https://gdprhub.eu/api.php?action=feedcontributions&user=Tsek&feedformat=atomGDPRhub - User contributions [en]2024-03-28T10:07:51ZUser contributionsMediaWiki 1.39.6https://gdprhub.eu/index.php?title=CNIL_(France)_-_SAN-2021-010&diff=17604CNIL (France) - SAN-2021-0102021-07-27T19:05:23Z<p>Tsek: /* Holding */ titles in bold</p>
<hr />
<div>{{DPAdecisionBOX<br />
<br />
|Jurisdiction=France<br />
|DPA-BG-Color=<br />
|DPAlogo=LogoFR.png<br />
|DPA_Abbrevation=CNIL (France)<br />
|DPA_With_Country=CNIL (France)<br />
<br />
|Case_Number_Name=SAN-2021-010<br />
|ECLI=<br />
<br />
|Original_Source_Name_1=Legifrance<br />
|Original_Source_Link_1=https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000043829617?page=1&pageSize=10&query=2016%2F679&searchField=ALL&searchType=ALL&sortValue=DATE_DECISION_DESC&tab_selection=cnil&typePagination=DEFAULT<br />
|Original_Source_Language_1=French<br />
|Original_Source_Language__Code_1=FR<br />
<br />
|Type=Investigation<br />
|Outcome=Violation Found<br />
|Date_Decided=20.07.2021<br />
|Date_Published=22.07.2021<br />
|Year=2021<br />
|Fine=1750000<br />
|Currency=EUR<br />
<br />
|GDPR_Article_1=Article 5(1)(e) GDPR<br />
|GDPR_Article_Link_1=Article 5 GDPR#1e<br />
|GDPR_Article_2=Article 13 GDPR<br />
|GDPR_Article_Link_2=Article 13 GDPR<br />
|GDPR_Article_3=Article 14 GDPR<br />
|GDPR_Article_Link_3=Article 14 GDPR<br />
|GDPR_Article_4=Article 83 GDPR<br />
|GDPR_Article_Link_4=Article 83 GDPR<br />
<br />
<br />
<br />
|Party_Name_1=AG2R La Mondiale<br />
|Party_Link_1=https://www.ag2rlamondiale.fr/<br />
|Party_Name_2=<br />
|Party_Link_2=<br />
|Party_Name_3=<br />
|Party_Link_3=<br />
|Party_Name_4=<br />
|Party_Link_4=<br />
|Party_Name_5=<br />
|Party_Link_5=<br />
<br />
|Appeal_To_Body=<br />
|Appeal_To_Case_Number_Name=<br />
|Appeal_To_Status=Unknown<br />
|Appeal_To_Link=<br />
<br />
|Initial_Contributor=Kest<br />
|<br />
}}<br />
<br />
The French DPA (Commission Nationale de l’Informatique et des Libertés – CNIL) imposed a fine of €1,75 million on an insurance and supplementary pension firm for violations of Articles [[Article 5(1)(e) GDPR|5(1)(e)]], [[Article 13 GDPR|13]] and [[Article 14 GDPR|14]] GDPR on the duration of personal data retention and information due to data subjects.<br />
<br />
== English Summary ==<br />
<br />
=== Facts ===<br />
An on-site investigation carried out by the CNIL in October 2019 revealed the following breaches.<br />
<br />
First, the internal firm policy on data retention duration was only implemented in several areas of activities. In this respect, the company later indicated that it had undertaken a broad compliance plan and, in particular, that an IT project had been initiated in 2017 in order to achieve effective compliance with GDPR. However, the timetable of this project could not be met due to the complexity of the firm's information systems.<br />
<br />
Second, it appeared that subcontractors performed all of canvassing operations without informing data subjects on the processing their personal data and their rights. In addition, subcontracting agreements did not contain any provision on the matter, and 30% of calls were recorded, without informing clients and prospects.<br />
<br />
Since the on-site investigation, the firm has been implementing corrective measures. According to the firm, compliance with data retention legal duration will be complete by 2022 and canvassing operations are now carried out in accordance with Article [[Article 13 GDPR|13]] and [[Article 14 GDPR|14]] GDPR.<br />
<br />
<br />
=== Dispute ===<br />
Dispute :<br />
<br />
• Has the firm violated [[Article 5(1)(e)]] GDPR and domestic legal provisions regarding personal data retention?<br />
<br />
• Has the firm violated Article [[Article 13 GDPR|13]] and [[Article 14 GDPR|14]] GDPR because its subcontractors did not provide clients and prospects with information listed in those articles during canvassing operations?<br />
<br />
• In both cases, does the compliance policy implemented by the firm reduce its responsibility under [[Article 83 GDPR]]?<br />
<br />
<br />
<br />
=== Holding ===<br />
'''1. On the duration of data retention'''<br />
<br />
The CNIL founds that the company has violated [[Article 5(1)(e)]] and several domestic provisions of the Insurance Code. Regarding the 3 years limit of retention of prospects’ data, the CNIL reiterates that its [https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000027837528/ Norme Simplifiée NS-056], whilst non mandatory and dating back from 2013, still provides with the appropriate and proportionate duration of retention for this category of data.<br />
<br />
Regarding the sanction, the CNIL takes into account that the firm has been gradually implementing a complex compliance policy since 2017 and has undertaken corrective measures during the course of the proceedings that improved greatly its situation.<br />
<br />
However, compliance measures adopted do not absolve the company of its responsibility for the past. Full compliance will not be achieved before 2022 and established violations are the result of a lack of anticipation that, with regard to the firm’s size and resources, could have been avoided.<br />
<br />
Hence, the firm is fined to an amount of €1,75 million.<br />
<br />
'''2. On the information of data subject in the context of canvassing operations'''<br />
<br />
The CNIL founds that the total lack of information is contrary to Articles [[Article 13 GDPR|13]] and [[Article 14 GDPR|14]] GDPR.<br />
<br />
Nonetheless, the firm has taken appropriate measures to achieve compliance with foresaid articles during the course of the procedure.<br />
<br />
The CNIL therefore decided not to impose a sanction on this matter.<br />
<br />
<br />
== Comment ==<br />
''Share your comments here!''<br />
<br />
== Further Resources ==<br />
''Share blogs or news articles here!''<br />
<br />
== English Machine Translation of the Decision ==<br />
The decision below is a machine translation of the French original. Please refer to the French original for more details.<br />
<br />
<pre><br />
Délibération de la formation restreinte n°SAN-2021-010 du 20 juillet 2021 concernant la société SGAM AG2R LA MONDIALE<br />
<br />
La Commission nationale de l’informatique et des libertés, réunie en sa formation restreinte composée de Monsieur Alexandre LINDEN, président, Monsieur Philippe-Pierre CABOURDIN, vice-président, Monsieur Bertrand du MARAIS, Madame Christine MAUGÜE et Monsieur Alain DRU, membres ;<br />
<br />
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données à caractère personnel et à la libre circulation de ces données ;<br />
<br />
Vu la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 20 et suivants ;<br />
<br />
Vu le décret no 2019-536 du 29 mai 2019 pris pour l'application de la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;<br />
<br />
Vu la délibération no 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l'informatique et des libertés ;<br />
<br />
Vu la décision n° 2019-164C du 26 septembre 2019 de la présidente de la Commission nationale de l’informatique et des libertés de charger le secrétaire général de procéder ou de faire procéder à une mission de vérification des traitements mis en œuvre par le groupe AG2R LA MONDIALE ou pour son compte ;<br />
<br />
Vu la décision de la présidente de la Commission nationale de l’informatique et des libertés portant désignation d’un rapporteur devant la formation restreinte, en date du 12 novembre 2020 ;<br />
<br />
Vu le rapport de Madame Sophie LAMBREMON, commissaire rapporteure, notifié à la SGAM AG2R LA MONDIALE le 26 avril 2021 ;<br />
<br />
Vu les observations écrites versées par la SGAM AG2R LA MONDIALE le 26 mai 2021 ;<br />
<br />
Vu les observations orales formulées lors de la séance de la formation restreinte ;<br />
<br />
Vu les autres pièces du dossier ;<br />
<br />
Étaient présents, lors de la séance de la formation restreinte du 17 juin 2021 :<br />
<br />
Madame Sophie LAMBREMON, commissaire, entendue en son rapport ;<br />
<br />
En qualité de représentants de la SGAM AG2R LA MONDIALE, s’étant exprimés lors de la séance :<br />
<br />
[…]<br />
<br />
La SGAM AG2R LA MONDIALE ayant eu la parole en dernier ;<br />
<br />
La formation restreinte a adopté la décision suivante :<br />
<br />
I. Faits et procédure<br />
<br />
1. La Société de groupe d’assurance mutuelle AG2R LA MONDIALE (ci-après "la SGAM AG2R LA MONDIALE" ou "la société" ) est une société d’assurance mutuelle créée le 16 janvier 2008. Son siège social est situé […] à Paris [75008].<br />
<br />
2. La SGAM AG2R LA MONDIALE appartient au groupe AG2R LA MONDIALE (ci-après "le groupe" ), organisme français de protection sociale et patrimoniale remplissant, d’une part, une mission de gestion administrative des retraites complémentaires des salariés du secteur privé et, d’autre part, une activité assurantielle. Le groupe assure environ 15 millions personnes en France, à titre individuel ou à titre collectif, et accompagne plus de cinq-cent-mille entreprises. Le groupe emploie environ dix-mille collaborateurs.<br />
<br />
3. Au sein du groupe, la SGAM AG2R LA MONDIALE est chargée de coordonner l’activité assurantielle de prévoyance, dépendance, santé, épargne et retraite supplémentaire. Elle compte plusieurs filiales, parmi lesquelles figurent notamment les sociétés […] et […].<br />
<br />
4. En 2019, le chiffre d’affaires généré par l’activité assurantielle menée par la SGAM AG2R LA MONDIALE s’élevait à 9,6 milliards d’euros pour un résultat net de 350 millions d’euros. En 2020, son chiffre d’affaires s’élevait à 9,3 milliards d’euros pour un résultat net de 222 millions d’euros.<br />
<br />
5. Le 29 octobre 2019, en application de la décision n° 2019-164C du 26 septembre 2019 de la présidente de la Commission, une délégation de la CNIL a mené une opération de contrôle sur place au sein des locaux du groupe AG2R LA MONDIALE. Cette mission avait pour objet de vérifier le respect par le groupe AG2R LA MONDIALE de l’ensemble des dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (ci-après "le Règlement" ou "le RGPD" ) et de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (ci-après "la loi du 6 janvier 1978 modifiée" ou "la loi Informatique et Libertés" ).<br />
<br />
6. Le contrôle visait plus particulièrement les traitements de données à caractère personnel des clients et des prospects du groupe. Les vérifications opérées ont notamment porté sur les durées de conservation des données à caractère personnel et sur l’information portée à la connaissance des personnes concernées s’agissant des traitements effectués par la SGAM AG2R LA MONDIALE.<br />
<br />
7. A l’issue du contrôle, le procès-verbal n° 2019-164/1 a été notifié à la SGAM AG2R LA MONDIALE, par courrier daté du 30 octobre 2019. Le 12 novembre 2019, la société a transmis à la CNIL les pièces complémentaires demandées lors du contrôle. A la suite de demandes complémentaires formulées par les services de la Commission, la société a fourni de nouveaux éléments et pièces les 9 décembre 2019, 17 janvier et 10 février 2020.<br />
<br />
8. Aux fins d’instruction de ces éléments, la présidente de la Commission a, le 12 novembre 2020, désigné Madame Sophie LAMBREMON en qualité de rapporteure, sur le fondement de l’article 22 de la loi du 6 janvier 1978 modifiée.<br />
<br />
9. À l’issue de son instruction, la rapporteure a, le 26 avril 2021, fait notifier à la SGAM AG2R LA MONDIALE un rapport détaillant les manquements au RGPD qu’elle estimait constitués en l’espèce et indiquant à la société qu’elle disposait d’un délai d’un mois pour communiquer ses observations écrites en application des dispositions de l’article 40 du décret n° 2019-536 du 29 mai 2019. Le courrier de notification du rapport précisait à la société que le dossier était inscrit à la séance de la formation restreinte du 17 juin 2021.<br />
<br />
10. Ce rapport proposait à la formation restreinte de la Commission de prononcer une injonction de mettre en conformité les traitements avec les dispositions des articles 5-1-e), 13 et 14 du RGPD, assortie d’une astreinte par jour de retard à l’issue d’un délai de trois mois suivant la notification de la délibération de la formation restreinte, ainsi qu’une amende administrative. Il proposait également que cette décision soit rendue publique, mais qu’il ne soit plus possible d’identifier nommément la société à l’expiration d’un délai de deux ans à compter de sa publication.<br />
<br />
11. Le 3 mai 2021, par l’intermédiaire de son conseil, la société a demandé à consulter le dossier de la procédure dans les locaux de la CNIL. Le 6 mai 2021, une consultation s’est tenue dans les locaux de la CNIL, au cours de laquelle le conseil de la société a pris copie des pièces souhaitées.<br />
<br />
12. Le 26 mai 2021, par l’intermédiaire de son conseil, la société a produit des observations en réponse au rapport de sanction.<br />
<br />
13. Le 11 mai 2021, la société a formulé une demande pour que la séance devant la formation restreinte se tienne à huis clos. Par courrier du 20 mai 2021, le président de la formation restreinte a rejeté cette demande.<br />
<br />
14. La société et la rapporteure ont présenté des observations orales lors de la séance de la formation restreinte du 17 juin 2021.<br />
<br />
II. Motifs de la décision<br />
<br />
A. Sur le manquement à l’obligation de conserver les données à caractère personnel pour une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées en application de l’article 5-1-e) du RGPD<br />
<br />
15. Aux termes de l’article 5-1 e) du Règlement, les données à caractère personnel doivent être "conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l'article 89, paragraphe 1, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation)".<br />
<br />
1. Sur la conservation des données à caractère personnel des prospects<br />
<br />
16. La rapporteure a tout d’abord relevé que, lors du contrôle le 29 octobre 2019, la société avait indiqué à la délégation que les sociétés du groupe AG2R LA MONDIALE disposaient d’un référentiel fixant les durées de conservation des données à caractère personnel des prospects (issus de fichiers tiers loués) et des clients (personnes titulaires d’un contrat individuel assurantiel auprès de la société ou de ses filiales). Néanmoins, la société a déclaré lors de ce même contrôle que les durées de conservation définies dans ce référentiel n’étaient effectivement pas mises en œuvre au sein de ses systèmes d’information, à l’exception des traitements relatifs à la lutte contre le blanchiment, aux actions locales et aux données de santé. Elle a précisé qu’un plan de mise en œuvre de la politique de confidentialité était prévu et aurait dû débuter au cours du premier semestre 2020.<br />
<br />
17. La rapporteure a ensuite relevé que le référentiel relatif aux durées de conservation et le registre des traitements du groupe prévoyaient, pour la prospection visant le réseau de vente à distance, la conservation des données à caractère personnel des prospects pour une durée maximale de trois ans après l’enregistrement en base de données ou le dernier contact à l’initiative du prospect. Or, par courrier en date du 12 novembre 2019, la société a fourni à la délégation de contrôle une extraction provenant de l’application dédiée à la prospection commerciale pour la vente à distance, montrant la présence des données de prospects n’ayant pas eu de contact avec la société depuis plus de trois ans, parfois depuis plus de cinq ans.<br />
<br />
18. Dans ses observations du 27 mai 2021, la société a tout d’abord souligné qu’un référentiel relatif aux durées de conservation des données à caractère personnel des clients et prospects ayant bien été défini, aucun manquement ne pouvait lui être reproché au titre de la définition des durées de conservation.<br />
<br />
19. Ensuite, la société a expliqué avoir entrepris des actions afin de respecter la durée de conservation maximale des données à caractère personnel des prospects telle que définie à la fois dans son référentiel et dans le registre des traitements du groupe.<br />
<br />
20. La formation restreinte relève que, s’agissant de la définition des durées de conservation applicables aux données des prospects de la société, il y a tout d’abord lieu de relever qu’au jour du contrôle, un référentiel relatif aux durées de conservation des données des clients et prospects avait bien été établi pour les sociétés du groupe AG2R LA MONDIALE, mais que les durées de conservation y étant définies n’étaient, selon les déclarations faites par la société lors du contrôle, "pas effectivement implémentées dans le système d’information de la société, hormis s’agissant des traitements relatifs à la lutte contre le blanchiment, aux actions locales ainsi qu’aux données de santé" .<br />
<br />
21. La formation restreinte relève ensuite que, lors du contrôle du 29 octobre 2019, la délégation a constaté la présence, en base active, des données à caractère personnel de 1917 prospects n’ayant pas eu de contact avec la société depuis plus de trois ans, dont 1405 prospects n’ayant pas eu de contact avec la société depuis plus de cinq ans, sans que la société soit en mesure de justifier de la nécessité d’appliquer des durées de conservation supérieures à la durée maximale de trois ans qu’elle avait elle-même fixée. La formation restreinte relève que la durée de trois ans constitue une durée de conservation proportionnée et conforme aux recommandations faites par la CNIL dans le cadre de la norme simplifiée n° NS-056 (délibération n° 2013-213 du 11 juillet 2013) concernant les traitements automatisés de données relatifs à la gestion commerciale de clients et de prospects mis en œuvre par les organismes d’assurance, capitalisation, réassurance, assistance et par les intermédiaires d’assurance. Si depuis l’entrée en application du RGPD le 25 mai 2018, les normes simplifiées n’ont plus de valeur juridique, elles constituent toujours un point de repère pour les responsables de traitement, leur permettant de s’assurer de leur conformité.<br />
<br />
22. La formation restreinte note par ailleurs que la société atteste, depuis le contrôle, avoir formulé et exécuté des requêtes en suppression des données des prospects et mettre en œuvre des purges mensuelles des données des prospects dans la base de données sous-jacente à l’application dédiée à la prospection commerciale pour la vente à distance.<br />
<br />
23. Dès lors, si la formation restreinte prend note de ce que la SGAM AG2R LA MONDIALE met désormais en œuvre les durées de conservation définies dans le référentiel précité et le registre des traitements du groupe, permettant ainsi que les données à caractère personnel des prospects ne sont pas conservées pour des durées excédant celles nécessaires au regard des finalités pour lesquelles elles sont traitées, elle relève qu’au jour du contrôle, les durées de conservation que la société avait définies, et qui correspondent aux durées nécessaires à l’atteinte des finalités poursuivies, n’étaient pas respectées. La société a ainsi conservé les données à caractère personnel de ses prospects pendant des durées excessives, en l’absence de justification particulière, et alors que ceux-ci n’avaient montré aucun intérêt pour les produits et services proposés par la société durant plus de trois, voire de cinq ans.<br />
<br />
2. Sur la conservation des données à caractère personnel des clients<br />
<br />
24. Ainsi qu’il a été indiqué ci-dessus (point 16), la société disposait au jour du contrôle d’un référentiel relatif aux durées de conservation des données de ses clients et prospects, lequel n’était toutefois pas mis en œuvre au sein de ses systèmes d’information, excepté s’agissant des traitements relatifs à la lutte contre le blanchiment, aux actions locales et aux données de santé.<br />
<br />
25. Dans le cadre de son rapport, la rapporteure a souligné qu’il devait être tenu compte de la spécificité de la matière assurantielle lors de l’appréciation du caractère proportionné de la durée de conservation des données des clients par une société d’assurance. En particulier, les durées de conservation des données des clients en matière assurantielle doivent permettre de respecter les délais légaux prévus, notamment, par le code des assurances et le code de commerce. Cependant, en l’espèce, la rapporteure a constaté que par courrier du 12 novembre 2019, la société avait fourni des documents montrant la conservation en base active des données à caractère personnel d’un grand nombre de clients, après le terme du contrat d’assurance, pour des durées supérieures à celles fixées par les dispositions légales applicables. Les données conservées étaient relatives, notamment, à l’identité, aux coordonnées personnelles, professionnelles et bancaires, à la vie personnelle et professionnelle, à l’assurance, ainsi que, dans le cadre de certains contrats, à la santé des personnes.<br />
<br />
26. En défense, la société a indiqué avoir engagé des actions correctives depuis le contrôle et a produit des justifications en vue d’attester de ses démarches de mise en conformité.<br />
<br />
27. La formation restreinte relève tout d’abord qu’il ressort des éléments communiqués par la société postérieurement au contrôle du 29 octobre 2019, que les données de milliers de clients titulaires de contrats de type incendies, accidents et risques divers, lesquelles peuvent être conservées entre deux ans après la fin du contrat (article L. 114-1 du code des assurances, fixant les délais de prescription des actions dérivant d’un contrat d’assurance, aucune autre finalité n’ayant été mise en avant par la société pour justifier d’une conservation à l’issue de l’expiration des contrats) et dix ans pour certaines pièces comptables (article L. 123-22 du code de commerce), l’ont été pour des durées excédant dix ans et parfois supérieures à trente ans.<br />
<br />
28. Ensuite, la formation restreinte constate que les données à caractère personnel de près de cent-mille clients titulaires de contrats épargne, épargne patrimoniale, retraite supplémentaire, obsèques et prévoyance, lesquelles peuvent être conservées pour des durées variables pouvant aller jusqu’à trente ans après le dénouement du contrat pour la finalité de gestion des contentieux (article L. 114-1, dernier alinéa, du code des assurances), l’ont été pour une durée supérieure. En outre, aucune autre finalité n’avait été mise en avant pour les traitements postérieurs au contrat.<br />
<br />
29. En outre, la formation restreinte relève que les données à caractère personnel de plus de deux millions de clients, collectées dans le cadre des contrats santé, ont été conservées pour des durées excédant la durée légale de cinq ans suivant la résiliation du contrat (délai calqué sur celui de l’article 2224 du code civil, repris dans le référentiel de la société). Elle relève également que la durée de conservation des données de 1,3 million de clients titulaires d’un contrat santé excède dix ans tandis que celle de milliers de clients excède trente ans.<br />
<br />
30. Enfin, la formation restreinte relève qu’hormis pour les données concernant les prestations de santé, il n’existait pas, au jour du contrôle, de mécanisme d’archivage permettant la conservation des données des clients à des fins comptables, fiscales ou contentieuses dans la limite des délais de prescription que ce soit en les transférant au sein d’une base d’archives dédiée ou en mettant en place des restrictions d’accès à ces données pour qu’elles ne puissent être consultées que par des personnes spécialement habilitées, ayant un intérêt à en connaître en raison de leurs fonctions (par exemple, le service en charge du contentieux).<br />
<br />
31. La formation restreinte observe par ailleurs qu’en défense, la société n’a pas apporté d’éléments de nature à justifier de telles durées de conservation des données. A l’inverse, elle a indiqué avoir engagé un large plan de mise en conformité. A cet égard, la société a notamment expliqué qu’un projet informatique avait été initié dès 2017 afin de parvenir à une mise en œuvre effective et intégrale des durées de conservation des données relatives à ses clients. La société a précisé que le déploiement du projet informatique aurait dû s’achever en mai 2018, mais que le calendrier n’avait pu être tenu en raison de la complexité des systèmes d’information du groupe AG2R LA MONDIALE et de l’interdépendance des applications. La société a ainsi indiqué avoir défini une nouvelle stratégie de suppression des données des clients sur trois années, fondée sur une approche par les risques et le cycle de vie des données, selon le calendrier suivant :<br />
<br />
2020 : périmètre traitements sensibles (action sociale, lutte contre le blanchiment) ;<br />
<br />
2021 : périmètre santé-prévoyance ;<br />
<br />
Juin 2021 : échéance du processus d’anonymisation des données liées aux produits d’épargne ;<br />
<br />
2022 : périmètre épargne et retraite supplémentaire (cycles de vie des données plus longs - actions se prescrivant par trente ans).<br />
<br />
32. La formation restreinte relève que la société a fourni au soutien de ses engagements des justificatifs de suppression des données de clients déjà effectuées, en 2020 et 2021, conformément au projet informatique défini, sur plusieurs applications rattachées au périmètre Santé-Prévoyance . En outre, la société a fourni un document daté du mois de mai 2021 montrant que le processus d’anonymisation des données des clients liées aux produits d’épargne était en cours.<br />
<br />
33. Dès lors, si la formation restreinte prend note que la SGAM AG2R LA MONDIALE a fourni des éléments attestant des démarches entreprises pour garantir que les données à caractère personnel de ses clients ne sont plus conservées pour des durées excédant celles nécessaires au regard des finalités pour lesquelles elles sont traitées, elle estime qu’au jour du contrôle, ces données étaient conservées pour des durées excessives. La formation restreinte constate par ailleurs que le manquement subsiste en partie à ce jour, dans la mesure où la mise en œuvre des durées de conservation des données des clients n’est pas entièrement déployée dans les systèmes d’information de la société. En particulier, il ressort des pièces fournies par la société que la quasi-totalité du périmètre "Santé Prévoyance" serait en conformité d’ici la fin de l’année 2021 et que les travaux relatifs au périmètre "Epargne retraite" se poursuivraient en 2022. La société a précisé dans ses observations en défense et confirmé lors de la séance de la formation restreinte que les travaux de mise en conformité relatifs à la mise en œuvre des durées de conservation des clients dans ses systèmes d’information s’achèveraient à la fin de l’année 2022.<br />
<br />
34. Au regard de l’ensemble de ces éléments, la formation restreinte considère que le manquement à l’article 5-1-e) du RGPD est caractérisé.<br />
<br />
B. Sur le manquement relatif à l’obligation d’informer les personnes en application des articles 13 et 14 du RGPD<br />
<br />
35. Les articles 13 et 14 du RGPD imposent au responsable de traitement de fournir à la personne concernée différentes informations relatives notamment à son identité et ses coordonnées, aux finalités du traitement mis en œuvre, sa base juridique, les destinataires ou les catégories de destinataires des données, au fait que le responsable du traitement a l’intention d’effectuer un transfert de données vers un pays tiers. En outre, la réglementation impose, lorsque cela apparaît nécessaire pour garantir "un traitement équitable et transparent" des données personnelles en l’espèce, d’informer les personnes sur la durée de conservation des données, l’existence des différents droits dont bénéficient les personnes, l’existence du droit de retirer son consentement à tout moment et le droit d’introduire une réclamation auprès d’une autorité de contrôle.<br />
<br />
36. L’article 14 du RGPD, qui concerne la situation dans laquelle les données à caractère personnel ne sont pas collectées directement auprès de la personne concernée, prévoit que cette dernière doit également être informée des catégories de données à caractère personnel concernées ainsi que, si cela est nécessaire pour garantir un traitement équitable et transparent, de la source dont proviennent ces données. En outre, il précise que ces informations doivent être communiquées à la personne concernée "dans un délai raisonnable après avoir obtenu les données à caractère personnel, mais ne dépassant pas un mois, eu égard aux circonstances particulières dans lesquelles les données à caractère personnel sont traitées ou si les données à caractère personnel doivent être utilisées aux fins de la communication avec la personne concernée, au plus tard au moment de la première communication à ladite personne" .<br />
<br />
37. La rapporteure a relevé, ainsi qu’il ressort des constatations effectuées lors du contrôle sur place du 29 octobre 2019, que la SGAM AG2R LA MONDIALE confiait à ses sous-traitants […] et […] une partie des opérations de prospection téléphonique à mener auprès de ses clients et prospects. Dans ce cadre, la délégation de la CNIL a été informée que des scripts d’appels étaient établis par la société ou ses filiales et que 30% des conversations téléphoniques sortantes effectuées par ses deux sous-traitants étaient enregistrées à des fins d’amélioration de la qualité du service de la SGAM AG2R LA MONDIALE.<br />
<br />
38. La rapporteure a relevé que l’écoute d’un échantillon des cinquante derniers appels téléphoniques passés par ces deux sous-traitants a permis de constater l’absence d’information des personnes contactées, soit du principe même de l’enregistrement de l’appel, soit de leur droit à s’y opposer. En outre, la rapporteure a également souligné que, dans le cadre de ces enregistrements, les personnes n’étaient rendues destinataires d’aucune information, même sommaire, relative au traitement de leurs données à caractère personnel ou aux autres droits dont elles disposent à l’égard de leurs données. Enfin, ces personnes ne se voyaient pas offrir la possibilité d’obtenir une information plus complète relative à la protection de leurs données à caractère personnel, par exemple via l’envoi d’un courriel ou l’activation d’une touche sur leur clavier téléphonique.<br />
<br />
39. En défense, la société a indiqué avoir procédé à des rectifications immédiates, dès l’issue du contrôle sur place, afin de délivrer aux personnes concernées une information conforme aux exigences du RGPD. Elle a ainsi déclaré que, depuis la fin de l’année 2019, des instructions écrites relatives à l’information des personnes concernées étaient remises aux sous-traitants […] et […], tout comme des scripts d’appels téléphoniques actualisés contenant la plupart des mentions exigées par les articles 13 et 14 du RGPD. La société a précisé que lesdits scripts avaient été complétés avec d’ultimes mentions manquantes en 2021. Enfin, la société a indiqué qu’une notice d’information dédiée aux traitements mis en œuvre dans le cadre de l’enregistrement des appels téléphoniques sortants était désormais fournie au sein de la rubrique "protection des données" du site internet d’AG2R, indiquant la base légale du traitement et précisant les destinataires des enregistrements ainsi que les modalités d’exercice des droits. La société a précisé que les personnes démarchées téléphoniquement étaient désormais informées, par le téléopérateur, du fait qu’elles pouvaient consulter cette notice d’information en se rendant sur le site internet d’AG2R.<br />
<br />
40. La formation restreinte relève qu’à la date du contrôle, les personnes démarchées téléphoniquement par les sociétés […] et […] pour le compte de la SGAM AG2R LA MONDIALE n’étaient pas correctement informées des traitements de données à caractère personnel mis en œuvre, en méconnaissance des dispositions applicables du RGPD. En effet, d’une part, les informations essentielles relatives en particulier au principe même de l’enregistrement de l’appel ou, selon les cas, au droit de s’y opposer, aux finalités de l’enregistrement et à sa durée de conservation, n’étaient pas communiquées aux personnes concernées par les sous-traitants de la SGAM AG2R LA MONDIALE. D’autre part, la formation restreinte souligne l’absence d’instructions données par la SGAM AG2R LA MONDIALE à ses sous-traitants afin de porter à la connaissance des personnes concernées les mentions d’information obligatoires prévues par le RGPD. En outre, elle relève que les scripts d’appels téléphoniques destinés au sous-traitant […] ne contenaient aucune mention relative à la fourniture d’une quelconque information relative à la protection de leurs données à caractère personnel aux personnes concernées.<br />
<br />
41. Au vu de ce qui précède, la formation restreinte considère qu’au jour du contrôle, la société ne respectait pas les dispositions des articles 13 et 14 du RGPD.<br />
<br />
42. La formation restreinte relève néanmoins que, depuis le contrôle, la société s’est mise en conformité avec les exigences découlant des articles 13 et 14 du RGPD. A cet égard, la formation restreinte constate que les téléconseillers des prestataires […] et […] délivrent de manière effective une information aux personnes démarchées téléphoniquement concernant l’identité du responsable de traitement, le principe et la finalité de l’enregistrement de la conversation, les destinataires des enregistrements, leur durée de conservation, l’existence des droits dont disposent les personnes concernées, ainsi que la possibilité d’obtenir des informations complémentaires relatives aux traitements de données à caractère personnel mis en œuvre par la société en consultant la rubrique "protection des données" du site internet d’AG2R (au sein de laquelle est disponible la notice d’information dédiée aux traitements mis en œuvre dans le cadre de l’enregistrement des appels téléphoniques sortants).<br />
<br />
43. Dès lors, la formation restreinte considère que les faits précités constituent un manquement aux articles 13 et 14 du RGPD, mais que la société a justifié s’être mise en conformité en fournissant, à la date de clôture de l’instruction, une information complète aux personnes démarchées téléphoniquement au sens des dispositions précitées.<br />
<br />
III. Sur les mesures correctrices et leur publicité<br />
<br />
44. Aux termes du III de l’article 20 de la loi du 6 janvier 1978 modifiée :<br />
<br />
"Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi, le président de la Commission nationale de l'informatique et des libertés peut également, le cas échéant après lui avoir adressé l'avertissement prévu au I du présent article ou, le cas échéant en complément d'une mise en demeure prévue au II, saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l'une ou de plusieurs des mesures suivantes : […]<br />
<br />
2° Une injonction de mettre en conformité le traitement avec les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi ou de satisfaire aux demandes présentées par la personne concernée en vue d'exercer ses droits, qui peut être assortie, sauf dans des cas où le traitement est mis en œuvre par l'État, d'une astreinte dont le montant ne peut excéder 100 000 € par jour de retard à compter de la date fixée par la formation restreinte ; […]<br />
<br />
7° À l'exception des cas où le traitement est mis en œuvre par l'État, une amende administrative ne pouvant excéder 10 millions d'euros ou, s'agissant d'une entreprise, 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux 5 et 6 de l'article 83 du règlement (UE) 2016/679 du 27 avril 2016, ces plafonds sont portés, respectivement, à 20 millions d'euros et 4 % dudit chiffre d'affaires. La formation restreinte prend en compte, dans la détermination du montant de l'amende, les critères précisés au même article 83."<br />
<br />
45. L’article 83 du RGPD prévoit que "Chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives", avant de préciser les éléments devant être pris en compte pour décider s’il y a lieu d’imposer une amende administrative et pour décider du montant de cette amende.<br />
<br />
46. En premier lieu, la société fait valoir que si une amende devait être prononcée, la formation restreinte devrait tenir compte des mesures adoptées dans le sens d’une mise en conformité. S’agissant des durées de conservation des données des prospects, la société souligne que des actions correctrices ont été rapidement déployées afin de supprimer les données des prospects dont la durée maximale de conservation est atteinte et que des purges régulières sont désormais effectuées. S’agissant des durées de conservation des données des clients, elle rappelle que la complexité des systèmes d’information du groupe AG2R LA MONDIALE a retardé la mise en œuvre pleine et entière des durées légales de conservation, celle-ci étant toutefois en cours et déjà partiellement réalisée. Lors de la séance de la formation restreinte, la société a indiqué avoir investi au total […] depuis plusieurs années. Par ailleurs, la société souligne que l’information délivrée aux personnes démarchées téléphoniquement respecte désormais les exigences des articles 13 et 14 du RGPD. La société invite enfin la formation restreinte à tenir compte de sa pleine coopération lors de la procédure et souligne une diminution de son chiffre d’affaires et de son résultat net.<br />
<br />
47. La formation restreinte rappelle qu’elle doit tenir compte, pour le prononcé d’une amende administrative et pour la détermination de son montant, des critères précisés à l’article 83 du RGPD, tels que la nature, la gravité et la durée de la violation, les mesures prises par le responsable du traitement pour atténuer le dommage subi par les personnes concernées, le degré de coopération avec l’autorité de contrôle et les catégories de données à caractère personnel concernées par la violation.<br />
<br />
48. En outre, la formation restreinte rappelle que dans la mesure où sont en l’espèce reprochés à la société des manquements aux articles 5-1-e), 13 et 14 du Règlement, le montant maximum de l’amende pouvant être retenu s’élève à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.<br />
<br />
49. La formation restreinte considère tout d’abord que la société a fait preuve d’une négligence grave au regard de l’atteinte portée à des principes fondamentaux prévus par le RGPD, à savoir le principe de limitation de la durée de conservation des données et l’obligation d’informer les personnes concernées des traitements de leurs données à caractère personnel.<br />
<br />
50. La formation restreinte relève ensuite que le manquement relatif aux durées de conservation a concerné un nombre très important de personnes, en particulier des clients de la société. En effet, la conservation en base active pour des durées supérieures aux durées légales autorisées, pouvant excéder trente ans, a concerné les données à caractère personnel de plus de deux millions de clients collectées lors de la conclusion de contrats d’assurance.<br />
<br />
51. La formation restreinte souligne par ailleurs que, parmi les données des clients conservées pour des durées excessives, figurent des données de nature sensible, des coordonnées bancaires et des informations relatives à la vie personnelle des clients.<br />
<br />
52. La formation restreinte relève également que les mesures de mise en conformité mises en place à la suite du contrôle n’ont pas permis de remédier entièrement au manquement relatif aux durées de conservation des données en tant qu’il concerne les clients, lequel persiste encore partiellement à ce jour. En tout état de cause, les mesures de mise en conformité adoptées n’exonèrent pas la société de sa responsabilité pour le passé.<br />
<br />
53. De plus, la formation restreinte considère que les investissements réalisés par la société pour parvenir à la mise en œuvre des durées de conservation définies dans ses systèmes d’information ne sont pas disproportionnés au regard de son chiffre d’affaires, de la taille du groupe et de l’ampleur des travaux à réaliser compte tenu de la complexité desdits systèmes d’information soulignée par la société elle-même, qui préexistait à l’entrée en application du RGPD. La formation restreinte considère que c’est précisément le manque d’anticipation qui a contribué à des échecs dans la mise en œuvre des durées de conservation des données des clients de la société au sein de ses systèmes et, partant, à l’absence de mise en conformité avec le RGPD plus de trois ans après son entrée en application.<br />
<br />
54. Enfin, la formation restreinte rappelle que les amendes administratives doivent être dissuasives mais proportionnées. Elle considère en particulier que l’activité de la société et sa situation financière doivent être prises en compte pour la détermination de la sanction et notamment, en cas d’amende administrative, de son montant. Elle relève à ce titre que la société fait état d’une diminution de son chiffre d’affaires, passé de 9,7 milliards en 2019 à 9,3 milliards en 2020, comme de son résultat net, passé de 350 millions en 2019 à 222 millions en 2020. Si la formation restreinte constate le résultat net a diminué de manière assez significative, elle souligne que celui-ci reste largement positif. Au vu de ces éléments, la formation restreinte considère que le prononcé d’une amende de 1 750 000 euros apparaît justifié, compte tenu notamment de la nécessité de sanctionner des manquements à des principes élémentaires du RGPD, commis par un acteur majeur de la protection sociale en France, concernant plusieurs millions de personnes et portant sur des données de nature sensible ou particulière, comme les coordonnées bancaires.<br />
<br />
55. En conséquence, la formation restreinte considère qu’il y a lieu de prononcer une amende administrative de 1 750 000 euros au regard des manquements aux articles 5-1-e), 13 et 14 du RGPD.<br />
<br />
56. En deuxième lieu, une injonction de mettre en conformité le traitement avec les dispositions des articles 5-1-e), 13 et 14 du RGPD a été proposée par la rapporteure dans son rapport de sanction.<br />
<br />
57. En défense, la société soutient que les actions qu’elle a mises en œuvre s’agissant de l’ensemble des manquements relevés doivent conduire à ne pas donner suite à la proposition d’injonctions de la rapporteure.<br />
<br />
58. S’agissant du manquement à l’obligation de définir et de respecter une durée de conservation des données à caractère personnel proportionnée à la finalité du traitement en application de l’article 5-1-e) du RGPD, la société indique avoir entrepris de nombreuses actions et avoir réalisé les investissements conséquents susmentionnés pour atteindre la mise en conformité sur ce point.<br />
<br />
59. La formation restreinte relève, s’agissant des données des prospects, que la société met désormais en œuvre les durées de conservation définies par la société dans son référentiel, qui sont proportionnées aux finalités poursuivies et au demeurant conformes aux recommandations faites par la CNIL en la matière. S’agissant des données des clients, la société témoigne s’être engagée dans une démarche sérieuse de mise en conformité. A cet égard, la formation restreinte note d’ailleurs que la société documente avoir mené à bien une partie importante de la mise en oeuvre de ces durées de conservation dans ces systèmes, seuls restant à couvrir une partie résiduelle du périmètre "Santé Prévoyance" ainsi que le périmètre "Epargne et retraite supplémentaire" , et que la société s’est engagée à achever sa mise en conformité au 31 décembre 2022.<br />
<br />
60. S’agissant du manquement à l’obligation d’information des personnes en application des articles 13 et 14 du RGPD, la formation restreinte prend acte de la mise en conformité de la société sur ce point. En effet, la société démontre avoir envoyé des instructions écrites à ses prestataires afin que soit délivrée une information complète aux personnes démarchées téléphoniquement pour son compte, et y avoir joint des scripts d’appels complétés des mentions d’information obligatoires. Par ailleurs, l’écoute des échantillons d’appels téléphoniques communiqués par la société atteste de la délivrance effective de ces informations aux personnes concernées. En outre, une notice d’information dédiée à ces traitements et contenant des informations complémentaires a été insérée au sein de la politique de confidentialité. La personne est désormais systématiquement informée par le téléopérateur, au début de l’appel téléphonique, du fait qu’elle peut prendre connaissance de cette notice en se rendant sur le site internet d’AG2R.<br />
<br />
61. Au vu de ce qui précède, la formation restreinte considère qu’il n’y a plus lieu de maintenir les injonctions proposées.<br />
<br />
62. En troisième lieu, la formation restreinte considère que la publicité de la sanction se justifie au regard du fait que les manquements aux principes élémentaires du RGPD relevés en l’espèce concernent un acteur majeur de la protection sociale et patrimoniale en France, qui gère les données à caractère personnel de millions de personnes. La formation restreinte relève que dans ce contexte, la publicité de la sanction permet d’informer les personnes concernées de la nature et de l’étendue de ces manquements.<br />
<br />
PAR CES MOTIFS<br />
<br />
La formation restreinte de la CNIL, après en avoir délibéré, décide de :<br />
<br />
- prononcer à l’encontre de la SGAM AG2R LA MONDIALE une amende administrative d’un montant de 1 750 000 (un million sept-cent-cinquante-mille) euros ;<br />
<br />
- rendre publique, sur le site de la CNIL et sur le site de Légifrance, sa délibération, qui n’identifiera plus nommément la société à l’expiration d’un délai d’un an à compter de sa publication.<br />
<br />
Le président<br />
<br />
Alexandre LINDEN<br />
<br />
Cette décision est susceptible de faire l’objet d’un recours devant le Conseil d’État dans un délai de deux mois à compter de sa notification.<br />
</pre></div>Tsekhttps://gdprhub.eu/index.php?title=CNIL_(France)_-_SAN-2021-010&diff=17603CNIL (France) - SAN-2021-0102021-07-27T19:03:49Z<p>Tsek: /* Dispute */</p>
<hr />
<div>{{DPAdecisionBOX<br />
<br />
|Jurisdiction=France<br />
|DPA-BG-Color=<br />
|DPAlogo=LogoFR.png<br />
|DPA_Abbrevation=CNIL (France)<br />
|DPA_With_Country=CNIL (France)<br />
<br />
|Case_Number_Name=SAN-2021-010<br />
|ECLI=<br />
<br />
|Original_Source_Name_1=Legifrance<br />
|Original_Source_Link_1=https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000043829617?page=1&pageSize=10&query=2016%2F679&searchField=ALL&searchType=ALL&sortValue=DATE_DECISION_DESC&tab_selection=cnil&typePagination=DEFAULT<br />
|Original_Source_Language_1=French<br />
|Original_Source_Language__Code_1=FR<br />
<br />
|Type=Investigation<br />
|Outcome=Violation Found<br />
|Date_Decided=20.07.2021<br />
|Date_Published=22.07.2021<br />
|Year=2021<br />
|Fine=1750000<br />
|Currency=EUR<br />
<br />
|GDPR_Article_1=Article 5(1)(e) GDPR<br />
|GDPR_Article_Link_1=Article 5 GDPR#1e<br />
|GDPR_Article_2=Article 13 GDPR<br />
|GDPR_Article_Link_2=Article 13 GDPR<br />
|GDPR_Article_3=Article 14 GDPR<br />
|GDPR_Article_Link_3=Article 14 GDPR<br />
|GDPR_Article_4=Article 83 GDPR<br />
|GDPR_Article_Link_4=Article 83 GDPR<br />
<br />
<br />
<br />
|Party_Name_1=AG2R La Mondiale<br />
|Party_Link_1=https://www.ag2rlamondiale.fr/<br />
|Party_Name_2=<br />
|Party_Link_2=<br />
|Party_Name_3=<br />
|Party_Link_3=<br />
|Party_Name_4=<br />
|Party_Link_4=<br />
|Party_Name_5=<br />
|Party_Link_5=<br />
<br />
|Appeal_To_Body=<br />
|Appeal_To_Case_Number_Name=<br />
|Appeal_To_Status=Unknown<br />
|Appeal_To_Link=<br />
<br />
|Initial_Contributor=Kest<br />
|<br />
}}<br />
<br />
The French DPA (Commission Nationale de l’Informatique et des Libertés – CNIL) imposed a fine of €1,75 million on an insurance and supplementary pension firm for violations of Articles [[Article 5(1)(e) GDPR|5(1)(e)]], [[Article 13 GDPR|13]] and [[Article 14 GDPR|14]] GDPR on the duration of personal data retention and information due to data subjects.<br />
<br />
== English Summary ==<br />
<br />
=== Facts ===<br />
An on-site investigation carried out by the CNIL in October 2019 revealed the following breaches.<br />
<br />
First, the internal firm policy on data retention duration was only implemented in several areas of activities. In this respect, the company later indicated that it had undertaken a broad compliance plan and, in particular, that an IT project had been initiated in 2017 in order to achieve effective compliance with GDPR. However, the timetable of this project could not be met due to the complexity of the firm's information systems.<br />
<br />
Second, it appeared that subcontractors performed all of canvassing operations without informing data subjects on the processing their personal data and their rights. In addition, subcontracting agreements did not contain any provision on the matter, and 30% of calls were recorded, without informing clients and prospects.<br />
<br />
Since the on-site investigation, the firm has been implementing corrective measures. According to the firm, compliance with data retention legal duration will be complete by 2022 and canvassing operations are now carried out in accordance with Article [[Article 13 GDPR|13]] and [[Article 14 GDPR|14]] GDPR.<br />
<br />
<br />
=== Dispute ===<br />
Dispute :<br />
<br />
• Has the firm violated [[Article 5(1)(e)]] GDPR and domestic legal provisions regarding personal data retention?<br />
<br />
• Has the firm violated Article [[Article 13 GDPR|13]] and [[Article 14 GDPR|14]] GDPR because its subcontractors did not provide clients and prospects with information listed in those articles during canvassing operations?<br />
<br />
• In both cases, does the compliance policy implemented by the firm reduce its responsibility under [[Article 83 GDPR]]?<br />
<br />
<br />
<br />
