD dès lors qu’elles permettent une identification directe d’une personne physique.
25. La formation restreinte relève que les fiches relatives aux entreprises référencées dans l’annuaire accessible à partir du site web de la société font figurer, notamment, les noms, prénoms et adresses des personnes physiques lorsque celles-ci ont le statut d’autoentrepreneur ou lorsqu’elles exercent une profession libérale sans être membre d’une structure d’exercice. Dès lors, des données présentes sur les fiches se rapportent à une personne physique identifiée et ont ainsi le caractère de « données à caractère personnel » au sens du RGPD.
26. A cet égard, la formation restreinte observe que la CNIL adopte cette position de manière constante, depuis de nombreuses années. Elle indiquait en ce sens, dès 1985, que « sont directement nominatives : les informations relatives aux dirigeants, quelle que soit la forme de l’entreprise, de même que les informations relatives aux électeurs dans le cadre de l’organisation des élections consulaires ; les informations relatives à la raison sociale de l’entreprise, dès lors qu’il s’agit d’une entreprise en nom » (délibération n° 85-45 du 15 octobre 1985). Le Conseil d’Etat affirme également que sont des données à caractère personnel les données qui permettent une identification directe d’une personne physique (voir en ce sens la décision Conseil d’État, 10ème SSJS, 30 décembre 2015, n° 376845, §8).
27. La formation restreinte considère donc que les données traitées par ….. l’annuaire ….. sont des données à caractère personnel au sens de l’article 4.1 du Règlement et que les dispositions du Règlement sont applicables au traitement opéré par la société.

Pour mémoire à cet arrêt de 1985 du Conseil d’État, l’arrêt, le point 8 ne détaillait pas la nature des emplois de ces données personnelles :

8. En dernier lieu, aux termes du deuxième alinéa de l’article 2 de la loi du 6 janvier 1978 :  » Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne. « . Il résulte de cette définition que le nom et les coordonnées des personnes physiques, telles que leurs adresses et leurs numéros de téléphone, constituent des informations relatives à une personne physique identifiée et, par suite, des données à caractère personnel au sens des dispositions de la loi du 6 janvier 1978. Dès lors, que ces données soient des coordonnées professionnelles des personnes physiques en cause, et qu’elles soient le cas échéant par ailleurs rendues publiques, est sans incidence à cet égard ; c’est donc à bon droit, contrairement à ce qui est soutenu, que la Commission nationale de l’informatique et des libertés les a qualifiées de données à caractère personnel.

Sauf à cette référence « depuis de nombreuses années » qui renvoie à 1985, cette décision ne préciserait donc pas clairement si le RGPD s’applique ou non aux données personnelles des représentants légaux des sociétés personnes morales.

Libertés publiques et collectes de données biométriques, l’arrêt de la Cour de justice du 19 mars 2026,

La Cour de justice ouvre le contentieux contre les décisions du Comité Européen de la Protection des Données

Données personnelles : l’arrêt du 2 décembre 2025 applicable à tous les contenus des usagers des plateformes

Une clarification favorable au responsable du traitement

RGPD :  une amende uniquement pour une violation fautive, mais le nombre des potentiels payeurs augmente

IA, c’est qui le responsable du traitement et du respect des autres dispositions du RGPD ?

Qui a condamné WhatsApp à 225 millions d’euros d’amende en 2021 ?

Données personnelles. Leurs collectes et conservations de manière généralisée et indifférenciée, les précisions apportées par la Cour de Justice le 5 avril 2022.

Données personnelles : à propos des réquisitions des données de connexion et autres données informatique portant sur des données nominatives.

CNIL : les critères de détermination du responsable de traitement, une question à 400 000 €

L’article Données personnelles : l’identification des dirigeants d’entreprises dans les annuaires professionnels est-elle soumise au RGPD ? est apparu en premier sur Philippe Schmitt Avocats.

Pour la CNIL, le responsable du traitement est celui qui bénéfice d’une autonomie pour déterminer la finalité et les moyens du traitement. Cette définition ressort de sa décision du 26 juillet 2021 dont de nombreux passages sont repris ci-dessous et qui en montre l’importance pratique. La délibération de la formation restreinte de la CNIL du 26 juillet 2021

• Le contexte de cette affaire : un contrat de prestations

7. Il ressort des investigations …. que, par un contrat cadre de prestation de services en date du 18 juillet 2013, complété par trois avenants et quatre cahiers des charges, la société M…… a confié à la société FH…………….- devenue le 1er janvier 2017 la société…………. – une mission de représentation d’intérêts concernant l’utilisation du glyphosate en Europe et dans le monde, à compter de 2016 et jusqu’au 31 mai 2019.

