Conseil d'État
N° 430810
Publié au recueil Lebon
Lecture du vendredi 19 juin 2020
26-07-04 : Droits civils et individuels- Protection des données à caractère personnel- Obligations incombant aux responsables de traitements-
1) Obligations d'information et de transparence (art. 12 et 13 du RGPD) - Accessibilité des informations pertinentes relatives aux différentes finalités et à l'ampleur du traitement - 2) Recueil du consentement (art. 4, 6 et 7 du RGPD) - a) Consentement univoque - Recueil au moyen d'une case cochée par défaut - Absence - b) Consentement spécifique - Recueil dans le cadre de l'acceptation globale de conditions générales d'utilisation d'un service - Absence - c) Consentement éclairé - Exigence d'une présentation claire et distincte de l'ensemble des finalités poursuivies par le traitement (1).
1) Il résulte clairement des articles 12 et 13 du règlement (UE) n° 2016/679 du 27 avril 2016 (RGPD) que l'information fournie aux utilisateurs doit les mettre en mesure de déterminer à l'avance la portée et les conséquences du traitement afin d'éviter qu'ils soient pris au dépourvu quant à la façon dont leurs données à caractère personnel ont vocation à être utilisées. Si les exigences de concision, d'intelligibilité, de clarté et de simplicité de l'information posées par le RGPD justifient que celle-ci ne soit pas excessivement détaillée afin de ne pas décourager l'utilisateur d'en prendre connaissance, tous les éléments pertinents relatifs aux différentes finalités et à l'ampleur du traitement doivent lui être aisément accessibles. 2) Il résulte du 11 de l'article 4 et des articles 6 et 7 du RGPD, tels qu'interprétés par la Cour de justice de l'Union européenne dans son arrêt C-673/17 du 1er octobre 2019 que le consentement libre, spécifique, éclairé et univoque ne peut qu'être un consentement exprès de l'utilisateur, donné en toute connaissance de cause et après une information adéquate sur l'usage qui sera fait de ses données personnelles. a) Un consentement donné au moyen d'une case cochée par défaut n'implique pas un comportement actif de la part de l'utilisateur et ne peut dès lors être considéré comme procédant d'un acte positif clair permettant valablement le recueil du consentement. b) En outre, un consentement recueilli dans le cadre de l'acceptation globale de conditions générales d'utilisation d'un service ne revêt pas un caractère spécifique au sens du RGPD. c) Enfin, indépendamment des modalités dans lesquelles il est recueilli, le consentement n'est valide que s'il est précédé d'une présentation claire et distincte de l'ensemble des finalités poursuivies par le traitement.
26-07-10 : Droits civils et individuels- Protection des données à caractère personnel- Commission nationale de l'informatique et des libertés-
Contrôle du respect des exigences du RGPD en cas de traitement transfrontalier de données personnelles au sein de l'UE - 1) Compétence de l'autorité de contrôle de l'établissement principal dans l'Union du responsable du traitement (art. 56 du RGDP) - Modalités de détermination - a) Principe - Lieu du siège réel - b) Exception - Etablissement doté d'un pouvoir décisionnel quant aux finalités et moyens du traitement - 2) Cas dans lequel le responsable du traitement n'a pas d'établissement principal dans l'Union - Compétence de la CNIL pour contrôler le respect du RGPD sur le territoire français (art. 55 du RGPD).
1) Il résulte clairement du 7) de l'article 4 et des articles 16, 55 et 56 du règlement (UE) n° 2016/679 du 27 avril 2016 (RGPD) que lorsqu'est en cause un traitement transfrontalier de données à caractère personnel opéré au sein de l'Union européenne, l'autorité de contrôle de l'établissement principal dans l'Union du responsable de ce traitement est, en tant qu'autorité chef de file, compétente pour contrôler le respect des exigences du RGPD. a) Pour la détermination de l'autorité de contrôle compétente, l'administration centrale du responsable du traitement, c'est-à-dire le lieu de son siège réel, doit en principe être regardée comme son établissement principal. b) Il en va autrement si un autre de ses établissements est compétent pour prendre les décisions relatives aux finalités et aux moyens du traitement et dispose du pouvoir de les faire appliquer à l'échelle de l'Union. 2) Dans l'hypothèse où un responsable de traitement implanté en dehors de l'Union européenne met en oeuvre un traitement transfrontalier sur le territoire de l'Union, mais qu'il n'y dispose ni d'administration centrale, ni d'établissement doté d'un pouvoir décisionnel quant à ses finalités et à ses moyens, le mécanisme de l'autorité chef de file prévu à l'article 56 du RGPD ne peut être mis en oeuvre. Dans pareil cas, chaque autorité de contrôle nationale est compétente pour contrôler le respect du RGPD sur le territoire de l'Etat membre dont elle relève, conformément à l'article 55 précité.
(1) Cf. CE, décision du même jour, Association des agences conseil en communication et autres, n° 434684, à mentionner aux Tables.