=== Holding ===<br />
1. On the duration of data retention<br />
<br />
The CNIL founds that the company has violated [[Article 5(1)(e)]] and several domestic provisions of the Insurance Code. Regarding the 3 years limit of retention of prospects’ data, the CNIL reiterates that its [https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000027837528/ Norme Simplifiée NS-056], whilst non mandatory and dating back from 2013, still provides with the appropriate and proportionate duration of retention for this category of data.<br />
<br />
Regarding the sanction, the CNIL takes into account that the firm has been gradually implementing a complex compliance policy since 2017 and has undertaken corrective measures during the course of the proceedings that improved greatly its situation.<br />
<br />
However, compliance measures adopted do not absolve the company of its responsibility for the past. Full compliance will not be achieved before 2022 and established violations are the result of a lack of anticipation that, with regard to the firm’s size and resources, could have been avoided.<br />
<br />
Hence, the firm is fined to an amount of €1,75 million.<br />
<br />
2. On the information of data subject in the context of canvassing operations<br />
<br />
The CNIL founds that the total lack of information is contrary to Articles [[Article 13 GDPR|13]] and [[Article 14 GDPR|14]] GDPR.<br />
<br />
Nonetheless, the firm has taken appropriate measures to achieve compliance with foresaid articles during the course of the procedure.<br />
<br />
The CNIL therefore decided not to impose a sanction on this matter.<br />
<br />
<br />
== Comment ==<br />
''Share your comments here!''<br />
<br />
== Further Resources ==<br />
''Share blogs or news articles here!''<br />
<br />
== English Machine Translation of the Decision ==<br />
The decision below is a machine translation of the French original. Please refer to the French original for more details.<br />
<br />
<pre><br />
Délibération de la formation restreinte n°SAN-2021-010 du 20 juillet 2021 concernant la société SGAM AG2R LA MONDIALE<br />
<br />
La Commission nationale de l’informatique et des libertés, réunie en sa formation restreinte composée de Monsieur Alexandre LINDEN, président, Monsieur Philippe-Pierre CABOURDIN, vice-président, Monsieur Bertrand du MARAIS, Madame Christine MAUGÜE et Monsieur Alain DRU, membres ;<br />
<br />
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données à caractère personnel et à la libre circulation de ces données ;<br />
<br />
Vu la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 20 et suivants ;<br />
<br />
Vu le décret no 2019-536 du 29 mai 2019 pris pour l'application de la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;<br />
<br />
Vu la délibération no 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l'informatique et des libertés ;<br />
<br />
Vu la décision n° 2019-164C du 26 septembre 2019 de la présidente de la Commission nationale de l’informatique et des libertés de charger le secrétaire général de procéder ou de faire procéder à une mission de vérification des traitements mis en œuvre par le groupe AG2R LA MONDIALE ou pour son compte ;<br />
<br />
Vu la décision de la présidente de la Commission nationale de l’informatique et des libertés portant désignation d’un rapporteur devant la formation restreinte, en date du 12 novembre 2020 ;<br />
<br />
Vu le rapport de Madame Sophie LAMBREMON, commissaire rapporteure, notifié à la SGAM AG2R LA MONDIALE le 26 avril 2021 ;<br />
<br />
Vu les observations écrites versées par la SGAM AG2R LA MONDIALE le 26 mai 2021 ;<br />
<br />
Vu les observations orales formulées lors de la séance de la formation restreinte ;<br />
<br />
Vu les autres pièces du dossier ;<br />
<br />
Étaient présents, lors de la séance de la formation restreinte du 17 juin 2021 :<br />
<br />
Madame Sophie LAMBREMON, commissaire, entendue en son rapport ;<br />
<br />
En qualité de représentants de la SGAM AG2R LA MONDIALE, s’étant exprimés lors de la séance :<br />
<br />
[…]<br />
<br />
La SGAM AG2R LA MONDIALE ayant eu la parole en dernier ;<br />
<br />
La formation restreinte a adopté la décision suivante :<br />
<br />
I. Faits et procédure<br />
<br />
1. La Société de groupe d’assurance mutuelle AG2R LA MONDIALE (ci-après "la SGAM AG2R LA MONDIALE" ou "la société" ) est une société d’assurance mutuelle créée le 16 janvier 2008. Son siège social est situé […] à Paris [75008].<br />
<br />
2. La SGAM AG2R LA MONDIALE appartient au groupe AG2R LA MONDIALE (ci-après "le groupe" ), organisme français de protection sociale et patrimoniale remplissant, d’une part, une mission de gestion administrative des retraites complémentaires des salariés du secteur privé et, d’autre part, une activité assurantielle. Le groupe assure environ 15 millions personnes en France, à titre individuel ou à titre collectif, et accompagne plus de cinq-cent-mille entreprises. Le groupe emploie environ dix-mille collaborateurs.<br />
<br />
3. Au sein du groupe, la SGAM AG2R LA MONDIALE est chargée de coordonner l’activité assurantielle de prévoyance, dépendance, santé, épargne et retraite supplémentaire. Elle compte plusieurs filiales, parmi lesquelles figurent notamment les sociétés […] et […].<br />
<br />
4. En 2019, le chiffre d’affaires généré par l’activité assurantielle menée par la SGAM AG2R LA MONDIALE s’élevait à 9,6 milliards d’euros pour un résultat net de 350 millions d’euros. En 2020, son chiffre d’affaires s’élevait à 9,3 milliards d’euros pour un résultat net de 222 millions d’euros.<br />
<br />
5. Le 29 octobre 2019, en application de la décision n° 2019-164C du 26 septembre 2019 de la présidente de la Commission, une délégation de la CNIL a mené une opération de contrôle sur place au sein des locaux du groupe AG2R LA MONDIALE. Cette mission avait pour objet de vérifier le respect par le groupe AG2R LA MONDIALE de l’ensemble des dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (ci-après "le Règlement" ou "le RGPD" ) et de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (ci-après "la loi du 6 janvier 1978 modifiée" ou "la loi Informatique et Libertés" ).<br />
<br />
6. Le contrôle visait plus particulièrement les traitements de données à caractère personnel des clients et des prospects du groupe. Les vérifications opérées ont notamment porté sur les durées de conservation des données à caractère personnel et sur l’information portée à la connaissance des personnes concernées s’agissant des traitements effectués par la SGAM AG2R LA MONDIALE.<br />
<br />
7. A l’issue du contrôle, le procès-verbal n° 2019-164/1 a été notifié à la SGAM AG2R LA MONDIALE, par courrier daté du 30 octobre 2019. Le 12 novembre 2019, la société a transmis à la CNIL les pièces complémentaires demandées lors du contrôle. A la suite de demandes complémentaires formulées par les services de la Commission, la société a fourni de nouveaux éléments et pièces les 9 décembre 2019, 17 janvier et 10 février 2020.<br />
<br />
8. Aux fins d’instruction de ces éléments, la présidente de la Commission a, le 12 novembre 2020, désigné Madame Sophie LAMBREMON en qualité de rapporteure, sur le fondement de l’article 22 de la loi du 6 janvier 1978 modifiée.<br />
<br />
9. À l’issue de son instruction, la rapporteure a, le 26 avril 2021, fait notifier à la SGAM AG2R LA MONDIALE un rapport détaillant les manquements au RGPD qu’elle estimait constitués en l’espèce et indiquant à la société qu’elle disposait d’un délai d’un mois pour communiquer ses observations écrites en application des dispositions de l’article 40 du décret n° 2019-536 du 29 mai 2019. Le courrier de notification du rapport précisait à la société que le dossier était inscrit à la séance de la formation restreinte du 17 juin 2021.<br />
<br />
10. Ce rapport proposait à la formation restreinte de la Commission de prononcer une injonction de mettre en conformité les traitements avec les dispositions des articles 5-1-e), 13 et 14 du RGPD, assortie d’une astreinte par jour de retard à l’issue d’un délai de trois mois suivant la notification de la délibération de la formation restreinte, ainsi qu’une amende administrative. Il proposait également que cette décision soit rendue publique, mais qu’il ne soit plus possible d’identifier nommément la société à l’expiration d’un délai de deux ans à compter de sa publication.<br />
<br />
11. Le 3 mai 2021, par l’intermédiaire de son conseil, la société a demandé à consulter le dossier de la procédure dans les locaux de la CNIL. Le 6 mai 2021, une consultation s’est tenue dans les locaux de la CNIL, au cours de laquelle le conseil de la société a pris copie des pièces souhaitées.<br />
<br />
12. Le 26 mai 2021, par l’intermédiaire de son conseil, la société a produit des observations en réponse au rapport de sanction.<br />
<br />
13. Le 11 mai 2021, la société a formulé une demande pour que la séance devant la formation restreinte se tienne à huis clos. Par courrier du 20 mai 2021, le président de la formation restreinte a rejeté cette demande.<br />
<br />
14. La société et la rapporteure ont présenté des observations orales lors de la séance de la formation restreinte du 17 juin 2021.<br />
<br />
II. Motifs de la décision<br />
<br />
A. Sur le manquement à l’obligation de conserver les données à caractère personnel pour une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées en application de l’article 5-1-e) du RGPD<br />
<br />
15. Aux termes de l’article 5-1 e) du Règlement, les données à caractère personnel doivent être "conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l'article 89, paragraphe 1, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation)".<br />
<br />
1. Sur la conservation des données à caractère personnel des prospects<br />
<br />
16. La rapporteure a tout d’abord relevé que, lors du contrôle le 29 octobre 2019, la société avait indiqué à la délégation que les sociétés du groupe AG2R LA MONDIALE disposaient d’un référentiel fixant les durées de conservation des données à caractère personnel des prospects (issus de fichiers tiers loués) et des clients (personnes titulaires d’un contrat individuel assurantiel auprès de la société ou de ses filiales). Néanmoins, la société a déclaré lors de ce même contrôle que les durées de conservation définies dans ce référentiel n’étaient effectivement pas mises en œuvre au sein de ses systèmes d’information, à l’exception des traitements relatifs à la lutte contre le blanchiment, aux actions locales et aux données de santé. Elle a précisé qu’un plan de mise en œuvre de la politique de confidentialité était prévu et aurait dû débuter au cours du premier semestre 2020.<br />
<br />
17. La rapporteure a ensuite relevé que le référentiel relatif aux durées de conservation et le registre des traitements du groupe prévoyaient, pour la prospection visant le réseau de vente à distance, la conservation des données à caractère personnel des prospects pour une durée maximale de trois ans après l’enregistrement en base de données ou le dernier contact à l’initiative du prospect. Or, par courrier en date du 12 novembre 2019, la société a fourni à la délégation de contrôle une extraction provenant de l’application dédiée à la prospection commerciale pour la vente à distance, montrant la présence des données de prospects n’ayant pas eu de contact avec la société depuis plus de trois ans, parfois depuis plus de cinq ans.<br />
<br />
18. Dans ses observations du 27 mai 2021, la société a tout d’abord souligné qu’un référentiel relatif aux durées de conservation des données à caractère personnel des clients et prospects ayant bien été défini, aucun manquement ne pouvait lui être reproché au titre de la définition des durées de conservation.<br />
<br />
19. Ensuite, la société a expliqué avoir entrepris des actions afin de respecter la durée de conservation maximale des données à caractère personnel des prospects telle que définie à la fois dans son référentiel et dans le registre des traitements du groupe.<br />
<br />
20. La formation restreinte relève que, s’agissant de la définition des durées de conservation applicables aux données des prospects de la société, il y a tout d’abord lieu de relever qu’au jour du contrôle, un référentiel relatif aux durées de conservation des données des clients et prospects avait bien été établi pour les sociétés du groupe AG2R LA MONDIALE, mais que les durées de conservation y étant définies n’étaient, selon les déclarations faites par la société lors du contrôle, "pas effectivement implémentées dans le système d’information de la société, hormis s’agissant des traitements relatifs à la lutte contre le blanchiment, aux actions locales ainsi qu’aux données de santé" .<br />
<br />
21. La formation restreinte relève ensuite que, lors du contrôle du 29 octobre 2019, la délégation a constaté la présence, en base active, des données à caractère personnel de 1917 prospects n’ayant pas eu de contact avec la société depuis plus de trois ans, dont 1405 prospects n’ayant pas eu de contact avec la société depuis plus de cinq ans, sans que la société soit en mesure de justifier de la nécessité d’appliquer des durées de conservation supérieures à la durée maximale de trois ans qu’elle avait elle-même fixée. La formation restreinte relève que la durée de trois ans constitue une durée de conservation proportionnée et conforme aux recommandations faites par la CNIL dans le cadre de la norme simplifiée n° NS-056 (délibération n° 2013-213 du 11 juillet 2013) concernant les traitements automatisés de données relatifs à la gestion commerciale de clients et de prospects mis en œuvre par les organismes d’assurance, capitalisation, réassurance, assistance et par les intermédiaires d’assurance. Si depuis l’entrée en application du RGPD le 25 mai 2018, les normes simplifiées n’ont plus de valeur juridique, elles constituent toujours un point de repère pour les responsables de traitement, leur permettant de s’assurer de leur conformité.<br />
<br />
22. La formation restreinte note par ailleurs que la société atteste, depuis le contrôle, avoir formulé et exécuté des requêtes en suppression des données des prospects et mettre en œuvre des purges mensuelles des données des prospects dans la base de données sous-jacente à l’application dédiée à la prospection commerciale pour la vente à distance.<br />
<br />
23. Dès lors, si la formation restreinte prend note de ce que la SGAM AG2R LA MONDIALE met désormais en œuvre les durées de conservation définies dans le référentiel précité et le registre des traitements du groupe, permettant ainsi que les données à caractère personnel des prospects ne sont pas conservées pour des durées excédant celles nécessaires au regard des finalités pour lesquelles elles sont traitées, elle relève qu’au jour du contrôle, les durées de conservation que la société avait définies, et qui correspondent aux durées nécessaires à l’atteinte des finalités poursuivies, n’étaient pas respectées. La société a ainsi conservé les données à caractère personnel de ses prospects pendant des durées excessives, en l’absence de justification particulière, et alors que ceux-ci n’avaient montré aucun intérêt pour les produits et services proposés par la société durant plus de trois, voire de cinq ans.<br />
<br />
2. Sur la conservation des données à caractère personnel des clients<br />
<br />
24. Ainsi qu’il a été indiqué ci-dessus (point 16), la société disposait au jour du contrôle d’un référentiel relatif aux durées de conservation des données de ses clients et prospects, lequel n’était toutefois pas mis en œuvre au sein de ses systèmes d’information, excepté s’agissant des traitements relatifs à la lutte contre le blanchiment, aux actions locales et aux données de santé.<br />
<br />
25. Dans le cadre de son rapport, la rapporteure a souligné qu’il devait être tenu compte de la spécificité de la matière assurantielle lors de l’appréciation du caractère proportionné de la durée de conservation des données des clients par une société d’assurance. En particulier, les durées de conservation des données des clients en matière assurantielle doivent permettre de respecter les délais légaux prévus, notamment, par le code des assurances et le code de commerce. Cependant, en l’espèce, la rapporteure a constaté que par courrier du 12 novembre 2019, la société avait fourni des documents montrant la conservation en base active des données à caractère personnel d’un grand nombre de clients, après le terme du contrat d’assurance, pour des durées supérieures à celles fixées par les dispositions légales applicables. Les données conservées étaient relatives, notamment, à l’identité, aux coordonnées personnelles, professionnelles et bancaires, à la vie personnelle et professionnelle, à l’assurance, ainsi que, dans le cadre de certains contrats, à la santé des personnes.<br />
<br />
26. En défense, la société a indiqué avoir engagé des actions correctives depuis le contrôle et a produit des justifications en vue d’attester de ses démarches de mise en conformité.<br />
<br />
27. La formation restreinte relève tout d’abord qu’il ressort des éléments communiqués par la société postérieurement au contrôle du 29 octobre 2019, que les données de milliers de clients titulaires de contrats de type incendies, accidents et risques divers, lesquelles peuvent être conservées entre deux ans après la fin du contrat (article L. 114-1 du code des assurances, fixant les délais de prescription des actions dérivant d’un contrat d’assurance, aucune autre finalité n’ayant été mise en avant par la société pour justifier d’une conservation à l’issue de l’expiration des contrats) et dix ans pour certaines pièces comptables (article L. 123-22 du code de commerce), l’ont été pour des durées excédant dix ans et parfois supérieures à trente ans.<br />
<br />
28. Ensuite, la formation restreinte constate que les données à caractère personnel de près de cent-mille clients titulaires de contrats épargne, épargne patrimoniale, retraite supplémentaire, obsèques et prévoyance, lesquelles peuvent être conservées pour des durées variables pouvant aller jusqu’à trente ans après le dénouement du contrat pour la finalité de gestion des contentieux (article L. 114-1, dernier alinéa, du code des assurances), l’ont été pour une durée supérieure. En outre, aucune autre finalité n’avait été mise en avant pour les traitements postérieurs au contrat.<br />
<br />
29. En outre, la formation restreinte relève que les données à caractère personnel de plus de deux millions de clients, collectées dans le cadre des contrats santé, ont été conservées pour des durées excédant la durée légale de cinq ans suivant la résiliation du contrat (délai calqué sur celui de l’article 2224 du code civil, repris dans le référentiel de la société). Elle relève également que la durée de conservation des données de 1,3 million de clients titulaires d’un contrat santé excède dix ans tandis que celle de milliers de clients excède trente ans.<br />
<br />
30. Enfin, la formation restreinte relève qu’hormis pour les données concernant les prestations de santé, il n’existait pas, au jour du contrôle, de mécanisme d’archivage permettant la conservation des données des clients à des fins comptables, fiscales ou contentieuses dans la limite des délais de prescription que ce soit en les transférant au sein d’une base d’archives dédiée ou en mettant en place des restrictions d’accès à ces données pour qu’elles ne puissent être consultées que par des personnes spécialement habilitées, ayant un intérêt à en connaître en raison de leurs fonctions (par exemple, le service en charge du contentieux).<br />
<br />
31. La formation restreinte observe par ailleurs qu’en défense, la société n’a pas apporté d’éléments de nature à justifier de telles durées de conservation des données. A l’inverse, elle a indiqué avoir engagé un large plan de mise en conformité. A cet égard, la société a notamment expliqué qu’un projet informatique avait été initié dès 2017 afin de parvenir à une mise en œuvre effective et intégrale des durées de conservation des données relatives à ses clients. La société a précisé que le déploiement du projet informatique aurait dû s’achever en mai 2018, mais que le calendrier n’avait pu être tenu en raison de la complexité des systèmes d’information du groupe AG2R LA MONDIALE et de l’interdépendance des applications. La société a ainsi indiqué avoir défini une nouvelle stratégie de suppression des données des clients sur trois années, fondée sur une approche par les risques et le cycle de vie des données, selon le calendrier suivant :<br />
<br />
2020 : périmètre traitements sensibles (action sociale, lutte contre le blanchiment) ;<br />
<br />
2021 : périmètre santé-prévoyance ;<br />
<br />
Juin 2021 : échéance du processus d’anonymisation des données liées aux produits d’épargne ;<br />
<br />
2022 : périmètre épargne et retraite supplémentaire (cycles de vie des données plus longs - actions se prescrivant par trente ans).<br />
<br />
32. La formation restreinte relève que la société a fourni au soutien de ses engagements des justificatifs de suppression des données de clients déjà effectuées, en 2020 et 2021, conformément au projet informatique défini, sur plusieurs applications rattachées au périmètre Santé-Prévoyance . En outre, la société a fourni un document daté du mois de mai 2021 montrant que le processus d’anonymisation des données des clients liées aux produits d’épargne était en cours.<br />
<br />
33. Dès lors, si la formation restreinte prend note que la SGAM AG2R LA MONDIALE a fourni des éléments attestant des démarches entreprises pour garantir que les données à caractère personnel de ses clients ne sont plus conservées pour des durées excédant celles nécessaires au regard des finalités pour lesquelles elles sont traitées, elle estime qu’au jour du contrôle, ces données étaient conservées pour des durées excessives. La formation restreinte constate par ailleurs que le manquement subsiste en partie à ce jour, dans la mesure où la mise en œuvre des durées de conservation des données des clients n’est pas entièrement déployée dans les systèmes d’information de la société. En particulier, il ressort des pièces fournies par la société que la quasi-totalité du périmètre "Santé Prévoyance" serait en conformité d’ici la fin de l’année 2021 et que les travaux relatifs au périmètre "Epargne retraite" se poursuivraient en 2022. La société a précisé dans ses observations en défense et confirmé lors de la séance de la formation restreinte que les travaux de mise en conformité relatifs à la mise en œuvre des durées de conservation des clients dans ses systèmes d’information s’achèveraient à la fin de l’année 2022.<br />
<br />
34. Au regard de l’ensemble de ces éléments, la formation restreinte considère que le manquement à l’article 5-1-e) du RGPD est caractérisé.<br />
<br />
B. Sur le manquement relatif à l’obligation d’informer les personnes en application des articles 13 et 14 du RGPD<br />
<br />
35. Les articles 13 et 14 du RGPD imposent au responsable de traitement de fournir à la personne concernée différentes informations relatives notamment à son identité et ses coordonnées, aux finalités du traitement mis en œuvre, sa base juridique, les destinataires ou les catégories de destinataires des données, au fait que le responsable du traitement a l’intention d’effectuer un transfert de données vers un pays tiers. En outre, la réglementation impose, lorsque cela apparaît nécessaire pour garantir "un traitement équitable et transparent" des données personnelles en l’espèce, d’informer les personnes sur la durée de conservation des données, l’existence des différents droits dont bénéficient les personnes, l’existence du droit de retirer son consentement à tout moment et le droit d’introduire une réclamation auprès d’une autorité de contrôle.<br />
<br />
36. L’article 14 du RGPD, qui concerne la situation dans laquelle les données à caractère personnel ne sont pas collectées directement auprès de la personne concernée, prévoit que cette dernière doit également être informée des catégories de données à caractère personnel concernées ainsi que, si cela est nécessaire pour garantir un traitement équitable et transparent, de la source dont proviennent ces données. En outre, il précise que ces informations doivent être communiquées à la personne concernée "dans un délai raisonnable après avoir obtenu les données à caractère personnel, mais ne dépassant pas un mois, eu égard aux circonstances particulières dans lesquelles les données à caractère personnel sont traitées ou si les données à caractère personnel doivent être utilisées aux fins de la communication avec la personne concernée, au plus tard au moment de la première communication à ladite personne" .<br />
<br />
37. La rapporteure a relevé, ainsi qu’il ressort des constatations effectuées lors du contrôle sur place du 29 octobre 2019, que la SGAM AG2R LA MONDIALE confiait à ses sous-traitants […] et […] une partie des opérations de prospection téléphonique à mener auprès de ses clients et prospects. Dans ce cadre, la délégation de la CNIL a été informée que des scripts d’appels étaient établis par la société ou ses filiales et que 30% des conversations téléphoniques sortantes effectuées par ses deux sous-traitants étaient enregistrées à des fins d’amélioration de la qualité du service de la SGAM AG2R LA MONDIALE.<br />
<br />
38. La rapporteure a relevé que l’écoute d’un échantillon des cinquante derniers appels téléphoniques passés par ces deux sous-traitants a permis de constater l’absence d’information des personnes contactées, soit du principe même de l’enregistrement de l’appel, soit de leur droit à s’y opposer. En outre, la rapporteure a également souligné que, dans le cadre de ces enregistrements, les personnes n’étaient rendues destinataires d’aucune information, même sommaire, relative au traitement de leurs données à caractère personnel ou aux autres droits dont elles disposent à l’égard de leurs données. Enfin, ces personnes ne se voyaient pas offrir la possibilité d’obtenir une information plus complète relative à la protection de leurs données à caractère personnel, par exemple via l’envoi d’un courriel ou l’activation d’une touche sur leur clavier téléphonique.<br />
<br />
39. En défense, la société a indiqué avoir procédé à des rectifications immédiates, dès l’issue du contrôle sur place, afin de délivrer aux personnes concernées une information conforme aux exigences du RGPD. Elle a ainsi déclaré que, depuis la fin de l’année 2019, des instructions écrites relatives à l’information des personnes concernées étaient remises aux sous-traitants […] et […], tout comme des scripts d’appels téléphoniques actualisés contenant la plupart des mentions exigées par les articles 13 et 14 du RGPD. La société a précisé que lesdits scripts avaient été complétés avec d’ultimes mentions manquantes en 2021. Enfin, la société a indiqué qu’une notice d’information dédiée aux traitements mis en œuvre dans le cadre de l’enregistrement des appels téléphoniques sortants était désormais fournie au sein de la rubrique "protection des données" du site internet d’AG2R, indiquant la base légale du traitement et précisant les destinataires des enregistrements ainsi que les modalités d’exercice des droits. La société a précisé que les personnes démarchées téléphoniquement étaient désormais informées, par le téléopérateur, du fait qu’elles pouvaient consulter cette notice d’information en se rendant sur le site internet d’AG2R.<br />
<br />
40. La formation restreinte relève qu’à la date du contrôle, les personnes démarchées téléphoniquement par les sociétés […] et […] pour le compte de la SGAM AG2R LA MONDIALE n’étaient pas correctement informées des traitements de données à caractère personnel mis en œuvre, en méconnaissance des dispositions applicables du RGPD. En effet, d’une part, les informations essentielles relatives en particulier au principe même de l’enregistrement de l’appel ou, selon les cas, au droit de s’y opposer, aux finalités de l’enregistrement et à sa durée de conservation, n’étaient pas communiquées aux personnes concernées par les sous-traitants de la SGAM AG2R LA MONDIALE. D’autre part, la formation restreinte souligne l’absence d’instructions données par la SGAM AG2R LA MONDIALE à ses sous-traitants afin de porter à la connaissance des personnes concernées les mentions d’information obligatoires prévues par le RGPD. En outre, elle relève que les scripts d’appels téléphoniques destinés au sous-traitant […] ne contenaient aucune mention relative à la fourniture d’une quelconque information relative à la protection de leurs données à caractère personnel aux personnes concernées.<br />
<br />
41. Au vu de ce qui précède, la formation restreinte considère qu’au jour du contrôle, la société ne respectait pas les dispositions des articles 13 et 14 du RGPD.<br />
<br />
42. La formation restreinte relève néanmoins que, depuis le contrôle, la société s’est mise en conformité avec les exigences découlant des articles 13 et 14 du RGPD. A cet égard, la formation restreinte constate que les téléconseillers des prestataires […] et […] délivrent de manière effective une information aux personnes démarchées téléphoniquement concernant l’identité du responsable de traitement, le principe et la finalité de l’enregistrement de la conversation, les destinataires des enregistrements, leur durée de conservation, l’existence des droits dont disposent les personnes concernées, ainsi que la possibilité d’obtenir des informations complémentaires relatives aux traitements de données à caractère personnel mis en œuvre par la société en consultant la rubrique "protection des données" du site internet d’AG2R (au sein de laquelle est disponible la notice d’information dédiée aux traitements mis en œuvre dans le cadre de l’enregistrement des appels téléphoniques sortants).<br />
<br />
43. Dès lors, la formation restreinte considère que les faits précités constituent un manquement aux articles 13 et 14 du RGPD, mais que la société a justifié s’être mise en conformité en fournissant, à la date de clôture de l’instruction, une information complète aux personnes démarchées téléphoniquement au sens des dispositions précitées.<br />
<br />
III. Sur les mesures correctrices et leur publicité<br />
<br />
44. Aux termes du III de l’article 20 de la loi du 6 janvier 1978 modifiée :<br />
<br />
"Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi, le président de la Commission nationale de l'informatique et des libertés peut également, le cas échéant après lui avoir adressé l'avertissement prévu au I du présent article ou, le cas échéant en complément d'une mise en demeure prévue au II, saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l'une ou de plusieurs des mesures suivantes : […]<br />
<br />
2° Une injonction de mettre en conformité le traitement avec les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi ou de satisfaire aux demandes présentées par la personne concernée en vue d'exercer ses droits, qui peut être assortie, sauf dans des cas où le traitement est mis en œuvre par l'État, d'une astreinte dont le montant ne peut excéder 100 000 € par jour de retard à compter de la date fixée par la formation restreinte ; […]<br />
<br />
7° À l'exception des cas où le traitement est mis en œuvre par l'État, une amende administrative ne pouvant excéder 10 millions d'euros ou, s'agissant d'une entreprise, 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux 5 et 6 de l'article 83 du règlement (UE) 2016/679 du 27 avril 2016, ces plafonds sont portés, respectivement, à 20 millions d'euros et 4 % dudit chiffre d'affaires. La formation restreinte prend en compte, dans la détermination du montant de l'amende, les critères précisés au même article 83."<br />
<br />
45. L’article 83 du RGPD prévoit que "Chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives", avant de préciser les éléments devant être pris en compte pour décider s’il y a lieu d’imposer une amende administrative et pour décider du montant de cette amende.<br />
<br />
46. En premier lieu, la société fait valoir que si une amende devait être prononcée, la formation restreinte devrait tenir compte des mesures adoptées dans le sens d’une mise en conformité. S’agissant des durées de conservation des données des prospects, la société souligne que des actions correctrices ont été rapidement déployées afin de supprimer les données des prospects dont la durée maximale de conservation est atteinte et que des purges régulières sont désormais effectuées. S’agissant des durées de conservation des données des clients, elle rappelle que la complexité des systèmes d’information du groupe AG2R LA MONDIALE a retardé la mise en œuvre pleine et entière des durées légales de conservation, celle-ci étant toutefois en cours et déjà partiellement réalisée. Lors de la séance de la formation restreinte, la société a indiqué avoir investi au total […] depuis plusieurs années. Par ailleurs, la société souligne que l’information délivrée aux personnes démarchées téléphoniquement respecte désormais les exigences des articles 13 et 14 du RGPD. La société invite enfin la formation restreinte à tenir compte de sa pleine coopération lors de la procédure et souligne une diminution de son chiffre d’affaires et de son résultat net.<br />
<br />
47. La formation restreinte rappelle qu’elle doit tenir compte, pour le prononcé d’une amende administrative et pour la détermination de son montant, des critères précisés à l’article 83 du RGPD, tels que la nature, la gravité et la durée de la violation, les mesures prises par le responsable du traitement pour atténuer le dommage subi par les personnes concernées, le degré de coopération avec l’autorité de contrôle et les catégories de données à caractère personnel concernées par la violation.<br />
<br />
48. En outre, la formation restreinte rappelle que dans la mesure où sont en l’espèce reprochés à la société des manquements aux articles 5-1-e), 13 et 14 du Règlement, le montant maximum de l’amende pouvant être retenu s’élève à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.<br />
<br />
49. La formation restreinte considère tout d’abord que la société a fait preuve d’une négligence grave au regard de l’atteinte portée à des principes fondamentaux prévus par le RGPD, à savoir le principe de limitation de la durée de conservation des données et l’obligation d’informer les personnes concernées des traitements de leurs données à caractère personnel.<br />
<br />
50. La formation restreinte relève ensuite que le manquement relatif aux durées de conservation a concerné un nombre très important de personnes, en particulier des clients de la société. En effet, la conservation en base active pour des durées supérieures aux durées légales autorisées, pouvant excéder trente ans, a concerné les données à caractère personnel de plus de deux millions de clients collectées lors de la conclusion de contrats d’assurance.<br />
<br />
51. La formation restreinte souligne par ailleurs que, parmi les données des clients conservées pour des durées excessives, figurent des données de nature sensible, des coordonnées bancaires et des informations relatives à la vie personnelle des clients.<br />
<br />
52. La formation restreinte relève également que les mesures de mise en conformité mises en place à la suite du contrôle n’ont pas permis de remédier entièrement au manquement relatif aux durées de conservation des données en tant qu’il concerne les clients, lequel persiste encore partiellement à ce jour. En tout état de cause, les mesures de mise en conformité adoptées n’exonèrent pas la société de sa responsabilité pour le passé.<br />
<br />
53. De plus, la formation restreinte considère que les investissements réalisés par la société pour parvenir à la mise en œuvre des durées de conservation définies dans ses systèmes d’information ne sont pas disproportionnés au regard de son chiffre d’affaires, de la taille du groupe et de l’ampleur des travaux à réaliser compte tenu de la complexité desdits systèmes d’information soulignée par la société elle-même, qui préexistait à l’entrée en application du RGPD. La formation restreinte considère que c’est précisément le manque d’anticipation qui a contribué à des échecs dans la mise en œuvre des durées de conservation des données des clients de la société au sein de ses systèmes et, partant, à l’absence de mise en conformité avec le RGPD plus de trois ans après son entrée en application.<br />
<br />
54. Enfin, la formation restreinte rappelle que les amendes administratives doivent être dissuasives mais proportionnées. Elle considère en particulier que l’activité de la société et sa situation financière doivent être prises en compte pour la détermination de la sanction et notamment, en cas d’amende administrative, de son montant. Elle relève à ce titre que la société fait état d’une diminution de son chiffre d’affaires, passé de 9,7 milliards en 2019 à 9,3 milliards en 2020, comme de son résultat net, passé de 350 millions en 2019 à 222 millions en 2020. Si la formation restreinte constate le résultat net a diminué de manière assez significative, elle souligne que celui-ci reste largement positif. Au vu de ces éléments, la formation restreinte considère que le prononcé d’une amende de 1 750 000 euros apparaît justifié, compte tenu notamment de la nécessité de sanctionner des manquements à des principes élémentaires du RGPD, commis par un acteur majeur de la protection sociale en France, concernant plusieurs millions de personnes et portant sur des données de nature sensible ou particulière, comme les coordonnées bancaires.<br />
<br />
55. En conséquence, la formation restreinte considère qu’il y a lieu de prononcer une amende administrative de 1 750 000 euros au regard des manquements aux articles 5-1-e), 13 et 14 du RGPD.<br />
<br />
56. En deuxième lieu, une injonction de mettre en conformité le traitement avec les dispositions des articles 5-1-e), 13 et 14 du RGPD a été proposée par la rapporteure dans son rapport de sanction.<br />
<br />
57. En défense, la société soutient que les actions qu’elle a mises en œuvre s’agissant de l’ensemble des manquements relevés doivent conduire à ne pas donner suite à la proposition d’injonctions de la rapporteure.<br />
<br />
58. S’agissant du manquement à l’obligation de définir et de respecter une durée de conservation des données à caractère personnel proportionnée à la finalité du traitement en application de l’article 5-1-e) du RGPD, la société indique avoir entrepris de nombreuses actions et avoir réalisé les investissements conséquents susmentionnés pour atteindre la mise en conformité sur ce point.<br />
<br />
59. La formation restreinte relève, s’agissant des données des prospects, que la société met désormais en œuvre les durées de conservation définies par la société dans son référentiel, qui sont proportionnées aux finalités poursuivies et au demeurant conformes aux recommandations faites par la CNIL en la matière. S’agissant des données des clients, la société témoigne s’être engagée dans une démarche sérieuse de mise en conformité. A cet égard, la formation restreinte note d’ailleurs que la société documente avoir mené à bien une partie importante de la mise en oeuvre de ces durées de conservation dans ces systèmes, seuls restant à couvrir une partie résiduelle du périmètre "Santé Prévoyance" ainsi que le périmètre "Epargne et retraite supplémentaire" , et que la société s’est engagée à achever sa mise en conformité au 31 décembre 2022.<br />
<br />
60. S’agissant du manquement à l’obligation d’information des personnes en application des articles 13 et 14 du RGPD, la formation restreinte prend acte de la mise en conformité de la société sur ce point. En effet, la société démontre avoir envoyé des instructions écrites à ses prestataires afin que soit délivrée une information complète aux personnes démarchées téléphoniquement pour son compte, et y avoir joint des scripts d’appels complétés des mentions d’information obligatoires. Par ailleurs, l’écoute des échantillons d’appels téléphoniques communiqués par la société atteste de la délivrance effective de ces informations aux personnes concernées. En outre, une notice d’information dédiée à ces traitements et contenant des informations complémentaires a été insérée au sein de la politique de confidentialité. La personne est désormais systématiquement informée par le téléopérateur, au début de l’appel téléphonique, du fait qu’elle peut prendre connaissance de cette notice en se rendant sur le site internet d’AG2R.<br />
<br />
61. Au vu de ce qui précède, la formation restreinte considère qu’il n’y a plus lieu de maintenir les injonctions proposées.<br />
<br />
62. En troisième lieu, la formation restreinte considère que la publicité de la sanction se justifie au regard du fait que les manquements aux principes élémentaires du RGPD relevés en l’espèce concernent un acteur majeur de la protection sociale et patrimoniale en France, qui gère les données à caractère personnel de millions de personnes. La formation restreinte relève que dans ce contexte, la publicité de la sanction permet d’informer les personnes concernées de la nature et de l’étendue de ces manquements.<br />
<br />
PAR CES MOTIFS<br />
<br />
La formation restreinte de la CNIL, après en avoir délibéré, décide de :<br />
<br />
- prononcer à l’encontre de la SGAM AG2R LA MONDIALE une amende administrative d’un montant de 1 750 000 (un million sept-cent-cinquante-mille) euros ;<br />
<br />
- rendre publique, sur le site de la CNIL et sur le site de Légifrance, sa délibération, qui n’identifiera plus nommément la société à l’expiration d’un délai d’un an à compter de sa publication.<br />
<br />
Le président<br />
<br />
Alexandre LINDEN<br />
<br />
Cette décision est susceptible de faire l’objet d’un recours devant le Conseil d’État dans un délai de deux mois à compter de sa notification.<br />
</pre></div>Tsekhttps://gdprhub.eu/index.php?title=CNIL_(France)_-_SAN-2021-010&diff=17602CNIL (France) - SAN-2021-0102021-07-27T18:56:15Z<p>Tsek: Created page with "{{DPAdecisionBOX |Jurisdiction=France |DPA-BG-Color= |DPAlogo=LogoFR.png |DPA_Abbrevation=CNIL (France) |DPA_With_Country=CNIL (France) |Case_Number_Name=SAN-2021-010 |ECLI=..."</p>
<hr />
<div>{{DPAdecisionBOX<br />
<br />
|Jurisdiction=France<br />
|DPA-BG-Color=<br />
|DPAlogo=LogoFR.png<br />
|DPA_Abbrevation=CNIL (France)<br />
|DPA_With_Country=CNIL (France)<br />
<br />
|Case_Number_Name=SAN-2021-010<br />
|ECLI=<br />
<br />
|Original_Source_Name_1=Legifrance<br />
|Original_Source_Link_1=https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000043829617?page=1&pageSize=10&query=2016%2F679&searchField=ALL&searchType=ALL&sortValue=DATE_DECISION_DESC&tab_selection=cnil&typePagination=DEFAULT<br />
|Original_Source_Language_1=French<br />
|Original_Source_Language__Code_1=FR<br />
<br />
|Type=Investigation<br />
|Outcome=Violation Found<br />
|Date_Decided=20.07.2021<br />
|Date_Published=22.07.2021<br />
|Year=2021<br />
|Fine=1750000<br />
|Currency=EUR<br />
<br />
|GDPR_Article_1=Article 5(1)(e) GDPR<br />
|GDPR_Article_Link_1=Article 5 GDPR#1e<br />
|GDPR_Article_2=Article 13 GDPR<br />
|GDPR_Article_Link_2=Article 13 GDPR<br />
|GDPR_Article_3=Article 14 GDPR<br />
|GDPR_Article_Link_3=Article 14 GDPR<br />
|GDPR_Article_4=Article 83 GDPR<br />
|GDPR_Article_Link_4=Article 83 GDPR<br />
<br />
<br />
<br />
|Party_Name_1=AG2R La Mondiale<br />
|Party_Link_1=https://www.ag2rlamondiale.fr/<br />
|Party_Name_2=<br />
|Party_Link_2=<br />
|Party_Name_3=<br />
|Party_Link_3=<br />
|Party_Name_4=<br />
|Party_Link_4=<br />
|Party_Name_5=<br />
|Party_Link_5=<br />
<br />
|Appeal_To_Body=<br />
|Appeal_To_Case_Number_Name=<br />
|Appeal_To_Status=Unknown<br />
|Appeal_To_Link=<br />
<br />
|Initial_Contributor=Kest<br />
|<br />
}}<br />
<br />
The French DPA (Commission Nationale de l’Informatique et des Libertés – CNIL) imposed a fine of €1,75 million on an insurance and supplementary pension firm for violations of Articles [[Article 5(1)(e) GDPR|5(1)(e)]], [[Article 13 GDPR|13]] and [[Article 14 GDPR|14]] GDPR on the duration of personal data retention and information due to data subjects.<br />
<br />
== English Summary ==<br />
<br />
=== Facts ===<br />
An on-site investigation carried out by the CNIL in October 2019 revealed the following breaches.<br />
<br />
First, the internal firm policy on data retention duration was only implemented in several areas of activities. In this respect, the company later indicated that it had undertaken a broad compliance plan and, in particular, that an IT project had been initiated in 2017 in order to achieve effective compliance with GDPR. However, the timetable of this project could not be met due to the complexity of the firm's information systems.<br />
<br />
Second, it appeared that subcontractors performed all of canvassing operations without informing data subjects on the processing their personal data and their rights. In addition, subcontracting agreements did not contain any provision on the matter, and 30% of calls were recorded, without informing clients and prospects.<br />
<br />
Since the on-site investigation, the firm has been implementing corrective measures. According to the firm, compliance with data retention legal duration will be complete by 2022 and canvassing operations are now carried out in accordance with Article [[Article 13 GDPR|13]] and [[Article 14 GDPR|14]] GDPR.<br />
<br />
<br />
=== Dispute ===<br />
Dispute :<br />
<br />
• Has the firm violated [Article 5(1)(e) GDPR] GDPR and domestic legal provisions regarding personal data retention?<br />
• Has the firm violated Article [[Article 13 GDPR|13]] and [[Article 14 GDPR|14]] GDPR because its subcontractors did not provide clients and prospects with information listed in those articles during canvassing operations?<br />
• In both cases, does the compliance policy implemented by the firm reduce its responsibility under [Article 83 GDPR]?<br />
<br />
<br />
=== Holding ===<br />
1. On the duration of data retention<br />
<br />
The CNIL founds that the company has violated [Articles 5(1)(e) GDPR] and several domestic provisions of the Insurance Code. Regarding the 3 years limit of retention of prospects’ data, the CNIL reiterates that its Norme Simplifiée NS-056, whilst non mandatory and dating back from 2013, still provides with the appropriate and proportionate duration of retention for this category of data.<br />
<br />
Regarding the sanction, the CNIL takes into account that the firm has been gradually implementing a complex compliance policy since 2017 and has undertaken corrective measures during the course of the proceedings that improved greatly its situation.<br />
<br />
However, compliance measures adopted do not absolve the company of its responsibility for the past. Full compliance will not be achieved before 2022 and established violations are the result of a lack of anticipation that, with regard to the firm’s size and resources, could have been avoided.<br />
<br />
Hence, the firm is fined to an amount of €1,75 million.<br />
<br />
2. On the information of data subject in the context of canvassing operations<br />
<br />
The CNIL founds that the total lack of information is contrary to Articles 13 and 14 GDPR.<br />
<br />
Nonetheless, the firm has taken appropriate measures to achieve compliance with foresaid articles during the course of the procedure.<br />
<br />
The CNIL therefore decided not to impose a sanction on this matter.<br />
<br />
<br />
== Comment ==<br />
''Share your comments here!''<br />
<br />
== Further Resources ==<br />
''Share blogs or news articles here!''<br />
<br />
== English Machine Translation of the Decision ==<br />
The decision below is a machine translation of the French original. Please refer to the French original for more details.<br />
<br />
<pre><br />
Délibération de la formation restreinte n°SAN-2021-010 du 20 juillet 2021 concernant la société SGAM AG2R LA MONDIALE<br />
<br />
La Commission nationale de l’informatique et des libertés, réunie en sa formation restreinte composée de Monsieur Alexandre LINDEN, président, Monsieur Philippe-Pierre CABOURDIN, vice-président, Monsieur Bertrand du MARAIS, Madame Christine MAUGÜE et Monsieur Alain DRU, membres ;<br />
<br />
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données à caractère personnel et à la libre circulation de ces données ;<br />
<br />
Vu la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 20 et suivants ;<br />
<br />
Vu le décret no 2019-536 du 29 mai 2019 pris pour l'application de la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;<br />
<br />
Vu la délibération no 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l'informatique et des libertés ;<br />
<br />
Vu la décision n° 2019-164C du 26 septembre 2019 de la présidente de la Commission nationale de l’informatique et des libertés de charger le secrétaire général de procéder ou de faire procéder à une mission de vérification des traitements mis en œuvre par le groupe AG2R LA MONDIALE ou pour son compte ;<br />
<br />
Vu la décision de la présidente de la Commission nationale de l’informatique et des libertés portant désignation d’un rapporteur devant la formation restreinte, en date du 12 novembre 2020 ;<br />
<br />
Vu le rapport de Madame Sophie LAMBREMON, commissaire rapporteure, notifié à la SGAM AG2R LA MONDIALE le 26 avril 2021 ;<br />
<br />
Vu les observations écrites versées par la SGAM AG2R LA MONDIALE le 26 mai 2021 ;<br />
<br />
Vu les observations orales formulées lors de la séance de la formation restreinte ;<br />
<br />
Vu les autres pièces du dossier ;<br />
<br />
Étaient présents, lors de la séance de la formation restreinte du 17 juin 2021 :<br />
<br />
Madame Sophie LAMBREMON, commissaire, entendue en son rapport ;<br />
<br />
En qualité de représentants de la SGAM AG2R LA MONDIALE, s’étant exprimés lors de la séance :<br />
<br />