• La nature des données

9. Dans le cadre de cette prestation, la société FH…………….a procédé à l’identification et au recensement d’informations relatives à des personnalités impliquées dans le débat sur le renouvellement de l’autorisation d’utilisation du glyphosate en Europe, qui s’est notamment concrétisé par l’élaboration et la tenue d’une liste des « parties prenantes » intervenant dans le cadre de cette campagne. Ce fichier, intitulé « French M…… stakeholders database – cultivating trust » , comportait une liste de 201 personnes résidant en France, dont des membres d’associations de protection de l’environnement, d’associations d’agriculteurs, d’associations dans le domaine de la santé, d’organisations professionnelles, des personnalités politiques, des membres d’administrations, des journalistes, des universitaires et des agriculteurs. Pour chacune de ces personnes, les informations suivantes étaient renseignées : organisme de rattachement et site web, poste occupé, adresse professionnelle, numéro de téléphone fixe professionnel, numéro de téléphone portable, adresse de messagerie électronique professionnelle et, le cas échéant, compte « Twitter » .

• Le traitement des données personnelles

10. En outre, une note allant de 1 à 5 était attribuée à chaque personne, afin d’évaluer son influence, sa crédibilité et son soutien à la société M…… sur six sujets, en l’occurrence l’agriculture, les pesticides, les organismes génétiquement modifiés, l’environnement, l’alimentation et la santé.
11. Le fichier comportait également une zone de commentaire libre dans laquelle pouvaient être indiqués les évènements auxquels ces personnes avaient assisté ou qu’elles avaient organisé, les personnes avec qui elles travaillaient, les contacts qu’elles avaient eus avec des représentants de la société M…… ou encore les articles qu’elles avaient publiés au sujet du glyphosate.

• Le débat sur la qualité de responsable de traitement

La disposition invoquée du RGPD

28. Aux termes de l’article 4 (7) du RGPD, le responsable de traitement est défini comme étant « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement « .

La position du rapporteur

29. La rapporteure considère qu’en l’espèce, la société M…… doit être regardée comme le responsable du traitement en question dans la mesure où elle est la personne pour le compte de laquelle le traitement est mis en œuvre, qui détermine pourquoi le traitement a lieu et comment son objectif doit être atteint. En effet, le fichier en cause avait pour objet de permettre à la société M…… d’identifier et de recenser les parties prenantes du secteur afin de mettre en place une stratégie de communication ciblée en faveur du renouvellement de l’autorisation du glyphosate par la Commission européenne. Elle rappelle ainsi que c’est pour atteindre cet objectif qu’elle a décidé de confier à la société FH…………….l’ensemble des activités liées aux relations publiques et à la réputation de l’entreprise et, plus particulièrement à compter de 2016, une mission de représentation d’intérêts concernant l’utilisation du glyphosate en Europe et dans le monde et que c’est dans le cadre de cette mission que le fichier nommé « 20160822 French M…… stakeholders database – cultivating trust  » a été établi.

La position de M…… : une confusion entre bénéficiaire du service et responsable du traitement

30. En défense, la société estime que la responsabilité du traitement incombait exclusivement à la société FH…………….et que la rapporteure confond les notions de bénéficiaire d’un service et celle de responsable de traitement. Elle souligne que c’est la société FH…………….qui, en sa qualité d’entreprise spécialisée en matière de conseil et de relations publiques, a construit le fichier de manière autonome, selon une méthodologie qu’elle a elle-même définie, puis qui l’a proposé à la société M…….
31. La société souligne que c’est en raison de l’expertise de la société FH…………….qu’elle a fait appel à ses services et que la constitution de listes de noms est une pratique courante dans ce secteur d’activités. Elle rappelle qu’elle n’a jamais donné d’instructions à la société FH…………….quant à la façon d’effectuer cette mission et qu’elle n’a fait que réagir aux propositions faites par cette dernière.
32. …., elle n’a jamais utilisé le fichier en question. Or, elle note que si elle avait agi en tant que responsable de traitement, elle aurait demandé à la société FH…………….de modifier le fichier à sa convenance afin d’obtenir un résultat correspondant davantage à ses attentes.
33. La société indique en outre que la société FH…………….se présente sur son site internet comme le responsable de traitement des données traitées dans le cadre des missions qui lui sont confiées par ses clients. Elle rappelle également que c’est la société FH…………….qui a répondu aux demandes d’exercice des droits des personnes concernées en lien avec le traitement en cause.

