GuiGui's Show

Règlement européen 2024/900 relatif à la transparence et au ciblage de la publicité à caractère politique (dit RPP).

Précise le RGPD (comme s'il y avait besoin 😑️).

Utilisation de données à caractère personnel (ciblage, mise en avant algorithmique, etc.) pour de la prospection politique : collecte directe et consentement.

Reste de la prospection politique : consentement ou intérêt légitime.

Première élection française durant lequel ce règlement était en application : élections municipales 2026.

#UE

Les décisions de la CNIL de sanctionner Google et Shein sont intéressantes.

Google : délibération SAN-2025-004
Shein : délibération SAN-2025-005

Dans les deux cas, la CNIL réexplique la compétence qu'elle tire d'e-Privacy, l'absence de guichet unique RGPD (pour la création de compte Google), et l'intrication entre un établissement en Irlande et un en France (en gros, tant que l'étab FR facilite ou favorise, dans le cadre de ses activités, le déploiement en France d'un traitement, y compris par la promotion ou la vente d'espace pub avec traceurs, alors la CNIL est compétente). Google points 84-86 (Google LLC conçoit et implémente la technologie Google, a un rôle fondamental dans le processus décisionnel, y compris dans l'UE, cf. organigramme, opère dans le monde entier, et le DPO de Google Irlande témoigne de l'implication de Google USA) ; Shein point 44.

Dans Shein, sur le test A/B :

88 […] En effet, les cookies de " A/B testing " nécessitent uniquement d’identifier la cohorte (groupe A ou B) à laquelle appartient un utilisateur et cela sur une période très limitée. Ce cookie, au vu de ses caractéristiques [identifiant + durée de vie 10 ans], ne peut dès lors pas être considéré comme ayant pour finalité exclusive de permettre ou faciliter la communication par voie électronique et ne peut pas non plus être considéré comme strictement nécessaire à la fourniture d’un service de communication en ligne expressément demandé par l’utilisateur.

Dans Shein, sur le retrait effectif du consentement aux cookies et traceurs (points 145 à 149), y compris ceux déposés par des tiers : bloquer les requêtes réseaux depuis le site web de Shein vers les tiers ne suffit pas, ces tiers peuvent retrouver le visiteur sur d'autres sites, il faut informer les tiers du retrait du consentement. Début 2026, la CNIL a retenu ce manquement de sites web français dans le cadre des plaintes de l'association PURR.

#ePrivacy

Usage domestique

Le RGPD ne s'applique pas dans le cadre d'une activité strictement personnelle ou domestique. Qu'est-ce que ça n'est pas ?

Dans le recueil de la CNIL, on trouve :

• C-25/17 (Jehovan), pt 42 et suivants : notes aides-mémoire sur les visites rendues par des prédicateurs de porte-à-porte de Jéhovah contenant nom, adresse, convictions religieuse ou situation de famille. Jéhovah donne des lignes directrices et organise / coordonne l'activité de porte-à-porte. Liste d'opposition. Pour la CJUE, il s'agit d'une activité dirigée vers l'extérieur de la sphère privée des membres prédicateurs + nombre indéfini de prédicateurs à travers le temps = pas activité domestique ;
  
  
• C-212/13 (Ryneš), dispositif : des caméras filmant une maison familiale pour la protéger cesse d'être une activité domestique dès lors qu'elles filment aussi, même partiellement, l'espace public. Activitée dirigée vers l'extérieur de la sphère privée ;

On a aussi :

• C-101/01 (Bodil Lindqvist), pt 47 : quelques pages web contenant des infos sur des collègues paroissiens (identité, nom, loisirs, situation familiale, téléphone, etc.). Publication sur Internet = rendre accessible à un nombre indéfini de personnes ;
  
  
• C-73/07 (Satakunnan Markkinapörssi et Satamedia), pt 44 : journal centré sur la publication de données publiques obtenues auprès de l'administration fiscale (nom, prénom, revenus, imposition) = porter des données collectées à la connaissance d'un nombre indéfini de personnes.