[…]<br />
<br />
La SGAM AG2R LA MONDIALE ayant eu la parole en dernier ;<br />
<br />
La formation restreinte a adopté la décision suivante :<br />
<br />
I. Faits et procédure<br />
<br />
1. La Société de groupe d’assurance mutuelle AG2R LA MONDIALE (ci-après "la SGAM AG2R LA MONDIALE" ou "la société" ) est une société d’assurance mutuelle créée le 16 janvier 2008. Son siège social est situé […] à Paris [75008].<br />
<br />
2. La SGAM AG2R LA MONDIALE appartient au groupe AG2R LA MONDIALE (ci-après "le groupe" ), organisme français de protection sociale et patrimoniale remplissant, d’une part, une mission de gestion administrative des retraites complémentaires des salariés du secteur privé et, d’autre part, une activité assurantielle. Le groupe assure environ 15 millions personnes en France, à titre individuel ou à titre collectif, et accompagne plus de cinq-cent-mille entreprises. Le groupe emploie environ dix-mille collaborateurs.<br />
<br />
3. Au sein du groupe, la SGAM AG2R LA MONDIALE est chargée de coordonner l’activité assurantielle de prévoyance, dépendance, santé, épargne et retraite supplémentaire. Elle compte plusieurs filiales, parmi lesquelles figurent notamment les sociétés […] et […].<br />
<br />
4. En 2019, le chiffre d’affaires généré par l’activité assurantielle menée par la SGAM AG2R LA MONDIALE s’élevait à 9,6 milliards d’euros pour un résultat net de 350 millions d’euros. En 2020, son chiffre d’affaires s’élevait à 9,3 milliards d’euros pour un résultat net de 222 millions d’euros.<br />
<br />
5. Le 29 octobre 2019, en application de la décision n° 2019-164C du 26 septembre 2019 de la présidente de la Commission, une délégation de la CNIL a mené une opération de contrôle sur place au sein des locaux du groupe AG2R LA MONDIALE. Cette mission avait pour objet de vérifier le respect par le groupe AG2R LA MONDIALE de l’ensemble des dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (ci-après "le Règlement" ou "le RGPD" ) et de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (ci-après "la loi du 6 janvier 1978 modifiée" ou "la loi Informatique et Libertés" ).<br />
<br />
6. Le contrôle visait plus particulièrement les traitements de données à caractère personnel des clients et des prospects du groupe. Les vérifications opérées ont notamment porté sur les durées de conservation des données à caractère personnel et sur l’information portée à la connaissance des personnes concernées s’agissant des traitements effectués par la SGAM AG2R LA MONDIALE.<br />
<br />
7. A l’issue du contrôle, le procès-verbal n° 2019-164/1 a été notifié à la SGAM AG2R LA MONDIALE, par courrier daté du 30 octobre 2019. Le 12 novembre 2019, la société a transmis à la CNIL les pièces complémentaires demandées lors du contrôle. A la suite de demandes complémentaires formulées par les services de la Commission, la société a fourni de nouveaux éléments et pièces les 9 décembre 2019, 17 janvier et 10 février 2020.<br />
<br />
8. Aux fins d’instruction de ces éléments, la présidente de la Commission a, le 12 novembre 2020, désigné Madame Sophie LAMBREMON en qualité de rapporteure, sur le fondement de l’article 22 de la loi du 6 janvier 1978 modifiée.<br />
<br />
9. À l’issue de son instruction, la rapporteure a, le 26 avril 2021, fait notifier à la SGAM AG2R LA MONDIALE un rapport détaillant les manquements au RGPD qu’elle estimait constitués en l’espèce et indiquant à la société qu’elle disposait d’un délai d’un mois pour communiquer ses observations écrites en application des dispositions de l’article 40 du décret n° 2019-536 du 29 mai 2019. Le courrier de notification du rapport précisait à la société que le dossier était inscrit à la séance de la formation restreinte du 17 juin 2021.<br />
<br />
10. Ce rapport proposait à la formation restreinte de la Commission de prononcer une injonction de mettre en conformité les traitements avec les dispositions des articles 5-1-e), 13 et 14 du RGPD, assortie d’une astreinte par jour de retard à l’issue d’un délai de trois mois suivant la notification de la délibération de la formation restreinte, ainsi qu’une amende administrative. Il proposait également que cette décision soit rendue publique, mais qu’il ne soit plus possible d’identifier nommément la société à l’expiration d’un délai de deux ans à compter de sa publication.<br />
<br />
11. Le 3 mai 2021, par l’intermédiaire de son conseil, la société a demandé à consulter le dossier de la procédure dans les locaux de la CNIL. Le 6 mai 2021, une consultation s’est tenue dans les locaux de la CNIL, au cours de laquelle le conseil de la société a pris copie des pièces souhaitées.<br />
<br />
12. Le 26 mai 2021, par l’intermédiaire de son conseil, la société a produit des observations en réponse au rapport de sanction.<br />
<br />
13. Le 11 mai 2021, la société a formulé une demande pour que la séance devant la formation restreinte se tienne à huis clos. Par courrier du 20 mai 2021, le président de la formation restreinte a rejeté cette demande.<br />
<br />
14. La société et la rapporteure ont présenté des observations orales lors de la séance de la formation restreinte du 17 juin 2021.<br />
<br />
II. Motifs de la décision<br />
<br />
A. Sur le manquement à l’obligation de conserver les données à caractère personnel pour une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées en application de l’article 5-1-e) du RGPD<br />
<br />
15. Aux termes de l’article 5-1 e) du Règlement, les données à caractère personnel doivent être "conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l'article 89, paragraphe 1, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation)".<br />
<br />
1. Sur la conservation des données à caractère personnel des prospects<br />
<br />
16. La rapporteure a tout d’abord relevé que, lors du contrôle le 29 octobre 2019, la société avait indiqué à la délégation que les sociétés du groupe AG2R LA MONDIALE disposaient d’un référentiel fixant les durées de conservation des données à caractère personnel des prospects (issus de fichiers tiers loués) et des clients (personnes titulaires d’un contrat individuel assurantiel auprès de la société ou de ses filiales). Néanmoins, la société a déclaré lors de ce même contrôle que les durées de conservation définies dans ce référentiel n’étaient effectivement pas mises en œuvre au sein de ses systèmes d’information, à l’exception des traitements relatifs à la lutte contre le blanchiment, aux actions locales et aux données de santé. Elle a précisé qu’un plan de mise en œuvre de la politique de confidentialité était prévu et aurait dû débuter au cours du premier semestre 2020.<br />
<br />
17. La rapporteure a ensuite relevé que le référentiel relatif aux durées de conservation et le registre des traitements du groupe prévoyaient, pour la prospection visant le réseau de vente à distance, la conservation des données à caractère personnel des prospects pour une durée maximale de trois ans après l’enregistrement en base de données ou le dernier contact à l’initiative du prospect. Or, par courrier en date du 12 novembre 2019, la société a fourni à la délégation de contrôle une extraction provenant de l’application dédiée à la prospection commerciale pour la vente à distance, montrant la présence des données de prospects n’ayant pas eu de contact avec la société depuis plus de trois ans, parfois depuis plus de cinq ans.<br />
<br />
18. Dans ses observations du 27 mai 2021, la société a tout d’abord souligné qu’un référentiel relatif aux durées de conservation des données à caractère personnel des clients et prospects ayant bien été défini, aucun manquement ne pouvait lui être reproché au titre de la définition des durées de conservation.<br />
<br />
19. Ensuite, la société a expliqué avoir entrepris des actions afin de respecter la durée de conservation maximale des données à caractère personnel des prospects telle que définie à la fois dans son référentiel et dans le registre des traitements du groupe.<br />
<br />
20. La formation restreinte relève que, s’agissant de la définition des durées de conservation applicables aux données des prospects de la société, il y a tout d’abord lieu de relever qu’au jour du contrôle, un référentiel relatif aux durées de conservation des données des clients et prospects avait bien été établi pour les sociétés du groupe AG2R LA MONDIALE, mais que les durées de conservation y étant définies n’étaient, selon les déclarations faites par la société lors du contrôle, "pas effectivement implémentées dans le système d’information de la société, hormis s’agissant des traitements relatifs à la lutte contre le blanchiment, aux actions locales ainsi qu’aux données de santé" .<br />
<br />
21. La formation restreinte relève ensuite que, lors du contrôle du 29 octobre 2019, la délégation a constaté la présence, en base active, des données à caractère personnel de 1917 prospects n’ayant pas eu de contact avec la société depuis plus de trois ans, dont 1405 prospects n’ayant pas eu de contact avec la société depuis plus de cinq ans, sans que la société soit en mesure de justifier de la nécessité d’appliquer des durées de conservation supérieures à la durée maximale de trois ans qu’elle avait elle-même fixée. La formation restreinte relève que la durée de trois ans constitue une durée de conservation proportionnée et conforme aux recommandations faites par la CNIL dans le cadre de la norme simplifiée n° NS-056 (délibération n° 2013-213 du 11 juillet 2013) concernant les traitements automatisés de données relatifs à la gestion commerciale de clients et de prospects mis en œuvre par les organismes d’assurance, capitalisation, réassurance, assistance et par les intermédiaires d’assurance. Si depuis l’entrée en application du RGPD le 25 mai 2018, les normes simplifiées n’ont plus de valeur juridique, elles constituent toujours un point de repère pour les responsables de traitement, leur permettant de s’assurer de leur conformité.<br />
<br />
22. La formation restreinte note par ailleurs que la société atteste, depuis le contrôle, avoir formulé et exécuté des requêtes en suppression des données des prospects et mettre en œuvre des purges mensuelles des données des prospects dans la base de données sous-jacente à l’application dédiée à la prospection commerciale pour la vente à distance.<br />
<br />
23. Dès lors, si la formation restreinte prend note de ce que la SGAM AG2R LA MONDIALE met désormais en œuvre les durées de conservation définies dans le référentiel précité et le registre des traitements du groupe, permettant ainsi que les données à caractère personnel des prospects ne sont pas conservées pour des durées excédant celles nécessaires au regard des finalités pour lesquelles elles sont traitées, elle relève qu’au jour du contrôle, les durées de conservation que la société avait définies, et qui correspondent aux durées nécessaires à l’atteinte des finalités poursuivies, n’étaient pas respectées. La société a ainsi conservé les données à caractère personnel de ses prospects pendant des durées excessives, en l’absence de justification particulière, et alors que ceux-ci n’avaient montré aucun intérêt pour les produits et services proposés par la société durant plus de trois, voire de cinq ans.<br />
<br />
2. Sur la conservation des données à caractère personnel des clients<br />
<br />
24. Ainsi qu’il a été indiqué ci-dessus (point 16), la société disposait au jour du contrôle d’un référentiel relatif aux durées de conservation des données de ses clients et prospects, lequel n’était toutefois pas mis en œuvre au sein de ses systèmes d’information, excepté s’agissant des traitements relatifs à la lutte contre le blanchiment, aux actions locales et aux données de santé.<br />
<br />
25. Dans le cadre de son rapport, la rapporteure a souligné qu’il devait être tenu compte de la spécificité de la matière assurantielle lors de l’appréciation du caractère proportionné de la durée de conservation des données des clients par une société d’assurance. En particulier, les durées de conservation des données des clients en matière assurantielle doivent permettre de respecter les délais légaux prévus, notamment, par le code des assurances et le code de commerce. Cependant, en l’espèce, la rapporteure a constaté que par courrier du 12 novembre 2019, la société avait fourni des documents montrant la conservation en base active des données à caractère personnel d’un grand nombre de clients, après le terme du contrat d’assurance, pour des durées supérieures à celles fixées par les dispositions légales applicables. Les données conservées étaient relatives, notamment, à l’identité, aux coordonnées personnelles, professionnelles et bancaires, à la vie personnelle et professionnelle, à l’assurance, ainsi que, dans le cadre de certains contrats, à la santé des personnes.<br />
<br />
26. En défense, la société a indiqué avoir engagé des actions correctives depuis le contrôle et a produit des justifications en vue d’attester de ses démarches de mise en conformité.<br />
<br />
27. La formation restreinte relève tout d’abord qu’il ressort des éléments communiqués par la société postérieurement au contrôle du 29 octobre 2019, que les données de milliers de clients titulaires de contrats de type incendies, accidents et risques divers, lesquelles peuvent être conservées entre deux ans après la fin du contrat (article L. 114-1 du code des assurances, fixant les délais de prescription des actions dérivant d’un contrat d’assurance, aucune autre finalité n’ayant été mise en avant par la société pour justifier d’une conservation à l’issue de l’expiration des contrats) et dix ans pour certaines pièces comptables (article L. 123-22 du code de commerce), l’ont été pour des durées excédant dix ans et parfois supérieures à trente ans.<br />
<br />
28. Ensuite, la formation restreinte constate que les données à caractère personnel de près de cent-mille clients titulaires de contrats épargne, épargne patrimoniale, retraite supplémentaire, obsèques et prévoyance, lesquelles peuvent être conservées pour des durées variables pouvant aller jusqu’à trente ans après le dénouement du contrat pour la finalité de gestion des contentieux (article L. 114-1, dernier alinéa, du code des assurances), l’ont été pour une durée supérieure. En outre, aucune autre finalité n’avait été mise en avant pour les traitements postérieurs au contrat.<br />
<br />
29. En outre, la formation restreinte relève que les données à caractère personnel de plus de deux millions de clients, collectées dans le cadre des contrats santé, ont été conservées pour des durées excédant la durée légale de cinq ans suivant la résiliation du contrat (délai calqué sur celui de l’article 2224 du code civil, repris dans le référentiel de la société). Elle relève également que la durée de conservation des données de 1,3 million de clients titulaires d’un contrat santé excède dix ans tandis que celle de milliers de clients excède trente ans.<br />
<br />
30. Enfin, la formation restreinte relève qu’hormis pour les données concernant les prestations de santé, il n’existait pas, au jour du contrôle, de mécanisme d’archivage permettant la conservation des données des clients à des fins comptables, fiscales ou contentieuses dans la limite des délais de prescription que ce soit en les transférant au sein d’une base d’archives dédiée ou en mettant en place des restrictions d’accès à ces données pour qu’elles ne puissent être consultées que par des personnes spécialement habilitées, ayant un intérêt à en connaître en raison de leurs fonctions (par exemple, le service en charge du contentieux).<br />
<br />
31. La formation restreinte observe par ailleurs qu’en défense, la société n’a pas apporté d’éléments de nature à justifier de telles durées de conservation des données. A l’inverse, elle a indiqué avoir engagé un large plan de mise en conformité. A cet égard, la société a notamment expliqué qu’un projet informatique avait été initié dès 2017 afin de parvenir à une mise en œuvre effective et intégrale des durées de conservation des données relatives à ses clients. La société a précisé que le déploiement du projet informatique aurait dû s’achever en mai 2018, mais que le calendrier n’avait pu être tenu en raison de la complexité des systèmes d’information du groupe AG2R LA MONDIALE et de l’interdépendance des applications. La société a ainsi indiqué avoir défini une nouvelle stratégie de suppression des données des clients sur trois années, fondée sur une approche par les risques et le cycle de vie des données, selon le calendrier suivant :<br />
<br />
2020 : périmètre traitements sensibles (action sociale, lutte contre le blanchiment) ;<br />
<br />
2021 : périmètre santé-prévoyance ;<br />
<br />
Juin 2021 : échéance du processus d’anonymisation des données liées aux produits d’épargne ;<br />
<br />
2022 : périmètre épargne et retraite supplémentaire (cycles de vie des données plus longs - actions se prescrivant par trente ans).<br />
<br />
32. La formation restreinte relève que la société a fourni au soutien de ses engagements des justificatifs de suppression des données de clients déjà effectuées, en 2020 et 2021, conformément au projet informatique défini, sur plusieurs applications rattachées au périmètre Santé-Prévoyance . En outre, la société a fourni un document daté du mois de mai 2021 montrant que le processus d’anonymisation des données des clients liées aux produits d’épargne était en cours.<br />
<br />
33. Dès lors, si la formation restreinte prend note que la SGAM AG2R LA MONDIALE a fourni des éléments attestant des démarches entreprises pour garantir que les données à caractère personnel de ses clients ne sont plus conservées pour des durées excédant celles nécessaires au regard des finalités pour lesquelles elles sont traitées, elle estime qu’au jour du contrôle, ces données étaient conservées pour des durées excessives. La formation restreinte constate par ailleurs que le manquement subsiste en partie à ce jour, dans la mesure où la mise en œuvre des durées de conservation des données des clients n’est pas entièrement déployée dans les systèmes d’information de la société. En particulier, il ressort des pièces fournies par la société que la quasi-totalité du périmètre "Santé Prévoyance" serait en conformité d’ici la fin de l’année 2021 et que les travaux relatifs au périmètre "Epargne retraite" se poursuivraient en 2022. La société a précisé dans ses observations en défense et confirmé lors de la séance de la formation restreinte que les travaux de mise en conformité relatifs à la mise en œuvre des durées de conservation des clients dans ses systèmes d’information s’achèveraient à la fin de l’année 2022.<br />
<br />
34. Au regard de l’ensemble de ces éléments, la formation restreinte considère que le manquement à l’article 5-1-e) du RGPD est caractérisé.<br />
<br />
B. Sur le manquement relatif à l’obligation d’informer les personnes en application des articles 13 et 14 du RGPD<br />
<br />
35. Les articles 13 et 14 du RGPD imposent au responsable de traitement de fournir à la personne concernée différentes informations relatives notamment à son identité et ses coordonnées, aux finalités du traitement mis en œuvre, sa base juridique, les destinataires ou les catégories de destinataires des données, au fait que le responsable du traitement a l’intention d’effectuer un transfert de données vers un pays tiers. En outre, la réglementation impose, lorsque cela apparaît nécessaire pour garantir "un traitement équitable et transparent" des données personnelles en l’espèce, d’informer les personnes sur la durée de conservation des données, l’existence des différents droits dont bénéficient les personnes, l’existence du droit de retirer son consentement à tout moment et le droit d’introduire une réclamation auprès d’une autorité de contrôle.<br />
<br />
36. L’article 14 du RGPD, qui concerne la situation dans laquelle les données à caractère personnel ne sont pas collectées directement auprès de la personne concernée, prévoit que cette dernière doit également être informée des catégories de données à caractère personnel concernées ainsi que, si cela est nécessaire pour garantir un traitement équitable et transparent, de la source dont proviennent ces données. En outre, il précise que ces informations doivent être communiquées à la personne concernée "dans un délai raisonnable après avoir obtenu les données à caractère personnel, mais ne dépassant pas un mois, eu égard aux circonstances particulières dans lesquelles les données à caractère personnel sont traitées ou si les données à caractère personnel doivent être utilisées aux fins de la communication avec la personne concernée, au plus tard au moment de la première communication à ladite personne" .<br />
<br />
37. La rapporteure a relevé, ainsi qu’il ressort des constatations effectuées lors du contrôle sur place du 29 octobre 2019, que la SGAM AG2R LA MONDIALE confiait à ses sous-traitants […] et […] une partie des opérations de prospection téléphonique à mener auprès de ses clients et prospects. Dans ce cadre, la délégation de la CNIL a été informée que des scripts d’appels étaient établis par la société ou ses filiales et que 30% des conversations téléphoniques sortantes effectuées par ses deux sous-traitants étaient enregistrées à des fins d’amélioration de la qualité du service de la SGAM AG2R LA MONDIALE.<br />
<br />
38. La rapporteure a relevé que l’écoute d’un échantillon des cinquante derniers appels téléphoniques passés par ces deux sous-traitants a permis de constater l’absence d’information des personnes contactées, soit du principe même de l’enregistrement de l’appel, soit de leur droit à s’y opposer. En outre, la rapporteure a également souligné que, dans le cadre de ces enregistrements, les personnes n’étaient rendues destinataires d’aucune information, même sommaire, relative au traitement de leurs données à caractère personnel ou aux autres droits dont elles disposent à l’égard de leurs données. Enfin, ces personnes ne se voyaient pas offrir la possibilité d’obtenir une information plus complète relative à la protection de leurs données à caractère personnel, par exemple via l’envoi d’un courriel ou l’activation d’une touche sur leur clavier téléphonique.<br />
<br />
39. En défense, la société a indiqué avoir procédé à des rectifications immédiates, dès l’issue du contrôle sur place, afin de délivrer aux personnes concernées une information conforme aux exigences du RGPD. Elle a ainsi déclaré que, depuis la fin de l’année 2019, des instructions écrites relatives à l’information des personnes concernées étaient remises aux sous-traitants […] et […], tout comme des scripts d’appels téléphoniques actualisés contenant la plupart des mentions exigées par les articles 13 et 14 du RGPD. La société a précisé que lesdits scripts avaient été complétés avec d’ultimes mentions manquantes en 2021. Enfin, la société a indiqué qu’une notice d’information dédiée aux traitements mis en œuvre dans le cadre de l’enregistrement des appels téléphoniques sortants était désormais fournie au sein de la rubrique "protection des données" du site internet d’AG2R, indiquant la base légale du traitement et précisant les destinataires des enregistrements ainsi que les modalités d’exercice des droits. La société a précisé que les personnes démarchées téléphoniquement étaient désormais informées, par le téléopérateur, du fait qu’elles pouvaient consulter cette notice d’information en se rendant sur le site internet d’AG2R.<br />
<br />
40. La formation restreinte relève qu’à la date du contrôle, les personnes démarchées téléphoniquement par les sociétés […] et […] pour le compte de la SGAM AG2R LA MONDIALE n’étaient pas correctement informées des traitements de données à caractère personnel mis en œuvre, en méconnaissance des dispositions applicables du RGPD. En effet, d’une part, les informations essentielles relatives en particulier au principe même de l’enregistrement de l’appel ou, selon les cas, au droit de s’y opposer, aux finalités de l’enregistrement et à sa durée de conservation, n’étaient pas communiquées aux personnes concernées par les sous-traitants de la SGAM AG2R LA MONDIALE. D’autre part, la formation restreinte souligne l’absence d’instructions données par la SGAM AG2R LA MONDIALE à ses sous-traitants afin de porter à la connaissance des personnes concernées les mentions d’information obligatoires prévues par le RGPD. En outre, elle relève que les scripts d’appels téléphoniques destinés au sous-traitant […] ne contenaient aucune mention relative à la fourniture d’une quelconque information relative à la protection de leurs données à caractère personnel aux personnes concernées.<br />
<br />
41. Au vu de ce qui précède, la formation restreinte considère qu’au jour du contrôle, la société ne respectait pas les dispositions des articles 13 et 14 du RGPD.<br />
<br />
42. La formation restreinte relève néanmoins que, depuis le contrôle, la société s’est mise en conformité avec les exigences découlant des articles 13 et 14 du RGPD. A cet égard, la formation restreinte constate que les téléconseillers des prestataires […] et […] délivrent de manière effective une information aux personnes démarchées téléphoniquement concernant l’identité du responsable de traitement, le principe et la finalité de l’enregistrement de la conversation, les destinataires des enregistrements, leur durée de conservation, l’existence des droits dont disposent les personnes concernées, ainsi que la possibilité d’obtenir des informations complémentaires relatives aux traitements de données à caractère personnel mis en œuvre par la société en consultant la rubrique "protection des données" du site internet d’AG2R (au sein de laquelle est disponible la notice d’information dédiée aux traitements mis en œuvre dans le cadre de l’enregistrement des appels téléphoniques sortants).<br />
<br />
43. Dès lors, la formation restreinte considère que les faits précités constituent un manquement aux articles 13 et 14 du RGPD, mais que la société a justifié s’être mise en conformité en fournissant, à la date de clôture de l’instruction, une information complète aux personnes démarchées téléphoniquement au sens des dispositions précitées.<br />
<br />
III. Sur les mesures correctrices et leur publicité<br />
<br />
44. Aux termes du III de l’article 20 de la loi du 6 janvier 1978 modifiée :<br />
<br />
"Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi, le président de la Commission nationale de l'informatique et des libertés peut également, le cas échéant après lui avoir adressé l'avertissement prévu au I du présent article ou, le cas échéant en complément d'une mise en demeure prévue au II, saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l'une ou de plusieurs des mesures suivantes : […]<br />
<br />
2° Une injonction de mettre en conformité le traitement avec les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi ou de satisfaire aux demandes présentées par la personne concernée en vue d'exercer ses droits, qui peut être assortie, sauf dans des cas où le traitement est mis en œuvre par l'État, d'une astreinte dont le montant ne peut excéder 100 000 € par jour de retard à compter de la date fixée par la formation restreinte ; […]<br />
<br />
7° À l'exception des cas où le traitement est mis en œuvre par l'État, une amende administrative ne pouvant excéder 10 millions d'euros ou, s'agissant d'une entreprise, 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux 5 et 6 de l'article 83 du règlement (UE) 2016/679 du 27 avril 2016, ces plafonds sont portés, respectivement, à 20 millions d'euros et 4 % dudit chiffre d'affaires. La formation restreinte prend en compte, dans la détermination du montant de l'amende, les critères précisés au même article 83."<br />
<br />
45. L’article 83 du RGPD prévoit que "Chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives", avant de préciser les éléments devant être pris en compte pour décider s’il y a lieu d’imposer une amende administrative et pour décider du montant de cette amende.<br />
<br />
46. En premier lieu, la société fait valoir que si une amende devait être prononcée, la formation restreinte devrait tenir compte des mesures adoptées dans le sens d’une mise en conformité. S’agissant des durées de conservation des données des prospects, la société souligne que des actions correctrices ont été rapidement déployées afin de supprimer les données des prospects dont la durée maximale de conservation est atteinte et que des purges régulières sont désormais effectuées. S’agissant des durées de conservation des données des clients, elle rappelle que la complexité des systèmes d’information du groupe AG2R LA MONDIALE a retardé la mise en œuvre pleine et entière des durées légales de conservation, celle-ci étant toutefois en cours et déjà partiellement réalisée. Lors de la séance de la formation restreinte, la société a indiqué avoir investi au total […] depuis plusieurs années. Par ailleurs, la société souligne que l’information délivrée aux personnes démarchées téléphoniquement respecte désormais les exigences des articles 13 et 14 du RGPD. La société invite enfin la formation restreinte à tenir compte de sa pleine coopération lors de la procédure et souligne une diminution de son chiffre d’affaires et de son résultat net.<br />
<br />
47. La formation restreinte rappelle qu’elle doit tenir compte, pour le prononcé d’une amende administrative et pour la détermination de son montant, des critères précisés à l’article 83 du RGPD, tels que la nature, la gravité et la durée de la violation, les mesures prises par le responsable du traitement pour atténuer le dommage subi par les personnes concernées, le degré de coopération avec l’autorité de contrôle et les catégories de données à caractère personnel concernées par la violation.<br />
<br />
48. En outre, la formation restreinte rappelle que dans la mesure où sont en l’espèce reprochés à la société des manquements aux articles 5-1-e), 13 et 14 du Règlement, le montant maximum de l’amende pouvant être retenu s’élève à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.<br />
<br />
49. La formation restreinte considère tout d’abord que la société a fait preuve d’une négligence grave au regard de l’atteinte portée à des principes fondamentaux prévus par le RGPD, à savoir le principe de limitation de la durée de conservation des données et l’obligation d’informer les personnes concernées des traitements de leurs données à caractère personnel.<br />
<br />
50. La formation restreinte relève ensuite que le manquement relatif aux durées de conservation a concerné un nombre très important de personnes, en particulier des clients de la société. En effet, la conservation en base active pour des durées supérieures aux durées légales autorisées, pouvant excéder trente ans, a concerné les données à caractère personnel de plus de deux millions de clients collectées lors de la conclusion de contrats d’assurance.<br />
<br />
51. La formation restreinte souligne par ailleurs que, parmi les données des clients conservées pour des durées excessives, figurent des données de nature sensible, des coordonnées bancaires et des informations relatives à la vie personnelle des clients.<br />
<br />
52. La formation restreinte relève également que les mesures de mise en conformité mises en place à la suite du contrôle n’ont pas permis de remédier entièrement au manquement relatif aux durées de conservation des données en tant qu’il concerne les clients, lequel persiste encore partiellement à ce jour. En tout état de cause, les mesures de mise en conformité adoptées n’exonèrent pas la société de sa responsabilité pour le passé.<br />
<br />
53. De plus, la formation restreinte considère que les investissements réalisés par la société pour parvenir à la mise en œuvre des durées de conservation définies dans ses systèmes d’information ne sont pas disproportionnés au regard de son chiffre d’affaires, de la taille du groupe et de l’ampleur des travaux à réaliser compte tenu de la complexité desdits systèmes d’information soulignée par la société elle-même, qui préexistait à l’entrée en application du RGPD. La formation restreinte considère que c’est précisément le manque d’anticipation qui a contribué à des échecs dans la mise en œuvre des durées de conservation des données des clients de la société au sein de ses systèmes et, partant, à l’absence de mise en conformité avec le RGPD plus de trois ans après son entrée en application.<br />
<br />
54. Enfin, la formation restreinte rappelle que les amendes administratives doivent être dissuasives mais proportionnées. Elle considère en particulier que l’activité de la société et sa situation financière doivent être prises en compte pour la détermination de la sanction et notamment, en cas d’amende administrative, de son montant. Elle relève à ce titre que la société fait état d’une diminution de son chiffre d’affaires, passé de 9,7 milliards en 2019 à 9,3 milliards en 2020, comme de son résultat net, passé de 350 millions en 2019 à 222 millions en 2020. Si la formation restreinte constate le résultat net a diminué de manière assez significative, elle souligne que celui-ci reste largement positif. Au vu de ces éléments, la formation restreinte considère que le prononcé d’une amende de 1 750 000 euros apparaît justifié, compte tenu notamment de la nécessité de sanctionner des manquements à des principes élémentaires du RGPD, commis par un acteur majeur de la protection sociale en France, concernant plusieurs millions de personnes et portant sur des données de nature sensible ou particulière, comme les coordonnées bancaires.<br />
<br />
55. En conséquence, la formation restreinte considère qu’il y a lieu de prononcer une amende administrative de 1 750 000 euros au regard des manquements aux articles 5-1-e), 13 et 14 du RGPD.<br />
<br />
56. En deuxième lieu, une injonction de mettre en conformité le traitement avec les dispositions des articles 5-1-e), 13 et 14 du RGPD a été proposée par la rapporteure dans son rapport de sanction.<br />
<br />
57. En défense, la société soutient que les actions qu’elle a mises en œuvre s’agissant de l’ensemble des manquements relevés doivent conduire à ne pas donner suite à la proposition d’injonctions de la rapporteure.<br />
<br />
58. S’agissant du manquement à l’obligation de définir et de respecter une durée de conservation des données à caractère personnel proportionnée à la finalité du traitement en application de l’article 5-1-e) du RGPD, la société indique avoir entrepris de nombreuses actions et avoir réalisé les investissements conséquents susmentionnés pour atteindre la mise en conformité sur ce point.<br />
<br />
59. La formation restreinte relève, s’agissant des données des prospects, que la société met désormais en œuvre les durées de conservation définies par la société dans son référentiel, qui sont proportionnées aux finalités poursuivies et au demeurant conformes aux recommandations faites par la CNIL en la matière. S’agissant des données des clients, la société témoigne s’être engagée dans une démarche sérieuse de mise en conformité. A cet égard, la formation restreinte note d’ailleurs que la société documente avoir mené à bien une partie importante de la mise en oeuvre de ces durées de conservation dans ces systèmes, seuls restant à couvrir une partie résiduelle du périmètre "Santé Prévoyance" ainsi que le périmètre "Epargne et retraite supplémentaire" , et que la société s’est engagée à achever sa mise en conformité au 31 décembre 2022.<br />
<br />
60. S’agissant du manquement à l’obligation d’information des personnes en application des articles 13 et 14 du RGPD, la formation restreinte prend acte de la mise en conformité de la société sur ce point. En effet, la société démontre avoir envoyé des instructions écrites à ses prestataires afin que soit délivrée une information complète aux personnes démarchées téléphoniquement pour son compte, et y avoir joint des scripts d’appels complétés des mentions d’information obligatoires. Par ailleurs, l’écoute des échantillons d’appels téléphoniques communiqués par la société atteste de la délivrance effective de ces informations aux personnes concernées. En outre, une notice d’information dédiée à ces traitements et contenant des informations complémentaires a été insérée au sein de la politique de confidentialité. La personne est désormais systématiquement informée par le téléopérateur, au début de l’appel téléphonique, du fait qu’elle peut prendre connaissance de cette notice en se rendant sur le site internet d’AG2R.<br />
<br />
61. Au vu de ce qui précède, la formation restreinte considère qu’il n’y a plus lieu de maintenir les injonctions proposées.<br />
<br />
62. En troisième lieu, la formation restreinte considère que la publicité de la sanction se justifie au regard du fait que les manquements aux principes élémentaires du RGPD relevés en l’espèce concernent un acteur majeur de la protection sociale et patrimoniale en France, qui gère les données à caractère personnel de millions de personnes. La formation restreinte relève que dans ce contexte, la publicité de la sanction permet d’informer les personnes concernées de la nature et de l’étendue de ces manquements.<br />
<br />
PAR CES MOTIFS<br />
<br />
La formation restreinte de la CNIL, après en avoir délibéré, décide de :<br />
<br />
- prononcer à l’encontre de la SGAM AG2R LA MONDIALE une amende administrative d’un montant de 1 750 000 (un million sept-cent-cinquante-mille) euros ;<br />
<br />
- rendre publique, sur le site de la CNIL et sur le site de Légifrance, sa délibération, qui n’identifiera plus nommément la société à l’expiration d’un délai d’un an à compter de sa publication.<br />
<br />
Le président<br />
<br />
Alexandre LINDEN<br />
<br />
Cette décision est susceptible de faire l’objet d’un recours devant le Conseil d’État dans un délai de deux mois à compter de sa notification.<br />
</pre></div>Tsekhttps://gdprhub.eu/index.php?title=CNIL_(France)_-_SAN-2021-003&diff=14903CNIL (France) - SAN-2021-0032021-04-14T22:11:05Z<p>Tsek: </p>
<hr />
<div>{{DPAdecisionBOX<br />
<br />
|Jurisdiction=France<br />
|DPA-BG-Color=<br />
|DPAlogo=LogoFR.png<br />
|DPA_Abbrevation=CNIL<br />
|DPA_With_Country=CNIL (France)<br />
<br />
|Case_Number_Name=SAN-2021-003<br />
|ECLI=<br />
<br />
|Original_Source_Name_1=Legifrance<br />
|Original_Source_Link_1=https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000042960768<br />
|Original_Source_Language_1=French<br />
|Original_Source_Language__Code_1=FR<br />
<br />
|Type=Investigation<br />
|Outcome=Violation Found<br />
|Date_Decided=12.01.2021<br />
|Date_Published=14.01.2021<br />
|Year=2021<br />
|Fine=None<br />
|Currency=<br />
<br />
|GDPR_Article_1=Article 4(1) GDPR<br />
|GDPR_Article_Link_1=Article 4 GDPR#1<br />
|GDPR_Article_2=Article 4(2) GDPR<br />
|GDPR_Article_Link_2=Article 4 GDPR#2<br />
<br />
|EU_Law_Name_1=Directive 2016/680<br />
|EU_Law_Link_1=https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32016L0680&from=EN#d1e1816-89-1<br />
<br />
|National_Law_Name_1=Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés<br />
|National_Law_Link_1=https://www.legifrance.gouv.fr/loda/id/JORFTEXT000000886460/2021-01-19/<br />
<br />
|Party_Name_1=Ministry of Interior<br />
|Party_Link_1=https://www.interieur.gouv.fr/<br />
|Party_Name_2=<br />
|Party_Link_2=<br />
|Party_Name_3=<br />
|Party_Link_3=<br />
|Party_Name_4=<br />
|Party_Link_4=<br />
|Party_Name_5=<br />
|Party_Link_5=<br />
<br />
|Appeal_To_Body=<br />
|Appeal_To_Case_Number_Name=<br />
|Appeal_To_Status=Unknown<br />
|Appeal_To_Link=<br />
<br />
|Initial_Contributor=Kest<br />
|<br />
}}<br />
<br />
The French DPA (CNIL) ordered the Ministry of Interior to cease the use of drones equipped with cameras by police forces. The Ministry violated its obligations to process personal data only where authorised by a specific legal provision and to conduct a privacy impact assessment. <br />
<br />
==English Summary==<br />
<br />
===Facts===<br />
During March 2020 , the press reported the use of drones equipped with cameras by the police forces in several places, in order to monitor compliance with COVID-19 lockdown measures.<br />
<br />
The French DPA questionned the Ministry of the Interior on the subject. In absence of reply, the DPA initated an inquiry. The Ministry was summoned to answer a questionnaire. It stated that the drones had also been used for other purposes : scouting an area before an arrest, surveillance of a drug traficking, of demonstrations and road transport. An on-site control then established that the camera used were efficient enough to allow for facial identification of individuals.<br />
<br />
In this context, the report concluded to several violations of data protection law and proposed a sanction. The Ministry's main line of defence was that, since August 2020, a face-blurring program has been implemented. As a result, data were allegedly anonimized, and data protection regulation not applicable.<br />
<br />
===Dispute===<br />
Is the recording of images by drones equipped with cameras a personal personal data in the sense of Article 4 GDPR ?<br />
Did the Ministry of Interior comply with the [https://www.legifrance.gouv.fr/loda/id/JORFTEXT000000886460/2021-01-19/ French Data Protection Act] implementing [https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016L0680 Directive (EU) 2016/680] ?<br />
<br />
===Holding===<br />
The DPA issues a public call to order against the Ministry of the Interior, on the following grounds.<br />
<br />
======On the processing of personal data======<br />
The DPA reminds the broad definitions of processing and personal data laid down by Article 4(1) and (2) GDPR. The DPA then quotes [https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A62013CJ0212 ECJ, 11 December 2014, ''Ryneš'', case C-212/13] (point 22), [https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-32019-processing-personal-data-through-video_en EDPB Guidelines 3/2019 on processing of personal data through video devices], a [https://www.legifrance.gouv.fr/ceta/id/CETATEXT000041897158/ ruling] and an [https://www.conseil-etat.fr/ressources/avis-aux-pouvoirs-publics/derniers-avis-publies/avis-relatif-a-l-usage-de-dispositifs-aeroportes-de-captation-d-images-par-les-autorites-publiques opinion] by the French Supreme Administrative Court. It reiterates that personal data are processed whenever people can be identified on the basis of recorded images.<br />
<br />
The DPA notes that the equipped cameras have a high resolution and a zoom capability, which allow for identification of faces. <br />
<br />
Regarding the face-blurring program, it has only been implemented in some recent operation. Its utility is confined to prevention activities, where identification is not necessary. Furthemore, for safety reasons, the pilot's monitor screen is not subject to blurring. Lastly, unblurred recordings can be accessed by operational services, although it takes time. Indeed, despite the fact that only the technical service has control over the program, all services are placed under the same authority.<br />
<br />
The DPA then decides that the program is of no effect on the definition of the subject matter of the inquiry as a processing of personal data.<br />
<br />
======On the violation of French Data Protection Act, implementing Directive (EU) 2016/680======<br />
Under French Data Protection Act (Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés), the processing of personal data can only occur where authorised by a specific legal provision (Article 89). In the present case, the Ministry has ignored this obligation.<br />
<br />
Furthermore, a data protection impact assessment is mandatory where the processing could create significant risks to the fundamental rights and freedoms. According to the DPA, drones generate such risks, especially because of the possibility given to the Ministry to acquire knowledge of beliefs and opinions of data subject participating to demonstrations. Those risks are increased by the fact that data subjects may not be aware of the drone operating and thus of the processing of their personal data. <br />
The data protection impact assessment is also required where a new mechanism is implemented (Article 90). Drones being new to police forces, the assessment is required.<br />
<br />
Lastly, the CNIL finds that the Ministry has failed to its obligation as data controller to provide data subjects with mandatory information.<br />
<br />
As a result of these violations, the DPA issues a public call to order. It is however decided that the name of the Ministry of Interior will not appear publicly on the decision after a period of 2 years.<br />
==Comment==<br />
The decision follows the decisions of the French Administrative Supreme Court : [https://www.legifrance.gouv.fr/ceta/id/CETATEXT000041897158/ Conseil d'État, ordonnance du 18 mai 2020, nos 440442 et 440445] and [https://www.conseil-etat.fr/ressources/avis-aux-pouvoirs-publics/derniers-avis-publies/avis-relatif-a-l-usage-de-dispositifs-aeroportes-de-captation-d-images-par-les-autorites-publiques Conseil d'État, avis du 20 septembre 2020 relatif à l’usage de dispositifs aéroportés de captation d’images par les autorités publiques].<br />
<br />
==Further Resources==<br />
''Share blogs or news articles here!''<br />
<br />
==English Machine Translation of the Decision==<br />
The decision below is a machine translation of the French original. Please refer to the French original for more details.<br />
<br />
<pre><br />
San-2021-003 deliberation of January 12, 2021<br />
National Commission for Computing and Freedoms<br />
<br />
Nature of deliberation: Sanction<br />
Legal status: In force <br />
<br />
Publication date on Légifrance: Thursday January 14, 2021 <br />
<br />
Deliberation of restricted training n ° SAN-2021-003 of January 12, 2021 concerning the Ministry of the Interior<br />
<br />
The National Commission for Informatics and Freedoms, meeting in its restricted formation composed of Messrs Alexandre LINDEN, President, Philippe-Pierre CABOURDIN, Vice-President, and Ms Anne DEBET and Christine MAUGÜE, members;<br />
<br />
Considering the Convention n o 108 of the Council of Europe of 28 January 1981 for the protection of individuals with regard to automatic processing of personal data in character;<br />
<br />
Having regard to Regulation (EU) 2016/679 of the European Parliament and of the Council of April 27, 2016 relating to the protection of personal data and the free movement of such data;<br />
<br />
Having regard to Directive (EU) 2016/680 of the European Parliament and of the Council of April 27, 2016 on the protection of individuals with regard to the processing of personal data by the competent authorities for the purposes of prevention and detection of criminal offenses, investigations and prosecutions in the matter or the execution of criminal sanctions, and the free movement of such data;<br />
<br />
Considering the law n o 78-17 of January 6, 1978 relating to data processing, files and freedoms, in particular its articles 20 and following ;<br />
<br />
Considering the decree n o 2019-536 of May 29, 2019 taken for the application of the law n o 78-17 of January 6, 1978 relating to data processing, files and freedoms;<br />
<br />
Considering the deliberation n o 2013-175 of July 4, 2013 adopting the internal regulations of the National Commission of data processing and freedoms;<br />
<br />
Considering the decision n o 2020-076C of May 7, 2020 of the President of the National Commission for Informatics and Freedoms to instruct the Secretary General to proceed or to have carried out a mission to verify the processing operations implemented by the Ministry internally or on its behalf;<br />
<br />
Having regard to the decision of the President of the National Commission for Informatics and Freedoms appointing a rapporteur before the restricted formation, dated October 2, 2020;<br />
<br />
Having regard to the report by Mrs Sophie LAMBREMON, rapporteur commissioner, notified to the Ministry of the Interior on October 30, 2020;<br />
<br />
Considering the written submissions made by the Interior Ministry on 1 st December 2020;<br />
<br />
Having regard to the oral observations made during the restricted training session on December 10, 2020;<br />
<br />
Having regard to the other documents in the file;<br />
<br />
Were present during the restricted training session:<br />
<br />
- Mrs Sophie LAMBREMON, commissioner, heard in her report;<br />
<br />
As representatives of the Ministry of the Interior:<br />
<br />
- […] ;<br />
<br />
- […] ;<br />
<br />
The Ministry of the Interior having spoken last;<br />
<br />
The restricted committee adopted the following decision:<br />
<br />
I. Facts and procedure<br />
<br />
1. Following the confinement decided by the Government in March 2020, several press articles reported on the use, by the police (in particular the Cergy-Pontoise police station) and the gendarmerie (in particular the grouping departmental gendarmerie of Haute-Garonne), drones equipped with a camera to ensure compliance with the measures taken in this context. The use of such drones, appearing to her likely to implement the processing of personal data, the president of the National Commission for Informatics and Freedoms (hereinafter the CNIL or the Commission), by letter of 23 April 2020, asked the Ministry of the Interior for details on the processing carried out in this context.<br />
<br />