Ce que dit la CNIL

34. En premier lieu, …..le responsable de traitement est la personne qui détermine les finalités du traitement mis en œuvre, c’est-à-dire le résultat attendu ou recherché, et les moyens de ce traitement, c’est-à-dire la façon de parvenir à ce résultat.
35. Les notions de responsable de traitement et de sous-traitant sont éclairées par le Comité européen de la protection des données (ci-après « le CEPD » ) dans ses lignes directrices 07/2020 adoptées le 2 septembre 2020 et soumises à consultation publique. Le CEPD y indique que « Déterminer les finalités et les moyens revient à décider respectivement du « pourquoi » et du « comment » du traitement : s’agissant d’une opération de traitement particulière, le responsable du traitement est l’acteur qui a déterminé pourquoi le traitement a lieu (c’est-à-dire « dans quel but » ou « pour quel objectif » ) et comment cet objectif doit être atteint (c’est-à-dire quels moyens doivent être utilisés pour atteindre l’objectif). Une personne physique ou morale qui exerce une telle influence sur le traitement des données à caractère personnel participe ainsi à la détermination des finalités et des moyens de ce traitement conformément à la définition de l’article 4, paragraphe 7, du RGPD. Le responsable du traitement doit décider à la fois de la finalité et des moyens de traitement décrits ci-dessous. Par conséquent, le responsable du traitement ne peut pas déterminer uniquement la finalité. Il doit également prendre des décisions sur les moyens du traitement. Inversement, la partie agissant en tant que sous-traitant ne peut jamais déterminer la finalité du traitement » (traduction libre).

Les faits établissant cette connaissance de la finalité et des moyens

37. la société FH…………….a été plus particulièrement chargée d’établir la liste des « parties prenantes » ( « stakeholders » ) dans le cadre de la campagne pour le renouvellement de l’autorisation du glyphosate en Europe.
38. ……………..Il apparaît ainsi que la société FH…………….était explicitement tenue d’établir la liste des parties prenantes dans le cadre de la campagne pour le renouvellement de l’autorisation du glyphosate en Europe.

39…………, il ressort de plusieurs échanges intervenus entre les deux sociétés par voie électronique que la société M…… a été étroitement associée à l’identification et au recensement des parties prenantes impliquées dans le débat sur le glyphosate, activité qui s’est notamment concrétisée par l’élaboration du fichier en question. ………………………..

Les pièces annexées au rapport de sanction attestent ainsi de l’implication de la société M…… dans le suivi des tâches réalisées par la société FH……………, et notamment l’organisation d’échanges quotidiens entre les équipes, de points hebdomadaires, mensuels et trimestriels permettant à la société M…… de suivre l’avancée des tâches confiées à FH…………….et la livraison du travail réalisé ou en cours de réalisation.

40. La formation restreinte considère que ces échanges démontrent que la société FH…………….rendait compte à la société M…… de la progression de la campagne liée au renouvellement du glyphosate et des actions menées dans ce cadre, et surtout que cette dernière exerçait un pouvoir de direction sur les activités de la société FH……………., la privant ainsi de l’autonomie dont jouit normalement un responsable de traitement. Ces éléments démontrent que la société FH…………….a agi en tant que sous-traitant de la société M……, au sens de l’article 4(8) du RGPD.
41. La formation restreinte souligne au contraire que c’est le fait pour la société M……, société donneuse d’ordre, de décider d’accepter la proposition faite par la société FH…………., et de lui demander contractuellement de réaliser des opérations pour son compte en tant que prestataire, qui a permis au traitement d’exister. En effet, si la société M…… avait refusé cette proposition, la société FH…………….n’aurait pas mis en œuvre ce traitement. …..
    

Répondre à des demandes de droit d’accès n’emporte pas la qualité de responsable du traitement

44. En dernier lieu, la formation restreinte considère que le fait pour la société FH…………….d’avoir répondu à des demandes de droits d’accès n’emporte pas pour autant la qualification de responsable de traitement. En effet, l’article 28-3-e du RGPD prévoit que le sous-traitant « aide le responsable du traitement, par des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible, à s’acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d’exercer leurs droits » . Ainsi, au regard des spécificités du traitement, le sous-traitant peut répondre lui-même aux demandes des personnes si cette mesure permet un meilleur respect des droits des personnes. Il est d’ailleurs courant que ce soit le sous-traitant qui soit le plus à même de traiter les demandes d’exercice de droit.

La formation restreinte de la CNIL considère donc, compte tenu de ces éléments, que la société M…… doit être qualifiée de responsable de traitement.

La CNIL condamne la société  M…… en sa qualité de responsable du traitement à une amende de 400 000 €.

Une clarification favorable au responsable du traitement

IA, c’est qui le responsable du traitement et du respect des autres dispositions du RGPD ?

Qui a condamné WhatsApp à 225 millions d’euros d’amende en 2021 ?

Données personnelles. Leurs collectes et conservations de manière généralisée et indifférenciée, les précisions apportées par la Cour de Justice le 5 avril 2022.

Données personnelles : à propos des réquisitions des données de connexion et autres données informatique portant sur des données nominatives.

Données personnelles : l’identification des dirigeants d’entreprises dans les annuaires professionnels est-elle soumise au RGPD ?