N° 430810
Publié au recueil Lebon
Lecture du vendredi 19 juin 2020
26-07-04 : Droits civils et individuels- Protection des données à caractère personnel- Obligations incombant aux responsables de traitements-
1) Obligations d'information et de transparence (art. 12 et 13 du RGPD) - Accessibilité des informations pertinentes relatives aux différentes finalités et à l'ampleur du traitement - 2) Recueil du consentement (art. 4, 6 et 7 du RGPD) - a) Consentement univoque - Recueil au moyen d'une case cochée par défaut - Absence - b) Consentement spécifique - Recueil dans le cadre de l'acceptation globale de conditions générales d'utilisation d'un service - Absence - c) Consentement éclairé - Exigence d'une présentation claire et distincte de l'ensemble des finalités poursuivies par le traitement (1).
1) Il résulte clairement des articles 12 et 13 du règlement (UE) n° 2016/679 du 27 avril 2016 (RGPD) que l'information fournie aux utilisateurs doit les mettre en mesure de déterminer à l'avance la portée et les conséquences du traitement afin d'éviter qu'ils soient pris au dépourvu quant à la façon dont leurs données à caractère personnel ont vocation à être utilisées. Si les exigences de concision, d'intelligibilité, de clarté et de simplicité de l'information posées par le RGPD justifient que celle-ci ne soit pas excessivement détaillée afin de ne pas décourager l'utilisateur d'en prendre connaissance, tous les éléments pertinents relatifs aux différentes finalités et à l'ampleur du traitement doivent lui être aisément accessibles. 2) Il résulte du 11 de l'article 4 et des articles 6 et 7 du RGPD, tels qu'interprétés par la Cour de justice de l'Union européenne dans son arrêt C-673/17 du 1er octobre 2019 que le consentement libre, spécifique, éclairé et univoque ne peut qu'être un consentement exprès de l'utilisateur, donné en toute connaissance de cause et après une information adéquate sur l'usage qui sera fait de ses données personnelles. a) Un consentement donné au moyen d'une case cochée par défaut n'implique pas un comportement actif de la part de l'utilisateur et ne peut dès lors être considéré comme procédant d'un acte positif clair permettant valablement le recueil du consentement. b) En outre, un consentement recueilli dans le cadre de l'acceptation globale de conditions générales d'utilisation d'un service ne revêt pas un caractère spécifique au sens du RGPD. c) Enfin, indépendamment des modalités dans lesquelles il est recueilli, le consentement n'est valide que s'il est précédé d'une présentation claire et distincte de l'ensemble des finalités poursuivies par le traitement.
26-07-10 : Droits civils et individuels- Protection des données à caractère personnel- Commission nationale de l'informatique et des libertés-
Contrôle du respect des exigences du RGPD en cas de traitement transfrontalier de données personnelles au sein de l'UE - 1) Compétence de l'autorité de contrôle de l'établissement principal dans l'Union du responsable du traitement (art. 56 du RGDP) - Modalités de détermination - a) Principe - Lieu du siège réel - b) Exception - Etablissement doté d'un pouvoir décisionnel quant aux finalités et moyens du traitement - 2) Cas dans lequel le responsable du traitement n'a pas d'établissement principal dans l'Union - Compétence de la CNIL pour contrôler le respect du RGPD sur le territoire français (art. 55 du RGPD).
1) Il résulte clairement du 7) de l'article 4 et des articles 16, 55 et 56 du règlement (UE) n° 2016/679 du 27 avril 2016 (RGPD) que lorsqu'est en cause un traitement transfrontalier de données à caractère personnel opéré au sein de l'Union européenne, l'autorité de contrôle de l'établissement principal dans l'Union du responsable de ce traitement est, en tant qu'autorité chef de file, compétente pour contrôler le respect des exigences du RGPD. a) Pour la détermination de l'autorité de contrôle compétente, l'administration centrale du responsable du traitement, c'est-à-dire le lieu de son siège réel, doit en principe être regardée comme son établissement principal. b) Il en va autrement si un autre de ses établissements est compétent pour prendre les décisions relatives aux finalités et aux moyens du traitement et dispose du pouvoir de les faire appliquer à l'échelle de l'Union. 2) Dans l'hypothèse où un responsable de traitement implanté en dehors de l'Union européenne met en oeuvre un traitement transfrontalier sur le territoire de l'Union, mais qu'il n'y dispose ni d'administration centrale, ni d'établissement doté d'un pouvoir décisionnel quant à ses finalités et à ses moyens, le mécanisme de l'autorité chef de file prévu à l'article 56 du RGPD ne peut être mis en oeuvre. Dans pareil cas, chaque autorité de contrôle nationale est compétente pour contrôler le respect du RGPD sur le territoire de l'Etat membre dont elle relève, conformément à l'article 55 précité.
(1) Cf. CE, décision du même jour, Association des agences conseil en communication et autres, n° 434684, à mentionner aux Tables.