2. In the absence of response, the Commission's Chair, by Decision o 2020-076C of 7 May 2020 initiated a review proceedings against the Department. The purpose of this procedure was to verify that the Ministry of the Interior all the provisions of complied with Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 (hereinafter the Regulation or the RGPD) of law No o 78-17 of 6 January 1978 relating to computers, files and liberties (hereinafter the Act of 6 January 1978 or the data Protection Act) of Directive (EU ) 2016/680 of the European Parliament and of the Council of April 27, 2016 (hereafter the police-justice directive) and the provisions provided for in articles L251-1 et seq. Of the Internal Security Code. As part of this procedure, the President of the Commission, on May 8, 2020, sent to the Ministry of the Interior, the Paris police headquarters, the Cergy-Pontoise police station and the departmental gendarmerie group of Haute -Garonne questionnaires on the use of drones to enforce the containment measures deployed in the context of the state of health emergency. The Ministry of the Interior replied to all of these questionnaires by letter of May 27, 2020.<br />
<br />
3. On July 9, 2020, a delegation from the CNIL visited the premises of the Paris police headquarters in order to carry out an on-site check. This control notably enabled the control delegation to carry out a test flight of a drone used by the Paris police headquarters.<br />
<br />
4. Various exchanges took place by email between the ministry and the control delegation between July and September 2020. These exchanges concerned the transmission of documents requested during the control as well as details requested subsequently.<br />
<br />
5. For the purposes of examining these elements, the President of the Commission appointed, on October 2, 2020, Mrs Sophie LAMBREMON as rapporteur, on the basis of article 22 of the law of January 6, 1978.<br />
<br />
6. At the end of her investigation, the rapporteur, on October 30, 2020, sent the Ministry of the Interior a report detailing the breaches of the Data Protection Act that she considered to have constituted in this case. The rapporteur proposed to the restricted formation of the Commission to issue an injunction to bring the processing into conformity with the provisions of Article 87 of the Data Protection Act, as well as a call to order. It also proposed that this decision be made public and no longer allow the ministry to be identified by name after a period of two years from its publication.<br />
<br />
7. The same day, the Ministry of the Interior was informed that this file was on the agenda of the session of the restricted formation of December 10, 2020.<br />
<br />
8. On 1 st December 2020, the ministry has submitted observations.<br />
<br />
9. The Ministry and the rapporteur presented oral observations during the session of the restricted formation.<br />
<br />
II. Reasons for the decision<br />
<br />
A. On the existence of processing of personal data<br />
<br />
10. The rapporteur observes that the Paris police headquarters, the Cergy-Pontoise police station and the Haute-Garonne departmental gendarmerie group have used drones to verify compliance with the containment measures. In addition, the Paris police headquarters also used these devices for other purposes, such as judicial police missions (recognition of a place before an arrest, monitoring of drug trafficking), maintenance operations order (surveillance of demonstrations) or crisis management and road checks (surveillance of urban rodeos).<br />
<br />
11. The rapporteur notes that the drones used are equipped with a camera allowing the capture of high resolution images and having zoom capabilities capable of enlarging the image between six and twenty times.<br />
<br />
12. In the light of these technical capacities, the rapporteur considers that the use of these drones by the Ministry of the Interior gives rise to the processing of personal data when people are filmed in conditions allowing their identification.<br />
<br />
13. The Ministry of the Interior, for its part, first affirmed in response to questionnaires sent by the President of the CNIL that the flight of drones did not give rise to any processing of personal data, people did not being not identifiable. In its observations in response to the sanction report, it then considered that the legal uncertainty relating to the nature of the data processed demonstrated the good faith of the administration, that in any event, the blurring system implemented excluded any processing of personal data, while specifying that technical considerations prevented this blurring system from being performed at the level of the drone capturing the images and before any transmission thereof.<br />
<br />
14. The restricted committee considers that the qualification of processing of personal data applies to a video capture system filming people for the following reasons.<br />
<br />
15. First , on the existence of processing of personal data, article 2 of the Data Protection Act provides: unless otherwise provided, within the framework of this law the definitions of the Article 4 of Regulation (EU) 2016/679 of April 27, 2016 .<br />
<br />
16. Pursuant to article 4 of the GDPR, personal data processing constitutes any operation or set of operations carried out or not using automated processes and applied to data or sets of data of a personal nature. personal, such as collection, recording, organization, structuring, preservation, adaptation or modification, extraction, consultation, use, communication by transmission, dissemination or any other form provision, reconciliation or interconnection, limitation, erasure or destruction . This same article defines personal data as any information relating to an identified or identifiable natural person […]; is deemed to be an identifiable natural person a natural person who can be identified, directly or indirectly, in particular by reference […] to one or more specific elements specific to his physical, physiological, genetic, psychological, economic, cultural or social identity .<br />
<br />
17. In view of these definitions, the restricted committee notes that any operation - in particular the capture, transmission, modification or consultation - relating to the image of persons who can be recognized constitutes processing of personal data.<br />
<br />
18. The restricted committee observes that this analysis, adopted for a long time by the CNIL, has been enshrined in European case law since 2014: the image of a person recorded by a camera constitutes personal data within the meaning of the provision referred to in the previous point insofar as it allows the data subject to be identified (CJEU, 11 December 2014, Ryneš, case C-212/13, point 22). It was very recently recalled by the European Data Protection Board (hereinafter the EDPS) in its guidelines 3/2019 of 29 January 2020 on the processing of personal data by video devices: Systematic surveillance and automation of a specific space by optical or audiovisual means, mainly for the purpose of protecting property or protecting human life and health, has become an important phenomenon of our time. This activity entails the collection and retention of pictorial or audiovisual information about all persons entering the monitored space that are identifiable on the basis of their appearance or other specific elements. The identity of these persons can be established on the basis of this information .<br />
<br />
19. With regard more specifically to drones equipped with a camera, the summary judge of the Conseil d'État considered that the disputed surveillance system […] which consists in collecting data, thanks to the capture of images by drone, to transmit them, in certain cases, to the command center of the police headquarters for real-time viewing and to use them for carrying out administrative police missions constitutes processing (Council of State, ordinance of 18 May 2020, nos . 440442 and 440445). Noting that no system was in place to prevent, in all cases, that the information collected could lead to making the persons identifiable, this court concludes that the data likely to be collected by the disputed processing must be regarded as of a personal nature .<br />
<br />
20. Finally, in an opinion of September 20, 2020 on the use of airborne image capture devices by public authorities, the Council of State specified that, in particular in view of the technologies currently available and their development and material resources available to the public authorities, the Council of State considers that the images of people captured by airborne cameras by these authorities as part of public security or civil security missions should, in principle, be regarded as data personal and that, therefore, the collection and use of these images are subject to compliance with the texts recalled above. However, it could be different in the event of use under special conditions excluding the existence of reasonable possibilities of identifying people, or in the event that technical devices preventing identification are implemented (Conseil d'État section of the interior, meeting on Tuesday, September 20, 2020, n o 401 214).<br />
<br />
21. The restricted committee recalls that in this case, the Paris police headquarters, the Haute-Garonne departmental gendarmerie group and the Cergy-Pontoise police station admitted to having used drones equipped with a camera in the context of for verifying compliance with containment measures and, for the Paris police headquarters, for other purposes, in particular for justice and law enforcement. These drones flew at an altitude of between 30 and 120 meters, according to the actors, and were equipped with a 12 million pixel lens that could enlarge the image between six and twenty times.<br />
<br />
22. The control delegation, having carried out a drone test flight on July 9, 2020, noted that the technical characteristics mentioned above allow the identification of people.<br />
<br />
23. Secondly , with regard to a possible blurring device which could make it possible to make the persons concerned unidentifiable, the restricted formation notes, first of all, that the Paris police headquarters, the departmental gendarmerie group de Haute-Garonne and the Cergy-Pontoise police station indicated, in their response to the questionnaires sent, that no blurring device had been put in place.<br />
<br />
24. It then observes that the Paris police headquarters subsequently indicated, during the check carried out on July 9, 2020, that a blurring device was under development. The Interior Ministry specified, during the session of December 10, 2020, that its deployment had been effective since the end of August 2020.<br />
<br />
25. Consequently, the restricted training noted, on the one hand, that such a device was not implemented during the flights mentioned in the questionnaires sent to the operational services, and that drones equipped with a camera were therefore carried out numerous flights without blurring the images collected before the deployment of the mechanism. It considers, on the other hand, that the device described during the present procedure cannot, however, exempt the images collected from the applicable regulations on the protection of personal data.<br />
<br />
26. Indeed, firstly, the evoked blurring system does not apply to the images captured by the camera present on the drone and transmitted to the pilot of the drone. If the visualization of unblurred images by the drone pilot is easily explained by security imperatives (control of the aircraft during flight time), which the restricted training does not question, the fact remains that the capturing of non-blurred images by the camera and their transmission to the pilot constitute personal data processing operations.<br />
<br />
27. Secondly, it follows from the responses provided by the police headquarters that it recorded unblurred images when using drones for the needs of judicial police missions, which also constitutes processing. of personal data.<br />
<br />
28. Finally, and contrary to the statements made by the Ministry of the Interior during the session, it emerges from the documents communicated in defense, and more particularly from the note relating to blurring entitled Processing of video streams from drones, dated 23 November 2020, that the blurred flows can be consulted in clear by the agents of the police headquarters: The blurring device being controlled by the DILT (direction of innovation, logistics and technologies) , it is impossible for the DOPC (public order and traffic department) to access unblurred flows. Access to unblurred streams would require a modification of the configuration currently implemented; only an engineer with rights to the entire device can do this laborious work. Engineers with these rights are placed under a different command from that of the DOPC. The limited training deduces from this document that, although laborious, access to unblurred streams remains possible by persons placed under the responsibility of the data controller. Therefore, the processing must be qualified as processing of personal data.<br />
<br />
B. On the identification of the data controller<br />
<br />
29. The restricted committee emphasizes that all the processing operations covered by this procedure, the purpose of which is to ensure compliance with the containment measures adopted in the context of the state of health emergency, to intervene for the benefit of police missions, policing missions, or as part of crisis management or traffic control, within the jurisdiction of the Ministry of the interior, in accordance with Decree o 2017-1070 of May 24, 2017 relating to the powers of the Minister of the Interior, which disposes of the Minister of the Interior prepares and implements the Government's policy in matters of internal security, public freedoms, territorial administration of the State, d immigration, asylum and road safety .<br />
<br />
30. It also underlines that the services concerned (grouping of departmental gendarmerie of Haute-Garonne, police station of Cergy-Pontoise and prefecture of police of Paris) all act under the supervision of the Ministry of the Interior.<br />
<br />
31. The Ministry of the Interior considers itself to be the controller, its central services having, moreover, drawn up a command instruction providing for the use of drones, in particular within the framework of containment.<br />
<br />
32. Consequently, the restricted committee holds that the latter must be considered the data controller concerned by this procedure.<br />
<br />
C. On the applicable law<br />
<br />
33. The first paragraph of Article 87 of the Data Protection Act, Article I of Title III of the Act provides: this Title shall apply without prejudice to Title I er , data processing of personal data set implementing, for the purposes of preventing and detecting criminal offenses, investigating and prosecuting them or enforcing criminal sanctions, including protection against threats to public security and the prevention of such threats, by any competent public authority or any other body or entity to which has been entrusted, for these same purposes, the exercise of public authority and public power prerogatives, hereinafter referred to as the competent authority .<br />
<br />
34. Title III therefore applies to processing operations which meet a dual characteristic relating to their purpose, on the one hand, and to the quality of the controller, on the other.<br />
<br />
35. As regards the purposes pursued by the processing resulting from the flights of drones equipped with a camera, it appears from the declarations made by the departmental gendarmerie group of Haute-Garonne, by the Cergy-Pontoise police station and by the prefecture of police in Paris that the images were used by these three actors to ensure compliance with the containment measures adopted in the context of the state of health emergency and, for the last of them only, to other purposes, such as judicial police, law enforcement, crisis management and road control missions.<br />
<br />
36. The restricted committee considers that the aforementioned missions fall within the scope of the purposes referred to in Article 87 of the Data Protection Act, either because they aim to prevent or detect criminal offenses - for example, when drones are used to ensure compliance with containment or road control measures -, to investigate or prosecute in criminal matters - for example for judicial police missions - to protect against threats to public security and prevent such threats - for example for law enforcement or crisis management missions.<br />
<br />
37. The limited training also considers that in the framework of these missions, the Ministry of Interior must be regarded as the competent authority under Article 1 st of Decree o 2020-874 of July 15, 2020 on the powers of the Minister of the interior (previously Decree o 2017 to 1070 of 24 May 2017), supra.<br />
<br />
38. Consequently, the restricted committee considers that in this case, the processing implemented by the Ministry of the Interior for the various purposes mentioned above must comply with the provisions of Title III of the Data Protection Act.<br />
<br />
D. On breaches<br />
<br />
1. The breach relating to the lawfulness of the processing and the lack of an impact study<br />
<br />
39. The second paragraph of article 87 of the Data Protection Act provides that the processing referred to in Title II of the law is only lawful if and to the extent that it is necessary for the performance of a task carried out. , for one of the purposes set out in the first paragraph, by a competent authority within the meaning of the same first paragraph and where the provisions of Articles 89 and 90 are complied with .<br />
<br />
40. Under I of article 89 of the law, if the processing is carried out on behalf of the State for at least one of the purposes set out in the first paragraph of article 87, provision is made for by a legislative or regulatory provision made under the conditions provided for in I of Article 31 and in Articles 33 to 36 . Pursuant to II of the same article, if the processing relates to data referred to in article 6 of the law (known as sensitive data), it must be provided for by a legislative or regulatory provision taken under the conditions provided for in II of the article 31. Article 31 of the law to which reference is made requires that the data processing in question be authorized by order of the competent minister or ministers, taken after a reasoned and published opinion of the Commission and, in the event of processing of sensitive data, by a decree of the Council of State taken after a reasoned and published opinion from the CNIL.<br />
<br />
41. Article 90 of the law provides: if the processing is likely to generate a high risk for the rights and freedoms of natural persons, in particular because it relates to data mentioned in I of article 6, the data controller carries out an impact assessment relating to the protection of personal data .<br />
<br />
42. As a preliminary point, the restricted committee notes that the Ministry of the Interior does not dispute the characterization of this failure, having wrongly considered that the processing operations in question did not relate to personal data.<br />
<br />
43. With regard to the provisions of article 89, the restricted committee notes that no legislative or regulatory framework authorizes and regulates the processing of personal data arising from the use by the Ministry of the Interior of drones equipped of a camera. By indicating that work is underway to develop a legal framework as soon as possible, the Ministry of the Interior confirms this point.<br />
<br />
44. With regard to the provisions of Article 90, the Restricted Committee considers that the processing carried out in this case is likely to create a high risk for the rights and freedoms of the persons concerned. This high risk arises, on the one hand, from the characteristics of drones, which are flying objects carrying a camera capable of filming in high resolutions, anywhere and at any time. They are therefore capable of filming any person circulating in the public space, of following them and of processing intangible personal data such as their facial features. The risk arises, on the other hand, from the use made of drones by the Ministry of the Interior, in particular during demonstrations, occasions during which the political opinions, religious or philosophical convictions of people, or their trade union membership, are likely to be revealed. Finally, the risk is aggravated by the fact that the treatments are potentially implemented without the knowledge of the people, they are often not aware of the presence of drones, the activation of the camera and the capture. of their image. This risk is in this respect aggravated, in the present case, by the lack of information of the persons during the thefts carried out.<br />
<br />
45. The restricted committee noted that article 90 of the Data Protection Act specifies that this risk may also arise due to the use of new mechanisms , which is indeed the case in this case.<br />
<br />
46. Consequently, the restricted committee considers that the use of drones equipped with a camera gives rise to a high risk for the rights and freedoms of natural persons and that, therefore, it was up to the Ministry of the Interior to carry out an impact assessment relating to the protection of personal data.<br />
<br />
47. The restricted committee noted that no impact analysis was carried out.<br />
<br />
48. All of these elements show that the conditions for lawfulness of the processing operations are not met. The restricted committee therefore considers that breaches of articles 89 and 90 of the Data Protection Act have occurred.<br />
<br />
2. On the failure to inform individuals<br />
<br />
Under the terms of article 104 of the Data Protection Act, the data controller makes the following information available to the person concerned:<br />
<br />
1 ° The identity and contact details of the data controller and, where applicable, those of his representative;<br />
<br />
2 ° Where applicable, the contact details of the data protection officer;<br />
<br />
3 ° The purposes pursued by the processing for which the data are intended;<br />
<br />
4 ° The right to lodge a complaint with the National Commission for Informatics and Freedoms and the contact details of the commission;<br />
<br />
5 ° The existence of the right to request from the data controller access to personal data, their rectification or erasure, and the existence of the right to request a limitation of the processing of personal data relating to a data subject .<br />
<br />
49. As a preliminary point, the restricted committee notes that the Ministry of the Interior does not dispute the characterization of this failure, recalling only the commitments made to ensure, in the future, the information of the persons concerned.<br />
<br />
50. The restricted party noted that the departmental gendarmerie group of Haute-Garonne and the Cergy-Pontoise police station indicated, in their response to the questionnaire sent, that people were informed of the presence of the drone by a voice message inviting them to disperse. The Paris police headquarters indicated that no specific information system had been put in place.<br />
<br />
51. It emerges from the answers provided that no information meeting the requirements of Article 104 of the Data Protection Act was communicated to the persons concerned.<br />
<br />
52. The restricted committee notes that, although article 107 of the Data Protection Act allows, under certain conditions, restrictions on the rights of individuals and in particular on the right to information, these restrictions must be provided for by the act establishing treatment . In the present case, in the absence of any act establishing the processing in question, no limitation to the right to information could be provided for.<br />
<br />
53. All of these elements show that the information provided to individuals, when it existed, did not meet legal requirements. The restricted committee therefore considers that a breach of article 104 of the Data Protection Act has been established.<br />
<br />
III. On corrective measures and their publicity<br />
<br />
54. Under the terms of III of article 20 of the law of 6 January 1978:<br />
<br />
When the data controller or his subcontractor does not comply with the obligations resulting from Regulation (EU) 2016/679 of April 27, 2016 or from this law, the president of the National Commission for Informatics and Freedoms may also, if necessary after having sent him the warning provided for in I of this article or, if necessary in addition to a formal notice provided for in II, seize the restricted committee of the committee with a view to pronouncing, after contradictory procedure, of one or more of the following measures:<br />
<br />
1 ° A call to order;<br />
<br />
2 ° An injunction to bring the processing into line with the obligations resulting from Regulation (EU) 2016/679 of 27 April 2016 or from this law or to meet the requests presented by the data subject in order to exercise their rights, which may be accompanied, except in cases where the processing is implemented by the State, a penalty payment the amount of which may not exceed € 100,000 per day of delay from the date set by the restricted group; (…).<br />
<br />
55. The rapporteur suggests to the restricted committee that a call to order be issued as well as an injunction to bring the processing into conformity with the provisions of the Data Protection Act. She also proposes that this decision be made public.<br />
<br />
56. In defense, the Ministry of the Interior considers that the pronouncement of a corrective measure is not justified, a formal notice seeming sufficient in this case, and that the publicity of the possible measure to be taken is not does not appear necessary. Finally, he considers that the injunction to cease the use of drones is not possible, this use now constituting an undeniable operational necessity.<br />
<br />
57. The restricted committee considers that, in the present case, the aforementioned failures justify a call to order against the Ministry of the Interior for the following reasons.<br />
<br />
58. The restricted committee notes the seriousness of the breach relating to the lawfulness of the processing operations, this failure depriving all the processing operations carried out of a legal basis. It also emphasizes that the data subjects were deprived of all the guarantees from which they should have benefited, in particular information relating to processing and the exercise of their rights.<br />
<br />
59. It also notes the significant risks for the rights and freedoms of individuals, previously mentioned, linked to the possibility offered by these new devices to identify any person circulating in the public space, including in circumstances that may reveal particularly sensitive, for example linked to their political opinions, their religious or philosophical convictions or their trade union membership.<br />
<br />
60. It also notes that technological developments are making drones more and more discreet with increased capturing capacities of their cameras which give the Ministry of the Interior the possibility of flying its drones at increasingly high altitudes, while maintaining an image with great precision. People are therefore unlikely to become aware of the treatments carried out and the capture of their image.<br />
<br />
61. Finally, the restricted training considers that the improvement of technologies such as facial recognition could entail, in the future, even greater risks for individual rights and freedoms if they were coupled with the use of drones. It therefore considers that their deployment outside any legal framework should be severely sanctioned.<br />
<br />
62. The restricted panel considers that the aforementioned elements also make it necessary for an injunction to be issued. In addition, the ministry having indicated during the meeting that it did not intend to renounce, including temporarily, the use of drones equipped with a camera, the pronouncement of an injunction constitutes the appropriate measure to bring it to use drones for this purpose only when a legal framework authorizing it has been adopted.<br />
<br />
63. Finally, and for the same reasons, the restricted panel considers it necessary for its decision to be made public. It notes, on this point, that the public has demonstrated, over the past few months, a legitimate interest in matters relating to the processing of their personal data by the State. The publication of a sanction decision by the authority specially responsible for the protection of personal data thus appears fully justified.<br />
<br />
FOR THESE REASONS<br />
<br />
The restricted formation of the CNIL, after having deliberated, decides to:<br />
<br />
· Issue a call to order against the Ministry of the Interior for breaches of Articles 89, 90 and 104 of the Data Protection Act;<br />
<br />
Issue an injunction against the Ministry of the Interior to bring the treatments referred to in line with the obligations resulting from Article 87 of the Data Protection Act, and in particular:<br />
<br />
o for the purposes covered by Title III of the Data Protection Act, only use the collection of personal data from drones after the adoption of a normative framework authorizing the implementation of such data processing ;<br />
<br />
· Make public, on the CNIL website and on the Légifrance website, its deliberation, which will no longer identify the ministry by name after the expiration of a period of two years from its publication.<br />
<br />
President<br />
<br />
Alexandre LINDEN<br />
<br />
This decision may be appealed against to the Council of State within two months of its notification. <br />
</pre></div>Tsekhttps://gdprhub.eu/index.php?title=CNIL_(France)_-_SAN-2021-003&diff=13366CNIL (France) - SAN-2021-0032021-01-19T15:38:12Z<p>Tsek: </p>
<hr />
<div>{{DPAdecisionBOX<br />
<br />
|Jurisdiction=France<br />
|DPA-BG-Color=<br />
|DPAlogo=LogoFR.png<br />
|DPA_Abbrevation=CNIL<br />
|DPA_With_Country=CNIL (France)<br />
<br />
|Case_Number_Name=SAN-2021-003<br />
|ECLI=<br />
<br />
|Original_Source_Name_1=Legifrance<br />
|Original_Source_Link_1=https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000042960768<br />
|Original_Source_Language_1=French<br />
|Original_Source_Language__Code_1=FR<br />
<br />
|Type=Investigation<br />
|Outcome=Violation Found<br />
|Date_Decided=12.01.2021<br />
|Date_Published=14.01.2021<br />
|Year=2021<br />
|Fine=None<br />
|Currency=<br />
<br />
|GDPR_Article_1=Article 4(1) GDPR<br />
|GDPR_Article_Link_1=Article 4 GDPR#1<br />
|GDPR_Article_2=Article 4(2) GDPR<br />
|GDPR_Article_Link_2=Article 4 GDPR#2<br />
<br />
|EU_Law_Name_1=Directive 2016/680<br />
|EU_Law_Link_1=https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32016L0680&from=EN#d1e1816-89-1<br />
<br />
|National_Law_Name_1=Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés<br />
|National_Law_Link_1=https://www.legifrance.gouv.fr/loda/id/JORFTEXT000000886460/2021-01-19/<br />
<br />
|Party_Name_1=Ministry of Interior<br />
|Party_Link_1=https://www.interieur.gouv.fr/<br />
|Party_Name_2=<br />
|Party_Link_2=<br />
|Party_Name_3=<br />
|Party_Link_3=<br />
|Party_Name_4=<br />
|Party_Link_4=<br />
|Party_Name_5=<br />
|Party_Link_5=<br />
<br />
|Appeal_To_Body=<br />
|Appeal_To_Case_Number_Name=<br />
|Appeal_To_Status=Unknown<br />
|Appeal_To_Link=<br />
<br />
|Initial_Contributor=Kest<br />
|<br />
}}<br />
<br />
The French DPA (CNIL) ordered the Ministry of Interior to cease the use of drones equipped with cameras by police forces. The Ministry violated its obligations to process personal data only where authorised by a specific legal provision and to conduct a privacy impact assessment. <br />
<br />
==English Summary==<br />
<br />
===Facts===<br />
During March 2020 , the press reported to use of drones equipped with cameras by the police forces in several places, in order to monitor compliance with COVID-19 lockdown measures.<br />
<br />
The French DPA questionned the Ministry of the Interior on the subject. In absence of reply, the DPA initated an inquiry. The Ministry was summoned to answer a questionnaire. It stated that the drones had also been used for other purposes : scouting an area before an arrest, surveillance of a drug traficking, of demonstrations and road transport. An on-site control then established that the camera used were efficient enough to allow for facial identification of individuals.<br />
<br />
In this context, the report concluded to several violations of data protection law and proposed a sanction. The Ministry's main line of defence was that, since August 2020, a face-blurring program has been implemented. As a result, data were allegedly anonimized, and data protection regulation not applicable.<br />
<br />
===Dispute===<br />
Is the recording of images by drones equipped with cameras a personal personal data in the sense of Article 4 GDPR ?<br />
Did the Ministry of Interior comply with the [https://www.legifrance.gouv.fr/loda/id/JORFTEXT000000886460/2021-01-19/ French Data Protection Act] implementing [https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016L0680 Directive (EU) 2016/680] ?<br />
<br />
===Holding===<br />
The DPA issues a public call to order against the Ministry of the Interior, on the following grounds.<br />
<br />
======On the processing of personal data======<br />
The DPA reminds the broad definitions of processing and personal data laid down by Article 4(1) and (2) GDPR. The DPA then quotes [https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A62013CJ0212 ECJ, 11 December 2014, ''Ryneš'', case C-212/13] (point 22), [https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-32019-processing-personal-data-through-video_en EDPB Guidelines 3/2019 on processing of personal data through video devices], a [https://www.legifrance.gouv.fr/ceta/id/CETATEXT000041897158/ ruling] and an [https://www.conseil-etat.fr/ressources/avis-aux-pouvoirs-publics/derniers-avis-publies/avis-relatif-a-l-usage-de-dispositifs-aeroportes-de-captation-d-images-par-les-autorites-publiques opinion] by the French Supreme Administrative Court. It reiterates that personal data are processed whenever people can be identified on the basis of recorded images.<br />
<br />
The DPA notes that the equipped cameras have a high resolution and a zoom capability, which allow for identification of faces. <br />
<br />
Regarding the face-blurring program, it has only been implemented in some recent operation. Its utility is confined to prevention activities, where identification is not necessary. Furthemore, for safety reasons, the pilot's monitor screen is not subject to blurring. Lastly, unblurred recordings can be accessed by operational services, although it takes time. Indeed, despite the fact that only the technical service has control over the program, all services are placed under the same authority.<br />
<br />
The DPA then decides that the program is of no effect on the definition of the subject matter of the inquiry as a processing of personal data.<br />
<br />
======On the violation of French Data Protection Act, implementing Directive (EU) 2016/680======<br />
Under French Data Protection Act (Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés), the processing of personal data can only occur where authorised by a specific legal provision (Article 89). In the present case, the Ministry has ignored this obligation.<br />
<br />
Furthermore, a data protection impact assessment is mandatory where the processing could create significant risks to the fundamental rights and freedoms. According to the DPA, drones generate such risks, especially because of the possibility given to the Ministry to acquire knowledge of beliefs and opinions of data subject participating to demonstrations. Those risks are increased by the fact that data subjects may not be aware of the drone operating and thus of the processing of their personal data. <br />
The data protection impact assessment is also required where a new mechanism is implemented (Article 90). Drones being new to police forces, the assessment is required.<br />
<br />
Lastly, the CNIL finds that the Ministry has failed to its obligation as data controller to provide data subjects with mandatory information.<br />
<br />
As a result of these violations, the DPA issues a public call to order. It is however decided that the name of the Ministry of Interior will not appear publicly on the decision after a period of 2 years.<br />
==Comment==<br />
The decision follows the decisions of the French Administrative Supreme Court : [https://www.legifrance.gouv.fr/ceta/id/CETATEXT000041897158/ Conseil d'État, ordonnance du 18 mai 2020, nos 440442 et 440445] and [https://www.conseil-etat.fr/ressources/avis-aux-pouvoirs-publics/derniers-avis-publies/avis-relatif-a-l-usage-de-dispositifs-aeroportes-de-captation-d-images-par-les-autorites-publiques Conseil d'État, avis du 20 septembre 2020 relatif à l’usage de dispositifs aéroportés de captation d’images par les autorités publiques].<br />
<br />
==Further Resources==<br />
''Share blogs or news articles here!''<br />
<br />
==English Machine Translation of the Decision==<br />
The decision below is a machine translation of the French original. Please refer to the French original for more details.<br />
<br />
<pre><br />
San-2021-003 deliberation of January 12, 2021<br />
National Commission for Computing and Freedoms<br />
<br />
Nature of deliberation: Sanction<br />
Legal status: In force <br />
<br />
Publication date on Légifrance: Thursday January 14, 2021 <br />
<br />
Deliberation of restricted training n ° SAN-2021-003 of January 12, 2021 concerning the Ministry of the Interior<br />
<br />
The National Commission for Informatics and Freedoms, meeting in its restricted formation composed of Messrs Alexandre LINDEN, President, Philippe-Pierre CABOURDIN, Vice-President, and Ms Anne DEBET and Christine MAUGÜE, members;<br />
<br />
Considering the Convention n o 108 of the Council of Europe of 28 January 1981 for the protection of individuals with regard to automatic processing of personal data in character;<br />
<br />
Having regard to Regulation (EU) 2016/679 of the European Parliament and of the Council of April 27, 2016 relating to the protection of personal data and the free movement of such data;<br />
<br />
Having regard to Directive (EU) 2016/680 of the European Parliament and of the Council of April 27, 2016 on the protection of individuals with regard to the processing of personal data by the competent authorities for the purposes of prevention and detection of criminal offenses, investigations and prosecutions in the matter or the execution of criminal sanctions, and the free movement of such data;<br />
<br />
Considering the law n o 78-17 of January 6, 1978 relating to data processing, files and freedoms, in particular its articles 20 and following ;<br />
<br />
Considering the decree n o 2019-536 of May 29, 2019 taken for the application of the law n o 78-17 of January 6, 1978 relating to data processing, files and freedoms;<br />
<br />
Considering the deliberation n o 2013-175 of July 4, 2013 adopting the internal regulations of the National Commission of data processing and freedoms;<br />
<br />
Considering the decision n o 2020-076C of May 7, 2020 of the President of the National Commission for Informatics and Freedoms to instruct the Secretary General to proceed or to have carried out a mission to verify the processing operations implemented by the Ministry internally or on its behalf;<br />
<br />
Having regard to the decision of the President of the National Commission for Informatics and Freedoms appointing a rapporteur before the restricted formation, dated October 2, 2020;<br />
<br />
Having regard to the report by Mrs Sophie LAMBREMON, rapporteur commissioner, notified to the Ministry of the Interior on October 30, 2020;<br />
<br />
Considering the written submissions made by the Interior Ministry on 1 st December 2020;<br />
<br />
Having regard to the oral observations made during the restricted training session on December 10, 2020;<br />
<br />
Having regard to the other documents in the file;<br />
<br />
Were present during the restricted training session:<br />
<br />
- Mrs Sophie LAMBREMON, commissioner, heard in her report;<br />
<br />
As representatives of the Ministry of the Interior:<br />
<br />
- […] ;<br />
<br />
- […] ;<br />
<br />
The Ministry of the Interior having spoken last;<br />
<br />
The restricted committee adopted the following decision:<br />
<br />
I. Facts and procedure<br />
<br />
1. Following the confinement decided by the Government in March 2020, several press articles reported on the use, by the police (in particular the Cergy-Pontoise police station) and the gendarmerie (in particular the grouping departmental gendarmerie of Haute-Garonne), drones equipped with a camera to ensure compliance with the measures taken in this context. The use of such drones, appearing to her likely to implement the processing of personal data, the president of the National Commission for Informatics and Freedoms (hereinafter the CNIL or the Commission), by letter of 23 April 2020, asked the Ministry of the Interior for details on the processing carried out in this context.<br />
<br />
2. In the absence of response, the Commission's Chair, by Decision o 2020-076C of 7 May 2020 initiated a review proceedings against the Department. The purpose of this procedure was to verify that the Ministry of the Interior all the provisions of complied with Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 (hereinafter the Regulation or the RGPD) of law No o 78-17 of 6 January 1978 relating to computers, files and liberties (hereinafter the Act of 6 January 1978 or the data Protection Act) of Directive (EU ) 2016/680 of the European Parliament and of the Council of April 27, 2016 (hereafter the police-justice directive) and the provisions provided for in articles L251-1 et seq. Of the Internal Security Code. As part of this procedure, the President of the Commission, on May 8, 2020, sent to the Ministry of the Interior, the Paris police headquarters, the Cergy-Pontoise police station and the departmental gendarmerie group of Haute -Garonne questionnaires on the use of drones to enforce the containment measures deployed in the context of the state of health emergency. The Ministry of the Interior replied to all of these questionnaires by letter of May 27, 2020.<br />
<br />
3. On July 9, 2020, a delegation from the CNIL visited the premises of the Paris police headquarters in order to carry out an on-site check. This control notably enabled the control delegation to carry out a test flight of a drone used by the Paris police headquarters.<br />
<br />
4. Various exchanges took place by email between the ministry and the control delegation between July and September 2020. These exchanges concerned the transmission of documents requested during the control as well as details requested subsequently.<br />
<br />
5. For the purposes of examining these elements, the President of the Commission appointed, on October 2, 2020, Mrs Sophie LAMBREMON as rapporteur, on the basis of article 22 of the law of January 6, 1978.<br />
<br />
6. At the end of her investigation, the rapporteur, on October 30, 2020, sent the Ministry of the Interior a report detailing the breaches of the Data Protection Act that she considered to have constituted in this case. The rapporteur proposed to the restricted formation of the Commission to issue an injunction to bring the processing into conformity with the provisions of Article 87 of the Data Protection Act, as well as a call to order. It also proposed that this decision be made public and no longer allow the ministry to be identified by name after a period of two years from its publication.<br />
<br />
7. The same day, the Ministry of the Interior was informed that this file was on the agenda of the session of the restricted formation of December 10, 2020.<br />
<br />
8. On 1 st December 2020, the ministry has submitted observations.<br />
<br />
9. The Ministry and the rapporteur presented oral observations during the session of the restricted formation.<br />
<br />
II. Reasons for the decision<br />
<br />
A. On the existence of processing of personal data<br />
<br />
10. The rapporteur observes that the Paris police headquarters, the Cergy-Pontoise police station and the Haute-Garonne departmental gendarmerie group have used drones to verify compliance with the containment measures. In addition, the Paris police headquarters also used these devices for other purposes, such as judicial police missions (recognition of a place before an arrest, monitoring of drug trafficking), maintenance operations order (surveillance of demonstrations) or crisis management and road checks (surveillance of urban rodeos).<br />
<br />
11. The rapporteur notes that the drones used are equipped with a camera allowing the capture of high resolution images and having zoom capabilities capable of enlarging the image between six and twenty times.<br />
<br />
12. In the light of these technical capacities, the rapporteur considers that the use of these drones by the Ministry of the Interior gives rise to the processing of personal data when people are filmed in conditions allowing their identification.<br />
<br />
13. The Ministry of the Interior, for its part, first affirmed in response to questionnaires sent by the President of the CNIL that the flight of drones did not give rise to any processing of personal data, people did not being not identifiable. In its observations in response to the sanction report, it then considered that the legal uncertainty relating to the nature of the data processed demonstrated the good faith of the administration, that in any event, the blurring system implemented excluded any processing of personal data, while specifying that technical considerations prevented this blurring system from being performed at the level of the drone capturing the images and before any transmission thereof.<br />
<br />
14. The restricted committee considers that the qualification of processing of personal data applies to a video capture system filming people for the following reasons.<br />
<br />
15. First , on the existence of processing of personal data, article 2 of the Data Protection Act provides: unless otherwise provided, within the framework of this law the definitions of the Article 4 of Regulation (EU) 2016/679 of April 27, 2016 .<br />
<br />
16. Pursuant to article 4 of the GDPR, personal data processing constitutes any operation or set of operations carried out or not using automated processes and applied to data or sets of data of a personal nature. personal, such as collection, recording, organization, structuring, preservation, adaptation or modification, extraction, consultation, use, communication by transmission, dissemination or any other form provision, reconciliation or interconnection, limitation, erasure or destruction . This same article defines personal data as any information relating to an identified or identifiable natural person […]; is deemed to be an identifiable natural person a natural person who can be identified, directly or indirectly, in particular by reference […] to one or more specific elements specific to his physical, physiological, genetic, psychological, economic, cultural or social identity .<br />
<br />
17. In view of these definitions, the restricted committee notes that any operation - in particular the capture, transmission, modification or consultation - relating to the image of persons who can be recognized constitutes processing of personal data.<br />
<br />
18. The restricted committee observes that this analysis, adopted for a long time by the CNIL, has been enshrined in European case law since 2014: the image of a person recorded by a camera constitutes personal data within the meaning of the provision referred to in the previous point insofar as it allows the data subject to be identified (CJEU, 11 December 2014, Ryneš, case C-212/13, point 22). It was very recently recalled by the European Data Protection Board (hereinafter the EDPS) in its guidelines 3/2019 of 29 January 2020 on the processing of personal data by video devices: Systematic surveillance and automation of a specific space by optical or audiovisual means, mainly for the purpose of protecting property or protecting human life and health, has become an important phenomenon of our time. This activity entails the collection and retention of pictorial or audiovisual information about all persons entering the monitored space that are identifiable on the basis of their appearance or other specific elements. The identity of these persons can be established on the basis of this information .<br />
<br />
19. With regard more specifically to drones equipped with a camera, the summary judge of the Conseil d'État considered that the disputed surveillance system […] which consists in collecting data, thanks to the capture of images by drone, to transmit them, in certain cases, to the command center of the police headquarters for real-time viewing and to use them for carrying out administrative police missions constitutes processing (Council of State, ordinance of 18 May 2020, nos . 440442 and 440445). Noting that no system was in place to prevent, in all cases, that the information collected could lead to making the persons identifiable, this court concludes that the data likely to be collected by the disputed processing must be regarded as of a personal nature .<br />
<br />