Données personnelles de connexion : un contrôle préalable par une juridiction ou une autorité indépendante à l’accès par les agents de l’HADOPI  

Sanction contre l’éditeur du site pour des cookies déposés pas des sociétés tierces

Amende de 1 750 000 € fixée par la CNIL

Consentement personnel : le plan d’action et la période d’adaptation de la CNIL validés

L’article CNIL : les critères de détermination du responsable de traitement, une question à 400 000 € est apparu en premier sur Philippe Schmitt Avocats.

Quelques extraits de cette décision :

54. Enfin, la formation restreinte rappelle que les amendes administratives doivent être dissuasives mais proportionnées. Elle considère en particulier que l’activité de la société et sa situation financière doivent être prises en compte pour la détermination de la sanction et notamment, en cas d’amende administrative, de son montant. Elle relève à ce titre que la société fait état d’une diminution de son chiffre d’affaires, passé de 9,7 milliards en 2019 à 9,3 milliards en 2020, comme de son résultat net, passé de 350 millions en 2019 à 222 millions en 2020. Si la formation restreinte constate le résultat net a diminué de manière assez significative, elle souligne que celui-ci reste largement positif. Au vu de ces éléments, la formation restreinte considère que le prononcé d’une amende de 1 750 000 euros apparaît justifié, compte tenu notamment de la nécessité de sanctionner des manquements à des principes élémentaires du RGPD, commis par un acteur majeur de la protection sociale en France, concernant plusieurs millions de personnes et portant sur des données de nature sensible ou particulière, comme les coordonnées bancaires.
55. En conséquence, la formation restreinte considère qu’il y a lieu de prononcer une amende administrative de 1 750 000 euros au regard des manquements aux articles 5-1-e), 13 et 14 du RGPD.

Une clarification favorable au responsable du traitement

Données personnelles : l’identification des dirigeants d’entreprises dans les annuaires professionnels est-elle soumise au RGPD ?

CNIL : les critères de détermination du responsable de traitement, une question à 400 000 €

Sanction contre l’éditeur du site pour des cookies déposés pas des sociétés tierces

Consentement personnel : le plan d’action et la période d’adaptation de la CNIL validés

L’accès selon la loi du 6 janvier 1978 aux données personnelles du défunt ne bénéficie pas aux ayants droits.

L’article Amende de 1 750 000 € fixée par la CNIL est apparu en premier sur Philippe Schmitt Avocats.

Si le Conseil constitutionnel contrôle la loi adaptant en droit interne un règlement de l’Union européenne[1], il a maintenu jusqu’ici sa jurisprudence traditionnelle lorsqu’il examine une loi sur le fondement des articles 61 et 61-1  de la Constitution.  Le Conseil constitutionnel ne procède pas au contrôle de sa compatibilité avec les engagements internationaux et européens de la France « un tel moyen ne saurait être regardé comme grief d’inconstitutionnalité et relève de la compétence des juridictions administratives et judiciaires [2] ».

Avec la pandémie, l’accès aux juges administratifs et judiciaires étant fortement perturbé, le Conseil constitutionnel aurait donc pu à plus forte raison examiner au regard du RGPD la loi du 11 mai 2020 prorogeant l’état d’urgence. Peut-être que l’existence de la loi de 1978 modifiée par ce règlement a évité cet examen ou peut-être qu’il est apparu préférable de laisser au Conseil d’Etat [3]cette confrontation quitte à en fixer les premières limites ? Peu importe finalement les motivations, notons simplement que le règlement du 27 avril 2016 n’est mentionné qu’une seule fois dans la décision du 11 mai 2020 à  propos « des principes régissant les traitements des données à caractère personnel  et aux droits reconnus aux personnes dont les données sont collectées,  notamment leurs droit d’accès,  d’information et de rectification »[4] mais pour ne pas y voir d’atteinte.

C’est donc sans l’appui du RGPD, que le Conseil constitutionnel retient le 11 mai 2020  « l’objectif de valeur constitutionnelle de protection de la santé », ( points 63,  64 ) pour enfermer strictement le  champ des données à caractère personnel …aux seules données strictement nécessaires à la poursuite des quatre finalités de la loi, – démarche très  RGPD compatible –  , ajoutant d’ailleurs pour celle relative à la surveillance épidémiologique et à la recherche contre le virus la suppression des coordonnées des contacts téléphoniques ou électroniques des intéressés. De même, le Conseil constitutionnel retient le respect de la vie privée pour censurer l’emploi à l’accompagnement social des données personnelles recueilles sans consentement ( point 70), exiger des mécanismes d’habilitation des agents pour l’accès à ces données (point 74), et limiter leur conservation au-delà des trois mois après leur collecte ( point 76).

C’est essentiellement à la CNIL de veiller au respect du RGPD en lui reconnaissant une étonnante adaptabilité à cette situation de pandémie.