Oui, ces arrêts ont été pris sous l'empire de la directive de 95, mais les déductions restent valables, cf. article 94 du RGPD et les références à ces arrêts dans des décisions plus récentes (sur la co-responsabilité de traitement, C-604/22 (infra) pointe C-25/17, par ex.).

Transparency and Consent Framework (TCF) de l'Interactive Advertising Bureau (IAB)

C-604/22. Communiqué de presse.

TC String, chaîne de caractère stockant les consentements aux cookies et autres traceurs, peut constituer une donnée à caractère personnel (DCP) lorsqu'elle peut raisonnablement être associée à un identifiant, comme l'adresse IP.

IAB Europe serait responsable conjoint de traitement en ce qu'elle a établi des règles techniques et des modalités de stockage et de diffusion d'une DCP (TC String) si elle influait, à ses fins, sur les moyens et finalités du traitement, même si elle n'a pas accès aux DCP.

Cette responsabilité ne s'étend pas automatiquement aux traitements ultérieurs effectués par les éditeurs de sites web.

Champ / étendue / périmètre de l'enquête d'une autorité de protection des données

T-70/23.

Précise mollement le considérant 141 du RGPD. Voir aussi C-768/21 infra.

49 En effet, l’article 57 du règlement 2016/679, qui porte sur l’ensemble des missions des autorités de contrôle, prévoit comme première mission, à son paragraphe 1, sous a), celle de contrôler l’application dudit règlement et de veiller au respect de celui-ci. Ainsi, contrairement à ce qu’a avancé en substance la requérante à l’audience, l’analyse des conditions dans lesquelles un traitement de données à caractère personnel est effectué et de sa conformité à ce règlement ne doit pas être limitée à ce que la réclamation d’un plaignant met en exergue.

50 Surtout, assurer pleinement les missions prévues à l’article 57, paragraphe 1, sous a) et f), du règlement 2016/679, de veiller au respect de celui-ci et de traiter les réclamations dans la mesure nécessaire, implique de retenir un champ d’analyse approprié du dossier au regard de la réclamation qui en est à l’origine […]

[…]

55 Au titre d’une interprétation téléologique, la requérante soutient, tout d’abord, que reconnaître au CEPD le pouvoir d’imposer à une autorité de contrôle chef de file d’élaborer un projet de décision complémentaire et d’élargir préalablement à cet effet le champ de son enquête est incompatible avec les finalités du mécanisme du « guichet unique » voulu par le législateur lorsqu’il a adopté le règlement 2016/679. L’instauration d’une autorité de contrôle unique pour les intéressés aurait notamment visé à leur éviter des coûts superflus et des désagréments excessifs, ainsi que l’indiquerait le considérant 129 de ce règlement. Rouvrir une enquête en raison d’un simple désaccord entre autorités de contrôle méconnaîtrait cet objectif, en obligeant les auteurs de réclamations et les entreprises visées à faire face à la reprise de l’enquête, avec des coûts et des désagréments, alors que cette phase devait être terminée.

56 Cependant, sans qu’il soit nécessaire de se prononcer sur les intentions du législateur, il suffit de constater qu’un guichet unique répond à un objectif de simplification de nature procédurale qui ne saurait primer sur l’objectif essentiel du règlement 2016/679 de faire respecter le droit fondamental des personnes physiques à la protection de leurs données à caractère personnel. Le premier considérant dudit règlement rappelle à ce propos que l’article 8, paragraphe 1, de la charte des droits fondamentaux et l’article 16, paragraphe 1, TFUE disposent que toute personne a droit à la protection des données à caractère personnel la concernant. Un élargissement d’enquête, nécessairement demandé par au moins la moitié des autorités de contrôle dans le cadre du CEPD, ne vise pas, contrairement à ce que soutient la requérante, à compliquer la tâche de la personne ayant déposé une réclamation ou celle du responsable de traitement visé par celle-ci, mais constitue une mesure pour défendre leurs droits respectifs. Au demeurant, une enquête et une analyse de l’autorité de contrôle chef de file couvrant d’emblée l’ensemble des aspects nécessaires à l’élaboration d’une décision finale complète concernant le cas en cause permettent d’éviter les inconvénients mentionnés par la requérante.