20. Finally, in an opinion of September 20, 2020 on the use of airborne image capture devices by public authorities, the Council of State specified that, in particular in view of the technologies currently available and their development and material resources available to the public authorities, the Council of State considers that the images of people captured by airborne cameras by these authorities as part of public security or civil security missions should, in principle, be regarded as data personal and that, therefore, the collection and use of these images are subject to compliance with the texts recalled above. However, it could be different in the event of use under special conditions excluding the existence of reasonable possibilities of identifying people, or in the event that technical devices preventing identification are implemented (Conseil d'État section of the interior, meeting on Tuesday, September 20, 2020, n o 401 214).<br />
<br />
21. The restricted committee recalls that in this case, the Paris police headquarters, the Haute-Garonne departmental gendarmerie group and the Cergy-Pontoise police station admitted to having used drones equipped with a camera in the context of for verifying compliance with containment measures and, for the Paris police headquarters, for other purposes, in particular for justice and law enforcement. These drones flew at an altitude of between 30 and 120 meters, according to the actors, and were equipped with a 12 million pixel lens that could enlarge the image between six and twenty times.<br />
<br />
22. The control delegation, having carried out a drone test flight on July 9, 2020, noted that the technical characteristics mentioned above allow the identification of people.<br />
<br />
23. Secondly , with regard to a possible blurring device which could make it possible to make the persons concerned unidentifiable, the restricted formation notes, first of all, that the Paris police headquarters, the departmental gendarmerie group de Haute-Garonne and the Cergy-Pontoise police station indicated, in their response to the questionnaires sent, that no blurring device had been put in place.<br />
<br />
24. It then observes that the Paris police headquarters subsequently indicated, during the check carried out on July 9, 2020, that a blurring device was under development. The Interior Ministry specified, during the session of December 10, 2020, that its deployment had been effective since the end of August 2020.<br />
<br />
25. Consequently, the restricted training noted, on the one hand, that such a device was not implemented during the flights mentioned in the questionnaires sent to the operational services, and that drones equipped with a camera were therefore carried out numerous flights without blurring the images collected before the deployment of the mechanism. It considers, on the other hand, that the device described during the present procedure cannot, however, exempt the images collected from the applicable regulations on the protection of personal data.<br />
<br />
26. Indeed, firstly, the evoked blurring system does not apply to the images captured by the camera present on the drone and transmitted to the pilot of the drone. If the visualization of unblurred images by the drone pilot is easily explained by security imperatives (control of the aircraft during flight time), which the restricted training does not question, the fact remains that the capturing of non-blurred images by the camera and their transmission to the pilot constitute personal data processing operations.<br />
<br />
27. Secondly, it follows from the responses provided by the police headquarters that it recorded unblurred images when using drones for the needs of judicial police missions, which also constitutes processing. of personal data.<br />
<br />
28. Finally, and contrary to the statements made by the Ministry of the Interior during the session, it emerges from the documents communicated in defense, and more particularly from the note relating to blurring entitled Processing of video streams from drones, dated 23 November 2020, that the blurred flows can be consulted in clear by the agents of the police headquarters: The blurring device being controlled by the DILT (direction of innovation, logistics and technologies) , it is impossible for the DOPC (public order and traffic department) to access unblurred flows. Access to unblurred streams would require a modification of the configuration currently implemented; only an engineer with rights to the entire device can do this laborious work. Engineers with these rights are placed under a different command from that of the DOPC. The limited training deduces from this document that, although laborious, access to unblurred streams remains possible by persons placed under the responsibility of the data controller. Therefore, the processing must be qualified as processing of personal data.<br />
<br />
B. On the identification of the data controller<br />
<br />
29. The restricted committee emphasizes that all the processing operations covered by this procedure, the purpose of which is to ensure compliance with the containment measures adopted in the context of the state of health emergency, to intervene for the benefit of police missions, policing missions, or as part of crisis management or traffic control, within the jurisdiction of the Ministry of the interior, in accordance with Decree o 2017-1070 of May 24, 2017 relating to the powers of the Minister of the Interior, which disposes of the Minister of the Interior prepares and implements the Government's policy in matters of internal security, public freedoms, territorial administration of the State, d immigration, asylum and road safety .<br />
<br />
30. It also underlines that the services concerned (grouping of departmental gendarmerie of Haute-Garonne, police station of Cergy-Pontoise and prefecture of police of Paris) all act under the supervision of the Ministry of the Interior.<br />
<br />
31. The Ministry of the Interior considers itself to be the controller, its central services having, moreover, drawn up a command instruction providing for the use of drones, in particular within the framework of containment.<br />
<br />
32. Consequently, the restricted committee holds that the latter must be considered the data controller concerned by this procedure.<br />
<br />
C. On the applicable law<br />
<br />
33. The first paragraph of Article 87 of the Data Protection Act, Article I of Title III of the Act provides: this Title shall apply without prejudice to Title I er , data processing of personal data set implementing, for the purposes of preventing and detecting criminal offenses, investigating and prosecuting them or enforcing criminal sanctions, including protection against threats to public security and the prevention of such threats, by any competent public authority or any other body or entity to which has been entrusted, for these same purposes, the exercise of public authority and public power prerogatives, hereinafter referred to as the competent authority .<br />
<br />
34. Title III therefore applies to processing operations which meet a dual characteristic relating to their purpose, on the one hand, and to the quality of the controller, on the other.<br />
<br />
35. As regards the purposes pursued by the processing resulting from the flights of drones equipped with a camera, it appears from the declarations made by the departmental gendarmerie group of Haute-Garonne, by the Cergy-Pontoise police station and by the prefecture of police in Paris that the images were used by these three actors to ensure compliance with the containment measures adopted in the context of the state of health emergency and, for the last of them only, to other purposes, such as judicial police, law enforcement, crisis management and road control missions.<br />
<br />
36. The restricted committee considers that the aforementioned missions fall within the scope of the purposes referred to in Article 87 of the Data Protection Act, either because they aim to prevent or detect criminal offenses - for example, when drones are used to ensure compliance with containment or road control measures -, to investigate or prosecute in criminal matters - for example for judicial police missions - to protect against threats to public security and prevent such threats - for example for law enforcement or crisis management missions.<br />
<br />
37. The limited training also considers that in the framework of these missions, the Ministry of Interior must be regarded as the competent authority under Article 1 st of Decree o 2020-874 of July 15, 2020 on the powers of the Minister of the interior (previously Decree o 2017 to 1070 of 24 May 2017), supra.<br />
<br />
38. Consequently, the restricted committee considers that in this case, the processing implemented by the Ministry of the Interior for the various purposes mentioned above must comply with the provisions of Title III of the Data Protection Act.<br />
<br />
D. On breaches<br />
<br />
1. The breach relating to the lawfulness of the processing and the lack of an impact study<br />
<br />
39. The second paragraph of article 87 of the Data Protection Act provides that the processing referred to in Title II of the law is only lawful if and to the extent that it is necessary for the performance of a task carried out. , for one of the purposes set out in the first paragraph, by a competent authority within the meaning of the same first paragraph and where the provisions of Articles 89 and 90 are complied with .<br />
<br />
40. Under I of article 89 of the law, if the processing is carried out on behalf of the State for at least one of the purposes set out in the first paragraph of article 87, provision is made for by a legislative or regulatory provision made under the conditions provided for in I of Article 31 and in Articles 33 to 36 . Pursuant to II of the same article, if the processing relates to data referred to in article 6 of the law (known as sensitive data), it must be provided for by a legislative or regulatory provision taken under the conditions provided for in II of the article 31. Article 31 of the law to which reference is made requires that the data processing in question be authorized by order of the competent minister or ministers, taken after a reasoned and published opinion of the Commission and, in the event of processing of sensitive data, by a decree of the Council of State taken after a reasoned and published opinion from the CNIL.<br />
<br />
41. Article 90 of the law provides: if the processing is likely to generate a high risk for the rights and freedoms of natural persons, in particular because it relates to data mentioned in I of article 6, the data controller carries out an impact assessment relating to the protection of personal data .<br />
<br />
42. As a preliminary point, the restricted committee notes that the Ministry of the Interior does not dispute the characterization of this failure, having wrongly considered that the processing operations in question did not relate to personal data.<br />
<br />
43. With regard to the provisions of article 89, the restricted committee notes that no legislative or regulatory framework authorizes and regulates the processing of personal data arising from the use by the Ministry of the Interior of drones equipped of a camera. By indicating that work is underway to develop a legal framework as soon as possible, the Ministry of the Interior confirms this point.<br />
<br />
44. With regard to the provisions of Article 90, the Restricted Committee considers that the processing carried out in this case is likely to create a high risk for the rights and freedoms of the persons concerned. This high risk arises, on the one hand, from the characteristics of drones, which are flying objects carrying a camera capable of filming in high resolutions, anywhere and at any time. They are therefore capable of filming any person circulating in the public space, of following them and of processing intangible personal data such as their facial features. The risk arises, on the other hand, from the use made of drones by the Ministry of the Interior, in particular during demonstrations, occasions during which the political opinions, religious or philosophical convictions of people, or their trade union membership, are likely to be revealed. Finally, the risk is aggravated by the fact that the treatments are potentially implemented without the knowledge of the people, they are often not aware of the presence of drones, the activation of the camera and the capture. of their image. This risk is in this respect aggravated, in the present case, by the lack of information of the persons during the thefts carried out.<br />
<br />
45. The restricted committee noted that article 90 of the Data Protection Act specifies that this risk may also arise due to the use of new mechanisms , which is indeed the case in this case.<br />
<br />
46. Consequently, the restricted committee considers that the use of drones equipped with a camera gives rise to a high risk for the rights and freedoms of natural persons and that, therefore, it was up to the Ministry of the Interior to carry out an impact assessment relating to the protection of personal data.<br />
<br />
47. The restricted committee noted that no impact analysis was carried out.<br />
<br />
48. All of these elements show that the conditions for lawfulness of the processing operations are not met. The restricted committee therefore considers that breaches of articles 89 and 90 of the Data Protection Act have occurred.<br />
<br />
2. On the failure to inform individuals<br />
<br />
Under the terms of article 104 of the Data Protection Act, the data controller makes the following information available to the person concerned:<br />
<br />
1 ° The identity and contact details of the data controller and, where applicable, those of his representative;<br />
<br />
2 ° Where applicable, the contact details of the data protection officer;<br />
<br />
3 ° The purposes pursued by the processing for which the data are intended;<br />
<br />
4 ° The right to lodge a complaint with the National Commission for Informatics and Freedoms and the contact details of the commission;<br />
<br />
5 ° The existence of the right to request from the data controller access to personal data, their rectification or erasure, and the existence of the right to request a limitation of the processing of personal data relating to a data subject .<br />
<br />
49. As a preliminary point, the restricted committee notes that the Ministry of the Interior does not dispute the characterization of this failure, recalling only the commitments made to ensure, in the future, the information of the persons concerned.<br />
<br />
50. The restricted party noted that the departmental gendarmerie group of Haute-Garonne and the Cergy-Pontoise police station indicated, in their response to the questionnaire sent, that people were informed of the presence of the drone by a voice message inviting them to disperse. The Paris police headquarters indicated that no specific information system had been put in place.<br />
<br />
51. It emerges from the answers provided that no information meeting the requirements of Article 104 of the Data Protection Act was communicated to the persons concerned.<br />
<br />
52. The restricted committee notes that, although article 107 of the Data Protection Act allows, under certain conditions, restrictions on the rights of individuals and in particular on the right to information, these restrictions must be provided for by the act establishing treatment . In the present case, in the absence of any act establishing the processing in question, no limitation to the right to information could be provided for.<br />
<br />
53. All of these elements show that the information provided to individuals, when it existed, did not meet legal requirements. The restricted committee therefore considers that a breach of article 104 of the Data Protection Act has been established.<br />
<br />
III. On corrective measures and their publicity<br />
<br />
54. Under the terms of III of article 20 of the law of 6 January 1978:<br />
<br />
When the data controller or his subcontractor does not comply with the obligations resulting from Regulation (EU) 2016/679 of April 27, 2016 or from this law, the president of the National Commission for Informatics and Freedoms may also, if necessary after having sent him the warning provided for in I of this article or, if necessary in addition to a formal notice provided for in II, seize the restricted committee of the committee with a view to pronouncing, after contradictory procedure, of one or more of the following measures:<br />
<br />
1 ° A call to order;<br />
<br />
2 ° An injunction to bring the processing into line with the obligations resulting from Regulation (EU) 2016/679 of 27 April 2016 or from this law or to meet the requests presented by the data subject in order to exercise their rights, which may be accompanied, except in cases where the processing is implemented by the State, a penalty payment the amount of which may not exceed € 100,000 per day of delay from the date set by the restricted group; (…).<br />
<br />
55. The rapporteur suggests to the restricted committee that a call to order be issued as well as an injunction to bring the processing into conformity with the provisions of the Data Protection Act. She also proposes that this decision be made public.<br />
<br />
56. In defense, the Ministry of the Interior considers that the pronouncement of a corrective measure is not justified, a formal notice seeming sufficient in this case, and that the publicity of the possible measure to be taken is not does not appear necessary. Finally, he considers that the injunction to cease the use of drones is not possible, this use now constituting an undeniable operational necessity.<br />
<br />
57. The restricted committee considers that, in the present case, the aforementioned failures justify a call to order against the Ministry of the Interior for the following reasons.<br />
<br />
58. The restricted committee notes the seriousness of the breach relating to the lawfulness of the processing operations, this failure depriving all the processing operations carried out of a legal basis. It also emphasizes that the data subjects were deprived of all the guarantees from which they should have benefited, in particular information relating to processing and the exercise of their rights.<br />
<br />
59. It also notes the significant risks for the rights and freedoms of individuals, previously mentioned, linked to the possibility offered by these new devices to identify any person circulating in the public space, including in circumstances that may reveal particularly sensitive, for example linked to their political opinions, their religious or philosophical convictions or their trade union membership.<br />
<br />
60. It also notes that technological developments are making drones more and more discreet with increased capturing capacities of their cameras which give the Ministry of the Interior the possibility of flying its drones at increasingly high altitudes, while maintaining an image with great precision. People are therefore unlikely to become aware of the treatments carried out and the capture of their image.<br />
<br />
61. Finally, the restricted training considers that the improvement of technologies such as facial recognition could entail, in the future, even greater risks for individual rights and freedoms if they were coupled with the use of drones. It therefore considers that their deployment outside any legal framework should be severely sanctioned.<br />
<br />
62. The restricted panel considers that the aforementioned elements also make it necessary for an injunction to be issued. In addition, the ministry having indicated during the meeting that it did not intend to renounce, including temporarily, the use of drones equipped with a camera, the pronouncement of an injunction constitutes the appropriate measure to bring it to use drones for this purpose only when a legal framework authorizing it has been adopted.<br />
<br />
63. Finally, and for the same reasons, the restricted panel considers it necessary for its decision to be made public. It notes, on this point, that the public has demonstrated, over the past few months, a legitimate interest in matters relating to the processing of their personal data by the State. The publication of a sanction decision by the authority specially responsible for the protection of personal data thus appears fully justified.<br />
<br />
FOR THESE REASONS<br />
<br />
The restricted formation of the CNIL, after having deliberated, decides to:<br />
<br />
· Issue a call to order against the Ministry of the Interior for breaches of Articles 89, 90 and 104 of the Data Protection Act;<br />
<br />
Issue an injunction against the Ministry of the Interior to bring the treatments referred to in line with the obligations resulting from Article 87 of the Data Protection Act, and in particular:<br />
<br />
o for the purposes covered by Title III of the Data Protection Act, only use the collection of personal data from drones after the adoption of a normative framework authorizing the implementation of such data processing ;<br />
<br />
· Make public, on the CNIL website and on the Légifrance website, its deliberation, which will no longer identify the ministry by name after the expiration of a period of two years from its publication.<br />
<br />
President<br />
<br />
Alexandre LINDEN<br />
<br />
This decision may be appealed against to the Council of State within two months of its notification. <br />
</pre></div>Tsekhttps://gdprhub.eu/index.php?title=CNIL_(France)_-_SAN-2021-003&diff=13358CNIL (France) - SAN-2021-0032021-01-19T14:45:46Z<p>Tsek: Created page with "{{DPAdecisionBOX |Jurisdiction=France |DPA-BG-Color= |DPAlogo=LogoFR.png |DPA_Abbrevation=CNIL |DPA_With_Country=CNIL (France) |Case_Number_Name=SAN-2021-003 |ECLI= |Origin..."</p>
<hr />
<div>{{DPAdecisionBOX<br />
<br />
|Jurisdiction=France<br />
|DPA-BG-Color=<br />
|DPAlogo=LogoFR.png<br />
|DPA_Abbrevation=CNIL<br />
|DPA_With_Country=CNIL (France)<br />
<br />
|Case_Number_Name=SAN-2021-003<br />
|ECLI=<br />
<br />
|Original_Source_Name_1=Legifrance<br />
|Original_Source_Link_1=https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000042960768<br />
|Original_Source_Language_1=French<br />
|Original_Source_Language__Code_1=FR<br />
<br />
|Type=Investigation<br />
|Outcome=Violation Found<br />
|Date_Decided=12.01.2021<br />
|Date_Published=14.01.2021<br />
|Year=2021<br />
|Fine=None<br />
|Currency=<br />
<br />
|GDPR_Article_1=Article 4(1) GDPR<br />
|GDPR_Article_Link_1=Article 4 GDPR#1<br />
|GDPR_Article_2=Article 4(2) GDPR<br />
|GDPR_Article_Link_2=Article 4 GDPR#2<br />
<br />
|EU_Law_Name_1=Directive 2016/680<br />
|EU_Law_Link_1=https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32016L0680&from=EN#d1e1816-89-1<br />
<br />
|National_Law_Name_1=Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés<br />
|National_Law_Link_1=https://www.legifrance.gouv.fr/loda/id/JORFTEXT000000886460/2021-01-19/<br />
<br />
|Party_Name_1=Ministry of the Interior<br />
|Party_Link_1=https://www.interieur.gouv.fr/<br />
|Party_Name_2=<br />
|Party_Link_2=<br />
|Party_Name_3=<br />
|Party_Link_3=<br />
|Party_Name_4=<br />
|Party_Link_4=<br />
|Party_Name_5=<br />
|Party_Link_5=<br />
<br />
|Appeal_To_Body=<br />
|Appeal_To_Case_Number_Name=<br />
|Appeal_To_Status=Unknown<br />
|Appeal_To_Link=<br />
<br />
|Initial_Contributor=Kest<br />
|<br />
}}<br />
<br />
French DPA ordered the Ministry of the Interior to cease the use of drones equipped with cameras by the police forces. The Ministry violated its obligations to process personal data only where authorised by a specific legal provision and to conduct a privacy impact assessment, as required in the context. The partial use of a face-blurring program is deemed irrelevant to the existence of a processing of personal data in the sense of Article 4 GDPR. <br />
<br />
== English Summary ==<br />
<br />
=== Facts ===<br />
During March 2020 , the press reported to use of drones equipped with cameras by the police forces in several places, in order to monitor compliance with lockdown measures.<br />
<br />
The French DPA questionned the Ministry of the Interior on the subject. In absence of reply, the DPA initated an inquiry. The Ministry was summoned to answer a questionnaire. It stated that the drones had also been used for other purposes : scouting an area before an arrest, surveillance of a drug traficking, of demonstrations and road transport. An on-site control then established that the camera used were efficient enough to allow for facial identification of individuals.<br />
<br />
In this context, the report concluded to several violations of data protection law and proposed a sanction. The Ministry's main line of defence was that, since August 2020, a face-blurring program has been implemented. As a result, the data were anonimized, and data protection regulations not applicable.<br />
<br />
=== Dispute ===<br />
Is recording of images by drones equipped with cameras a personal personal data according Article 4 GDPR ?<br />
Did the Ministry of Interior comply with European and French data protection regulation inmplementing DIrective (UE) 2016/680 ?<br />
<br />
=== Holding ===<br />
The DPA issues a public call to order against the Ministry of the Interior, on the following grounds.<br />
<br />
On the processing of personal data<br />
<br />
The DPA reminds the broad definitions of processing and personal data laid down by Article 4(1) and (2) GDPR. The DPA then quotes ECJ, 11 December 2014, Ryneš, case C-212/13 (point 22), EDPB Guidelines 3/2019 on processing of personal data through video devices, a ruling and an opinion of the French Administrive Supreme Court. It reiterates that personal data are processed whenever people can be identified on the basis of recorded images.<br />
<br />
The DPA notes that the equipped cameras have a high resolution and a zoom capability, which allow for identification of faces. <br />
<br />
Regarding the face-blurring program, it has only been implemented in some recent operation. It is of limited utility because it can only be used for prevention activities. For safety reasons, the pilot's screen is not subject to the blurring. Lastly, unblurred recordings can be accessed by operational services, although it takes time. All services are placed under the same authority.<br />
<br />
The DPA then decides that the program is of no effect on the definition of the subject matter of the inquiry as a processing of personal data.<br />
<br />
On the violation of French data protection act (Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (Loi Informatique et Libertés))<br />
<br />
Under French regulation, the processing of personal data can only occur where authorised by a specific legal provision (Article 89 Loi informatique et Libertés). In the present case, the Ministry has ignored this obligation.<br />
<br />
Furthermore, a data protection impact assessment is mandatory where the processing could create significant risks to the fundamental rights and freedoms. According to the DPA, drones generate such risks, especially because of the possibility given to the Ministry to acquire knowledge of beliefs and opinions of data subject participating to demonstrations. Those risks are increased by the fact that data subjects may not be aware of the drone operating and thus of the processing of their personal data. <br />
The data protection impact assessment is also required where a new mechanism is implemented (Article 89 Loi Informatique et Libertés). Drones being new to police forces, the assessment is required.<br />
<br />
Lastly, the CNIL finds that the Ministry has failed to its obligation as data controller to provide data subjects with mandatory information.<br />
<br />
As a result of these violations, the DPA issues a public call to order. It is however decided that the name of the Ministry of the Interior will not appear publicly on the decision after a period of 2 years.<br />
<br />
<br />
<br />
== Comment ==<br />
The decision follows the decisions of the French Administrative Supreme Court : Conseil d'État, ordonnance du 18 mai 2020, nos 440442 et 440445 and Conseil d'État, avis du 20 septembre 2020 relatif à l’usage de dispositifs aéroportés de captation d’images par les autorités publiques<br />
<br />
== Further Resources ==<br />
''Share blogs or news articles here!''<br />
<br />
== English Machine Translation of the Decision ==<br />
The decision below is a machine translation of the French original. Please refer to the French original for more details.<br />
<br />
<pre><br />
Délibération SAN-2021-003 du 12 janvier 2021<br />
Commission Nationale de l’Informatique et des Libertés<br />
<br />
Nature de la délibération : Sanction<br />
Etat juridique : En vigueur <br />
<br />
Date de publication sur Légifrance : Jeudi 14 janvier 2021<br />
<br />
Délibération de la formation restreinte n°SAN-2021-003 du 12 janvier 2021 concernant le ministère de l'intérieur<br />
<br />
La Commission nationale de l’informatique et des libertés, réunie en sa formation restreinte composée de Messieurs Alexandre LINDEN, président, Philippe-Pierre CABOURDIN, vice-président, et de Mesdames Anne DEBET et Christine MAUGÜE, membres ;<br />
<br />
Vu la Convention no 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;<br />
<br />
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données à caractère personnel et à la libre circulation de ces données ;<br />
<br />
Vu la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données ;<br />
<br />
Vu la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 20 et suivants;<br />
<br />
Vu le décret no 2019-536 du 29 mai 2019 pris pour l'application de la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;<br />
<br />
Vu la délibération no 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l'informatique et des libertés ;<br />
<br />
Vu la décision no 2020-076C du 7 mai 2020 de la présidente de la Commission nationale de l’informatique et des libertés de charger le secrétaire général de procéder ou de faire procéder à une mission de vérification des traitements mis en œuvre par le ministère de l'intérieur ou pour son compte ;<br />
<br />
Vu la décision de la présidente de la Commission nationale de l’informatique et des libertés portant désignation d’un rapporteur devant la formation restreinte, en date du 2 octobre 2020 ;<br />
<br />
Vu le rapport de Madame Sophie LAMBREMON, commissaire rapporteure, notifié au ministère de l'intérieur le 30 octobre 2020 ;<br />
<br />
Vu les observations écrites versées par le ministère de l'intérieur le 1er décembre 2020 ;<br />
<br />
Vu les observations orales formulées lors de la séance de la formation restreinte, le 10 décembre 2020 ;<br />
<br />
Vu les autres pièces du dossier ;<br />
<br />
Étaient présents, lors de la séance de la formation restreinte :<br />
<br />
- Madame Sophie LAMBREMON, commissaire, entendu en son rapport ;<br />
<br />
En qualité de représentants du ministère de l'intérieur :<br />
<br />
- […] ;<br />
<br />
- […] ;<br />
<br />
Le ministère de l'Intérieur ayant eu la parole en dernier ;<br />
<br />
La formation restreinte a adopté la décision suivante :<br />
<br />
I. Faits et procédure<br />
<br />
1. À la suite du confinement décidé par le Gouvernement au mois de mars 2020, plusieurs articles de presse ont fait état de l’utilisation, par les forces de police (notamment le commissariat de Cergy-Pontoise) et de gendarmerie (notamment le groupement de gendarmerie départementale de Haute-Garonne), de drones équipés d’une caméra afin de veiller au respect des mesures prises dans ce contexte. L’utilisation de tels drones lui paraissant susceptible de mettre en œuvre des traitements de données à caractère personnel, la présidente de la Commission nationale de l'informatique et des libertés (ci-après la CNIL ou la Commission ) a, par courrier du 23 avril 2020, demandé au ministère de l'intérieur des précisions quant aux traitements réalisés dans ce cadre.<br />
<br />
2. En l’absence de réponse, la présidente de la Commission a, par la décision no 2020-076C du 7 mai 2020, initié une procédure de contrôle à l’encontre du ministère. Cette procédure avait pour objet de vérifier le respect, par le ministère de l'intérieur, de l’ensemble des dispositions durèglement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (ci-après le Règlement ou le RGPD ), dela loi no 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (ci-après la loi du 6 janvier 1978 ou la loi Informatique et Libertés ), de la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 (ci-après la directive police-justice ) et des dispositions prévues aux articles L251-1 et suivants du code de la sécurité intérieure. Dans le cadre de cette procédure, la présidente de la Commission a, le 8 mai 2020, fait parvenir au ministère de l'intérieur, à la préfecture de police de Paris, au commissariat de Cergy-Pontoise et au groupement de gendarmerie départementale de Haute-Garonne des questionnaires portant sur l’utilisation de drones afin de faire respecter les mesures de confinement déployées dans le cadre de l’état d’urgence sanitaire. Le ministère de l'intérieur a répondu à l’ensemble de ces questionnaires par courrier du 27 mai 2020.<br />
<br />
3. Le 9 juillet 2020, une délégation de la CNIL s’est rendue dans les locaux de la préfecture de police de Paris afin de procéder à un contrôle sur place. Ce contrôle a notamment permis à la délégation de contrôle de faire procéder à un vol d’essai d’un drone utilisé par la préfecture de police de Paris.<br />
<br />
4. Différents échanges sont intervenus par courriel entre le ministère et la délégation de contrôle entre les mois de juillet et de septembre 2020. Ces échanges concernaient la transmission de documents demandés à l’occasion du contrôle ainsi que de précisions demandées ultérieurement.<br />
<br />
5. Aux fins d’instruction de ces éléments, la présidente de la Commission a, le 2 octobre 2020, désigné Madame Sophie LAMBREMON en qualité de rapporteure, sur le fondement de l’article 22 de la loi du 6 janvier 1978.<br />
<br />
6. À l’issue de son instruction, la rapporteure a, le 30 octobre 2020, fait signifier au ministère de l'intérieur un rapport détaillant les manquements à la loi Informatique et Libertés qu’elle estimait constitués en l’espèce. La rapporteure proposait à la formation restreinte de la Commission de prononcer une injonction de mettre en conformité le traitement avec les dispositions de l’article 87 de la loi Informatique et Libertés, ainsi qu’un rappel à l’ordre. Elle proposait également que cette décision soit rendue publique et ne permette plus d’identifier nommément le ministère à l’expiration d’un délai de deux ans à compter de sa publication.<br />
<br />
7. Le même jour, le ministère de l'intérieur a été informé que ce dossier était inscrit à l’ordre du jour de la séance de la formation restreinte du 10 décembre 2020.<br />
<br />
8. Le 1er décembre 2020, le ministère a produit des observations.<br />
<br />
9. Le ministère et la rapporteure ont présenté des observations orales lors de la séance de la formation restreinte.<br />
<br />
II. Motifs de la décision<br />
<br />
A. Sur l’existence d’un traitement de données à caractère personnel<br />
<br />
10. La rapporteure observe que la préfecture de police de Paris, le commissariat de Cergy-Pontoise et le groupement de gendarmerie départementale de Haute-Garonne ont utilisé des drones afin de vérifier le respect des mesures de confinement. Par ailleurs, la préfecture de police de Paris a également utilisé ces dispositifs pour d’autres finalités, telles que des missions de police judiciaire (reconnaissance d’un lieu avant une interpellation, surveillance d’un trafic de stupéfiants), des opérations de maintien de l’ordre (surveillance de manifestations) ou de gestion de crise et des contrôles routiers (surveillance de rodéos urbains).<br />
<br />
11. La rapporteure relève que les drones utilisés sont équipés d’une caméra permettant la captation d’images en haute résolution et possédant des capacités de zoom pouvant agrandir l’image entre six et vingt fois.<br />
<br />
12. Au regard de ces capacités techniques, la rapporteure considère que l’utilisation de ces drones par le ministère de l'intérieur donne lieu à un traitement de données à caractère personnel dès lors que des personnes sont filmées dans des conditions permettant leur identification.<br />
<br />
13. Le ministère de l'intérieur, quant à lui, a d’abord affirmé en réponse aux questionnaires envoyés par la présidente de la CNIL que le vol des drones ne donnait lieu à aucun traitement de données à caractère personnel, les personnes n’étant pas identifiables. Dans ses observations en réponse au rapport de sanction, il a ensuite considéré que l’incertitude juridique relative à la nature des données traitées démontrait la bonne foi de l’administration, qu’en tout état de cause, le système de floutage mis en œuvre excluait tout traitement de données à caractère personnel, tout en précisant que des considérations techniques empêchaient que ce système de floutage soit exécuté au niveau du drone captant les images et avant toute transmission de celles-ci.<br />
<br />
14. La formation restreinte estime que la qualification de traitement de données à caractère personnel s’applique à un système de captation vidéo filmant des personnes pour les raisons suivantes.<br />
<br />
15. En premier lieu, sur l’existence d’un traitement de données à caractère personnel, l’article 2 de la loi Informatique et Libertés dispose : sauf dispositions contraires, dans le cadre de la présente loi s'appliquent les définitions de l'article 4 du règlement (UE) 2016/679 du 27 avril 2016 .<br />
<br />
16. Aux termes de l’article 4 du RGPD, constitue un traitement de données à caractère personnel toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction . Ce même article définit une donnée à caractère personnel comme toute information se rapportant à une personne physique identifiée ou identifiable […] ; est réputée être une personne physique identifiable une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence […] à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale .<br />
<br />
17. Au regard de ces définitions, la formation restreinte relève que tout opération – notamment la captation, la transmission, la modification ou la consultation – portant sur l’image de personnes pouvant être reconnues constitue un traitement de données à caractère personnel.<br />
<br />
18. La formation restreinte observe que cette analyse, adoptée de longue date par la CNIL, a été consacrée par la jurisprudence européenne dès 2014 : l’image d’une personne enregistrée par une caméra constitue une donnée à caractère personnel au sens de la disposition visée au point précédent dans la mesure où elle permet d’identifier la personne concernée (CJUE, 11 décembre 2014, Ryneš, affaire C-212/13, point 22). Elle a été rappelée très récemment par le Comité européen de la protection des données (ci-après le CEPD ) dans ses lignes directrices 3/2019 du 29 janvier 2020 sur le traitement des données à caractère personnel par des dispositifs vidéo : La surveillance systématique et automatisée d’un espace spécifique par des moyens optiques ou audiovisuels, principalement à des fins de protection des biens ou de protection de la vie et de la santé des personnes, est devenue un phénomène important de notre époque. Cette activité entraîne la collecte et la conservation d’informations picturales ou audiovisuelles sur toutes les personnes entrant dans l’espace surveillé qui sont identifiables sur la base de leur apparence ou d’autres éléments spécifiques. L’identité de ces personnes peut être établie sur la base de ces informations .<br />
<br />
19. S’agissant plus spécifiquement des drones équipés d’une caméra, le juge des référés du Conseil d'État a considéré que le dispositif de surveillance litigieux […] qui consiste à collecter des données, grâce à la captation d’images par drone, à les transmettre, dans certains cas, au centre de commandement de la préfecture de police pour un visionnage en temps réel et à les utiliser pour la réalisation de missions de police administrative constitue un traitement (Conseil d'État, ordonnance du 18 mai 2020, nos 440442 et 440445). Constatant qu’aucun dispositif n’était mis en place pour empêcher, dans tous les cas, que les informations collectées puissent conduire à rendre les personnes identifiables, cette juridiction conclut que les données susceptibles d’être collectées par le traitement litigieux doivent être regardées comme revêtant un caractère personnel .<br />
<br />
20. Enfin, dans un avis du 20 septembre 2020 relatif à l’usage de dispositifs aéroportés de captation d’images par les autorités publiques, le Conseil d'État a précisé que eu égard notamment aux technologies actuellement disponibles et à leur évolution et aux moyens matériels dont disposent les autorités publiques, le Conseil d’État estime que les images de personnes captées au moyen de caméras aéroportées par ces autorités dans le cadre de missions de sécurité publique ou de sécurité civile doivent, en principe, être regardées comme des données personnelles et que, par suite, la collecte et l’utilisation de ces images sont soumises au respect des textes rappelés ci-dessus. Il pourrait toutefois en aller autrement en cas d’emploi dans des conditions particulières excluant l’existence de possibilités raisonnables d’identifier des personnes, ou dans l’hypothèse où seraient mis en œuvre des dispositifs techniques empêchant l’identification (Conseil d'État, section de l’intérieur, séance du mardi 20 septembre 2020, no 401 214).<br />
<br />
21. La formation restreinte rappelle qu’en l’espèce, la préfecture de police de Paris, le groupement de gendarmerie départementale de Haute-Garonne et le commissariat de Cergy-Pontoise ont reconnu avoir utilisé des drones équipés d’une caméra dans le cadre de vérifications du respect des mesures de confinement et, pour la préfecture de police de Paris, pour d’autres finalités, notamment judiciaires et de maintien de l’ordre. Ces drones ont volé à une altitude comprise, selon les acteurs, entre 30 et 120 mètres et étaient équipés d’un objectif de 12 millions de pixels pouvant agrandir l’image entre six et vingt fois.<br />
<br />
22. La délégation de contrôle, ayant fait réaliser un vol d’essai de drone le 9 juillet 2020, a constaté que les caractéristiques techniques évoquées ci-dessus permettent l’identification des personnes.<br />
<br />
23. En second lieu, s’agissant d’un éventuel dispositif de floutage qui pourrait permettre de rendre les personnes concernées non identifiables, la formation restreinte note, tout d’abord, que la préfecture de police de Paris, le groupement de gendarmerie départementale de Haute-Garonne et le commissariat de Cergy-Pontoise ont indiqué, dans leur réponse aux questionnaires envoyés, qu’aucun dispositif de floutage n’avait été mis en place.<br />
<br />
24. Elle observe ensuite que la préfecture de police de Paris a ultérieurement indiqué, lors du contrôle réalisé le 9 juillet 2020, qu’un dispositif de floutage était en cours de développement. Le ministère de l'intérieur a précisé, durant la séance du 10 décembre 2020, que son déploiement était effectif depuis la fin du mois d’août 2020.<br />
<br />
25. En conséquence, la formation restreinte relève, d’une part, qu’un tel dispositif n’était pas mis en œuvre lors des vols évoqués dans les questionnaires envoyés aux services opérationnels, et que des drones équipés d’une caméra ont donc procédé à de nombreux vols sans floutage des images collectées avant le déploiement du mécanisme. Elle considère, d’autre part, que le dispositif décrit durant la présente procédure ne saurait, pour autant, soustraire les images collectées à la règlementation applicable en matière de la protection des données à caractère personnel.<br />
<br />
26. En effet, premièrement, le système de floutage évoqué ne s’applique pas aux images captées par la caméra présente sur le drone et transmises au pilote du drone. Si la visualisation d’images non floutées par le pilote du drone s’explique aisément par des impératifs de sécurité (contrôle de l’appareil pendant le temps de vol), ce que la formation restreinte ne remet pas en question, il reste que la captation d’images non floutées par la caméra et leur transmission au pilote constituent des opérations de traitement de données à caractère personnel.<br />
<br />
27. Deuxièmement, il résulte des réponses apportées par la préfecture de police qu’elle a procédé à l’enregistrement d’images non floutées lors de l’utilisation de drones pour les besoins de missions de police judiciaire, ce qui constitue également un traitement de données à caractère personnel.<br />
<br />
28. Enfin, et contrairement aux déclarations faites par le ministère de l'intérieur durant la séance, il ressort des pièces communiquées en défense, et plus particulièrement de la note relative au floutage intitulée Traitement de flux vidéo provenant des drones , datée du 23 novembre 2020, que les flux floutés peuvent être consultés en clair par les agents de la préfecture de police : Le dispositif de floutage étant maîtrisé par la DILT (direction de l'innovation, de la logistique et des technologies), il est impossible à la DOPC (direction de l'ordre public et de la circulation) d’accéder aux flux non floutés.L’accès aux flux non floutés nécessiterait une modification de la configuration actuellement en œuvre ; seul un ingénieur ayant les droits sur l’ensemble du dispositif peut faire ce travail laborieux. Les ingénieurs ayant ces droits sont placés sous un commandement différent de celui du DOPC. La formation restreinte déduit de ce document que, bien que laborieux , l’accès à des flux non floutés demeure possible par des personnes placées sous la responsabilité du responsable de traitement. Dès lors, le traitement doit être qualifié de traitement de données à caractère personnel.<br />
<br />
B. Sur l’identification du responsable de traitement<br />
<br />
29. La formation restreinte souligne que l’ensemble des traitements visés par la présente procédure, ayant pour finalités de s’assurer du respect des mesures de confinement adoptées dans le cadre de l’état d’urgence sanitaire, d’intervenir au profit de missions de police judiciaire, de missions de maintien de l’ordre, ou dans le cadre de la gestion de crise ou de contrôle routier, relèvent de la compétence du ministère de l'intérieur, conformément aux dispositions du décret no 2017-1070 du 24 mai 2017 relatif aux attributions du ministre de l'intérieur, lequel dispose le ministre de l'intérieur prépare et met en œuvre la politique du Gouvernement en matière de sécurité intérieure, de libertés publiques, d'administration territoriale de l'État, d'immigration, d'asile et de sécurité routière .<br />
<br />
30. Elle souligne également que les services concernés (groupement de gendarmerie départementale de Haute-Garonne, commissariat de Cergy-Pontoise et préfecture de police de Paris) agissent tous sous la tutelle du ministère de l'intérieur.<br />
<br />
31. Le ministère de l’intérieur se considère bien comme le responsable de traitement, ses services centraux ayant d’ailleurs rédigé une instruction de commandement prévoyant le recours aux drones notamment dans le cadre du confinement.<br />
<br />
32. Dès lors, la formation restreinte, retient que ce dernier doit être considéré le responsable des traitements concernés par la présente procédure.<br />
<br />
C. Sur la loi applicable<br />
<br />
33. Le premier paragraphe de l’article 87 de la loi Informatique et Libertés, premier article du titre III de la loi, dispose : le présent titre s'applique, sans préjudice du titre Ier, aux traitements de données à caractère personnel mis en œuvre, à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces, par toute autorité publique compétente ou tout autre organisme ou entité à qui a été confié, à ces mêmes fins, l'exercice de l'autorité publique et des prérogatives de puissance publique, ci-après dénommés autorité compétente .<br />
<br />
34. Ce titre III s’applique donc aux traitements qui répondent à une double caractéristique relative à leur finalité, d’une part, et à la qualité du responsable de traitement, d’autre part.<br />
<br />
35. S’agissant des finalités poursuivies par les traitements nés des vols de drones équipés d’une caméra, il ressort des déclarations effectuées par le groupement de gendarmerie départementale de Haute-Garonne, par le commissariat de Cergy-Pontoise et par la préfecture de police de Paris que les images ont été utilisées, par ces trois acteurs, afin de s’assurer du respect des mesures de confinement adoptées dans le cadre de l’état d’urgence sanitaire et, pour le dernier d’entre eux uniquement, pour d’autres finalités, telles que des missions de police judiciaire, de maintien de l’ordre, de gestion de crise et de contrôle routier.<br />
<br />
36. La formation restreinte considère que les missions précitées entrent dans le champ des finalités visées par l’article 87 de la loi Informatique et Libertés, soit parce qu’elles visent à prévenir ou détecter des infractions pénales – par exemple, lorsque les drones sont utilisés afin de veiller au respect des mesures de confinement ou de contrôle routier –, à enquêter ou poursuivre en matière pénale – par exemple pour les missions de police judiciaire – à la protection contre les menaces pour la sécurité publique et la prévention de telles menaces – par exemple pour les missions de maintien de l’ordre ou de gestion de crise.<br />
<br />
37. La formation restreinte considère également que, dans le cadre de ces missions, le ministère de l'intérieur doit être regardé comme l’autorité compétente, au regard de l’article 1er du décret no 2020-874 du 15 juillet 2020 relatif aux attributions du ministre de l'intérieur (précédemment décret no 2017-1070 du 24 mai 2017), précité.<br />
<br />