Le RGPD est compatible avec une pandémie, « Certains types de traitement peuvent être justifiés à la fois par des motifs importants d’intérêt public et par les intérêts vitaux de la personne concernée, par exemple lorsque le traitement est nécessaire à des fins humanitaires, y compris pour suivre des épidémies et leur propagation, ou dans les cas d’urgence humanitaire, notamment les situations de catastrophe naturelle et d’origine humaine » ( considérant 46 ). Et quitte même à prévoir des aménagements avec le secret professionnel comme le prévoit la loi avec celui des personnels de santé « Le  traitement est nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique, tels que la protection contre les menaces transfrontalières graves pesant sur la santé, ou aux fins de garantir des normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux, sur la base du droit de l’Union ou du droit de l’État membre qui prévoit des mesures appropriées et spécifiques pour la sauvegarde des droits et libertés de la personne concernée, notamment le secret professionnel » (Article 9. 2 i).

Le 8 mai,  la CNIL délibère sur SI-DEP et Contact – Covid et les 24 avril et 25 mai pour StopCovid. N’oublions pas que dès le 20 avril, la CNIL s’était prononcée sur des données des patients sur le Hub santé.

Il ne s’agit pas ici de reprendre ces différents avis et délibérations. Limitons-nous à une observation très générale sur ces différents dispositifs de traitements des données personnelles. Tous sont soumis aux mêmes exigences du RGPD par la CNIL bien que seuls les deux premiers aient nécessité une loi d’urgence sanitaire. Le RGPD n’a que faire de la séparation constitutionnelle entre pouvoir législatif (article 34) et  les attributions réglementaires (article 37), et la CNIL exercer son contrôle  sans distinguer entre la loi et la voie réglementaire !

• La CNIL confronte dans les mêmes termes du RGPD les trois dispositifs même si les parlementaires ont exclu des dispositifs techniques requis par l’urgence sanitaire l’information des contacts des personnes infectées par application mobile.
  

La loi du 11 mai 2020 prorogeant l’état d’urgence sanitaire et complétant ses dispositions initiales n’a créé que deux traitements d’informations dénommés au décret du 12 mai SI-DEP, les données des personnes infectées, et Contact-Covid pour les personnes en contact avec celles identifiées par le premier système informatique. Ces deux traitements ne requièrent pas l’emploi d’une application mobile. Le fichier des personnes infectées est rempli par les médecins et les responsables des laboratoires d’analyse biologique et d’imagerie médicale. Quant aux informations relatives aux personnes en contact avec des personnes infectées, elles sont saisies par ces mêmes professionnels de la santé, par différents personnels d’organismes publics spécialement habilités ou  proviennent du traitement des informations de SI-DEP. Très clairement, la loi en son article 11 écarte le recours à une application mobile de type Stop Covid : « Sont exclus de ces finalités le développement ou le déploiement d’une application informatique à destination du public et disponible sur équipement mobile permettant d’informer les personnes du fait qu’elles ont été à proximité de personnes diagnostiquées positives au Covid-19 ». Dans sa décision, le 11 mai 2020, le Conseil constitutionnel prend acte de cette exclusion.

Bien que soumis à deux régimes juridiques différents par leur origine, ces trois dispositifs sont traités de manière analogue par la CNIL.

 Dès son avis du 8 mai, la CNIL rappelle les exigences applicables aux deux premiers dispositifs autorisés par la loi  « La Commission rappelle que, quel que soit le contexte d’urgence, des garanties suffisantes au regard du respect des principes fondamentaux du droit à la protection des données à caractère personnel doivent être apportées. Ainsi, au-delà de son l’avis sur ce projet de décret, la Commission se montrera attentive aux conditions de mise en œuvre de ces traitements, notamment en ce qui concerne les mesures de sécurité prévues. A ce titre, elle demande à être informée des conditions de leur déploiement par la CNAM et le ministère, notamment dans le cadre de la réalisation et de l’évaluation des analyses d’impact relatives à la protection des données (AIPD) qui devront, pour chacun des traitements, être réalisées en application de l’article 35 du RGPD. La Commission demande à ce que celles-ci lui soient transmises dans leur version définitive ainsi que, le cas échéant, leurs mises à jour. »

• L’avis de la CNIL retient comme base légale à Stop Covid la mission d’intérêt public de lutte contre la pandémie et non une quelconque urgence qui avait habilitée le gouvernement à intervenir par ordonnance. 

Le 27 mai, les parlementaires ne votent pas sur une nouvelle loi relative à l’état d’urgence. Ils se prononcent sur une déclaration du gouvernement « relative aux innovations numériques de la lutte contre l’épidémie ». Dans cet intitulé, l’urgence n’apparait pas. Quand le secrétaire d’État au numérique précise que « l’application pouvait être déployée à droit constant sans modifier aucunement la législation existante », il se réfère à l’avis de la CNIL dont la base légale est la mission d’intérêt public de lutte contre la pandémie.  A l’Assemblée nationale, les prises de parole opposent les libertés publiques à l’épidémie sans citer en tant que telle l’urgence même si celle-ci est sous-entendue « s’il ne devait sauver qu’une seule vie humaine, cela justifierait son existence » .