Attention à C-169/23.

La juridiction de renvoi s'interroge : les « mesures appropriées visant à protéger les intérêts légitimes d'une personne concernée » prévues par l'article 14(5)c du RGPD incluent-elles les mesures de sécurité du traitement au titre de l'article 32 ? La CJUE répond non.

Partant, l'autorité de protection des données (APD), saisie du fait qu'un responsable de traitement a invoqué à tort l'article 14(5)c du RGPD, n'avait pas à étudier le respect de l'article 32 qui est disjoint.

Donc, il se déduit que l'auteur d'une réclamation doit préciser sa réclamation à l'APD.

70 En second lieu, s’agissant de savoir si cette vérification doit porter également sur le caractère approprié, au regard de l’article 32 du RGPD, des mesures que le responsable du traitement est tenu de mettre en œuvre pour assurer la sécurité du traitement, il y a lieu de souligner que l’article 14, paragraphe 5, sous c), de ce règlement établit une exception uniquement à l’obligation d’information prévue à l’article 14, paragraphes 1, 2 et 4, dudit règlement, sans prévoir une dérogation aux obligations contenues dans d’autres dispositions du même règlement, parmi lesquelles l’article 32 de celui-ci.

71 Cet article 32 oblige le responsable du traitement et son éventuel sous‑traitant à mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité du traitement des données à caractère personnel qui soit adéquat. Le caractère approprié de telles mesures doit être évalué de manière concrète, en tenant compte des risques liés au traitement concerné et en appréciant si la nature, la teneur et la mise en œuvre de ces mesures sont adaptées à ces risques (voir, en ce sens, arrêts du 14 décembre 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, points 42, 46 et 47, ainsi que du 25 janvier 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, points 37 et 38).

72 Au vu des termes respectifs de ces deux dispositions, il convient de relever que les obligations consacrées à l’article 32 du RGPD, qui doivent être respectées en toute hypothèse et indépendamment de l’existence ou non d’une obligation d’information en vertu de l’article 14 de ce règlement, sont de nature et de portée différentes par rapport à l’obligation d’information prévue à cet article 14.

73 Ainsi, en cas de réclamation au titre de l’article 77, paragraphe 1, du RGPD, au motif que le responsable du traitement a invoqué, à tort, l’exception prévue à l’article 14, paragraphe 5, sous c), de ce règlement, l’objet des vérifications à effectuer par l’autorité de contrôle est circonscrit par le champ d’application du seul article 14 dudit règlement, le respect de l’article 32 de celui-ci ne faisant pas partie de ces vérifications.

74 Compte tenu des motifs qui précèdent, il y a lieu de répondre aux deuxième et troisième questions que l’article 14, paragraphe 5, sous c), et l’article 77, paragraphe 1, du RGPD doivent être interprétés en ce sens que, dans le cadre d’une procédure de réclamation, l’autorité de contrôle est compétente pour vérifier si le droit de l’État membre auquel est soumis le responsable du traitement prévoit des mesures appropriées pour protéger les intérêts légitimes de la personne concernée, aux fins de l’application de l’exception prévue à cet article 14, paragraphe 5, sous c). Cette vérification ne porte toutefois pas sur le caractère approprié des mesures que le responsable du traitement est tenu de mettre en œuvre, en vertu de l’article 32 de ce règlement, afin de garantir la sécurité des traitements de données à caractère personnel.

Compétence d'une autorité de protection des données vis-à-vis d'un parlement et d'une juridiction

C-33/22 (CP) : traitement mis en place par une commission parlementaire de contrôle de l'exécutif = soumis à l'autorité de protection des données (APD). Dans ses conclusions dans CE 494474, le rapporteur public admet, certes en creux, l'examen de la CNIL d'une réclamation visant des manquements sur le site web de l'Assemblée nationale.