38. En conséquence, la formation restreinte considère qu’en l’espèce, les traitements mis en œuvre par le ministère de l'intérieur pour les différentes finalités ci-dessus évoquées doivent respecter les dispositions du titre III de la loi Informatique et Libertés.<br />
<br />
D. Sur les manquements<br />
<br />
1. Sur le manquement relatif à la licéité du traitement et à l’absence d’étude d’impact<br />
<br />
39. Le second paragraphe de l’article 87 de la loi Informatique et Libertés prévoit que les traitements visés par le titre II de la loi ne sont licites que si et dans la mesure où ils sont nécessaires à l'exécution d'une mission effectuée, pour l'une des finalités énoncées au premier alinéa, par une autorité compétente au sens du même premier alinéa et où sont respectées les dispositions des articles 89 et 90 .<br />
<br />
40. Aux termes du I de l’article 89 de la loi, si le traitement est mis en œuvre pour le compte de l'État pour au moins l'une des finalités énoncées au premier alinéa de l'article 87, il est prévu par une disposition législative ou réglementaire prise dans les conditions prévues au I de l'article 31 et aux articles 33 à 36 . En application du II du même article, si le traitement porte sur des données visées par l'article 6 de la loi (dites données sensibles), il doit être prévu par une disposition législative ou réglementaire prise dans les conditions prévues au II de l'article 31. L’article 31 de la loi auquel il est fait référence impose que les traitements de données en cause soient autorisés par arrêté du ministre ou des ministres compétents, pris après avis motivé et publié de la Commission et, en cas de traitement de données sensibles, par un décret en Conseil d’État pris après avis motivé et publié de la CNIL.<br />
<br />
41. L’article 90 de la loi dispose : si le traitement est susceptible d'engendrer un risque élevé pour les droits et les libertés des personnes physiques, notamment parce qu'il porte sur des données mentionnées au I de l'article 6, le responsable de traitement effectue une analyse d'impact relative à la protection des données à caractère personnel .<br />
<br />
42. À titre liminaire, la formation restreinte relève que le ministère de l'intérieur ne conteste pas la caractérisation de ce manquement, ayant considéré à tort que les traitements en cause ne portaient pas sur des données à caractère personnel.<br />
<br />
43. Au regard des dispositions de l’article 89, la formation restreinte relève qu’aucun cadre législatif ou réglementaire ne vient autoriser et encadrer les traitements de données à caractère personnel nés de l’utilisation par le ministère de l'intérieur de drones équipés d’une caméra. En indiquant que des travaux sont engagés pour élaborer un cadre légal dans les plus brefs délais, le ministère de l’intérieur confirme ce point.<br />
<br />
44. S’agissant des dispositions de l’article 90, la formation restreinte considère que les traitements mis en œuvre en l’espèce sont susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes concernées. Ce risque élevé naît, d’une part, des caractéristiques des drones, qui sont des objets volants embarquant une caméra capable de filmer dans des résolutions importantes, en tout lieu et à tout moment. Ils sont donc capables de filmer toute personne circulant dans l’espace public, de la suivre et de traiter des données personnelles intangibles telles que les traits de son visage. Le risque naît, d’autre part, de l’utilisation faite des drones par le ministère de l'intérieur, notamment lors de manifestations, occasions au cours desquelles les opinions politiques, les convictions religieuses ou philosophiques des personnes, ou leur appartenance syndicale, sont susceptibles d’être révélées. Enfin, le risque est aggravé par le fait que les traitements sont potentiellement mis en œuvre à l’insu des personnes, celles-ci n’étant souvent pas conscientes de la présence de drones, de l’activation de la caméra et de la captation de leur image. Ce risque est à cet égard aggravé, en l’espèce, par l’absence d’information des personnes à l’occasion des vols réalisés.<br />
<br />
45. La formation restreinte note que l’article 90 de la loi Informatique et Libertés précise que ce risque peut aussi naître en raison de l’utilisation de nouveaux mécanismes , ce qui est bien le cas en l’espèce.<br />
<br />
46. En conséquence, la formation restreinte considère que l’utilisation de drones équipés d’une caméra fait naître un risque élevé pour les droits et les libertés des personnes physiques et que, dès lors, il revenait au ministère de l'intérieur de réaliser une analyse d’impact relative à la protection des données à caractère personnel.<br />
<br />
47. La formation restreinte relève qu’aucune analyse d’impact n’a été réalisée.<br />
<br />
48. Il ressort de l’ensemble de ces éléments que les conditions de licéité des traitements mis en œuvre ne sont pas remplies. La formation restreinte considère donc que des manquements aux articles 89 et 90 de la loi Informatique et Libertés sont constitués.<br />
<br />
2. Sur le manquement relatif à l’information des personnes<br />
<br />
Aux termes de l’article 104 de la loi Informatique et Libertés, Le responsable de traitement met à la disposition de la personne concernée les informations suivantes :<br />
<br />
1° L'identité et les coordonnées du responsable de traitement et, le cas échéant, celles de son représentant ;<br />
<br />
2° Le cas échéant, les coordonnées du délégué à la protection des données ;<br />
<br />
3° Les finalités poursuivies par le traitement auquel les données sont destinées ;<br />
<br />
4° Le droit d'introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés et les coordonnées de la commission ;<br />
<br />
5° L'existence du droit de demander au responsable de traitement l'accès aux données à caractère personnel, leur rectification ou leur effacement, et l'existence du droit de demander une limitation du traitement des données à caractère personnel relatives à une personne concernée .<br />
<br />
49. À titre liminaire, la formation restreinte relève que le ministère de l'intérieur ne conteste pas la caractérisation de ce manquement, rappelant seulement les engagements pris pour assurer, à l’avenir, l’information des personnes concernées.<br />
<br />
50. La formation restreinte note que le groupement de gendarmerie départementale de Haute-Garonne et le commissariat de Cergy-Pontoise ont indiqué, dans leur réponse au questionnaire envoyé, que les personnes étaient informées de la présence du drone par un message vocal les invitant à se disperser. La préfecture de police de Paris a indiqué qu’aucun dispositif spécifique d’information n’avait été mis en place.<br />
<br />
51. Il ressort des réponses apportées qu’aucune information répondant aux exigences de l’article 104 de la loi Informatique et Libertés n’a été communiquée aux personnes concernées.<br />
<br />
52. La formation restreinte relève que, si l’article 107 de la loi Informatique et Libertés permet, sous certaines conditions, des restrictions aux droits des personnes et notamment au droit à l’information, ces restrictions doivent être prévues par l’acte instaurant le traitement . En l’espèce, en l’absence de tout acte instaurant les traitements en question, aucune limitation au droit à l’information ne pouvait être prévue.<br />
<br />
53. Il ressort de l’ensemble de ces éléments que l’information délivrée aux personnes, quand elle existait, ne répondait pas aux exigences légales. La formation restreinte considère donc qu’un manquement à l’article 104 de la loi Informatique et Libertés est constitué.<br />
<br />
III. Sur les mesures correctrices et leur publicité<br />
<br />
54. Aux termes du III de l’article 20 de la loi du 6 janvier 1978 :<br />
<br />
Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi, le président de la Commission nationale de l'informatique et des libertés peut également, le cas échéant après lui avoir adressé l'avertissement prévu au I du présent article ou, le cas échéant en complément d'une mise en demeure prévue au II, saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l'une ou de plusieurs des mesures suivantes :<br />
<br />
1° Un rappel à l'ordre ;<br />
<br />
2° Une injonction de mettre en conformité le traitement avec les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi ou de satisfaire aux demandes présentées par la personne concernée en vue d'exercer ses droits, qui peut être assortie, sauf dans des cas où le traitement est mis en œuvre par l'État, d'une astreinte dont le montant ne peut excéder 100 000 € par jour de retard à compter de la date fixée par la formation restreinte ; (…) .<br />
<br />
55. La rapporteure propose à la formation restreinte que soient prononcés un rappel à l’ordre ainsi qu’une injonction de mettre le traitement en conformité avec les dispositions la loi Informatique et Libertés. Elle propose également que cette décision soit rendue publique.<br />
<br />
56. En défense, le ministère de l'intérieur estime que le prononcé d’une mesure correctrice ne se justifie pas, une mise en demeure lui semblant suffisante en l’espèce, et que la publicité de l’éventuelle mesure à intervenir n’apparaît pas nécessaire. Enfin, il considère que l’injonction de cesser l’usage des drones n’est pas envisageable, cet usage constituant désormais une nécessité opérationnelle indéniable.<br />
<br />
57. La formation restreinte considère que, dans le cas d’espèce, les manquements précités justifient que soit prononcé un rappel à l’ordre à l’encontre du ministère de l'intérieur pour les motifs suivants.<br />
<br />
58. La formation restreinte relève la gravité du manquement relatif à la licéité des traitements, ce manquement privant l’ensemble des traitements mis en œuvre de base légale. Elle souligne également que les personnes concernées étaient privées de l’ensemble des garanties dont elles auraient dû bénéficier, notamment une information relative aux traitements ainsi que sur l’exercice de leurs droits.<br />
<br />
59. Elle relève également les risques importants pour les droits et libertés des personnes, précédemment évoqués, liés à la possibilité offerte par ces nouveaux dispositifs d’identifier toute personne circulant sur l’espace public, y compris dans des circonstances pouvant révéler des informations particulièrement sensibles, par exemple liées à leurs opinions politiques, leurs convictions religieuses ou philosophiques ou leur appartenance syndicale.<br />
<br />
60. Elle note aussi que les évolutions technologiques rendent les drones de plus en plus discrets avec des capacités augmentées de captation de leurs caméras qui donnent au ministère de l'intérieur la possibilité de faire voler ses drones à des altitudes de plus en plus importantes, tout en conservant une image d’une grande précision. Les personnes sont donc peu susceptibles de prendre conscience des traitements opérés et de la captation de leur image.<br />
<br />
61. Enfin, la formation restreinte considère que le perfectionnement de technologies telles que la reconnaissance faciale pourrait entraîner, à l’avenir, des risques encore plus importants pour les droits et libertés individuelles si elles étaient couplées à l’utilisation de drones. Elle considère donc que leur déploiement en dehors de tout cadre légal doit être sévèrement sanctionné.<br />
<br />
62. La formation restreinte estime que les éléments précités rendent également nécessaire qu’une injonction soit prononcée. En outre, le ministère ayant indiqué lors de la séance qu’il n’entendait pas renoncer, y compris temporairement, à l’usage de drones équipés d’une caméra, le prononcé d’une injonction constitue la mesure appropriée pour l’amener à n’utiliser des drones à cet effet que lorsqu’un cadre légal l’y autorisant aura été adopté.<br />
<br />
63. Enfin, et pour les mêmes raisons, la formation restreinte estime nécessaire que sa décision soit rendue publique. Elle relève, sur ce point, que le public a démontré, au cours des derniers mois, un intérêt légitime pour les questions relatives au traitement de ses données à caractère personnel par l’État. La publicité d’une décision de sanction par l’autorité spécialement chargée de la protection des données à caractère personnel apparaît ainsi pleinement justifiée.<br />
<br />
PAR CES MOTIFS<br />
<br />
La formation restreinte de la CNIL, après en avoir délibéré, décide de :<br />
<br />
· prononcer à l’encontre du ministère de l'intérieur un rappel à l’ordre pour les manquements aux articles 89, 90 et 104 de la loi Informatique et Libertés ;<br />
<br />
· prononcer à l’encontre du ministère de l'intérieur une injonction de mettre en conformité les traitements visés avec les obligations résultant de l’article 87 de la loi Informatique et Libertés, et en particulier :<br />
<br />
o pour les finalités relevant du titre III de la loi Informatique et Libertés, ne recourir à la captation de données à caractère personnel à partir de drones qu’après l’adoption d’un cadre normatif autorisant la mise en œuvre de traitements de telles données ;<br />
<br />
· rendre publique, sur le site de la CNIL et sur le site de Légifrance, sa délibération, qui n’identifiera plus nommément le ministère à l’expiration d’un délai de deux ans à compter de sa publication.<br />
<br />
Le président<br />
<br />
Alexandre LINDEN<br />
<br />
Cette décision est susceptible de faire l’objet d’un recours devant le Conseil d’État dans un délai de deux mois à compter de sa notification.<br />
</pre></div>Tsekhttps://gdprhub.eu/index.php?title=CE_-_433555&diff=13155CE - 4335552021-01-04T22:09:38Z<p>Tsek: </p>
<hr />
<div>{{COURTdecisionBOX<br />
<br />
|Jurisdiction=France<br />
|Court-BG-Color=<br />
|Courtlogo=Courts_logo1.png<br />
|Court_Abbrevation=CE<br />
|Court_With_Country=CE (France)<br />
<br />
|Case_Number_Name=433555<br />
|ECLI=ECLI:FR:CEFSP:2020:433555.20201221<br />
<br />
|Original_Source_Name_1=Legifrance<br />
|Original_Source_Link_1=https://www.legifrance.gouv.fr/ceta/id/CETATEXT000042713078?tab_selection=cetat&searchField=ALL&query=2016%2F679&searchType=ALL&juridiction=CONSEIL_ETAT&juridiction=COURS_APPEL&sortValue=DATE_DESC&pageSize=10&page=1&tab_selection=cetat&anchor=cetat#cetat<br />
|Original_Source_Language_1=French<br />
|Original_Source_Language__Code_1=FR<br />
<br />
|Date_Decided=21.12.2020<br />
|Date_Published=<br />
|Year=2020<br />
<br />
|GDPR_Article_1=Article 15 GDPR<br />
|GDPR_Article_Link_1=Article 15 GDPR<br />
|GDPR_Article_2=Article 23 GDPR<br />
|GDPR_Article_Link_2=Article 23 GDPR<br />
<br />
<br />
|Party_Name_1=Ministère de l'Intérieur<br />
|Party_Link_1=https://www.interieur.gouv.fr/<br />
|Party_Name_2=Mme A<br />
|Party_Link_2=<br />
|Appeal_From_Body=<br />
|Appeal_From_Case_Number_Name=<br />
|Appeal_From_Status=<br />
|Appeal_From_Link=<br />
|Appeal_To_Body=<br />
|Appeal_To_Case_Number_Name=<br />
|Appeal_To_Status=Not appealed<br />
|Appeal_To_Link=<br />
<br />
|Initial_Contributor=Kest<br />
|<br />
}}<br />
<br />
The French Administrative Supreme Court held that the legal procedure applicable to the exercise of the right of access and the right to erasure of personal data processed for national security purposes is compliant with [[Article 15 GDPR|Article 15]] and [[Article 23 GDPR|Article 23]] GDPR.<br />
<br />
==English Summary==<br />
<br />
===Facts===<br />
The Applicant claims to have personal data stored on the French National Schengen Information System (“N-SIS II database”). Under [https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A32018R1862 Regulation (EU) 2018/1862], the Schengen Information System is composed of, on one hand, a central system (“C-SIS”), and, on the other hand, national systems (“N-SIS”) that communicate with the central system. The system as a whole allows Member States to share alerts on persons, which include personal data, for several purposes in relation with police and judicial cooperation.<br />
<br />
The applicant exercised his rights of access and erasure against the Ministry of the Interior (“''Ministère de l’intérieur''”), without success. She then petitioned the French DPA (“''CNIL''”), with the same outcome. In this context, she seeks the annulment of the Ministry’s decision before the French Administrative Supreme Court (“''Conseil d’Etat''”).<br />
<br />
As it appeared during the proceedings, her demand was processed in accordance with the procedure applicable to personal data processed for national security purposes. The applicant demands that the Court reviews the lawfulness of this procedure and the decision of the Ministry.<br />
===Dispute===<br />
Is French procedural law applicable to the exercise of the right of access and the right to erasure of personal data processed for national safety purposes compliant with Article 15 and 23 GDPR?<br />
<br />
===Holding===<br />
The Court finds that the applicant’s petition have been lawfully processed and must be rejected. <br />
<br />
According to [https://www.legifrance.gouv.fr/codes/section_lc/LEGITEXT000006070933/LEGISCTA000006136462/#LEGISCTA000006136462 Article L773-1 to 773-8 of the Administrative Justice Code] (“''Code de la Justice administrative''”), a specific panel of judges reviews the application. The defendant has limited access to the file. <br />
<br />
If the alleged data do not exist or are lawfully processed, the application is rejected without further indication. <br />
<br />
However, if the processing is found unlawful, the applicant is informed of this outcome, and the decision specifies the reason. The Court mentions the legal reasons laid down by Article L773-8 of the Administrative justice Code: personal data are incorrect, incomplete, ambiguous or out of date or their collection, utilisation, communication or storage are prohibited. <br />
<br />
The Court finds this process compliant with Article 15 GDPR, on the right of access, and Article 23 GDPR on restrictions to the rights of data subject by legislative measures. Subsequently, it finds that the Ministry of Interior has acted pursuant to this procedure and thus lawfully. <br />
<br />
Regarding the rights exercised by the data subject, the Court rejects the application on the basis of its own review of the file.<br />
==Comment==<br />
The Court only indicates the outcome of its review of the compliance with Article 15 and 23 GDPR. The reasonning itself is not displayed. Furthemore, the opinion of the ''Rapporteur public'', a common and highly valuable source of information, has not been published yet.<br />
<br />
The Adminsitrative Supreme Court issued a similar decision on the same day: [https://www.legifrance.gouv.fr/ceta/id/CETATEXT000042713077?juridiction=CONSEIL_ETAT&juridiction=COURS_APPEL&page=1&pageSize=10&query=2016%2F679&searchField=ALL&searchType=ALL&sortValue=DATE_DESC&tab_selection=cetat&tab_selection=cetat CE, 21 december 2020, n° 433554, M. B v. Ministry of Interior]<br />
<br />
==Further Resources==<br />
''Share blogs or news articles here!''<br />
<br />
==English Machine Translation of the Decision==<br />
The decision below is a machine translation of the French original. Please refer to the French original for more details.<br />
<br />
<pre><br />
<!DOCTYPE html><html lang="fr" class="no-js" dir="ltr"><head><title>Council of State, Specialized training, 21/12/2020, 433555, Unpublished in the Lebon - Légifrance collection </title><meta charset="utf-8"/><meta http-equiv="X-UA-Compatible" content="IE=edge"/><meta name="viewport" content="width=device-width, initial-scale=1"/><meta name="description" content="Council of State, Specialized training, 12/21/2020, 433555, Unpublished in Lebon collection"/><meta name="author" content=""/><meta name="format-detection" content="telephone=no"/><meta name="_csrf" content="9575f6bd-4d36-4426-9a6f-f252144ea03d"/><meta name="_csrf_header" content="X-CSRF-TOKEN"/><meta name="robots" content="index, follow"><link rel="Shortcut icon" type="image/x-icon" href="/resources/images/favicon.ico"/><link rel="icon" sizes="16x16 32x32 48x48 64x64" href="/resources/images/favicon.ico"/><link rel="apple-touch-icon" href="/resources/images/favicon-152.png"/><!-- Optional: IE10 Tile. --><meta name="msapplication-TileColor" content="#FFFFFF"/><meta name="msapplication-TileImage" content="/resources/images/favicon-144.png"/><!-- Optional: ipads, androids, iphones, ... --><link rel="apple-touch-icon" sizes="152x152" href="/resources/images/favicon-152.png"/><link rel="apple-touch-icon" sizes="144x144" href="/resources/images/favicon-144.png"/><link rel="apple-touch-icon" sizes="120x120" href="/resources/images/favicon-120.png"/><link rel="apple-touch-icon" sizes="114x114" href="/resources/images/favicon-114.png"/><link rel="apple-touch-icon" sizes="72x72" href="/resources/images/favicon-72.png"/><link rel="apple-touch-icon" href="/resources/images/favicon-57.png"/><!--[if lt IE 9]><script src="https://oss.maxcdn.com/html5shiv/3.7.2/html5shiv.min.js"></script><script src="https://oss.maxcdn.com/respond/1.4.2/respond.min.js"></script><![endif]--><link rel="stylesheet" type="text/css" href="/resources/css/vendors/introjs.css" /><link rel="stylesheet" type="text/css" href="/resources/css/vendors/introjs-legi.css" /><link rel="stylesheet" type="text/css" href="/resources/css/vendors/tarteaucitron.css" /><link rel="stylesheet" type="text/css" href="/resources/css/legifrance.css" /><!-- Gestion du onboarding --><script type="text/javascript">displayOnboarding = false;</script><script src="/webjars/jquery/2.2.4/jquery.min.js"></script><script src="/webjars/bootstrap/4.1.3/js/bootstrap.min.js"></script><script src="/webjars/js-cookie/2.2.0/js.cookie.js"></script><script src="/resources/scripts/vendors/jquery-accessible-accordion-aria.js"></script><script src="/resources/scripts/vendors/jquery-accessible-tabs.js"></script><script src="/resources/scripts/vendors/modernizr.js"></script><script src="/resources/scripts/vendors/jquery.easy-autocomplete.js"></script><script src="/resources/scripts/vendors/jquery-accessible-simple-tooltip-aria.js"></script><script src="/resources/scripts/vendors/datepicker-fr.min.js"></script><script src="/resources/scripts/vendors/datepicker.min.js"></script><!-- <script th:src="@{/resources/scripts/vendors/datatable.js}"></script> --><script src="/resources/scripts/vendors/intro.js"></script><script src="/resources/scripts/legifrance.js"></script><!-- Gestion des cookies --><script type="text/javascript" src="/resources/scripts/tarteaucitron/tarteaucitron.js"></script><script type="text/javascript">tarteaucitron.user.hotjarId = 1420898;tarteaucitron.user.HotjarSv = 6;</script><!-- A mettre en commentaire si tarteaucitron activé !important --><!-- <script th:inline="javascript" th:remove="${hotjar==null or #strings.isEmpty(hotjar)}? all"><br />
/*<![CDATA[*/ <br />
(function(h,o,t,j,a,r){<br />
h.hj=h.hj||function(){(h.hj.q=h.hj.q||[]).push(arguments)};<br />
h._hjSettings={hjid:/*1420898*/,hjsv:6};<br />
a=o.getElementsByTagName('head')[0];<br />
r=o.createElement('script');r.async=1;<br />
r.src=t+h._hjSettings.hjid+j+h._hjSettings.hjsv;<br />
a.appendChild(r);<br />
})(window,document,'https://static.hotjar.com/c/hotjar-','.js?sv=');<br />
/*]]>*/<br />
</script>--><!-- Marquage Xiti : Calcul des variables dependants de l'environnement. --><script><br />
/*<![CDATA[*/<br />
var computedSite = 124093;<br />
var computedCollectDomain = "logp4.xiti.com";<br />
var computedCollectDomainSSL = "logs4.xiti.com";<br />
var computedCookieDomain = "legifrance.gouv.fr";<br />
/*]]>*/<br />
</script><!-- Marquage Xiti : Chargement du javascript dedie avec specialisation des variables. --><script src="/resources/scripts/smartTag/smarttag.js"></script><!-- <link rel="stylesheet" type="text/css" href="http://cdn.datatables.net/1.10.19/css/jquery.dataTables.min.css">--><!-- Donnée structurée Logo --><script type="application/ld+json"><br />
{<br />
"@context": "http://schema.org",<br />
"@type": "Organization",<br />
"url": "https://www.legifrance.gouv.fr",<br />
"logo": "https://www.legifrance.gouv.fr/contenu/logo"<br />
}<br />
</script><!-- Données structurées Breadcrumb --><script type="application/ld+json"><br />
{<br />
"@context": "http://schema.org",<br />
"@type": "BreadcrumbList",<br />
"itemListElement": [<br />
{<br />
"@type": "ListItem",<br />
"position": 1,<br />
"item": {<br />
"@id": "https://www.legifrance.gouv.fr/contenu/menu/droit-national-en-vigueur",<br />
"name": "Droit national en vigueur"<br />
}<br />
},<br />
{<br />
"@type": "ListItem",<br />
"position": 2,<br />
"item": {<br />
"@id": "https://www.legifrance.gouv.fr/contenu/menu/droit-national-en-vigueur/jurisprudence",<br />
"name": "Jurisprudence"<br />
}<br />
},<br />
{<br />
"@type": "ListItem",<br />
"position": 3,<br />
"item": {<br />
"@id": "https://www.legifrance.gouv.fr/search/cetat?tab_selection=cetat&searchField=ALL&query=&page=1&init=true",<br />
"name": "Jurisprudence administrative"<br />
}<br />
},<br />
{<br />
"@type": "ListItem",<br />
"position": 4,<br />
"item": {<br />
"@id": "https://www.legifrance.gouv.fr/ceta/id/CETATEXT000042713078",<br />
"name": "Conseil d'État, Formation spécialisée, 21/12/2020, 433555, Inédit au recueil Lebon"<br />
}<br />
}<br />
]<br />
}<br />
</script><!-- Données structurées Searchbox --></head><body class="consultation-jurisprudence"><div id="scrollable-area"><noscript><p class="js-off"> Javascript is disabled in your browser. </p></noscript><!--[if lt IE 8]><div class="browsehappy"><div class="container"><p>Savez-vous que votre navigateur est obsolète ?</p><p>Pour naviguer de la manière la plus satisfaisante sur le Web, nous vous recommandons de procéder à une <a href="http://windows.microsoft.com/fr-fr/internet-explorer/download-ie">mise à jour de votre navigateur</a>.<br />
<br>Vous pouvez aussi <a href="http://browsehappy.com/">essayer d’autres navigateurs web populaires</a>.<br />
</p></div></div><![endif]--><div class="print-page"><header role="banner"><div class="skip-link"><div class="container" id="top"><ul><li> <a href="#main">Skip to content</a></li><li class="only-desktop"> <a href="#navigation">Go to menu</a></li><li class="only-tactile"> <a href="#navigation-mobile">Go to menu</a></li><li> <a href="#search-container">Go to search</a> </li></ul></div></div><div class="header-top menu-mobile"><div class="container"><div class="top-content"><ul class="logos block-link"><li><img class="logo-rf" alt="French Republic. Liberty, Equality, Fraternity." src="/contenu/logo-mobile-rf"<br />
/></li><li> <a href="/"><span><img class="logo-legifrance" alt="Home Légifrance.fr - the public service for the dissemination of law" src="/contenu/logo-mobile"<br />
/></span></a></li></ul><div class="container-block"><div class="quick-access"></div> <button class="button-burger" type="button"><span class="hidden-element">Menu</span><span class="icon" aria-hidden="true"></span></button> </div></div><div class="menu-block" style="display:none;"><div><nav id="navigation-mobile" class="main-menu mobile" role="navigation" aria-label="navigation principale"><ul class="level-one"><li></li><li class="menu-item expanded"> <a href="/contenu/menu/droit-national-en-vigueur"<br />
title="National law in force" role="button"><span>National law<br> in force</span></a><ul class="sub-menu level-two"><li class="menu-item expanded"> <a href="/contenu/menu/droit-national-en-vigueur/constitution" title="Constitution">Constitution</a><ul class="sub-menu level-three"><li class="menu-item"> <a<br />
href="/loda/id/JORFTEXT000000571356/2019-07-01/" rel="noopener noreferrer" title="Constitution of October 4, 1958" >Constitution of October 4, 1958</a></li><li class="menu-item"> <a<br />
href="/contenu/menu/droit-national-en-vigueur/constitution/declaration-des-droits-de-l-homme-et-du-citoyen-de-1789" title="Declaration of the Rights of Man and of the Citizen of 1789">Declaration of the Rights of Man and of the Citizen of 1789</a></li><li class="menu-item"> <a<br />
href="/contenu/menu/droit-national-en-vigueur/constitution/preambule-de-la-constitution-du-27-octobre-1946" title="Preamble to the Constitution of October 27, 1946">Preamble to the Constitution of October 27, 1946</a></li><li class="menu-item"> <a<br />
href="/contenu/menu/droit-national-en-vigueur/constitution/charte-de-l-environnement" title="Environmental charter">Environmental charter</a></li></ul></li><li class="menu-item "> <a href="/liste/code?etatTexte=VIGUEUR&amp;etatTexte=VIGUEUR_DIFF" rel="noopener noreferrer" title="Codes" >Codes</a><ul class="sub-menu level-three"></ul></li><li class="menu-item "> <a href="/liste/lois?etatTexte=VIGUEUR&amp;etatTexte=ABROGE_DIFF" rel="noopener noreferrer" title="Consolidated texts" >Consolidated texts</a><ul class="sub-menu level-three"></ul></li><li class="menu-item expanded"> <a href="/contenu/menu/droit-national-en-vigueur/jurisprudence" title="Case law">Case law</a><ul class="sub-menu level-three"><li class="menu-item"> <a<br />
href="/search/constit?tab_selection=constit&amp;searchField=ALL&amp;query=&amp;page=1&amp;init=true" rel="noopener noreferrer" title="Constitutional case law" >Constitutional case law</a></li><li class="menu-item"> <a<br />
href="/search/cetat?tab_selection=cetat&amp;searchField=ALL&amp;query=&amp;page=1&amp;init=true" rel="noopener noreferrer" title="Administrative case law" >Administrative case law</a></li><li class="menu-item"> <a<br />
href="/search/juri?tab_selection=juri&amp;searchField=ALL&amp;query=&amp;page=1&amp;init=true" rel="noopener noreferrer" title="Judicial case law" >Judicial case law</a></li><li class="menu-item"> <a<br />
href="/search/jufi?tab_selection=jufi&amp;searchField=ALL&amp;query=&amp;page=1&amp;init=true" rel="noopener noreferrer" title="Financial case law" >Financial case law</a></li></ul></li><li class="menu-item "> <a href="/liste/circ" rel="noopener noreferrer" title="Circulars and Instructions" >Circulars and Instructions</a><ul class="sub-menu level-three"></ul></li><li class="menu-item expanded"> <a href="/contenu/menu/droit-national-en-vigueur/accords-collectifs" title="Collective agreements">Collective agreements</a><ul class="sub-menu level-three"><li class="menu-item"> <a<br />
href="/liste/idcc?facetteTexteBase=TEXTE_BASE&amp;facetteEtat=VIGUEUR&amp;facetteEtat=VIGUEUR_ETEN&amp;facetteEtat=VIGUEUR_NON_ETEN&amp;sortValue=DATE_UPDATE&amp;pageSize=50&amp;page=1&amp;tab_selection=all#idcc" rel="noopener noreferrer" title="Branch agreements and collective agreements" >Branch agreements and collective agreements</a></li><li class="menu-item"> <a<br />
href="/liste/acco" rel="noopener noreferrer" title="Company agreements" >Company agreements</a></li></ul></li></ul></li><li class="menu-item expanded"> <a href="/contenu/menu/publications-officielles"<br />
title="Official publications" role="button"><span>Publications<br> official</span></a><ul class="sub-menu level-two"><li class="menu-item "> <a href="/contenu/menu/publications-officielles/bulletins-officiels" title="Official bulletins">Official bulletins</a><ul class="sub-menu level-three"></ul></li><li class="menu-item "> <a href="/liste/bocc" rel="noopener noreferrer" title="Official collective agreement bulletins" >Official collective agreement bulletins</a><ul class="sub-menu level-three"></ul></li><li class="menu-item "> <a href="/jorf/jo" rel="noopener noreferrer" title="Official newspaper" >Official newspaper</a><ul class="sub-menu level-three"></ul></li><li class="menu-item "> <a href="/liste/debatsParlementaires" rel="noopener noreferrer" title="Parliamentary debates" >Parliamentary debates</a><ul class="sub-menu level-three"></ul></li><li class="menu-item "> <a href="/liste/questionsEcritesParlementaires" rel="noopener noreferrer" title="Parliamentary written questions" >Parliamentary written questions</a><ul class="sub-menu level-three"></ul></li><li class="menu-item "> <a href="/liste/docAdmin" rel="noopener noreferrer" title="Administrative documents" >Administrative documents</a><ul class="sub-menu level-three"></ul></li></ul></li><li class="menu-item expanded"> <a href="/contenu/menu/autour-de-la-loi"<br />
title="Around the law" role="button"><span>Around<br> of the law</span></a><ul class="sub-menu level-two"><li class="menu-item expanded"> <a href="/contenu/menu/autour-de-la-loi/codification" title="Codification">Codification</a><ul class="sub-menu level-three"><li class="menu-item"> <a<br />
href="/contenu/menu/autour-de-la-loi/codification/rapports-annuels-de-la-commission-superieure-de-codification" title="Annual reports of the Higher Codification Commission">Annual reports of the Higher Codification Commission</a></li><li class="menu-item"> <a<br />
href="/contenu/menu/autour-de-la-loi/codification/tables-de-concordance" title="Concordance tables">Concordance tables</a></li></ul></li><li class="menu-item expanded"> <a href="/contenu/menu/autour-de-la-loi/legislatif-et-reglementaire" title="Legislative and regulatory">Legislative and regulatory</a><ul class="sub-menu level-three"><li class="menu-item"> <a<br />
href="/liste/legislatures" rel="noopener noreferrer" title="Legislative files" >Legislative files</a></li><li class="menu-item"> <a<br />
href="/contenu/menu/autour-de-la-loi/legislatif-et-reglementaire/etudes-d-impact-des-lois" title="Law impact studies">Law impact studies</a></li><li class="menu-item"> <a<br />
href="/contenu/menu/autour-de-la-loi/legislatif-et-reglementaire/les-avis-du-conseil-d-etat-rendus-sur-les-projets-de-loi" title="Opinions of the Council of State on bills">Opinions of the Council of State on bills</a></li><li class="menu-item"> <a<br />
href="/contenu/menu/autour-de-la-loi/legislatif-et-reglementaire/application-des-lois" title="Law enforcement">Law enforcement</a></li><li class="menu-item"> <a<br />
href="/contenu/menu/autour-de-la-loi/legislatif-et-reglementaire/fiches-d-impact-des-ordonnances-decrets-et-arretes" title="Impact sheets for ordinances, decrees and orders">Impact sheets for ordinances, decrees and orders</a></li><li class="menu-item"> <a<br />
href="/contenu/menu/autour-de-la-loi/legislatif-et-reglementaire/statistiques-de-la-norme" title="Standard statistics">Standard statistics</a></li></ul></li><li class="menu-item expanded"> <a href="/contenu/menu/autour-de-la-loi/autorites-independantes" title="Independent authorities">Independent authorities</a><ul class="sub-menu level-three"><li class="menu-item"> <a<br />
href="/contenu/menu/autour-de-la-loi/autorites-independantes/autorites-administratives-independantes-et-autorites-publiques-independantes-relevant-du-statut-general-defini-par-la-loi-n-2017-55-du-20-janvier" title="Independent administrative authorities and independent public authorities falling under the general statute defined by Law No. 2017-55 of January 20, 2017">Independent administrative authorities and independent public authorities falling under the general statute defined by Law No. 2017-55 of January 20, 2017</a></li><li class="menu-item"> <a<br />
href="/contenu/menu/autour-de-la-loi/autorites-independantes/autorites-ne-relevant-pas-du-statut-general-des-autorites-administratives-independantes" title="Authorities not falling under the general statute of independent administrative authorities">Authorities not falling under the general statute of independent administrative authorities</a></li></ul></li><li class="menu-item expanded"> <a href="/contenu/menu/autour-de-la-loi/entreprises"<br />
title="Companies"<br />
title="Entreprises">Companies</a><ul class="sub-menu level-three"><li class="menu-item"> <a<br />
href="/contenu/menu/autour-de-la-loi/entreprises/tableaux-et-chronologies-des-dates-communes-d-entree-en-vigueur" title="Tables and chronologies of common dates of entry into force">Tables and chronologies of common dates of entry into force</a></li><li class="menu-item"> <a<br />
href="/contenu/menu/autour-de-la-loi/entreprises/normes-afnor-d-application-obligatoire" title="Mandatory AFNOR standards">Mandatory AFNOR standards</a></li></ul></li><li class="menu-item "> <a href="/contenu/menu/autour-de-la-loi/guide-de-legistique" title="Legistics guide">Legistics guide</a><ul class="sub-menu level-three"></ul></li><li class="menu-item "> <a href="/contenu/menu/autour-de-la-loi/sva-silence-vaut-accord" title="SVA &quot;Silence equals agreement&quot;">SVA &quot;Silence equals agreement&quot;</a><ul class="sub-menu level-three"></ul></li></ul></li><li class="menu-item small-menu expanded"> <a href="/contenu/menu/droit-et-jurisprudence-de-l-union-europeenne"<br />
title="European Union law and case-law" role="button"><span>Law and jurisprudence<br> of the European Union</span></a><ul class="sub-menu level-two"><li class="menu-item "> <a href="https://eur-lex.europa.eu/oj/direct-access.html?locale=fr" rel="noopener noreferrer" title="Official Journal of the European Union" target="_blank" rel="noopener noreferrer" title="Journal officiel de l&#039;Union européenne (nouvelle fenêtre)" >Official Journal of the European Union</a><ul class="sub-menu level-three"></ul></li><li class="menu-item "> <a href="https://europa.eu/european-union/law/find-case-law_fr" rel="noopener noreferrer" title="European Union case law" target="_blank" rel="noopener noreferrer" title="Jurisprudence de l&#039;Union Européenne (nouvelle fenêtre)" >European Union case law</a><ul class="sub-menu level-three"></ul></li></ul></li><li class="menu-item small-menu expanded"> <a href="/contenu/menu/droit-international"<br />
title="International law" role="button"><span>Law<br> international</span></a><ul class="sub-menu level-two"><li class="menu-item "> <a href="https://www.echr.coe.int/Pages/home.aspx?p=caselaw&amp;c=fre" rel="noopener noreferrer" title="ECHR case law" target="_blank" rel="noopener noreferrer" title="Jurisprudence CEDH (nouvelle fenêtre)" >ECHR case law</a><ul class="sub-menu level-three"></ul></li><li class="menu-item "> <a href="/contenu/menu/droit-international/juridictions-internationales" title="International courts">International courts</a> <ul class="sub-menu level-three"></ul></li></ul></li></ul></nav></div><div class="quick-access"><ul class="speed-menu"><li> <a href="/contenu/en-tete/informations-de-mises-a-jour" class="informations" title="Update information">Update information</a></li><li> <a href="#" class="btnGestionCookies" >Managing cookies</a></li><li> <a href="/contact/message" class="nouscontacter" >Contact us</a></li></ul><ul class="speed-menu display-demo-mobile"><li> <a class="start-demo-btn" onclick="initDemoOnboarding(true)">Activate help on the page</a> </li></ul></div></div></div></div><div class="header-top menu-desktop"><div class="container"><div class="quick-access"><ul class="speed-menu"><li> <a href="/contenu/en-tete/informations-de-mises-a-jour" class="informations" title="Update information">Update information</a></li><li> <a href="#" class="btnGestionCookies" >Managing cookies</a></li><li> <a href="/contact/message" class="nouscontacter" >Contact us</a></li></ul><div class="start-demo-block"> <button class="start-demo-btn" onclick="initDemoOnboarding(true)">Activate help on the page</button> </div></div><nav id="navigation" class="main-menu" role="navigation" aria-label="navigation principale"><ul class="level-one"><li class="menu-item logo-item"><ul class="logos block-link"><li><img class="logo-rf" alt="French Republic. Liberty, Equality, Fraternity." src="/contenu/logo-rf" /></li><li > <a href="/"><span><img class="logo-legifrance" alt="Home Légifrance.fr - the public service for the dissemination of law" src="/contenu/logo"/></span></a></li></ul></li><li></li><li class="menu-item expanded"> <a href="/contenu/menu/droit-national-en-vigueur"<br />
title="National law in force" role="button"><span>National law<br> in force</span></a><ul class="sub-menu level-two"><li class="menu-item expanded"> <a href="/contenu/menu/droit-national-en-vigueur/constitution"<br />
title="Constitution">Constitution</a><ul class="sub-menu level-three"><li class="menu-item"> <a<br />
href="/loda/id/JORFTEXT000000571356/2019-07-01/" rel="noopener noreferrer" title="Constitution of October 4, 1958" >Constitution of October 4, 1958</a></li><li class="menu-item"> <a<br />
href="/contenu/menu/droit-national-en-vigueur/constitution/declaration-des-droits-de-l-homme-et-du-citoyen-de-1789"<br />
title="Declaration of the Rights of Man and of the Citizen of 1789">Declaration of the Rights of Man and of the Citizen of 1789</a></li><li class="menu-item"> <a<br />
href="/contenu/menu/droit-national-en-vigueur/constitution/preambule-de-la-constitution-du-27-octobre-1946"<br />
title="Preamble to the Constitution of October 27, 1946">Preamble to the Constitution of October 27, 1946</a></li><li class="menu-item"> <a<br />
href="/contenu/menu/droit-national-en-vigueur/constitution/charte-de-l-environnement"<br />
title="Environmental charter">Environmental charter</a></li></ul></li><li class="menu-item "> <a href="/liste/code?etatTexte=VIGUEUR&amp;etatTexte=VIGUEUR_DIFF" rel="noopener noreferrer" title="Codes" >Codes</a></li><li class="menu-item "> <a href="/liste/lois?etatTexte=VIGUEUR&amp;etatTexte=ABROGE_DIFF" rel="noopener noreferrer" title="Consolidated texts" >Consolidated texts</a></li><li class="menu-item expanded"> <a href="/contenu/menu/droit-national-en-vigueur/jurisprudence"<br />
title="Case law">Case law</a><ul class="sub-menu level-three"><li class="menu-item"> <a<br />
href="/search/constit?tab_selection=constit&amp;searchField=ALL&amp;query=&amp;page=1&amp;init=true" rel="noopener noreferrer" title="Constitutional case law" >Constitutional case law</a></li><li class="menu-item"> <a<br />
href="/search/cetat?tab_selection=cetat&amp;searchField=ALL&amp;query=&amp;page=1&amp;init=true" rel="noopener noreferrer" title="Administrative case law" >Administrative case law</a></li><li class="menu-item"> <a<br />
href="/search/juri?tab_selection=juri&amp;searchField=ALL&amp;query=&amp;page=1&amp;init=true" rel="noopener noreferrer" title="Judicial case law" >Judicial case law</a></li><li class="menu-item"> <a<br />
href="/search/jufi?tab_selection=jufi&amp;searchField=ALL&amp;query=&amp;page=1&amp;init=true" rel="noopener noreferrer" title="Financial case law" >Financial case law</a></li></ul></li><li class="menu-item "> <a href="/liste/circ" rel="noopener noreferrer" title="Circulars and Instructions" >Circulars and Instructions</a></li><li class="menu-item expanded"> <a href="/contenu/menu/droit-national-en-vigueur/accords-collectifs"<br />
title="Collective agreements">Collective agreements</a><ul class="sub-menu level-three"><li class="menu-item"> <a<br />
href="/liste/idcc?facetteTexteBase=TEXTE_BASE&amp;facetteEtat=VIGUEUR&amp;facetteEtat=VIGUEUR_ETEN&amp;facetteEtat=VIGUEUR_NON_ETEN&amp;sortValue=DATE_UPDATE&amp;pageSize=50&amp;page=1&amp;tab_selection=all#idcc" rel="noopener noreferrer" title="Branch agreements and collective agreements" >Branch agreements and collective agreements</a></li><li class="menu-item"> <a<br />
href="/liste/acco" rel="noopener noreferrer" title="Company agreements" >Company agreements</a></li></ul></li></ul></li><li class="menu-item expanded"> <a href="/contenu/menu/publications-officielles"<br />
title="Official publications" role="button"><span>Publications<br> official</span></a><ul class="sub-menu level-two"><li class="menu-item "> <a href="/contenu/menu/publications-officielles/bulletins-officiels"<br />
title="Official bulletins">Official bulletins</a></li><li class="menu-item "> <a href="/liste/bocc" rel="noopener noreferrer" title="Official collective agreement bulletins" >Official collective agreement bulletins</a></li><li class="menu-item "> <a href="/jorf/jo" rel="noopener noreferrer" title="Official newspaper" >Official newspaper</a></li><li class="menu-item "> <a href="/liste/debatsParlementaires" rel="noopener noreferrer" title="Parliamentary debates" >Parliamentary debates</a></li><li class="menu-item "> <a href="/liste/questionsEcritesParlementaires" rel="noopener noreferrer" title="Parliamentary written questions" >Parliamentary written questions</a></li><li class="menu-item "> <a href="/liste/docAdmin" rel="noopener noreferrer" title="Administrative documents" >Administrative documents</a></li></ul></li><li class="menu-item expanded"> <a href="/contenu/menu/autour-de-la-loi"<br />
title="Around the law" role="button"><span>Around<br> of the law</span></a><ul class="sub-menu level-two"><li class="menu-item expanded"> <a href="/contenu/menu/autour-de-la-loi/codification"<br />
title="Codification">Codification</a><ul class="sub-menu level-three"><li class="menu-item"> <a<br />
href="/contenu/menu/autour-de-la-loi/codification/rapports-annuels-de-la-commission-superieure-de-codification"<br />
title="Annual reports of the Higher Codification Commission">Annual reports of the Higher Codification Commission</a></li><li class="menu-item"> <a<br />
href="/contenu/menu/autour-de-la-loi/codification/tables-de-concordance"<br />
title="Concordance tables">Concordance tables</a></li></ul></li><li class="menu-item expanded"> <a href="/contenu/menu/autour-de-la-loi/legislatif-et-reglementaire"<br />
title="Legislative and regulatory">Legislative and regulatory</a><ul class="sub-menu level-three"><li class="menu-item"> <a<br />
href="/liste/legislatures" rel="noopener noreferrer" title="Legislative files" >Legislative files</a></li><li class="menu-item"> <a<br />
href="/contenu/menu/autour-de-la-loi/legislatif-et-reglementaire/etudes-d-impact-des-lois"<br />
title="Law impact studies">Law impact studies</a></li><li class="menu-item"> <a<br />
href="/contenu/menu/autour-de-la-loi/legislatif-et-reglementaire/les-avis-du-conseil-d-etat-rendus-sur-les-projets-de-loi"<br />
title="Opinions of the Council of State on bills">Opinions of the Council of State on bills</a></li><li class="menu-item"> <a<br />
href="/contenu/menu/autour-de-la-loi/legislatif-et-reglementaire/application-des-lois"<br />
title="Law enforcement">Law enforcement</a></li><li class="menu-item"> <a<br />
href="/contenu/menu/autour-de-la-loi/legislatif-et-reglementaire/fiches-d-impact-des-ordonnances-decrets-et-arretes"<br />
title="Impact sheets for ordinances, decrees and orders">Impact sheets for ordinances, decrees and orders</a></li><li class="menu-item"> <a<br />
href="/contenu/menu/autour-de-la-loi/legislatif-et-reglementaire/statistiques-de-la-norme"<br />
title="Standard statistics">Standard statistics</a></li></ul></li><li class="menu-item expanded"> <a href="/contenu/menu/autour-de-la-loi/autorites-independantes"<br />
title="Independent authorities">Independent authorities</a><ul class="sub-menu level-three"><li class="menu-item"> <a<br />
href="/contenu/menu/autour-de-la-loi/autorites-independantes/autorites-administratives-independantes-et-autorites-publiques-independantes-relevant-du-statut-general-defini-par-la-loi-n-2017-55-du-20-janvier"<br />
title="Independent administrative authorities and independent public authorities falling under the general statute defined by Law No. 2017-55 of January 20, 2017">Independent administrative authorities and independent public authorities falling under the general statute defined by Law No. 2017-55 of January 20, 2017</a></li><li class="menu-item"> <a<br />
href="/contenu/menu/autour-de-la-loi/autorites-independantes/autorites-ne-relevant-pas-du-statut-general-des-autorites-administratives-independantes"<br />
title="Authorities not falling under the general statute of independent administrative authorities">Authorities not falling under the general statute of independent administrative authorities</a></li></ul></li><li class="menu-item expanded"> <a href="/contenu/menu/autour-de-la-loi/entreprises"<br />
title="Companies"<br />
title="Entreprises">Companies</a><ul class="sub-menu level-three"><li class="menu-item"> <a<br />
href="/contenu/menu/autour-de-la-loi/entreprises/tableaux-et-chronologies-des-dates-communes-d-entree-en-vigueur"<br />
title="Tables and chronologies of common dates of entry into force">Tables and chronologies of common dates of entry into force</a></li><li class="menu-item"> <a<br />
href="/contenu/menu/autour-de-la-loi/entreprises/normes-afnor-d-application-obligatoire"<br />
title="Mandatory AFNOR standards">Mandatory AFNOR standards</a></li></ul></li><li class="menu-item "> <a href="/contenu/menu/autour-de-la-loi/guide-de-legistique"<br />
title="Legistics guide">Legistics guide</a></li><li class="menu-item "> <a href="/contenu/menu/autour-de-la-loi/sva-silence-vaut-accord"<br />
title="SVA &quot;Silence equals agreement&quot;">SVA &quot;Silence equals agreement&quot;</a></li></ul></li><li class="menu-item small-menu expanded"> <a href="/contenu/menu/droit-et-jurisprudence-de-l-union-europeenne"<br />
title="European Union law and case-law" role="button"><span>Law and jurisprudence<br> of the European Union</span></a><ul class="sub-menu level-two"><li class="menu-item "> <a href="https://eur-lex.europa.eu/oj/direct-access.html?locale=fr" rel="noopener noreferrer" title="Official Journal of the European Union" target="_blank" rel="noopener noreferrer" title="Journal officiel de l&#039;Union européenne (nouvelle fenêtre)" >Official Journal of the European Union</a></li><li class="menu-item "> <a href="https://europa.eu/european-union/law/find-case-law_fr" rel="noopener noreferrer" title="European Union case law" target="_blank" rel="noopener noreferrer" title="Jurisprudence de l&#039;Union Européenne (nouvelle fenêtre)" >European Union case law</a></li></ul></li><li class="menu-item small-menu expanded"> <a href="/contenu/menu/droit-international"<br />
title="International law" role="button"><span>Law<br> international</span></a><ul class="sub-menu level-two"><li class="menu-item "> <a href="https://www.echr.coe.int/Pages/home.aspx?p=caselaw&amp;c=fre" rel="noopener noreferrer" title="ECHR case law" target="_blank" rel="noopener noreferrer" title="Jurisprudence CEDH (nouvelle fenêtre)" >ECHR case law</a></li><li class="menu-item "> <a href="/contenu/menu/droit-international/juridictions-internationales"<br />