L’urgence et les mesures prises en son nom ne sont pas loin. Stop Covid interagit avec les deux traitements SI-DEP et Contact-Covid. Mais n’est-ce pas d’ailleurs ce que demande la CNIL son déploiement doit s’inscrire dans un plan d’ensemble et « mettant en garde le gouvernement contre la tentation du « solutionnisme technologique » Informée par son mobile d’un contact avec un patient contaminé,  la personne présumée infectée aura un avantage à se voir inscrire dans le fichier Contact-Covid pour obtenir le remboursement des tests effectués en laboratoire de biologie médicale et pour la délivrance de masque en officine.

Cette interaction entre Stop Covid et les deux traitements est un point de vigilance de la CNIL qui a par avance indiqué qu’aucune conséquence négative ne devait être attachée à l’absence de téléchargement ou l’utilisation de l’application. Stop Covid se fonde sur le volontariat des utilisateurs quand les deux traitements sont obligatoires. En séance, le gouvernement a pris l’engagement d’inclure Stop Covid dans la mission d’évaluation des outils numériques du Comité de contrôle et de liaison créé par la loi du 11 mai. Et dans son avis du 26 mai, la CNIL admet que le caractère temporaire de l’application est respecté quand celle-ci voit sa durée calquée sur celle prévue pour les traitements SI-DEP et Contact- Covid.  A cette application qui ressemblerait de plus en plus aux deux traitements qui n’ont été autorisés que par la loi sur l’état d’urgence sanitaire, la CNIL a néanmoins voulu voir dans le projet de décret qui lui était soumis,  l’exclusion de certaines finalités des deux traitements : «  soit expressément exclues des finalités poursuivies par le traitement : les opérations de recensement des personnes infectées, d’identification des zones dans lesquelles ces personnes se sont déplacées, de prise de contact avec la personne alertée ou de surveillance du respect des mesures de confinement ou de tout autre recommandation sanitaire. Le traitement ne doit pas non plus permettre de réaliser le suivi des interactions sociales des personnes ». A nouveau, les deux avis de la CNIL dessinent le fil rouge des libertés publiques et de la vie privée.

Aux trois dispositifs de données personnelles en relation avec la pandémie, issus de la loi ou de la voie règlementaire, et sans distinguer selon cette origine,  la CNIL oppose le RGPD et les principes fondamentaux des libertés publiques.

[1] Décision n°2018-765 DC du 12 juin 2018

[2] Décision  n° 2010-605 DC du 12 mai 2010  cons. 11 et 12 ; n° 2014-694 DC du 28 4, Loi relative à l’interdiction de la mise en culture des variétés de maïs génétiquement modifié, cons. 2.

[3] Voir par exemple au point 71 de la décision du 11 main

[4] Point 75

L’article CORONAVIRUS et Etat d’urgence sanitaire : la CNIL garante des libertés publiques grace au RGPD appliqué indistinctement aux bases de données personnelles instaurées par la Loi ou par Décret est apparu en premier sur Philippe Schmitt Avocats.

– le RGPD , le règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel. Applicable notamment à la matière civile et commerciale, il constitue le cadre général de la protection des données. Les obligations prévues par le règlement seront également applicables aux opérateurs installés hors de l’Union européenne et offrant des biens et services aux Européens. Ce règlement est applicable à compter du 25 mai 2018 ;

– la directive (UE) 2016/680 relative aux traitements mis en œuvre à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales. Cette directive doit être transposée d’ici le 6 mai 2018.

La protection des données personnelles : un droit fondamental

Au préalable, ce projet de loi rappelle un acquis essentiel à la protection des données personnelles : « La protection des données à caractère personnel constitue l’une des dimensions du droit au respect de la vie privée ; elle est désormais consacrée comme un droit fondamental à part entière dans la Charte des droits fondamentaux de l’Union européenne (article 8) ». S’ajoute par conséquent aux deux textes précités, la Charte des droits fondamentaux que doit également intégrer en droit national ce projet de loi.

Rappelant l’importance que les français attachent à la protection de leurs données personnelles, ce projet rappelle que « seul le cadre européen permet d’y répondre même si la France a pu dès 1978 légiférer en la matière ».

La création de nouveaux droits effectifs et un nouveau paradigme

Deux axes de réforme sont soulignés .

La création de nouveaux droits en faveur des personnes physiques .