C-245/20, pt 38 : données personnelles mises temporairement à dispo de la presse par une juridiction pour lui permettre de mieux rendre compte d'une procédure = fonction juridictionnelle = pas touche pour l'APD "normale". Mais une autorité de contrôle des juridictions devrait avoir compétence, en toute logique.

Droit au traitement licite des données + précisions sur dommages-intérêts

C-655/23.

En gros : le RGPD prévoit un droit d'obtenir un traitement licite des données à caractère personnel ; le RGPD ne prévoit pas qu'un juge judiciaire puisse enjoindre, à titre préventif, à un responsable de traitement (RT) de s'abstenir d'une réitération d'un traitement litigieux, mais les États-Membre peuvent prévoir cela ; Les dommages moraux englobent les sentiments négatifs éprouvés par une personne concernée suite à la transmission à un tiers de ses données à caractère personnel, tels que la crainte ou le mécontentement ou l'atteinte à la réputation (en l'espèce, une personne qui connaissait le requérant a appris, par erreur, le refus de sa prétention salariale par un recruteur), mais il faut démontrer ces sentiments ; la gravité de la faute commise par le RT n'intervient pas dans la détermination des dommages-intérêts.

Conclusions :

38 Il existe donc, en tant que contrepartie immédiate des exigences prévues à l’article 5, paragraphe 1, sous a), et à l’article 6, paragraphe 1, du RGPD, un droit de la personne concernée à ce que tout traitement de ses données à caractère personnel soit licite. À mon sens, il s’agit là de la prémisse dont il convient de partir, bien que ce droit n’apparaisse pas explicitement dans le chapitre III du RGPD.

39 En effet, si le chapitre III du RGPD, consacré aux droits de la personne concernée, ne contient pas, en tant que telle, la reconnaissance du droit à ce que le traitement des données personnelles de cette personne soit licite, cela est dû au fait qu’une telle reconnaissance expresse n’est pas nécessaire ; la lecture des articles 5 et 6 du RGPD suffit pour conclure que ce droit est présumé.

[…]

41 De surcroît, je ne suis pas certain que les droits de la personne concernée soient uniquement ceux précisés au chapitre III du RGPD. Dans ce règlement, on peut trouver d’autres droits dont l’exercice doit être facilité, en premier lieu, par le responsable du traitement (21). Par exemple, le droit de retirer le consentement est prévu à l’article 7, paragraphe 3, du RGPD, qui ne figure pas en tant que tel au chapitre III de ce règlement.

Arrêt :

29 Cette juridiction se demande, premièrement, si le RGPD confère, à une personne dont les données à caractère personnel ont fait l’objet d’un traitement illicite, le droit d’exiger que le responsable du traitement s’abstienne de réitérer ce traitement, y compris lorsque cette personne ne demande pas l’effacement de ses données. Compte tenu de la jurisprudence nationale et des débats doctrinaux à ce sujet, ladite juridiction souhaite savoir si ce droit, dont elle précise qu’il est exercé à titre purement préventif, pourrait résulter de l’article 17 de ce règlement, relatif au droit à un tel effacement, de l’article 18 de celui‑ci, relatif au droit à la limitation du traitement, de l’article 79 dudit règlement, relatif au droit à un recours juridictionnel effectif contre le responsable du traitement ou le sous‑traitant, ou de toute autre disposition du même règlement.

[…)

40 Comme M. l’avocat général l’a relevé, en substance, aux points 32, 34 et 38 de ses conclusions, l’article 8 de la Charte proclame, à son paragraphe 1, le droit à la protection des données à caractère personnel, mais aussi impose, à son paragraphe 2, que ces données soient traitées dans le respect de certaines conditions, duquel dépend la licéité du traitement considéré. De même, les obligations énoncées au chapitre II du RGPD, qui pèsent sur le responsable du traitement, ont pour pendant des droits spécifiques prévus par ce règlement, qui sont conférés aux personnes concernées. Ainsi, ces dernières bénéficient d’un droit à un traitement licite de leurs données à caractère personnel, qui est le corollaire de l’obligation générale, mise à la charge de ce responsable, de ne pas traiter de telles données d’une manière non conforme aux exigences dudit règlement.