title="International courts">International courts</a> </li></ul></li></ul></nav><p class="header-date"></p></div></div><div class="header-bottom"><div class="content"><div><nav class="breadcrumb" role="navigation" id="filAriane" aria-label="Vous êtes ici : "><ol class="container"><li class="home"><span aria-hidden="true"></span> <a href="/" title="Home"><span>Home</span></a></li><li><span aria-hidden="true"></span> <a href="/contenu/menu/droit-national-en-vigueur">National law in force</a></li><li><span aria-hidden="true"></span> <a href="/contenu/menu/droit-national-en-vigueur/jurisprudence">Case law</a></li><li><span aria-hidden="true"></span><a href="/search/cetat?tab_selection=cetat&amp;searchField=ALL&amp;query=&amp;page=1&amp;init=true">Administrative case law</a></li><li><span aria-hidden="true"></span> <strong aria-current="page" data-ref="/ceta/id/CETATEXT000042713078">Council of State, Specialized training, 12/21/2020, 433555, Unpublished in Lebon collection</strong></li></ol></nav></div><div class="print-only print-title-main"> Council of State, Specialized training, 12/21/2020, 433555, Unpublished in Lebon collection </div><div><div class="general-search-block" id="search-container"><div class="container"><form id="searchForm" method="get" action="/search/all" enctype="application/x-www-form-urlencoded"><p id="label-recherche" class="title"> Search in:</p><div class="search-wrapper" role="search"><div class="search-elements"><div class="search-base"><div class="search-select js-collapsible" data-collapsible-close="true"> <button id="search-select-filter-content" class="search-select-cta js-collapsible-cta" aria-expanded="false" aria-controls="search-select-tip-content" aria-describedby="label-recherche" type="button"><span class="icon" aria-hidden="true"></span><span class="text">All contents</span></button> <div id="search-select-tip-content" class="search-select-content js-collapsible-content" aria-hidden="true"><span class="arrow" aria-hidden="true"></span><fieldset><legend> Select a fund </legend><div class="search-choice"><div class="form-radio type-codes"><input class="form-check-input" data-autoclose="true" data-icon="type-codes" id="select-filter-content-codes" type="radio" name="tab_selection" value="code" onclick="validateTroncatureSearchAdvancesSltFond(&#39;code&#39;)" /> <label class="form-check-label" for="select-filter-content-codes"><span class="icon" aria-hidden="true"></span>Codes</label> </div><div class="form-radio type-lois"><input class="form-check-input" data-autoclose="true" data-icon="type-lois" id="select-filter-content-lois" type="radio" name="tab_selection" value="lawarticledecree" onclick="validateTroncatureSearchAdvancesSltFond(&#39;lawarticledecree&#39;)" /> <label class="form-check-label" for="select-filter-content-lois"><span class="icon" aria-hidden="true"></span>Consolidated texts</label> </div><div class="form-radio type-JORF"><input class="form-check-input" data-autoclose="true" data-icon="type-JORF" id="select-filter-content-JORF" type="radio" name="tab_selection" value="jorf" onclick="validateTroncatureSearchAdvancesSltFond(&#39;jorf&#39;)" /> <label class="form-check-label" for="select-filter-content-JORF"><span class="icon" aria-hidden="true"></span>Official newspaper</label> </div><div class="form-radio type-circulaire"><input class="form-check-input" data-autoclose="true" data-icon="type-circulaire" id="select-filter-content-CIRC" type="radio" name="tab_selection" value="circ" onclick="validateTroncatureSearchAdvancesSltFond(&#39;circ&#39;)" /> <label class="form-check-label" for="select-filter-content-CIRC"><span class="icon" aria-hidden="true"></span>Circulars and Instructions</label> </div><div class="form-radio type-jurisprudence"><input class="form-check-input" data-autoclose="true" data-icon="type-jurisprudence" id="select-filter-content-jurisprudence-constitutionnelle" type="radio" name="tab_selection" value="constit" onclick="validateTroncatureSearchAdvancesSltFond(&#39;constit&#39;)" /> <label class="form-check-label" for="select-filter-content-jurisprudence-constitutionnelle"><span class="icon" aria-hidden="true"></span>Constitutional case law</label> </div><div class="form-radio type-jurisprudence"><input class="form-check-input" data-autoclose="true" data-icon="type-jurisprudence" id="select-filter-content-jurisprudence-administrative" type="radio" name="tab_selection" value="cetat" onclick="validateTroncatureSearchAdvancesSltFond(&#39;cetat&#39;)" /> <label class="form-check-label" for="select-filter-content-jurisprudence-administrative"><span class="icon" aria-hidden="true"></span>Administrative case law</label> </div><div class="form-radio type-jurisprudence"><input class="form-check-input" data-autoclose="true" data-icon="type-jurisprudence" id="select-filter-content-jurisprudence-judiciaire" type="radio" name="tab_selection" value="juri" onclick="validateTroncatureSearchAdvancesSltFond(&#39;juri&#39;)" /> <label class="form-check-label" for="select-filter-content-jurisprudence-judiciaire"><span class="icon" aria-hidden="true"></span>Judicial case law</label> </div><div class="form-radio type-jurisprudence"><input class="form-check-input" data-autoclose="true" data-icon="type-jurisprudence" id="select-filter-content-jurisprudence-financiere" type="radio" name="tab_selection" value="jufi" onclick="validateTroncatureSearchAdvancesSltFond(&#39;jufi&#39;)" /> <label class="form-check-label" for="select-filter-content-jurisprudence-financiere"><span class="icon" aria-hidden="true"></span>Financial case law</label> </div><div class="form-radio type-collectif"><input class="form-check-input" data-autoclose="true" data-icon="type-collectif" id="select-filter-content-accords" type="radio" name="tab_selection" value="kali" onclick="validateTroncatureSearchAdvancesSltFond(&#39;kali&#39;)" /> <label class="form-check-label" for="select-filter-content-accords"><span class="icon" aria-hidden="true"></span>Branch agreements and collective agreements</label> </div><div class="form-radio type-collectif"><input class="form-check-input" data-autoclose="true" data-icon="type-collectif" id="select-filter-content-ACCO" type="radio" name="tab_selection" value="acco" onclick="validateTroncatureSearchAdvancesSltFond(&#39;acco&#39;)" /> <label class="form-check-label" for="select-filter-content-ACCO"><span class="icon" aria-hidden="true"></span>Company agreements</label> </div><div class="form-radio type-CNIL"><input class="form-check-input" data-autoclose="true" data-icon="type-CNIL" id="select-filter-content-CNIL" type="radio" name="tab_selection" value="cnil" onclick="validateTroncatureSearchAdvancesSltFond(&#39;cnil&#39;)" /> <label class="form-check-label" for="select-filter-content-CNIL"><span class="icon" aria-hidden="true"></span>CNIL</label> </div><div class="form-radio"><input class="form-check-input" data-autoclose="true" id="select-filter-content-all" type="radio" name="tab_selection" value="all" onclick="validateTroncatureSearchAdvancesSltFond(&#39;all&#39;)" checked="checked" /> <label class="form-check-label" for="select-filter-content-all"><span class="icon" aria-hidden="true"></span>All contents</label></div></div></fieldset></div><script><br />
/*<![CDATA[*/<br />
<br />
var searchConfigs = [];<br />
<br />
<br />
<br />
var config = {base:"CODE",value:"code",url:"\/search\/code",sort:["PERTINENCE"],defaultTarget:"ALL",targets:"ALL,TITLE,ARTICLE,TABLE,NUM_ARTICLE"};<br />
searchConfigs.push(config);<br />
<br />
var config = {base:"LODA",value:"lawarticledecree",url:"\/search\/lois",sort:["PERTINENCE","SIGNATURE_DATE_DESC","SIGNATURE_DATE_ASC","PUBLICATION_DATE_DESC","PUBLICATION_DATE_ASC"],defaultTarget:"ALL",targets:"ALL,TITLE,NUM_ARTICLE,ARTICLE,VISA_NOTICE,NUM,NOR,SIGNATURE"};<br />
searchConfigs.push(config);<br />
<br />
var config = {base:"JORF",value:"jorf",url:"\/search\/jorf",sort:["PERTINENCE","SIGNATURE_DATE_DESC","SIGNATURE_DATE_ASC","PUBLICATION_DATE_DESC","PUBLICATION_DATE_ASC"],defaultTarget:"ALL",targets:"ALL,TITLE,NOR,NUM,NUM_ARTICLE,ARTICLE,VISA_NOTICE,SIGNATURE"};<br />
searchConfigs.push(config);<br />
<br />
var config = {base:"CIRC",value:"circ",url:"\/search\/circ",sort:["PERTINENCE","SIGNATURE_DATE_DESC","SIGNATURE_DATE_ASC","PUBLICATION_DATE_DESC","PUBLICATION_DATE_ASC"],defaultTarget:"ALL",targets:"ALL,TITLE,NOR"};<br />
searchConfigs.push(config);<br />
<br />
var config = {base:"ACCO",value:"acco",url:"\/search\/acco",sort:["PERTINENCE","SIGNATURE_DATE_DESC","SIGNATURE_DATE_ASC"],defaultTarget:"ALL",targets:"ALL,RAISON_SOCIALE,IDCC,TITLE"};<br />
searchConfigs.push(config);<br />
<br />
var config = {base:"CONSTIT",value:"constit",url:"\/search\/constit",sort:["PERTINENCE","DATE_DESC","DATE_ASC"],defaultTarget:"ALL",targets:"ALL,TITLE,NUM_DEC,TEXTE"};<br />
searchConfigs.push(config);<br />
<br />
var config = {base:"CETAT",value:"cetat",url:"\/search\/cetat",sort:["PERTINENCE","DATE_DESC","DATE_ASC"],defaultTarget:"ALL",targets:"ALL,TITLE,NUM_DEC,ABSTRATS,TEXTE"};<br />
searchConfigs.push(config);<br />
<br />
var config = {base:"JURI",value:"juri",url:"\/search\/juri",sort:["PERTINENCE","DATE_DESC","DATE_ASC"],defaultTarget:"ALL",targets:"ALL,TITLE,NUM_AFFAIRE,ABSTRATS,TEXTE"};<br />
searchConfigs.push(config);<br />
<br />
var config = {base:"JUFI",value:"jufi",url:"\/search\/jufi",sort:["PERTINENCE","DATE_DESC","DATE_ASC"],defaultTarget:"ALL",targets:"ALL,TITLE,NUM_DEC,ABSTRATS,TEXTE"};<br />
searchConfigs.push(config);<br />
<br />
var config = {base:"KALI",value:"kali",url:"\/search\/kali",sort:["PERTINENCE"],defaultTarget:"ALL",targets:"ALL,TITLE,ARTICLE,IDCC"};<br />
searchConfigs.push(config);<br />
<br />
var config = {base:"CNIL",value:"cnil",url:"\/search\/cnil",sort:["PERTINENCE"],defaultTarget:"ALL",targets:"ALL,TITLE,NOR,NUM_DELIB"};<br />
searchConfigs.push(config);<br />
<br />
var config = {base:"ALL",value:"all",url:"\/search\/all",sort:["PERTINENCE"],defaultTarget:"ALL",targets:"ALL,TITLE"};<br />
searchConfigs.push(config);<br />
<br />
var typesSearch = [];<br />
<br />
<br />
var type = {value:"ALL", proximity:true};<br />
typesSearch.push(type);<br />
<br />
var type = {value:"EXACT", proximity:false};<br />
typesSearch.push(type);<br />
<br />
var type = {value:"ONE", proximity:false};<br />
typesSearch.push(type);<br />
<br />
var type = {value:"EXCEPT", proximity:false};<br />
typesSearch.push(type);<br />
<br />
var type = {value:"EXACTEXCEPT", proximity:false};<br />
typesSearch.push(type);<br />
<br />
<br />
var tabTarget = [];<br />
<br />
<br />
/*]]>*/<br />
</script></div><div class="search-select js-collapsible" data-collapsible-close="true"><button id="searchField-control" class="search-select-cta js-collapsible-cta btn-cta btn-field-search" aria-expanded="false" aria-controls="searchField-tip" aria-describedby="label-recherche" type="button" value="ALL" ><span class="text">In all fields</span></button> <div id="searchField-tip" class="search-select-content js-collapsible-content" aria-hidden="true"><span class="arrow" aria-hidden="true"></span><fieldset><legend class="hidden-element"> Select a search field </legend><div class="search-choice"><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-ALL" value="ALL" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;ALL&#39;,&#39;true&#39;)" checked="checked"/> <label class="form-check-label" for="searchField-input-ALL">In all fields</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-TITLE" value="TITLE" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;TITLE&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-TITLE">In the titles</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-TABLE" value="TABLE" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;TABLE&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-TABLE">In the tables of contents</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-NOR" value="NOR" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;NOR&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-NOR">In NOR</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-NUM" value="NUM" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;NUM&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-NUM">In text numbers</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-NUM_DELIB" value="NUM_DELIB" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;NUM_DELIB&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-NUM_DELIB">In the deliberation numbers</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-NUM_DEC" value="NUM_DEC" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;NUM_DEC&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-NUM_DEC">In the numbers of decisions</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-NUM_ARTICLE" value="NUM_ARTICLE" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;NUM_ARTICLE&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-NUM_ARTICLE">In article numbers</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-ARTICLE" value="ARTICLE" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;ARTICLE&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-ARTICLE">In the content of articles</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-MINISTERE" value="MINISTERE" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;MINISTERE&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-MINISTERE">In the names of ministries</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-VISA" value="VISA" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;VISA&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-VISA">In visas</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-NOTICE" value="NOTICE" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;NOTICE&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-NOTICE">In the notices</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-VISA_NOTICE" value="VISA_NOTICE" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;VISA_NOTICE&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-VISA_NOTICE">In visas or notices</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-TRAVAUX_PREP" value="TRAVAUX_PREP" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;TRAVAUX_PREP&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-TRAVAUX_PREP">In the preparatory work</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-SIGNATURE" value="SIGNATURE" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;SIGNATURE&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-SIGNATURE">In the signatures</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-NOTA" value="NOTA" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;NOTA&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-NOTA">In the notas</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-NUM_AFFAIRE" value="NUM_AFFAIRE" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;NUM_AFFAIRE&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-NUM_AFFAIRE">In business numbers</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-ABSTRATS" value="ABSTRATS" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;ABSTRATS&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-ABSTRATS">In the abstrates</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-RESUMES" value="RESUMES" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;RESUMES&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-RESUMES">In summaries</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-TEXTE" value="TEXTE" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;TEXTE&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-TEXTE">In the contents of the texts</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-ECLI" value="ECLI" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;ECLI&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-ECLI">In ECLI</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-NUM_LOI_DEF" value="NUM_LOI_DEF" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;NUM_LOI_DEF&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-NUM_LOI_DEF">In the numbers of referred laws</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-TYPE_DECISION" value="TYPE_DECISION" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;TYPE_DECISION&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-TYPE_DECISION">In the types of decisions rendered</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-NUMERO_INTERNE" value="NUMERO_INTERNE" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;NUMERO_INTERNE&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-NUMERO_INTERNE">In internal numbers</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-REF_PUBLI" value="REF_PUBLI" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;REF_PUBLI&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-REF_PUBLI">In OJ or BO publication references</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-RESUME_CIRC" value="RESUME_CIRC" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;RESUME_CIRC&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-RESUME_CIRC">In summaries</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-TEXTE_REF" value="TEXTE_REF" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;TEXTE_REF&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-TEXTE_REF">In the reference texts</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-TITRE_LOI_DEF" value="TITRE_LOI_DEF" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;TITRE_LOI_DEF&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-TITRE_LOI_DEF">In the titles of referred laws</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-RAISON_SOCIALE" value="RAISON_SOCIALE" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;RAISON_SOCIALE&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-RAISON_SOCIALE">In the social names</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-MOTS_CLES" value="MOTS_CLES" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;MOTS_CLES&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-MOTS_CLES">In the keywords</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-IDCC" value="IDCC" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;IDCC&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-IDCC">In IDCCs</label></div></div></fieldset></div></div><div class="search-input"> <label for="query" class="hidden-element">Ex .: L. 121-1, CGI, 10-15056, fraud, protected adults</label> <input type="text" id="query" name="query" class="text-input" placeholder="Ex. : L. 121-1, CGI, 10-15056, dol, majeurs protégés" onkeyup="validateTroncatureSearchPrecise(&#39;&#39;, &#39;&#39;)"/></div><input type="hidden" name="page" id="page" value="1"/><input type="hidden" name="init" id="init" value="true"/></div><div id="search-precise-facet"></div></div> <button id="submitPreciseSearch" type="submit" class="form-submit search" aria-describedby="label-recherche search-select-filter-content searchField-control"><span aria-hidden="true" class="icon"></span><span class="text">search</span></button></div> <a rel="nofollow" href="/recherche" class="advanced-search">advanced search</a> </form></div></div></div></div></div></header><main role="main" id="main" class="main"><div class="container main-container"><div class="content"><div id="stickyPage"><div class="options"><nav role="navigation"><ul class="precedent-suivant-list"><li class="options-item next-subpart"> <a href="/search/cetat?juridiction=CONSEIL_ETAT&amp;juridiction=COURS_APPEL&amp;page=1&amp;pageSize=10&amp;query=2016%2F679&amp;searchField=ALL&amp;searchType=ALL&amp;sortValue=DATE_DESC&amp;tab_selection=cetat&amp;tab_selection=cetat"><span class="fleche"></span>Back to results</a></li><li class="options-item next-subpart"> <a href="/ceta/id/CETATEXT000042729495?juridiction=CONSEIL_ETAT&amp;juridiction=COURS_APPEL&amp;page=1&amp;pageSize=10&amp;query=2016%2F679&amp;searchField=ALL&amp;searchType=ALL&amp;sortValue=DATE_DESC&amp;tab_selection=cetat&amp;tab_selection=cetat"><span class="fleche">‹</span> Previous result</a></li><li class="options-item next-subpart"> <a href="/ceta/id/CETATEXT000042713077?juridiction=CONSEIL_ETAT&amp;juridiction=COURS_APPEL&amp;page=1&amp;pageSize=10&amp;query=2016%2F679&amp;searchField=ALL&amp;searchType=ALL&amp;sortValue=DATE_DESC&amp;tab_selection=cetat&amp;tab_selection=cetat">Next result <span class="fleche">›</span></a> </li></ul></nav><div class="stickyPageRight"><div class="options-item type-highlight"><input type="checkbox" name="seeHighlight" id="seeHighlightConsult" onclick="javascript:showHideHighlight($(&#39;#seeHighlightConsult&#39;).is(&#39;:checked&#39;))" title="Highlight search terms" data-id="HHHHHHH"/> <label for="seeHighlightConsult">Highlight search terms</label> </div><ul class="options-list"><!--<li class="options-item js-collapsible type-share" data-collapsible-close="true">--><!--<button type="button" class="options-cta js-collapsible-cta" aria-expanded="false" aria-controls="tip-share"--><!--title="Partager sur les réseaux sociaux">--><!--<span class="icon" aria-hidden="true"></span>--><!--<span class="text">Partager <span class="hidden-element">sur les réseaux sociaux</span></span>--><!--</button>--><!--<div id="tip-share" class="options-content js-collapsible-content" aria-hidden="true">--><!--<div class="share">--><!--<ul class="share-list">--><!--<li class="share-item type-twitter">--><!--<a class="share-cta" href="" title="Partager via Twitter">--><!--<span class="icon" aria-hidden="true"></span>--><!--<span class="text">Partager via Twitter</span>--><!--</a>--><!--</li>--><!--<li class="share-item type-fb">--><!--<a class="share-cta" href="" title="Partager via Facebook">--><!--<span class="icon" aria-hidden="true"></span>--><!--<span class="text">Partager via Facebook</span>--><!--</a>--><!--</li>--><!--<li class="share-item type-mail">--><!--<a class="share-cta" href="mailto:?body=Texte" title="Partager par e-mail">--><!--<span class="icon" aria-hidden="true"></span>--><!--<span class="text">Partager par e-mail</span>--><!--</a>--><!--</li>--><!--</ul>--><!--</div>--><!--</div>--><!--</li>--><!--&lt;!&ndash; @DEV : ajouter la classe .is-fav et changer le texte en "Retirer des..." lorsque la page est déjà en favori (ne pas oublier le title) &ndash;&gt;--><!--<li class="options-item type-fav">--><!--<button type="button" class="options-cta" title="Ajouter en favoris">--><!--<span class="icon" aria-hidden="true"></span>--><!--<span class="text"><span class="hidden-element">Ajouter en</span>Favoris</span>--><!--</button>--><!--</li>--><li class="options-item type-print"> <button type="button" class="options-cta" title="Print page"><span class="icon" aria-hidden="true"></span><span class="text">To print</span></button></li><li class="options-item type-copy"> <button type="button" class="copy-cta" title="Copy text" isRunning="true"><span class="icon" aria-hidden="true"></span><span class="text">Copy text</span></button> </li><!--<li class="options-item type-download">--><!--<a href="#" class="options-cta" title="Télécharger au format PDF">--><!--<span class="icon" aria-hidden="true"></span>--><!--<span class="text">Télécharger <span class="hidden-element">au format PDF</span></span>--><!--</a>--><!--</li>--></ul></div></div></div><div class="main-col"><h1 class="main-title"> Council of State, Specialized training, 12/21/2020, 433555, Unpublished in Lebon collection</h1><div class="frame-block print-sommaire"><div><h2 class="title horsAbstract print-black"> Council of State - Specialized training</h2><ul><li> No. 433555</li><li> ECLI: FR: CEFSP: 2020: 433555.20201221</li><li> Unpublished in the Lebon collection</li></ul></div><div><div class="h2 title horsAbstract print-black"> Monday, December 21, 2020 reading</div></div></div><div class="frame-block print-sommaire"><div><dt> Reporter</dt><dd> Mr. Philippe Josse</dd></div><div><dt> Public reporter</dt><dd> Mr. Guillaume Odinet-fs</dd></div><div><dt> Lawyer (s)</dt><dd> SCP THOUIN-PALAT, BOUCARD </dd></div></div><div id="stickyScrollDefault"></div><div id="overlayContent"><div id="spin"><div></div><div></div><div></div><div></div><div></div><div></div><div></div><div></div></div></div><div class="content-page"><h2 class="title">Full Text</h2><div class="intro"> <strong>FRENCH REPUBLIC</strong><br /> <strong>IN THE NAME OF THE FRENCH PEOPLE</strong><br /><br /></div><div> Considering the following procedure:<br/><br/> By a request, registered on August 13, 2019 at the litigation secretariat, Mrs. B ... A ... asks the Council of State:<br/><br/> 1 °) annul the decision of 25 March 2019 by which the Minister of the Interior refused her access to data likely to concern her appearing in the Schengen Information System (N-SIS II), as a State security would be concerned;<br/><br/> 2) to order the Minister of the Interior to erase the data concerning him which appears illegally in this file;<br/><br/> 3) to charge the State with the payment to SCP Thouin-Palat and Boucard, its lawyer, of a sum of 2,800 euros under Articles L. 761-1 of the Administrative Justice Code and 37 of the law of July 10, 1991.<br/><br/><br/> Having regard to the other documents in the file;<br/><br/> Seen:<br/><br/> - Regulation (EU) 2016/679 of the European Parliament and of the Council of April 27, 2016 on the protection of individuals with regard to the processing of personal data and on the free movement of such data;<br/> - the code of internal security;<br/> - Law n ° 78-17 of January 6, 1978;<br/> - Law n ° 91-647 of July 10, 1991;<br/> - Decree n ° 2005-1309 of October 20, 2005;<br/> - Decree No. 2019-536 of May 29, 2019;<br/> - the code of administrative justice;<br/><br/><br/> After having summoned to a closed session, on the one hand, Mrs. A ... and the SCP Thouin-Palat and Boucard, his lawyer, and, on the other hand, the Minister of the Interior and the National Commission data processing and freedoms, which were given the opportunity to speak before the conclusions;<br/><br/> And after hearing during the session:<br/><br/> - the report by Mr. Philippe Josse, State Councilor,<br/><br/> - and, without the presence of the parties, the conclusions of Mr. Guillaume Odinet, public rapporteur;<br/><br/><br/><br/> Considering the following:<br/><br/> 1. Under the provisions of articles 70-18 et seq. Of the law of January 6, 1978 relating to data processing, files and freedoms, resulting from law n ° 2018-693 of June 20, 2018, applicable to the procedure involved and now included in Articles 104 et seq. of the same law, in the wording resulting from Ordinance No. 2018-1125 of 12 December 2018, when the processing of personal data is carried out for the purposes of prevention and the detection, investigation and prosecution of criminal offenses or the execution of criminal sanctions, including protection against threats to public security or the prevention of such threats, the data subject has the right to obtain from the controller confirmation that personal data concerning him or her are or are not processed and, when they are, the right to access these data as well as certain information, to request rectification, complement, the eff acement of this data or limit its processing. The data controller may however delay or limit the communication of this data, or refuse access to it, under the conditions provided for in article 70-21 of the law, applicable to the procedure in question and now included in article 107 of the same law.<br/><br/> 2. Pursuant to article 31 of the law of January 6, 1978, the processing of personal data carried out on behalf of the State and involving State security, defense or public security is authorized by order of the competent minister (s), taken after a reasoned opinion from the National Commission for Information Technology and Freedoms (CNIL), published with the order authorizing the processing. Those of these treatments which relate to the data mentioned in I of article 6 of the same law must be authorized by decree in Council of State taken after a reasoned opinion of the Commission, published with this decree. A Council of State decree may exempt from publication the regulatory act authorizing the implementation of these treatments; the meaning of the opinion issued by the CNIL is then published with this decree.<br/><br/> 3. Article L. 841-2 of the Internal Security Code provides that the Council of State is competent to hear, under the conditions provided for in Chapter III bis of Title VII of Book VII of the Code of Administrative Justice, requests concerning the implementation of the right of access to personal data and of interest to State security or defense which are contained in the processing carried out on behalf of the State, the list of which is fixed by decree in Board of state. By virtue of article R. 841-2 of the same code, the file called N-SIS II provided for by point 1 of article R. 231-3 of the internal security code is included in the number of these treatments, for the only data concerning the security of the State mentioned in 3 ° of article R. 231-8 of this code;<br/><br/> 4. Article L. 773-8 of the administrative justice code provides that, when it deals with requests relating to the implementation of article 41, now article 118 of the law of January 6, 1978: &quot;the formation of the judgment is based on the elements contained, if any, in the treatment without revealing them or revealing whether or not the applicant is included in the treatment. However, when it finds that the treatment or the part of the treatment which is the subject of the dispute includes personal data concerning him which is inaccurate, incomplete, equivocal or out of date, or whose collection, use, communication or conservation is prohibited, it informs the applicant, without mentioning any element protected by the secrecy of national defense. It can order that these data be, according to the cases, rectified, updated or erased. Seized of conclusions in this direction, it can compensate the applicant &quot;. Article R. 773-20 of the same code specifies that: &quot;The defendant indicates to the Council of State, when filing his briefs and documents, the passages of his productions and, where applicable, of those of the Commission national control of intelligence techniques, which are protected by national defense secrecy. / The briefs and attachments produced by the defendant and, where applicable, by the National Commission for the control of intelligence techniques are communicated to the applicant , with the exception of passages from briefs and documents which either contain information protected by national defense secrecy, or confirm or deny the implementation of an intelligence technique with regard to the applicant, or disclose elements contained in the data processing, either reveal that the requester appears or does not appear in the processing. / When an intervention is formed, the president of the specialized formation orders, if necessary , that the brief be communicated to the parties, and to the National Commission for the Control of Intelligence Techniques, under the same conditions and subject to the same reservations as those mentioned in the previous paragraph &quot;.<br/><br/> 5. It appears from the documents in the file that Mrs. A ... seized the Minister of the Interior, in application of articles 70-19 and 70-20 of the law of January 6, 1978, then applicable and now included in articles 105 and 106 of the law of January 6, 1978, a request for access to data likely to concern it appearing in the N-SIS II file and of interest to State security. By decision of March 25, 2019, the Minister of the Interior refused to provide him with the requested data. Mrs A ... asks the annulment of this refusal, to order the Minister to proceed with the erasure of the data in question and to charge the State for the payment of a sum of 2,800 euros for Articles L. 761-1 of the Administrative Justice Code and 37 of the Law of July 10, 1991.<br/><br/> 6. The Minister of the Interior communicated to the Council of State, under the conditions provided for in Article R. 773-20 of the Code of Administrative Justice, the information relating to the situation of the person concerned.<br/><br/> 7. It belongs to the specialized training, created by article L. 773-2 of the code of administrative justice, seized of conclusions directed against the refusal to communicate the data relating to a person who claims to be mentioned in a file appearing in the Article R. 841-2 of the Internal Security Code, to verify, in view of the information communicated to him outside the adversarial procedure, whether the applicant is or is not in the contested file. If so, it is for him to assess whether the data appearing therein are relevant with regard to the purposes pursued by this file, adequate and proportionate. To do this, it may automatically raise any means as provided for in Article L. 773-5 of the Code of Administrative Justice. When it appears either that the applicant is not mentioned in the contested file or that the personal data concerning him which appear therein are not vitiated by any illegality, the formation of judgment rejects the conclusions of the applicant without further clarification. In the event that information relating to the applicant appears in the contested file and appears to be tainted with illegality, either because the personal data concerning him are inaccurate, incomplete, equivocal or out of date or because their collection, use, communication or consultation is prohibited, it informs the applicant without mentioning any element protected by national defense secrecy. This circumstance, if applicable automatically raised by the judge under the conditions provided for in Article R. 773-21 of the Administrative Justice Code, necessarily implies that the authority managing the file restores legality by erasing or rectifying, to the extent necessary, illegal data. In such a case, the implied decision refusing to proceed with such erasure or rectification must be annulled.<br/><br/> 8. The specialized training examined the information provided by the Minister, in view of the observations of the CNIL. This examination was carried out according to the methods described in the previous point, which do not disregard the provisions of Articles 15 and 23 of the aforementioned Regulation of the European Parliament and of the Council of 27 April 2016, contrary to what is supported, and did not revealed no illegality. It follows from there that the conclusions of Mrs. A ..., who can not usefully take advantage of that the decision which it attacks would be insufficiently motivated, must be rejected, including its conclusions for the purposes of injunction and application of article L. 761-1 of the code of administrative justice.<br/><br/><br/><br/> DECIDES:<br/> --------------<br/><br/> Article 1: The request of Mrs. A ... is rejected.<br/> Article 2: This decision will be notified to Mrs. B ... A ... and to the Minister of the Interior.<br/> A copy will be sent to the National Commission for Informatics and Liberties.<br/><br/><RECH_ECLI> ECLI: FR: CEFSP: 2020: 433555.20201221</RECH_ECLI></div></div></div></div><!-- Marquage Xiti. --><script><br />
/*<![CDATA[*/<br />
// Creation d'un tag avec envoi en mode securise.<br />
var tag = new ATInternet.Tracker.Tag();<br />
// Marquage de la page avec son niveau 2.<br />
tag.page.set({<br />
level2 : '60'<br />
});<br />
// Envoi du hit.<br />
tag.dispatch();<br />
/*]]>*/<br />
</script><a class="back-top" href="#top"><span class="hidden-element">Return to the top of the page</span></a> </div></main><div id="stickyScroll" style="display:none"><div class="stickyScrollFirstRow"><div class="content" id="stickyScrollTitre"> <label class="ssTitre" style='font-size:1.125em;color:#4a5e81;' defaultValue="Conseil d&#39;État, Formation spécialisée, 21/12/2020, 433555, Inédit au recueil Lebon">Council of State, Specialized training, 12/21/2020, 433555, Unpublished in the Lebon collection</label> <span class="ssTooltip"><span >Conseil d&#39;État, Specialized training, 21/12/2020, 433555, Unpublished in the Lebon collection</span></span> </div></div><div class="stickyScrollSecondRow"><nav role="navigation"><ul class="precedent-suivant-list"><div class="precedent-suivant-list-left"><li class="options-item-btnResults"> <a href="/search/cetat?juridiction=CONSEIL_ETAT&amp;juridiction=COURS_APPEL&amp;page=1&amp;pageSize=10&amp;query=2016%2F679&amp;searchField=ALL&amp;searchType=ALL&amp;sortValue=DATE_DESC&amp;tab_selection=cetat&amp;tab_selection=cetat"><span class="fleche">←</span> Back to results</a></li><li class="options-item-btnPrevNextResults"> <a href="/ceta/id/CETATEXT000042729495?juridiction=CONSEIL_ETAT&amp;juridiction=COURS_APPEL&amp;page=1&amp;pageSize=10&amp;query=2016%2F679&amp;searchField=ALL&amp;searchType=ALL&amp;sortValue=DATE_DESC&amp;tab_selection=cetat&amp;tab_selection=cetat"><span class="fleche">‹</span> Previous result</a></li><li class="options-item-btnPrevNextResults"> <a href="/ceta/id/CETATEXT000042713077?juridiction=CONSEIL_ETAT&amp;juridiction=COURS_APPEL&amp;page=1&amp;pageSize=10&amp;query=2016%2F679&amp;searchField=ALL&amp;searchType=ALL&amp;sortValue=DATE_DESC&amp;tab_selection=cetat&amp;tab_selection=cetat">Next result <span class="fleche">›</span></a> </li><!--&nbsp; --></div><div class="precedent-suivant-list-right"></div></ul></nav></div></div><div class="modal fade" id="modal-timeline" tabindex="-1" role="dialog" aria-label="Chronologie des versions de l’article" aria-hidden="true"></div><div class="modal fade" id="modal-compare" tabindex="-1" role="dialog" aria-label="Comparaison entre les versions des articles" aria-hidden="true"><div id="content_compare" class="modal-dialog chronolegi compare" role="document"><div class="modal-content" id="modaleComparaisonContenu"><div class="loader"></div></div></div></div><div id="idCookiesModal" class="cookiesModal"><form class="cookiesModal-content"> <span class="cookiesModalBtnClose" title="To close">×</span><div class="cookiesContainer"><p class="cookiesModalTitre"> <span id="cookiesModalName">Cookies</span> is disabled.</p><p> Authorize the deposit of cookies to access this functionality</p><div class="clearfix"> <button type="button" class="cookiesAcceptBtn">Allow</button> <button type="button" class="cookiesPersonaliseBtn">Customize</button> </div></div></form></div><input id="anchor-to-go" type="hidden" value=""/><footer role="contentinfo"><div class="footer"><div class="container"><ul><li> <a href="/contenu/pied-de-page/a-propos-de-cette-version">About this version</a></li><li> <a href="/contenu/pied-de-page/mentions-legales">Legal Notice</a></li><li> <a href="/contenu/pied-de-page/politique-de-confidentialite">privacy policy</a></li><li> <a href="/contenu/pied-de-page/plan-du-site">Sitemap</a></li><li> <a href="/contenu/pied-de-page/open-data-et-api">Open data and API</a></li><li> <a href="/contenu/pied-de-page/accessibilite-partiellement-conforme">Accessibility: partially compliant</a></li></ul><ul><li> <a href="https://www.service-public.fr/" target="_blank" title="service-public.fr (new window)" rel="noopener noreferrer">service-public.fr</a></li><li> <a href="https://www.data.gouv.fr/fr/" target="_blank" title="data.gouv.fr (new window)" rel="noopener noreferrer">data.gouv.fr</a></li><li> <a href="https://code.travail.gouv.fr/" target="_blank" title="Digital Labor Code (new window)" rel="noopener noreferrer">Digital Labor Code</a></li><li> <a href="https://www.gouvernement.fr/" target="_blank" title="government.fr (new window)" rel="noopener noreferrer">government.fr</a></li><li> <a href="https://www.france.fr/fr" target="_blank" title="france.fr (new window)" rel="noopener noreferrer">france.fr</a> </li></ul></div></div></footer></div></div><div id="hotjar_local" data-state="minimized" data-minimized-position="middle_right" data-device="desktop" data-viewmode="desktop"><div id="hotjar_local_minimized"><div class="hotjar_local_minimized_label"><div class="hotjar_local_minimized_label_text"> Your opinion</div></div></div></div><!-- Gestion Cookie Tarteaucitron --><script type="text/javascript"><br />
(tarteaucitron.job = tarteaucitron.job || []).push('hotjar');<br />
</script><script type="text/javascript"><br />
tarteaucitron.user.atLibUrl = '/resources/scripts/smartTag/smarttag.js';<br />
tarteaucitron.user.atMore = function () { /* add here your optionnal ATInternet.Tracker.Tag configuration */ };<br />
(tarteaucitron.job = tarteaucitron.job || []).push('atinternet');<br />
</script><script async type="text/javascript" src="/_Incapsula_Resource?SWJIYLWA=719d34d31c8e3a6e6fffd425f7e032f3&ns=1&cb=1037914188"></script></body></html><br />
</pre></div>Tsekhttps://gdprhub.eu/index.php?title=CE_-_433555&diff=13154CE - 4335552021-01-04T21:55:59Z<p>Tsek: </p>
<hr />
<div>{{COURTdecisionBOX<br />
<br />
|Jurisdiction=France<br />
|Court-BG-Color=<br />
|Courtlogo=Courts_logo1.png<br />
|Court_Abbrevation=CE<br />
|Court_With_Country=CE (France)<br />
<br />
|Case_Number_Name=433555<br />
|ECLI=ECLI:FR:CEFSP:2020:433555.20201221<br />
<br />
|Original_Source_Name_1=Legifrance<br />
|Original_Source_Link_1=https://www.legifrance.gouv.fr/ceta/id/CETATEXT000042713078?tab_selection=cetat&searchField=ALL&query=2016%2F679&searchType=ALL&juridiction=CONSEIL_ETAT&juridiction=COURS_APPEL&sortValue=DATE_DESC&pageSize=10&page=1&tab_selection=cetat&anchor=cetat#cetat<br />
|Original_Source_Language_1=French<br />
|Original_Source_Language__Code_1=FR<br />
<br />
|Date_Decided=21.12.2020<br />
|Date_Published=<br />
|Year=2020<br />
<br />
|GDPR_Article_1=Article 15 GDPR<br />
|GDPR_Article_Link_1=Article 15 GDPR<br />
|GDPR_Article_2=Article 23 GDPR<br />
|GDPR_Article_Link_2=Article 23 GDPR<br />
<br />
<br />
|Party_Name_1=Ministère de l'Intérieur<br />
|Party_Link_1=https://www.interieur.gouv.fr/<br />
|Party_Name_2=Mme A<br />
|Party_Link_2=<br />
|Party_Name_4=<br />
|Party_Link_4=<br />
|Party_Name_5=<br />
|Party_Link_5=<br />
<br />
|Appeal_From_Body=<br />
|Appeal_From_Case_Number_Name=<br />
|Appeal_From_Status=<br />
|Appeal_From_Link=<br />
|Appeal_To_Body=<br />
|Appeal_To_Case_Number_Name=<br />
|Appeal_To_Status=Not appealed<br />
|Appeal_To_Link=<br />
<br />
|Initial_Contributor=Kest<br />
|<br />
}}<br />
<br />
The French Administrative Supreme Court held that the legal procedure applicable to the exercise of the right of access and the right to erasure of personal data processed for national security purposes is compliant with Article 15 and 23 GDPR.<br />
<br />
==English Summary==<br />
<br />
===Facts===<br />
The Applicant claims to have personal data stored on the French National Schengen Information System (“N-SIS II database”). Under Regulation (EU) 2018/1862, the Schengen Information System is composed of, on one hand, a central system (“C-SIS”), and, on the other hand, national systems (“N-SIS”) that communicate with the central system. The system as a whole allows Member States to share alerts on persons, which include personal data, for several purposes in relation with police and judicial cooperation.<br />
<br />
The applicant exercised his rights of access and erasure against the Ministry of the Interior (“''Ministère de l’intérieur''”), without success. She then petitioned the French DPA (“''CNIL''”), with the same outcome. In this context, she seeks the annulment of the Ministry’s decision before the French Administrative Supreme Court (“''Conseil d’Etat''”).<br />
<br />
As it appeared during the proceedings, her demand was processed in accordance with the procedure applicable to personal data processed for national security purposes. The applicant demands that the Court reviews the lawfulness of this procedure and the decision of the Ministry.<br />
===Dispute===<br />
Is French procedural law applicable to the exercise of the right of access and the right to erasure in the context of personal data processed for national safety purposes compliant with Article 15 and 23 GDPR?<br />
<br />
===Holding===<br />
The Court finds that the applicant’s petition have been lawfully processed and must be rejected. <br />
<br />
According to Article L773-1 to 773-8 of the Administrative Justice Code (“Code de la Justice administrative”), a specific panel of judges reviews the application. The defendant has limited access to the file. <br />
<br />
If the alleged data do not exist or are lawfully processed, the application is rejected without further indication. <br />
<br />
However, if the processing is found unlawful, the applicant is informed of this outcome, and the decision specifies the reason. The Court mentions the legal reasons laid down by Article L773-8 of the Administrative justice Code: personal data are incorrect, incomplete, ambiguous or out of date or their collection, utilisation, communication or storage are prohibited. <br />
<br />
The Court finds this process compliant with Article 15 GDPR, on the right to access, and Article 23 GDPR on restrictions to the rights of data subject by legislative measures. Subsequently, it finds that the Ministry of Interior has acted pursuant to this procedure and thus lawfully. <br />
<br />
Regarding the rights exercised by the data subject, the Court rejects the applcation on the basis of their own review of the file.<br />
<br />
<br />
==Comment==<br />
The Court only indicates the outcome of its review of the compliance with Article 15 and 23 GDPR. The reasonning itself is not displayed. Furthemore, the opinion of the Rapporteur public, a common and highly valuable source of information, has not been published.<br />
<br />
The Adminsitrative Supreme Court issued a similar decision on the same day : CE, 21 december 2020, n° 433554, M. B v. Ministry of Interior<br />
<br />
==Further Resources==<br />
''Share blogs or news articles here!''<br />
<br />
==English Machine Translation of the Decision==<br />
The decision below is a machine translation of the French original. Please refer to the French original for more details.<br />
<br />
<pre><br />
<!DOCTYPE html><html lang="fr" class="no-js" dir="ltr"><head><title>Council of State, Specialized training, 21/12/2020, 433555, Unpublished in the Lebon - Légifrance collection </title><meta charset="utf-8"/><meta http-equiv="X-UA-Compatible" content="IE=edge"/><meta name="viewport" content="width=device-width, initial-scale=1"/><meta name="description" content="Council of State, Specialized training, 12/21/2020, 433555, Unpublished in Lebon collection"/><meta name="author" content=""/><meta name="format-detection" content="telephone=no"/><meta name="_csrf" content="9575f6bd-4d36-4426-9a6f-f252144ea03d"/><meta name="_csrf_header" content="X-CSRF-TOKEN"/><meta name="robots" content="index, follow"><link rel="Shortcut icon" type="image/x-icon" href="/resources/images/favicon.ico"/><link rel="icon" sizes="16x16 32x32 48x48 64x64" href="/resources/images/favicon.ico"/><link rel="apple-touch-icon" href="/resources/images/favicon-152.png"/><!-- Optional: IE10 Tile. --><meta name="msapplication-TileColor" content="#FFFFFF"/><meta name="msapplication-TileImage" content="/resources/images/favicon-144.png"/><!-- Optional: ipads, androids, iphones, ... --><link rel="apple-touch-icon" sizes="152x152" href="/resources/images/favicon-152.png"/><link rel="apple-touch-icon" sizes="144x144" href="/resources/images/favicon-144.png"/><link rel="apple-touch-icon" sizes="120x120" href="/resources/images/favicon-120.png"/><link rel="apple-touch-icon" sizes="114x114" href="/resources/images/favicon-114.png"/><link rel="apple-touch-icon" sizes="72x72" href="/resources/images/favicon-72.png"/><link rel="apple-touch-icon" href="/resources/images/favicon-57.png"/><!--[if lt IE 9]><script src="https://oss.maxcdn.com/html5shiv/3.7.2/html5shiv.min.js"></script><script src="https://oss.maxcdn.com/respond/1.4.2/respond.min.js"></script><![endif]--><link rel="stylesheet" type="text/css" href="/resources/css/vendors/introjs.css" /><link rel="stylesheet" type="text/css" href="/resources/css/vendors/introjs-legi.css" /><link rel="stylesheet" type="text/css" href="/resources/css/vendors/tarteaucitron.css" /><link rel="stylesheet" type="text/css" href="/resources/css/legifrance.css" /><!-- Gestion du onboarding --><script type="text/javascript">displayOnboarding = false;</script><script src="/webjars/jquery/2.2.4/jquery.min.js"></script><script src="/webjars/bootstrap/4.1.3/js/bootstrap.min.js"></script><script src="/webjars/js-cookie/2.2.0/js.cookie.js"></script><script src="/resources/scripts/vendors/jquery-accessible-accordion-aria.js"></script><script src="/resources/scripts/vendors/jquery-accessible-tabs.js"></script><script src="/resources/scripts/vendors/modernizr.js"></script><script src="/resources/scripts/vendors/jquery.easy-autocomplete.js"></script><script src="/resources/scripts/vendors/jquery-accessible-simple-tooltip-aria.js"></script><script src="/resources/scripts/vendors/datepicker-fr.min.js"></script><script src="/resources/scripts/vendors/datepicker.min.js"></script><!-- <script th:src="@{/resources/scripts/vendors/datatable.js}"></script> --><script src="/resources/scripts/vendors/intro.js"></script><script src="/resources/scripts/legifrance.js"></script><!-- Gestion des cookies --><script type="text/javascript" src="/resources/scripts/tarteaucitron/tarteaucitron.js"></script><script type="text/javascript">tarteaucitron.user.hotjarId = 1420898;tarteaucitron.user.HotjarSv = 6;</script><!-- A mettre en commentaire si tarteaucitron activé !important --><!-- <script th:inline="javascript" th:remove="${hotjar==null or #strings.isEmpty(hotjar)}? all"><br />
/*<![CDATA[*/ <br />
(function(h,o,t,j,a,r){<br />
h.hj=h.hj||function(){(h.hj.q=h.hj.q||[]).push(arguments)};<br />
h._hjSettings={hjid:/*1420898*/,hjsv:6};<br />
a=o.getElementsByTagName('head')[0];<br />
r=o.createElement('script');r.async=1;<br />
r.src=t+h._hjSettings.hjid+j+h._hjSettings.hjsv;<br />
a.appendChild(r);<br />
})(window,document,'https://static.hotjar.com/c/hotjar-','.js?sv=');<br />
/*]]>*/<br />
</script>--><!-- Marquage Xiti : Calcul des variables dependants de l'environnement. --><script><br />
/*<![CDATA[*/<br />
var computedSite = 124093;<br />
var computedCollectDomain = "logp4.xiti.com";<br />