Le règlement conforte les droits des personnes physiques sur leurs données à caractère personnel déjà garantis dans la loi du 6 janvier 1978 (notamment le droit d’information des personnes), et en crée de nouveaux comme le droit à l’effacement ou « droit à l’oubli » et le droit à la portabilité des données.  

Un changement de paradigme : la déclaration préalable transformée en une mise en conformité permanente.

« le passage d’un système de contrôle a priori de la CNIL, par le biais des déclarations et autorisations, à un contrôle a posteriori plus adapté aux évolutions technologiques. 

En contrepartie, la CNIL voit ses pouvoirs de contrôle et de sanctions renforcés avec la possibilité d’infliger des amendes pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial de l’organisme concerné.

Un tel changement de paradigme nécessite une évolution des missions et pouvoirs de l’ensemble des autorités de protection des données de l’Union européenne et ainsi de la CNIL. »

Quant à la directive,  elle s’inscrit comme une exception au règlement, celle relative aux données personnelles en matière pénale mise en œuvre par une autorité compétente

« La directive s’applique aux traitements de données à caractère personnel mis en œuvre par une autorité compétente à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution des sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces.

La directive n’est pas applicable dès lors que le traitement de données est mis en œuvre pour des finalités qui ne sont pas pénales ou par une autorité qui n’est pas compétente ». 

La présentation du projet de loi faite par Madame Nicole BELLOUBET, Garde des Sceaux, Ministre de la Justice indique trois orientations.

1°) Le gouvernement ne souhaite pas intervenir sur tous les points ( il y a une cinquantaine) sur lesquels le règlement laisse un pouvoir d’intervention aux Etats

Le règlement étant directement applicable, le projet de loi ne peut recopier ses dispositions. Il en est ainsi des dispositions relatives au délégué à la protection des données. Toutefois, le règlement prévoit plus d’une cinquantaine de marges de manœuvre qui permettent aux États membres de préciser certaines dispositions ou de prévoir plus de garanties que ce que prévoit le droit européen. Certaines marges de manœuvre permettent de maintenir des dispositions déjà existantes dans notre droit national. D’autres, en revanche, peuvent être mises en œuvre afin notamment de prendre en compte l’évolution technologique et sociétale. À cet égard, l’article 8 du règlement fixe à 16 ans l’âge à partir duquel un mineur peut consentir à une offre directe de services de la société de l’information, tout en laissant aux États membres la possibilité d’abaisser cet âge du consentement jusqu’à 13 ans. Le Gouvernement ayant fait le choix de ne pas faire usage de cette marge de manœuvre, le projet de loi ne contient aucune disposition sur l’âge du consentement, le seuil de 16 ans fixé par le règlement s’appliquant.

2°) S’agissant du traitement des données personnelles pénales par des autorités compétentes, il s’agit de distinguer i) ce qui appartient au droit de l’Union des prérogatives conservées par les Etats, ii) ce qui est du domaine du règlement, ou de la directive, et partant, pour enfin déterminer  iii) les objectifs fixés par la directive.

La directive s’applique aux traitements de données à caractère personnel mis en œuvre par une autorité compétente à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution des sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces.

La directive n’est pas applicable dès lors que le traitement de données est mis en œuvre pour des finalités qui ne sont pas pénales ou par une autorité qui n’est pas compétente

La directive n’est pas non plus applicable aux traitements intéressant la sûreté de l’État et la défense, qui ne relèvent pas du droit de l’Union européenne.

L’articulation entre la directive et le règlement est précisée par le considérant 12 de la directive. Celui-ci indique notamment que relèvent de la directive les traitements concernant des « activités menées par la police ou d’autres autorités répressives [qui] sont axées principalement sur la prévention et la détection des infractions pénales et les enquêtes et les poursuites en la matière, y compris les activités de police effectuées sans savoir au préalable si un incident constitue une infraction pénale ou non ». Il précise que « ces activités peuvent également comprendre l’exercice de l’autorité par l’adoption de mesures coercitives, par exemple les activités de police lors de manifestations, de grands événements sportifs et d’émeutes », et que « parmi ces activités figure également le maintien de l’ordre public lorsque cette mission est confiée à la police ou à d’autres autorités répressives lorsque cela est nécessaire à des fins de protection contre les menaces pour la sécurité publique et pour les intérêts fondamentaux de la société protégés par la loi, et de prévention de telles menaces, qui sont susceptibles de déboucher sur une infraction pénale ». Il indique en revanche, qu’entrent dans le champ d’application du règlement, pour autant qu’ils relèvent du droit de l’Union, les traitements par lesquels « les États membres [confient] aux autorités compétentes d’autres missions qui ne sont pas nécessairement menées à des fins de prévention et de détection des infractions pénales, d’enquêtes ou de poursuites en la matière, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ».