[…]

59 En deuxième lieu, ainsi que la Commission européenne l’a relevé dans ses observations écrites, des situations, telles que celles invoquées dans le litige au principal, tenant à une « atteinte à la réputation » résultant d’une violation de données à caractère personnel ou à une « perte de contrôle » sur de telles données, figurent explicitement parmi les exemples de possibles dommages qui sont énumérés aux considérants 75 et 85 du RGPD.

[…]

62 Ainsi, bien que les sentiments mentionnés par la juridiction de renvoi, en particulier la crainte ou le mécontentement, puissent par ailleurs faire partie des risques généraux inhérents à la vie courante ainsi que cette juridiction l’observe elle‑même, de tels sentiments négatifs sont susceptibles de constituer un « dommage moral », au sens de l’article 82, paragraphe 1, du RGPD, pour autant que, conformément à l’exigence d’un lien de causalité rappelée au point 56 du présent arrêt, la personne concernée démontre qu’elle éprouve de tels sentiments, avec leurs conséquences négatives, précisément en raison de la violation en cause de ce règlement, telle qu’une transmission non autorisée de ses données à caractère personnel à un tiers engendrant le risque d’un usage abusif de celles‑ci, ce qu’il incombe aux juges nationaux saisis d’apprécier.

[…]
66 À cet égard, il ressort de la jurisprudence de la Cour que, dès lors que le RGPD ne contient pas de dispositions ayant pour objet de définir les règles relatives à l’évaluation des dommages‑intérêts dus au titre du droit à réparation consacré à l’article 82 de ce règlement, les juges nationaux doivent, à cette fin, appliquer les règles internes de chaque État membre relatives à l’étendue de la réparation pécuniaire, pour autant que soient respectés les principes d’équivalence et d’effectivité du droit de l’Union

[…]

71 Ainsi, d’une part, l’engagement de la responsabilité du responsable du traitement au titre de l’article 82 du RGPD est subordonné à l’existence d’une faute commise par celui‑ci, laquelle est présumée, à moins que ce dernier ne prouve que le fait qui a provoqué le dommage ne lui est nullement imputable, et, d’autre part, cet article 82 ne requiert pas que le degré de gravité de cette faute soit pris en compte lors de la fixation du montant des dommages‑intérêts alloués en réparation d’un préjudice moral sur le fondement dudit article (arrêt du 4 octobre 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, point 154).

Obligation d'adoption de mesures correctrices + motivation + information = droit individuel (confirmation article 83(5)b)

C-768/21.

À lire en combinaison avec T-70/23 (supra) C-26/22, l'interprétation de noyb, et l'Internal EDPB Document 02/2021 on SAs duties in relation to alleged GDPR infringements (notamment pts 59, 65, 68) : une autorité de protection des données, comme la CNIL, doit enquêter jusqu'à identifier si un manquement a été commis ou non. Si oui, elle doit remédier à la situation. À titre exceptionnel, elle peut ne pas adopter de mesure correctrice si le manquement au RGPD a cessé et que la conformité du traitement est assurée. Elle n'a le choix que des moyens d'enquête et des mesures correctrices, tant qu'elle atteint ces objectifs (identifier et remédier) et que sa démarche garantit un niveau élevé de protection des personnes.

Sur la motivation, lire aussi.

Conclusions :

55 […] l’obligation principale de cette autorité à l’égard [de l’auteur d’une réclamation] dans le cadre de la procédure de réclamation consiste *à motiver de manière suffisamment précise et détaillée sa décision d’intervenir ou non** en l’espèce, compte tenu des constatations faites dans le cadre de l’enquête menée par l’autorité.

[…]

66 Le second niveau comprend les violations des droits individuels protégés par ce règlement, tels que les droits fondamentaux, les principes de base d’un traitement, les droits à l’information des personnes concernées, les règles de transfert, etc. 