Les principales innovations de la directive consistent en la création :

– d’un droit à l’information de la personne concernée par les données personnelles traitées ;

– d’un droit d’accès, de rectification et d’effacement s’exerçant par principe de manière directe, alors que la loi actuelle prévoit un exercice indirect de ces droits pour les traitements intéressant la sécurité publique et la police judiciaire.

Elle précise également les conditions applicables aux transferts de données à caractère personnel vers les autres États membres, vers les États tiers et vers des entités privées au sein d’États tiers en instaurant un mécanisme à plusieurs niveaux en fonction du degré d’ « adéquation » du niveau de protection des données. Elle prévoit enfin que tous les accords incompatibles avec les règles de protection des données doivent être renégociés ou complétés par des protocoles pour assurer la protection des données à caractère personnel.

3°) la conservation de la loi de 1978

le Gouvernement a fait le choix symbolique de ne pas abroger la loi fondatrice du 6 janvier 1978. Certes, l’adaptation du droit national au règlement et la transposition de la directive exigent de remanier plusieurs articles de cette loi, mais les principes fondateurs dégagés par le législateur il y a près de quarante ans demeurent toujours valables.

L’article Données personnelles : projet de loi de transposition du paquet européen de protection des données personnelles est apparu en premier sur Philippe Schmitt Avocats.

Les faits brièvement résumés à l’arrêt.

Mme et MM. D…sont les ayants droit de Mme E…D…, décédée le 2 août 2012 ; que, sur le fondement de l’article 39 de la loi du 6 janvier 1978, ils ont demandé à la Banque de France, dernier employeur de Mme E…D…, la communication du relevé des appels téléphonique passés par la défunte entre le 1er et le 31 juillet 2012 depuis sa ligne professionnelle, dans le but de déterminer le nombre et la durée des échanges qu’elle avait eus avec le corps médical avant son décès ;

L’employeur refuse.

Les ayants droits saisissent la présidente de la Commission nationale de l’informatique et des libertés (CNIL) qui rejette leur demande d’accès aux relevés des appels téléphoniques.

Ils demandent l’annulation pour excès de pouvoir de cette décision de la Présidente de la CNIL

Le 8 juin 201, le Conseil d’Etat rejette leur recours.

Les considérants principaux de l’arrêt du 8 juin 2016.

2. Considérant, en premier lieu, qu’aux termes du dernier alinéa de l’article 2 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés :  » La personne concernée par un traitement de données à caractère personnel est celle à laquelle se rapportent les données qui font l’objet du traitement.  » ; qu’aux termes de l’article 39 de cette même loi :  » I. Toute personne physique justifiant de son identité a le droit d’interroger le responsable d’un traitement de données à caractère personnel en vue d’obtenir : / (…) 4° La communication, sous une forme accessible, des données à caractère personnel qui la concernent (…)  » ; qu’il résulte de ces dispositions qu’elles ne prévoient la communication des données à caractère personnel qu’à la personne concernée par ces données ; qu’il suit de là que c’est à bon droit que la présidente de la CNIL, qui avait reçu délégation pour prendre la décision attaquée, a confirmé le refus opposé par la Banque de France à Mme et MMD…, qui ne pouvaient, en leur seule qualité d’ayants droit, être regardés comme des  » personnes concernées  » ;

3. Considérant, en second lieu, que le moyen tiré de ce que la décision attaquée méconnaîtrait les stipulations de l’article 2 de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales relatives au droit à la vie ne peut qu’être écarté, dès lors qu’il ne saurait être déduit de ces stipulations un droit, pour les ayants droit d’un défunt, à la communication des données à caractère personnel concernant ce dernier ;

L’arrêt est là

Libertés publiques et collectes de données biométriques, l’arrêt de la Cour de justice du 19 mars 2026,

La Cour de justice ouvre le contentieux contre les décisions du Comité Européen de la Protection des Données

Données personnelles : l’arrêt du 2 décembre 2025 applicable à tous les contenus des usagers des plateformes

Une clarification favorable au responsable du traitement

IA, c’est qui le responsable du traitement et du respect des autres dispositions du RGPD ?

Qui a condamné WhatsApp à 225 millions d’euros d’amende en 2021 ?

Données personnelles. Leurs collectes et conservations de manière généralisée et indifférenciée, les précisions apportées par la Cour de Justice le 5 avril 2022.

Données personnelles : à propos des réquisitions des données de connexion et autres données informatique portant sur des données nominatives.

Données personnelles : l’identification des dirigeants d’entreprises dans les annuaires professionnels est-elle soumise au RGPD ?

Données personnelles de connexion : un contrôle préalable par une juridiction ou une autorité indépendante à l’accès par les agents de l’HADOPI  

L’article L’accès selon la loi du 6 janvier 1978 aux données personnelles du défunt ne bénéficie pas aux ayants droits. est apparu en premier sur Philippe Schmitt Avocats.