Arrêt :

37 À cet égard, il convient de relever que le RGPD laisse à l’autorité de contrôle une marge d’appréciation quant à la manière dont elle doit remédier à l’insuffisance constatée puisque l’article 58, paragraphe 2, de celui-ci confère à cette autorité le pouvoir d’adopter diverses mesures correctrices. Ainsi, la Cour a déjà jugé que le choix du moyen approprié et nécessaire relève de l’autorité de contrôle, qui doit opérer ce choix en prenant en considération toutes les circonstances du cas concret et en s’acquittant avec toute la diligence requise de sa mission consistant à veiller au plein respect du RGPD (voir, en ce sens, arrêt du 16 juillet 2020, Facebook Ireland et Schrems, C‑311/18, EU:C:2020:559, point 112).

38 Cette marge d’appréciation est cependant limitée par la nécessité de garantir un niveau cohérent et élevé de protection des données à caractère personnel par une application rigoureuse des règles, ainsi qu’il ressort des considérants 7 et 10 du RGPD.

[…]

42 En revanche, l’autorité de contrôle est tenue d’intervenir lorsque l’adoption de l’une ou plusieurs des mesures correctrices prévues à l’article 58, paragraphe 2, du RGPD est, compte tenu de toutes les circonstances du cas concret, appropriée, nécessaire et proportionnée pour remédier à l’insuffisance constatée et garantir le plein respect de ce règlement.

À cet égard, il n’est pas exclu que, à titre exceptionnel et compte tenu des circonstances particulières du cas concret, l’autorité de contrôle puisse s’abstenir d’adopter une mesure correctrice bien qu’une violation de données à caractère personnel ait été constatée. Tel pourrait être le cas, notamment, lorsque la violation constatée n’a pas persisté, par exemple lorsque le responsable du traitement, qui avait, en principe, mis en œuvre des mesures techniques et organisationnelles appropriées au sens de l’article 24 du RGPD, a, dès qu’il a eu connaissance de cette violation, pris les mesures appropriées et nécessaires pour que ladite violation prenne fin et ne se reproduise pas, compte tenu des obligations lui incombant, notamment, au titre de l’article 5, paragraphe 2, et de l’article 24 de ce règlement.

[…]

46 Il s’ensuit que l’adoption d’une mesure correctrice peut, à titre exceptionnel et compte tenu des circonstances particulières du cas concret, ne pas s’imposer, pourvu que la situation de violation du RGPD ait déjà été rétablie et que la conformité des traitements de données à caractère personnel à ce règlement par leur responsable soit assurée, et qu’une telle abstention de l’autorité de contrôle ne soit pas de nature à porter atteinte à l’exigence d’une application rigoureuse des règles, telle que rappelée au point 38 du présent arrêt.

#jurisprudence

22 En deuxième lieu, si l'article 34 de la loi du 6 janvier 1978 dispose : " Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ". Ces dispositions, qui sont relatives aux obligations du responsable du traitement dans le fonctionnement de ce dernier, ne peuvent être utilement invoquées à l'appui de conclusions dirigées contre l'acte réglementaire portant création du traitement automatisé dont la légalité n'est pas susceptible d'être affectée par les conditions dans lesquelles ce traitement sera mis en oeuvre. Dans ces conditions, le moyen tiré de l'erreur de fait qu'aurait commise le ministre de l'intérieur en omettant de prendre en compte " la réalité de l'insécurité permanente " induite par le traitement litigieux ne peut qu'être écarté.

De jurisprudence constante (CE 317182, CE 334014), un manquement à l'obligation de sécurité du RGPD / directive police-justice ou l'absence des garanties nécessaires à la sécurité des données à caractère personnel est sans incidence sur la légalité de l'acte instituant un fichier (= ce grief ne permet pas d'obtenir l'annulation de l'acte, et donc du fichier).

Dans cette affaire (fichier TES / fichier des Titres électroniques sécurisés), malgré la demande des exégètes amateurs, le CE a refusé de tempérer ou de renverser sa jurisprudence.