var computedCollectDomainSSL = "logs4.xiti.com";<br />
var computedCookieDomain = "legifrance.gouv.fr";<br />
/*]]>*/<br />
</script><!-- Marquage Xiti : Chargement du javascript dedie avec specialisation des variables. --><script src="/resources/scripts/smartTag/smarttag.js"></script><!-- <link rel="stylesheet" type="text/css" href="http://cdn.datatables.net/1.10.19/css/jquery.dataTables.min.css">--><!-- Donnée structurée Logo --><script type="application/ld+json"><br />
{<br />
"@context": "http://schema.org",<br />
"@type": "Organization",<br />
"url": "https://www.legifrance.gouv.fr",<br />
"logo": "https://www.legifrance.gouv.fr/contenu/logo"<br />
}<br />
</script><!-- Données structurées Breadcrumb --><script type="application/ld+json"><br />
{<br />
"@context": "http://schema.org",<br />
"@type": "BreadcrumbList",<br />
"itemListElement": [<br />
{<br />
"@type": "ListItem",<br />
"position": 1,<br />
"item": {<br />
"@id": "https://www.legifrance.gouv.fr/contenu/menu/droit-national-en-vigueur",<br />
"name": "Droit national en vigueur"<br />
}<br />
},<br />
{<br />
"@type": "ListItem",<br />
"position": 2,<br />
"item": {<br />
"@id": "https://www.legifrance.gouv.fr/contenu/menu/droit-national-en-vigueur/jurisprudence",<br />
"name": "Jurisprudence"<br />
}<br />
},<br />
{<br />
"@type": "ListItem",<br />
"position": 3,<br />
"item": {<br />
"@id": "https://www.legifrance.gouv.fr/search/cetat?tab_selection=cetat&searchField=ALL&query=&page=1&init=true",<br />
"name": "Jurisprudence administrative"<br />
}<br />
},<br />
{<br />
"@type": "ListItem",<br />
"position": 4,<br />
"item": {<br />
"@id": "https://www.legifrance.gouv.fr/ceta/id/CETATEXT000042713078",<br />
"name": "Conseil d'État, Formation spécialisée, 21/12/2020, 433555, Inédit au recueil Lebon"<br />
}<br />
}<br />
]<br />
}<br />
</script><!-- Données structurées Searchbox --></head><body class="consultation-jurisprudence"><div id="scrollable-area"><noscript><p class="js-off"> Javascript is disabled in your browser. </p></noscript><!--[if lt IE 8]><div class="browsehappy"><div class="container"><p>Savez-vous que votre navigateur est obsolète ?</p><p>Pour naviguer de la manière la plus satisfaisante sur le Web, nous vous recommandons de procéder à une <a href="http://windows.microsoft.com/fr-fr/internet-explorer/download-ie">mise à jour de votre navigateur</a>.<br />
<br>Vous pouvez aussi <a href="http://browsehappy.com/">essayer d’autres navigateurs web populaires</a>.<br />
</p></div></div><![endif]--><div class="print-page"><header role="banner"><div class="skip-link"><div class="container" id="top"><ul><li> <a href="#main">Skip to content</a></li><li class="only-desktop"> <a href="#navigation">Go to menu</a></li><li class="only-tactile"> <a href="#navigation-mobile">Go to menu</a></li><li> <a href="#search-container">Go to search</a> </li></ul></div></div><div class="header-top menu-mobile"><div class="container"><div class="top-content"><ul class="logos block-link"><li><img class="logo-rf" alt="French Republic. Liberty, Equality, Fraternity." src="/contenu/logo-mobile-rf"<br />
/></li><li> <a href="/"><span><img class="logo-legifrance" alt="Home Légifrance.fr - the public service for the dissemination of law" src="/contenu/logo-mobile"<br />
/></span></a></li></ul><div class="container-block"><div class="quick-access"></div> <button class="button-burger" type="button"><span class="hidden-element">Menu</span><span class="icon" aria-hidden="true"></span></button> </div></div><div class="menu-block" style="display:none;"><div><nav id="navigation-mobile" class="main-menu mobile" role="navigation" aria-label="navigation principale"><ul class="level-one"><li></li><li class="menu-item expanded"> <a href="/contenu/menu/droit-national-en-vigueur"<br />
title="National law in force" role="button"><span>National law<br> in force</span></a><ul class="sub-menu level-two"><li class="menu-item expanded"> <a href="/contenu/menu/droit-national-en-vigueur/constitution" title="Constitution">Constitution</a><ul class="sub-menu level-three"><li class="menu-item"> <a<br />
href="/loda/id/JORFTEXT000000571356/2019-07-01/" rel="noopener noreferrer" title="Constitution of October 4, 1958" >Constitution of October 4, 1958</a></li><li class="menu-item"> <a<br />
href="/contenu/menu/droit-national-en-vigueur/constitution/declaration-des-droits-de-l-homme-et-du-citoyen-de-1789" title="Declaration of the Rights of Man and of the Citizen of 1789">Declaration of the Rights of Man and of the Citizen of 1789</a></li><li class="menu-item"> <a<br />
href="/contenu/menu/droit-national-en-vigueur/constitution/preambule-de-la-constitution-du-27-octobre-1946" title="Preamble to the Constitution of October 27, 1946">Preamble to the Constitution of October 27, 1946</a></li><li class="menu-item"> <a<br />
href="/contenu/menu/droit-national-en-vigueur/constitution/charte-de-l-environnement" title="Environmental charter">Environmental charter</a></li></ul></li><li class="menu-item "> <a href="/liste/code?etatTexte=VIGUEUR&amp;etatTexte=VIGUEUR_DIFF" rel="noopener noreferrer" title="Codes" >Codes</a><ul class="sub-menu level-three"></ul></li><li class="menu-item "> <a href="/liste/lois?etatTexte=VIGUEUR&amp;etatTexte=ABROGE_DIFF" rel="noopener noreferrer" title="Consolidated texts" >Consolidated texts</a><ul class="sub-menu level-three"></ul></li><li class="menu-item expanded"> <a href="/contenu/menu/droit-national-en-vigueur/jurisprudence" title="Case law">Case law</a><ul class="sub-menu level-three"><li class="menu-item"> <a<br />
href="/search/constit?tab_selection=constit&amp;searchField=ALL&amp;query=&amp;page=1&amp;init=true" rel="noopener noreferrer" title="Constitutional case law" >Constitutional case law</a></li><li class="menu-item"> <a<br />
href="/search/cetat?tab_selection=cetat&amp;searchField=ALL&amp;query=&amp;page=1&amp;init=true" rel="noopener noreferrer" title="Administrative case law" >Administrative case law</a></li><li class="menu-item"> <a<br />
href="/search/juri?tab_selection=juri&amp;searchField=ALL&amp;query=&amp;page=1&amp;init=true" rel="noopener noreferrer" title="Judicial case law" >Judicial case law</a></li><li class="menu-item"> <a<br />
href="/search/jufi?tab_selection=jufi&amp;searchField=ALL&amp;query=&amp;page=1&amp;init=true" rel="noopener noreferrer" title="Financial case law" >Financial case law</a></li></ul></li><li class="menu-item "> <a href="/liste/circ" rel="noopener noreferrer" title="Circulars and Instructions" >Circulars and Instructions</a><ul class="sub-menu level-three"></ul></li><li class="menu-item expanded"> <a href="/contenu/menu/droit-national-en-vigueur/accords-collectifs" title="Collective agreements">Collective agreements</a><ul class="sub-menu level-three"><li class="menu-item"> <a<br />
href="/liste/idcc?facetteTexteBase=TEXTE_BASE&amp;facetteEtat=VIGUEUR&amp;facetteEtat=VIGUEUR_ETEN&amp;facetteEtat=VIGUEUR_NON_ETEN&amp;sortValue=DATE_UPDATE&amp;pageSize=50&amp;page=1&amp;tab_selection=all#idcc" rel="noopener noreferrer" title="Branch agreements and collective agreements" >Branch agreements and collective agreements</a></li><li class="menu-item"> <a<br />
href="/liste/acco" rel="noopener noreferrer" title="Company agreements" >Company agreements</a></li></ul></li></ul></li><li class="menu-item expanded"> <a href="/contenu/menu/publications-officielles"<br />
title="Official publications" role="button"><span>Publications<br> official</span></a><ul class="sub-menu level-two"><li class="menu-item "> <a href="/contenu/menu/publications-officielles/bulletins-officiels" title="Official bulletins">Official bulletins</a><ul class="sub-menu level-three"></ul></li><li class="menu-item "> <a href="/liste/bocc" rel="noopener noreferrer" title="Official collective agreement bulletins" >Official collective agreement bulletins</a><ul class="sub-menu level-three"></ul></li><li class="menu-item "> <a href="/jorf/jo" rel="noopener noreferrer" title="Official newspaper" >Official newspaper</a><ul class="sub-menu level-three"></ul></li><li class="menu-item "> <a href="/liste/debatsParlementaires" rel="noopener noreferrer" title="Parliamentary debates" >Parliamentary debates</a><ul class="sub-menu level-three"></ul></li><li class="menu-item "> <a href="/liste/questionsEcritesParlementaires" rel="noopener noreferrer" title="Parliamentary written questions" >Parliamentary written questions</a><ul class="sub-menu level-three"></ul></li><li class="menu-item "> <a href="/liste/docAdmin" rel="noopener noreferrer" title="Administrative documents" >Administrative documents</a><ul class="sub-menu level-three"></ul></li></ul></li><li class="menu-item expanded"> <a href="/contenu/menu/autour-de-la-loi"<br />
title="Around the law" role="button"><span>Around<br> of the law</span></a><ul class="sub-menu level-two"><li class="menu-item expanded"> <a href="/contenu/menu/autour-de-la-loi/codification" title="Codification">Codification</a><ul class="sub-menu level-three"><li class="menu-item"> <a<br />
href="/contenu/menu/autour-de-la-loi/codification/rapports-annuels-de-la-commission-superieure-de-codification" title="Annual reports of the Higher Codification Commission">Annual reports of the Higher Codification Commission</a></li><li class="menu-item"> <a<br />
href="/contenu/menu/autour-de-la-loi/codification/tables-de-concordance" title="Concordance tables">Concordance tables</a></li></ul></li><li class="menu-item expanded"> <a href="/contenu/menu/autour-de-la-loi/legislatif-et-reglementaire" title="Legislative and regulatory">Legislative and regulatory</a><ul class="sub-menu level-three"><li class="menu-item"> <a<br />
href="/liste/legislatures" rel="noopener noreferrer" title="Legislative files" >Legislative files</a></li><li class="menu-item"> <a<br />
href="/contenu/menu/autour-de-la-loi/legislatif-et-reglementaire/etudes-d-impact-des-lois" title="Law impact studies">Law impact studies</a></li><li class="menu-item"> <a<br />
href="/contenu/menu/autour-de-la-loi/legislatif-et-reglementaire/les-avis-du-conseil-d-etat-rendus-sur-les-projets-de-loi" title="Opinions of the Council of State on bills">Opinions of the Council of State on bills</a></li><li class="menu-item"> <a<br />
href="/contenu/menu/autour-de-la-loi/legislatif-et-reglementaire/application-des-lois" title="Law enforcement">Law enforcement</a></li><li class="menu-item"> <a<br />
href="/contenu/menu/autour-de-la-loi/legislatif-et-reglementaire/fiches-d-impact-des-ordonnances-decrets-et-arretes" title="Impact sheets for ordinances, decrees and orders">Impact sheets for ordinances, decrees and orders</a></li><li class="menu-item"> <a<br />
href="/contenu/menu/autour-de-la-loi/legislatif-et-reglementaire/statistiques-de-la-norme" title="Standard statistics">Standard statistics</a></li></ul></li><li class="menu-item expanded"> <a href="/contenu/menu/autour-de-la-loi/autorites-independantes" title="Independent authorities">Independent authorities</a><ul class="sub-menu level-three"><li class="menu-item"> <a<br />
href="/contenu/menu/autour-de-la-loi/autorites-independantes/autorites-administratives-independantes-et-autorites-publiques-independantes-relevant-du-statut-general-defini-par-la-loi-n-2017-55-du-20-janvier" title="Independent administrative authorities and independent public authorities falling under the general statute defined by Law No. 2017-55 of January 20, 2017">Independent administrative authorities and independent public authorities falling under the general statute defined by Law No. 2017-55 of January 20, 2017</a></li><li class="menu-item"> <a<br />
href="/contenu/menu/autour-de-la-loi/autorites-independantes/autorites-ne-relevant-pas-du-statut-general-des-autorites-administratives-independantes" title="Authorities not falling under the general statute of independent administrative authorities">Authorities not falling under the general statute of independent administrative authorities</a></li></ul></li><li class="menu-item expanded"> <a href="/contenu/menu/autour-de-la-loi/entreprises"<br />
title="Companies"<br />
title="Entreprises">Companies</a><ul class="sub-menu level-three"><li class="menu-item"> <a<br />
href="/contenu/menu/autour-de-la-loi/entreprises/tableaux-et-chronologies-des-dates-communes-d-entree-en-vigueur" title="Tables and chronologies of common dates of entry into force">Tables and chronologies of common dates of entry into force</a></li><li class="menu-item"> <a<br />
href="/contenu/menu/autour-de-la-loi/entreprises/normes-afnor-d-application-obligatoire" title="Mandatory AFNOR standards">Mandatory AFNOR standards</a></li></ul></li><li class="menu-item "> <a href="/contenu/menu/autour-de-la-loi/guide-de-legistique" title="Legistics guide">Legistics guide</a><ul class="sub-menu level-three"></ul></li><li class="menu-item "> <a href="/contenu/menu/autour-de-la-loi/sva-silence-vaut-accord" title="SVA &quot;Silence equals agreement&quot;">SVA &quot;Silence equals agreement&quot;</a><ul class="sub-menu level-three"></ul></li></ul></li><li class="menu-item small-menu expanded"> <a href="/contenu/menu/droit-et-jurisprudence-de-l-union-europeenne"<br />
title="European Union law and case-law" role="button"><span>Law and jurisprudence<br> of the European Union</span></a><ul class="sub-menu level-two"><li class="menu-item "> <a href="https://eur-lex.europa.eu/oj/direct-access.html?locale=fr" rel="noopener noreferrer" title="Official Journal of the European Union" target="_blank" rel="noopener noreferrer" title="Journal officiel de l&#039;Union européenne (nouvelle fenêtre)" >Official Journal of the European Union</a><ul class="sub-menu level-three"></ul></li><li class="menu-item "> <a href="https://europa.eu/european-union/law/find-case-law_fr" rel="noopener noreferrer" title="European Union case law" target="_blank" rel="noopener noreferrer" title="Jurisprudence de l&#039;Union Européenne (nouvelle fenêtre)" >European Union case law</a><ul class="sub-menu level-three"></ul></li></ul></li><li class="menu-item small-menu expanded"> <a href="/contenu/menu/droit-international"<br />
title="International law" role="button"><span>Law<br> international</span></a><ul class="sub-menu level-two"><li class="menu-item "> <a href="https://www.echr.coe.int/Pages/home.aspx?p=caselaw&amp;c=fre" rel="noopener noreferrer" title="ECHR case law" target="_blank" rel="noopener noreferrer" title="Jurisprudence CEDH (nouvelle fenêtre)" >ECHR case law</a><ul class="sub-menu level-three"></ul></li><li class="menu-item "> <a href="/contenu/menu/droit-international/juridictions-internationales" title="International courts">International courts</a> <ul class="sub-menu level-three"></ul></li></ul></li></ul></nav></div><div class="quick-access"><ul class="speed-menu"><li> <a href="/contenu/en-tete/informations-de-mises-a-jour" class="informations" title="Update information">Update information</a></li><li> <a href="#" class="btnGestionCookies" >Managing cookies</a></li><li> <a href="/contact/message" class="nouscontacter" >Contact us</a></li></ul><ul class="speed-menu display-demo-mobile"><li> <a class="start-demo-btn" onclick="initDemoOnboarding(true)">Activate help on the page</a> </li></ul></div></div></div></div><div class="header-top menu-desktop"><div class="container"><div class="quick-access"><ul class="speed-menu"><li> <a href="/contenu/en-tete/informations-de-mises-a-jour" class="informations" title="Update information">Update information</a></li><li> <a href="#" class="btnGestionCookies" >Managing cookies</a></li><li> <a href="/contact/message" class="nouscontacter" >Contact us</a></li></ul><div class="start-demo-block"> <button class="start-demo-btn" onclick="initDemoOnboarding(true)">Activate help on the page</button> </div></div><nav id="navigation" class="main-menu" role="navigation" aria-label="navigation principale"><ul class="level-one"><li class="menu-item logo-item"><ul class="logos block-link"><li><img class="logo-rf" alt="French Republic. Liberty, Equality, Fraternity." src="/contenu/logo-rf" /></li><li > <a href="/"><span><img class="logo-legifrance" alt="Home Légifrance.fr - the public service for the dissemination of law" src="/contenu/logo"/></span></a></li></ul></li><li></li><li class="menu-item expanded"> <a href="/contenu/menu/droit-national-en-vigueur"<br />
title="National law in force" role="button"><span>National law<br> in force</span></a><ul class="sub-menu level-two"><li class="menu-item expanded"> <a href="/contenu/menu/droit-national-en-vigueur/constitution"<br />
title="Constitution">Constitution</a><ul class="sub-menu level-three"><li class="menu-item"> <a<br />
href="/loda/id/JORFTEXT000000571356/2019-07-01/" rel="noopener noreferrer" title="Constitution of October 4, 1958" >Constitution of October 4, 1958</a></li><li class="menu-item"> <a<br />
href="/contenu/menu/droit-national-en-vigueur/constitution/declaration-des-droits-de-l-homme-et-du-citoyen-de-1789"<br />
title="Declaration of the Rights of Man and of the Citizen of 1789">Declaration of the Rights of Man and of the Citizen of 1789</a></li><li class="menu-item"> <a<br />
href="/contenu/menu/droit-national-en-vigueur/constitution/preambule-de-la-constitution-du-27-octobre-1946"<br />
title="Preamble to the Constitution of October 27, 1946">Preamble to the Constitution of October 27, 1946</a></li><li class="menu-item"> <a<br />
href="/contenu/menu/droit-national-en-vigueur/constitution/charte-de-l-environnement"<br />
title="Environmental charter">Environmental charter</a></li></ul></li><li class="menu-item "> <a href="/liste/code?etatTexte=VIGUEUR&amp;etatTexte=VIGUEUR_DIFF" rel="noopener noreferrer" title="Codes" >Codes</a></li><li class="menu-item "> <a href="/liste/lois?etatTexte=VIGUEUR&amp;etatTexte=ABROGE_DIFF" rel="noopener noreferrer" title="Consolidated texts" >Consolidated texts</a></li><li class="menu-item expanded"> <a href="/contenu/menu/droit-national-en-vigueur/jurisprudence"<br />
title="Case law">Case law</a><ul class="sub-menu level-three"><li class="menu-item"> <a<br />
href="/search/constit?tab_selection=constit&amp;searchField=ALL&amp;query=&amp;page=1&amp;init=true" rel="noopener noreferrer" title="Constitutional case law" >Constitutional case law</a></li><li class="menu-item"> <a<br />
href="/search/cetat?tab_selection=cetat&amp;searchField=ALL&amp;query=&amp;page=1&amp;init=true" rel="noopener noreferrer" title="Administrative case law" >Administrative case law</a></li><li class="menu-item"> <a<br />
href="/search/juri?tab_selection=juri&amp;searchField=ALL&amp;query=&amp;page=1&amp;init=true" rel="noopener noreferrer" title="Judicial case law" >Judicial case law</a></li><li class="menu-item"> <a<br />
href="/search/jufi?tab_selection=jufi&amp;searchField=ALL&amp;query=&amp;page=1&amp;init=true" rel="noopener noreferrer" title="Financial case law" >Financial case law</a></li></ul></li><li class="menu-item "> <a href="/liste/circ" rel="noopener noreferrer" title="Circulars and Instructions" >Circulars and Instructions</a></li><li class="menu-item expanded"> <a href="/contenu/menu/droit-national-en-vigueur/accords-collectifs"<br />
title="Collective agreements">Collective agreements</a><ul class="sub-menu level-three"><li class="menu-item"> <a<br />
href="/liste/idcc?facetteTexteBase=TEXTE_BASE&amp;facetteEtat=VIGUEUR&amp;facetteEtat=VIGUEUR_ETEN&amp;facetteEtat=VIGUEUR_NON_ETEN&amp;sortValue=DATE_UPDATE&amp;pageSize=50&amp;page=1&amp;tab_selection=all#idcc" rel="noopener noreferrer" title="Branch agreements and collective agreements" >Branch agreements and collective agreements</a></li><li class="menu-item"> <a<br />
href="/liste/acco" rel="noopener noreferrer" title="Company agreements" >Company agreements</a></li></ul></li></ul></li><li class="menu-item expanded"> <a href="/contenu/menu/publications-officielles"<br />
title="Official publications" role="button"><span>Publications<br> official</span></a><ul class="sub-menu level-two"><li class="menu-item "> <a href="/contenu/menu/publications-officielles/bulletins-officiels"<br />
title="Official bulletins">Official bulletins</a></li><li class="menu-item "> <a href="/liste/bocc" rel="noopener noreferrer" title="Official collective agreement bulletins" >Official collective agreement bulletins</a></li><li class="menu-item "> <a href="/jorf/jo" rel="noopener noreferrer" title="Official newspaper" >Official newspaper</a></li><li class="menu-item "> <a href="/liste/debatsParlementaires" rel="noopener noreferrer" title="Parliamentary debates" >Parliamentary debates</a></li><li class="menu-item "> <a href="/liste/questionsEcritesParlementaires" rel="noopener noreferrer" title="Parliamentary written questions" >Parliamentary written questions</a></li><li class="menu-item "> <a href="/liste/docAdmin" rel="noopener noreferrer" title="Administrative documents" >Administrative documents</a></li></ul></li><li class="menu-item expanded"> <a href="/contenu/menu/autour-de-la-loi"<br />
title="Around the law" role="button"><span>Around<br> of the law</span></a><ul class="sub-menu level-two"><li class="menu-item expanded"> <a href="/contenu/menu/autour-de-la-loi/codification"<br />
title="Codification">Codification</a><ul class="sub-menu level-three"><li class="menu-item"> <a<br />
href="/contenu/menu/autour-de-la-loi/codification/rapports-annuels-de-la-commission-superieure-de-codification"<br />
title="Annual reports of the Higher Codification Commission">Annual reports of the Higher Codification Commission</a></li><li class="menu-item"> <a<br />
href="/contenu/menu/autour-de-la-loi/codification/tables-de-concordance"<br />
title="Concordance tables">Concordance tables</a></li></ul></li><li class="menu-item expanded"> <a href="/contenu/menu/autour-de-la-loi/legislatif-et-reglementaire"<br />
title="Legislative and regulatory">Legislative and regulatory</a><ul class="sub-menu level-three"><li class="menu-item"> <a<br />
href="/liste/legislatures" rel="noopener noreferrer" title="Legislative files" >Legislative files</a></li><li class="menu-item"> <a<br />
href="/contenu/menu/autour-de-la-loi/legislatif-et-reglementaire/etudes-d-impact-des-lois"<br />
title="Law impact studies">Law impact studies</a></li><li class="menu-item"> <a<br />
href="/contenu/menu/autour-de-la-loi/legislatif-et-reglementaire/les-avis-du-conseil-d-etat-rendus-sur-les-projets-de-loi"<br />
title="Opinions of the Council of State on bills">Opinions of the Council of State on bills</a></li><li class="menu-item"> <a<br />
href="/contenu/menu/autour-de-la-loi/legislatif-et-reglementaire/application-des-lois"<br />
title="Law enforcement">Law enforcement</a></li><li class="menu-item"> <a<br />
href="/contenu/menu/autour-de-la-loi/legislatif-et-reglementaire/fiches-d-impact-des-ordonnances-decrets-et-arretes"<br />
title="Impact sheets for ordinances, decrees and orders">Impact sheets for ordinances, decrees and orders</a></li><li class="menu-item"> <a<br />
href="/contenu/menu/autour-de-la-loi/legislatif-et-reglementaire/statistiques-de-la-norme"<br />
title="Standard statistics">Standard statistics</a></li></ul></li><li class="menu-item expanded"> <a href="/contenu/menu/autour-de-la-loi/autorites-independantes"<br />
title="Independent authorities">Independent authorities</a><ul class="sub-menu level-three"><li class="menu-item"> <a<br />
href="/contenu/menu/autour-de-la-loi/autorites-independantes/autorites-administratives-independantes-et-autorites-publiques-independantes-relevant-du-statut-general-defini-par-la-loi-n-2017-55-du-20-janvier"<br />
title="Independent administrative authorities and independent public authorities falling under the general statute defined by Law No. 2017-55 of January 20, 2017">Independent administrative authorities and independent public authorities falling under the general statute defined by Law No. 2017-55 of January 20, 2017</a></li><li class="menu-item"> <a<br />
href="/contenu/menu/autour-de-la-loi/autorites-independantes/autorites-ne-relevant-pas-du-statut-general-des-autorites-administratives-independantes"<br />
title="Authorities not falling under the general statute of independent administrative authorities">Authorities not falling under the general statute of independent administrative authorities</a></li></ul></li><li class="menu-item expanded"> <a href="/contenu/menu/autour-de-la-loi/entreprises"<br />
title="Companies"<br />
title="Entreprises">Companies</a><ul class="sub-menu level-three"><li class="menu-item"> <a<br />
href="/contenu/menu/autour-de-la-loi/entreprises/tableaux-et-chronologies-des-dates-communes-d-entree-en-vigueur"<br />
title="Tables and chronologies of common dates of entry into force">Tables and chronologies of common dates of entry into force</a></li><li class="menu-item"> <a<br />
href="/contenu/menu/autour-de-la-loi/entreprises/normes-afnor-d-application-obligatoire"<br />
title="Mandatory AFNOR standards">Mandatory AFNOR standards</a></li></ul></li><li class="menu-item "> <a href="/contenu/menu/autour-de-la-loi/guide-de-legistique"<br />
title="Legistics guide">Legistics guide</a></li><li class="menu-item "> <a href="/contenu/menu/autour-de-la-loi/sva-silence-vaut-accord"<br />
title="SVA &quot;Silence equals agreement&quot;">SVA &quot;Silence equals agreement&quot;</a></li></ul></li><li class="menu-item small-menu expanded"> <a href="/contenu/menu/droit-et-jurisprudence-de-l-union-europeenne"<br />
title="European Union law and case-law" role="button"><span>Law and jurisprudence<br> of the European Union</span></a><ul class="sub-menu level-two"><li class="menu-item "> <a href="https://eur-lex.europa.eu/oj/direct-access.html?locale=fr" rel="noopener noreferrer" title="Official Journal of the European Union" target="_blank" rel="noopener noreferrer" title="Journal officiel de l&#039;Union européenne (nouvelle fenêtre)" >Official Journal of the European Union</a></li><li class="menu-item "> <a href="https://europa.eu/european-union/law/find-case-law_fr" rel="noopener noreferrer" title="European Union case law" target="_blank" rel="noopener noreferrer" title="Jurisprudence de l&#039;Union Européenne (nouvelle fenêtre)" >European Union case law</a></li></ul></li><li class="menu-item small-menu expanded"> <a href="/contenu/menu/droit-international"<br />
title="International law" role="button"><span>Law<br> international</span></a><ul class="sub-menu level-two"><li class="menu-item "> <a href="https://www.echr.coe.int/Pages/home.aspx?p=caselaw&amp;c=fre" rel="noopener noreferrer" title="ECHR case law" target="_blank" rel="noopener noreferrer" title="Jurisprudence CEDH (nouvelle fenêtre)" >ECHR case law</a></li><li class="menu-item "> <a href="/contenu/menu/droit-international/juridictions-internationales"<br />
title="International courts">International courts</a> </li></ul></li></ul></nav><p class="header-date"></p></div></div><div class="header-bottom"><div class="content"><div><nav class="breadcrumb" role="navigation" id="filAriane" aria-label="Vous êtes ici : "><ol class="container"><li class="home"><span aria-hidden="true"></span> <a href="/" title="Home"><span>Home</span></a></li><li><span aria-hidden="true"></span> <a href="/contenu/menu/droit-national-en-vigueur">National law in force</a></li><li><span aria-hidden="true"></span> <a href="/contenu/menu/droit-national-en-vigueur/jurisprudence">Case law</a></li><li><span aria-hidden="true"></span><a href="/search/cetat?tab_selection=cetat&amp;searchField=ALL&amp;query=&amp;page=1&amp;init=true">Administrative case law</a></li><li><span aria-hidden="true"></span> <strong aria-current="page" data-ref="/ceta/id/CETATEXT000042713078">Council of State, Specialized training, 12/21/2020, 433555, Unpublished in Lebon collection</strong></li></ol></nav></div><div class="print-only print-title-main"> Council of State, Specialized training, 12/21/2020, 433555, Unpublished in Lebon collection </div><div><div class="general-search-block" id="search-container"><div class="container"><form id="searchForm" method="get" action="/search/all" enctype="application/x-www-form-urlencoded"><p id="label-recherche" class="title"> Search in:</p><div class="search-wrapper" role="search"><div class="search-elements"><div class="search-base"><div class="search-select js-collapsible" data-collapsible-close="true"> <button id="search-select-filter-content" class="search-select-cta js-collapsible-cta" aria-expanded="false" aria-controls="search-select-tip-content" aria-describedby="label-recherche" type="button"><span class="icon" aria-hidden="true"></span><span class="text">All contents</span></button> <div id="search-select-tip-content" class="search-select-content js-collapsible-content" aria-hidden="true"><span class="arrow" aria-hidden="true"></span><fieldset><legend> Select a fund </legend><div class="search-choice"><div class="form-radio type-codes"><input class="form-check-input" data-autoclose="true" data-icon="type-codes" id="select-filter-content-codes" type="radio" name="tab_selection" value="code" onclick="validateTroncatureSearchAdvancesSltFond(&#39;code&#39;)" /> <label class="form-check-label" for="select-filter-content-codes"><span class="icon" aria-hidden="true"></span>Codes</label> </div><div class="form-radio type-lois"><input class="form-check-input" data-autoclose="true" data-icon="type-lois" id="select-filter-content-lois" type="radio" name="tab_selection" value="lawarticledecree" onclick="validateTroncatureSearchAdvancesSltFond(&#39;lawarticledecree&#39;)" /> <label class="form-check-label" for="select-filter-content-lois"><span class="icon" aria-hidden="true"></span>Consolidated texts</label> </div><div class="form-radio type-JORF"><input class="form-check-input" data-autoclose="true" data-icon="type-JORF" id="select-filter-content-JORF" type="radio" name="tab_selection" value="jorf" onclick="validateTroncatureSearchAdvancesSltFond(&#39;jorf&#39;)" /> <label class="form-check-label" for="select-filter-content-JORF"><span class="icon" aria-hidden="true"></span>Official newspaper</label> </div><div class="form-radio type-circulaire"><input class="form-check-input" data-autoclose="true" data-icon="type-circulaire" id="select-filter-content-CIRC" type="radio" name="tab_selection" value="circ" onclick="validateTroncatureSearchAdvancesSltFond(&#39;circ&#39;)" /> <label class="form-check-label" for="select-filter-content-CIRC"><span class="icon" aria-hidden="true"></span>Circulars and Instructions</label> </div><div class="form-radio type-jurisprudence"><input class="form-check-input" data-autoclose="true" data-icon="type-jurisprudence" id="select-filter-content-jurisprudence-constitutionnelle" type="radio" name="tab_selection" value="constit" onclick="validateTroncatureSearchAdvancesSltFond(&#39;constit&#39;)" /> <label class="form-check-label" for="select-filter-content-jurisprudence-constitutionnelle"><span class="icon" aria-hidden="true"></span>Constitutional case law</label> </div><div class="form-radio type-jurisprudence"><input class="form-check-input" data-autoclose="true" data-icon="type-jurisprudence" id="select-filter-content-jurisprudence-administrative" type="radio" name="tab_selection" value="cetat" onclick="validateTroncatureSearchAdvancesSltFond(&#39;cetat&#39;)" /> <label class="form-check-label" for="select-filter-content-jurisprudence-administrative"><span class="icon" aria-hidden="true"></span>Administrative case law</label> </div><div class="form-radio type-jurisprudence"><input class="form-check-input" data-autoclose="true" data-icon="type-jurisprudence" id="select-filter-content-jurisprudence-judiciaire" type="radio" name="tab_selection" value="juri" onclick="validateTroncatureSearchAdvancesSltFond(&#39;juri&#39;)" /> <label class="form-check-label" for="select-filter-content-jurisprudence-judiciaire"><span class="icon" aria-hidden="true"></span>Judicial case law</label> </div><div class="form-radio type-jurisprudence"><input class="form-check-input" data-autoclose="true" data-icon="type-jurisprudence" id="select-filter-content-jurisprudence-financiere" type="radio" name="tab_selection" value="jufi" onclick="validateTroncatureSearchAdvancesSltFond(&#39;jufi&#39;)" /> <label class="form-check-label" for="select-filter-content-jurisprudence-financiere"><span class="icon" aria-hidden="true"></span>Financial case law</label> </div><div class="form-radio type-collectif"><input class="form-check-input" data-autoclose="true" data-icon="type-collectif" id="select-filter-content-accords" type="radio" name="tab_selection" value="kali" onclick="validateTroncatureSearchAdvancesSltFond(&#39;kali&#39;)" /> <label class="form-check-label" for="select-filter-content-accords"><span class="icon" aria-hidden="true"></span>Branch agreements and collective agreements</label> </div><div class="form-radio type-collectif"><input class="form-check-input" data-autoclose="true" data-icon="type-collectif" id="select-filter-content-ACCO" type="radio" name="tab_selection" value="acco" onclick="validateTroncatureSearchAdvancesSltFond(&#39;acco&#39;)" /> <label class="form-check-label" for="select-filter-content-ACCO"><span class="icon" aria-hidden="true"></span>Company agreements</label> </div><div class="form-radio type-CNIL"><input class="form-check-input" data-autoclose="true" data-icon="type-CNIL" id="select-filter-content-CNIL" type="radio" name="tab_selection" value="cnil" onclick="validateTroncatureSearchAdvancesSltFond(&#39;cnil&#39;)" /> <label class="form-check-label" for="select-filter-content-CNIL"><span class="icon" aria-hidden="true"></span>CNIL</label> </div><div class="form-radio"><input class="form-check-input" data-autoclose="true" id="select-filter-content-all" type="radio" name="tab_selection" value="all" onclick="validateTroncatureSearchAdvancesSltFond(&#39;all&#39;)" checked="checked" /> <label class="form-check-label" for="select-filter-content-all"><span class="icon" aria-hidden="true"></span>All contents</label></div></div></fieldset></div><script><br />
/*<![CDATA[*/<br />
<br />
var searchConfigs = [];<br />
<br />
<br />
<br />
var config = {base:"CODE",value:"code",url:"\/search\/code",sort:["PERTINENCE"],defaultTarget:"ALL",targets:"ALL,TITLE,ARTICLE,TABLE,NUM_ARTICLE"};<br />
searchConfigs.push(config);<br />
<br />
var config = {base:"LODA",value:"lawarticledecree",url:"\/search\/lois",sort:["PERTINENCE","SIGNATURE_DATE_DESC","SIGNATURE_DATE_ASC","PUBLICATION_DATE_DESC","PUBLICATION_DATE_ASC"],defaultTarget:"ALL",targets:"ALL,TITLE,NUM_ARTICLE,ARTICLE,VISA_NOTICE,NUM,NOR,SIGNATURE"};<br />
searchConfigs.push(config);<br />
<br />
var config = {base:"JORF",value:"jorf",url:"\/search\/jorf",sort:["PERTINENCE","SIGNATURE_DATE_DESC","SIGNATURE_DATE_ASC","PUBLICATION_DATE_DESC","PUBLICATION_DATE_ASC"],defaultTarget:"ALL",targets:"ALL,TITLE,NOR,NUM,NUM_ARTICLE,ARTICLE,VISA_NOTICE,SIGNATURE"};<br />
searchConfigs.push(config);<br />
<br />
var config = {base:"CIRC",value:"circ",url:"\/search\/circ",sort:["PERTINENCE","SIGNATURE_DATE_DESC","SIGNATURE_DATE_ASC","PUBLICATION_DATE_DESC","PUBLICATION_DATE_ASC"],defaultTarget:"ALL",targets:"ALL,TITLE,NOR"};<br />
searchConfigs.push(config);<br />
<br />
var config = {base:"ACCO",value:"acco",url:"\/search\/acco",sort:["PERTINENCE","SIGNATURE_DATE_DESC","SIGNATURE_DATE_ASC"],defaultTarget:"ALL",targets:"ALL,RAISON_SOCIALE,IDCC,TITLE"};<br />
searchConfigs.push(config);<br />
<br />
var config = {base:"CONSTIT",value:"constit",url:"\/search\/constit",sort:["PERTINENCE","DATE_DESC","DATE_ASC"],defaultTarget:"ALL",targets:"ALL,TITLE,NUM_DEC,TEXTE"};<br />
searchConfigs.push(config);<br />
<br />
var config = {base:"CETAT",value:"cetat",url:"\/search\/cetat",sort:["PERTINENCE","DATE_DESC","DATE_ASC"],defaultTarget:"ALL",targets:"ALL,TITLE,NUM_DEC,ABSTRATS,TEXTE"};<br />
searchConfigs.push(config);<br />
<br />
var config = {base:"JURI",value:"juri",url:"\/search\/juri",sort:["PERTINENCE","DATE_DESC","DATE_ASC"],defaultTarget:"ALL",targets:"ALL,TITLE,NUM_AFFAIRE,ABSTRATS,TEXTE"};<br />
searchConfigs.push(config);<br />
<br />
var config = {base:"JUFI",value:"jufi",url:"\/search\/jufi",sort:["PERTINENCE","DATE_DESC","DATE_ASC"],defaultTarget:"ALL",targets:"ALL,TITLE,NUM_DEC,ABSTRATS,TEXTE"};<br />
searchConfigs.push(config);<br />
<br />
var config = {base:"KALI",value:"kali",url:"\/search\/kali",sort:["PERTINENCE"],defaultTarget:"ALL",targets:"ALL,TITLE,ARTICLE,IDCC"};<br />
searchConfigs.push(config);<br />
<br />
var config = {base:"CNIL",value:"cnil",url:"\/search\/cnil",sort:["PERTINENCE"],defaultTarget:"ALL",targets:"ALL,TITLE,NOR,NUM_DELIB"};<br />
searchConfigs.push(config);<br />
<br />
var config = {base:"ALL",value:"all",url:"\/search\/all",sort:["PERTINENCE"],defaultTarget:"ALL",targets:"ALL,TITLE"};<br />
searchConfigs.push(config);<br />
<br />
var typesSearch = [];<br />
<br />
<br />
var type = {value:"ALL", proximity:true};<br />
typesSearch.push(type);<br />
<br />
var type = {value:"EXACT", proximity:false};<br />
typesSearch.push(type);<br />
<br />
var type = {value:"ONE", proximity:false};<br />
typesSearch.push(type);<br />
<br />
var type = {value:"EXCEPT", proximity:false};<br />
typesSearch.push(type);<br />
<br />
var type = {value:"EXACTEXCEPT", proximity:false};<br />
typesSearch.push(type);<br />
<br />
<br />
var tabTarget = [];<br />
<br />
<br />
/*]]>*/<br />
</script></div><div class="search-select js-collapsible" data-collapsible-close="true"><button id="searchField-control" class="search-select-cta js-collapsible-cta btn-cta btn-field-search" aria-expanded="false" aria-controls="searchField-tip" aria-describedby="label-recherche" type="button" value="ALL" ><span class="text">In all fields</span></button> <div id="searchField-tip" class="search-select-content js-collapsible-content" aria-hidden="true"><span class="arrow" aria-hidden="true"></span><fieldset><legend class="hidden-element"> Select a search field </legend><div class="search-choice"><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-ALL" value="ALL" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;ALL&#39;,&#39;true&#39;)" checked="checked"/> <label class="form-check-label" for="searchField-input-ALL">In all fields</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-TITLE" value="TITLE" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;TITLE&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-TITLE">In the titles</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-TABLE" value="TABLE" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;TABLE&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-TABLE">In the tables of contents</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-NOR" value="NOR" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;NOR&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-NOR">In NOR</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-NUM" value="NUM" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;NUM&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-NUM">In text numbers</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-NUM_DELIB" value="NUM_DELIB" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;NUM_DELIB&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-NUM_DELIB">In the deliberation numbers</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-NUM_DEC" value="NUM_DEC" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;NUM_DEC&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-NUM_DEC">In the numbers of decisions</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-NUM_ARTICLE" value="NUM_ARTICLE" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;NUM_ARTICLE&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-NUM_ARTICLE">In article numbers</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-ARTICLE" value="ARTICLE" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;ARTICLE&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-ARTICLE">In the content of articles</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-MINISTERE" value="MINISTERE" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;MINISTERE&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-MINISTERE">In the names of ministries</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-VISA" value="VISA" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;VISA&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-VISA">In visas</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-NOTICE" value="NOTICE" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;NOTICE&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-NOTICE">In the notices</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-VISA_NOTICE" value="VISA_NOTICE" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;VISA_NOTICE&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-VISA_NOTICE">In visas or notices</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-TRAVAUX_PREP" value="TRAVAUX_PREP" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;TRAVAUX_PREP&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-TRAVAUX_PREP">In the preparatory work</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-SIGNATURE" value="SIGNATURE" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;SIGNATURE&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-SIGNATURE">In the signatures</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-NOTA" value="NOTA" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;NOTA&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-NOTA">In the notas</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-NUM_AFFAIRE" value="NUM_AFFAIRE" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;NUM_AFFAIRE&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-NUM_AFFAIRE">In business numbers</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-ABSTRATS" value="ABSTRATS" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;ABSTRATS&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-ABSTRATS">In the abstrates</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-RESUMES" value="RESUMES" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;RESUMES&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-RESUMES">In summaries</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-TEXTE" value="TEXTE" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;TEXTE&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-TEXTE">In the contents of the texts</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-ECLI" value="ECLI" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;ECLI&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-ECLI">In ECLI</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-NUM_LOI_DEF" value="NUM_LOI_DEF" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;NUM_LOI_DEF&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-NUM_LOI_DEF">In the numbers of referred laws</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-TYPE_DECISION" value="TYPE_DECISION" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;TYPE_DECISION&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-TYPE_DECISION">In the types of decisions rendered</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-NUMERO_INTERNE" value="NUMERO_INTERNE" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;NUMERO_INTERNE&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-NUMERO_INTERNE">In internal numbers</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-REF_PUBLI" value="REF_PUBLI" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;REF_PUBLI&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-REF_PUBLI">In OJ or BO publication references</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-RESUME_CIRC" value="RESUME_CIRC" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;RESUME_CIRC&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-RESUME_CIRC">In summaries</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-TEXTE_REF" value="TEXTE_REF" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;TEXTE_REF&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-TEXTE_REF">In the reference texts</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-TITRE_LOI_DEF" value="TITRE_LOI_DEF" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;TITRE_LOI_DEF&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-TITRE_LOI_DEF">In the titles of referred laws</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-RAISON_SOCIALE" value="RAISON_SOCIALE" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;RAISON_SOCIALE&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-RAISON_SOCIALE">In the social names</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-MOTS_CLES" value="MOTS_CLES" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;MOTS_CLES&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-MOTS_CLES">In the keywords</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-IDCC" value="IDCC" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;IDCC&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-IDCC">In IDCCs</label></div></div></fieldset></div></div><div class="search-input"> <label for="query" class="hidden-element">Ex .: L. 121-1, CGI, 10-15056, fraud, protected adults</label> <input type="text" id="query" name="query" class="text-input" placeholder="Ex. : L. 121-1, CGI, 10-15056, dol, majeurs protégés" onkeyup="validateTroncatureSearchPrecise(&#39;&#39;, &#39;&#39;)"/></div><input type="hidden" name="page" id="page" value="1"/><input type="hidden" name="init" id="init" value="true"/></div><div id="search-precise-facet"></div></div> <button id="submitPreciseSearch" type="submit" class="form-submit search" aria-describedby="label-recherche search-select-filter-content searchField-control"><span aria-hidden="true" class="icon"></span><span class="text">search</span></button></div> <a rel="nofollow" href="/recherche" class="advanced-search">advanced search</a> </form></div></div></div></div></div></header><main role="main" id="main" class="main"><div class="container main-container"><div class="content"><div id="stickyPage"><div class="options"><nav role="navigation"><ul class="precedent-suivant-list"><li class="options-item next-subpart"> <a href="/search/cetat?juridiction=CONSEIL_ETAT&amp;juridiction=COURS_APPEL&amp;page=1&amp;pageSize=10&amp;query=2016%2F679&amp;searchField=ALL&amp;searchType=ALL&amp;sortValue=DATE_DESC&amp;tab_selection=cetat&amp;tab_selection=cetat"><span class="fleche"></span>Back to results</a></li><li class="options-item next-subpart"> <a href="/ceta/id/CETATEXT000042729495?juridiction=CONSEIL_ETAT&amp;juridiction=COURS_APPEL&amp;page=1&amp;pageSize=10&amp;query=2016%2F679&amp;searchField=ALL&amp;searchType=ALL&amp;sortValue=DATE_DESC&amp;tab_selection=cetat&amp;tab_selection=cetat"><span class="fleche">‹</span> Previous result</a></li><li class="options-item next-subpart"> <a href="/ceta/id/CETATEXT000042713077?juridiction=CONSEIL_ETAT&amp;juridiction=COURS_APPEL&amp;page=1&amp;pageSize=10&amp;query=2016%2F679&amp;searchField=ALL&amp;searchType=ALL&amp;sortValue=DATE_DESC&amp;tab_selection=cetat&amp;tab_selection=cetat">Next result <span class="fleche">›</span></a> </li></ul></nav><div class="stickyPageRight"><div class="options-item type-highlight"><input type="checkbox" name="seeHighlight" id="seeHighlightConsult" onclick="javascript:showHideHighlight($(&#39;#seeHighlightConsult&#39;).is(&#39;:checked&#39;))" title="Highlight search terms" data-id="HHHHHHH"/> <label for="seeHighlightConsult">Highlight search terms</label> </div><ul class="options-list"><!--<li class="options-item js-collapsible type-share" data-collapsible-close="true">--><!--<button type="button" class="options-cta js-collapsible-cta" aria-expanded="false" aria-controls="tip-share"--><!--title="Partager sur les réseaux sociaux">--><!--<span class="icon" aria-hidden="true"></span>--><!--<span class="text">Partager <span class="hidden-element">sur les réseaux sociaux</span></span>--><!--</button>--><!--<div id="tip-share" class="options-content js-collapsible-content" aria-hidden="true">--><!--<div class="share">--><!--<ul class="share-list">--><!--<li class="share-item type-twitter">--><!--<a class="share-cta" href="" title="Partager via Twitter">--><!--<span class="icon" aria-hidden="true"></span>--><!--<span class="text">Partager via Twitter</span>--><!--</a>--><!--</li>--><!--<li class="share-item type-fb">--><!--<a class="share-cta" href="" title="Partager via Facebook">--><!--<span class="icon" aria-hidden="true"></span>--><!--<span class="text">Partager via Facebook</span>--><!--</a>--><!--</li>--><!--<li class="share-item type-mail">--><!--<a class="share-cta" href="mailto:?body=Texte" title="Partager par e-mail">--><!--<span class="icon" aria-hidden="true"></span>--><!--<span class="text">Partager par e-mail</span>--><!--</a>--><!--</li>--><!--</ul>--><!--</div>--><!--</div>--><!--</li>--><!--&lt;!&ndash; @DEV : ajouter la classe .is-fav et changer le texte en "Retirer des..." lorsque la page est déjà en favori (ne pas oublier le title) &ndash;&gt;--><!--<li class="options-item type-fav">--><!--<button type="button" class="options-cta" title="Ajouter en favoris">--><!--<span class="icon" aria-hidden="true"></span>--><!--<span class="text"><span class="hidden-element">Ajouter en</span>Favoris</span>--><!--</button>--><!--</li>--><li class="options-item type-print"> <button type="button" class="options-cta" title="Print page"><span class="icon" aria-hidden="true"></span><span class="text">To print</span></button></li><li class="options-item type-copy"> <button type="button" class="copy-cta" title="Copy text" isRunning="true"><span class="icon" aria-hidden="true"></span><span class="text">Copy text</span></button> </li><!--<li class="options-item type-download">--><!--<a href="#" class="options-cta" title="Télécharger au format PDF">--><!--<span class="icon" aria-hidden="true"></span>--><!--<span class="text">Télécharger <span class="hidden-element">au format PDF</span></span>--><!--</a>--><!--</li>--></ul></div></div></div><div class="main-col"><h1 class="main-title"> Council of State, Specialized training, 12/21/2020, 433555, Unpublished in Lebon collection</h1><div class="frame-block print-sommaire"><div><h2 class="title horsAbstract print-black"> Council of State - Specialized training</h2><ul><li> No. 433555</li><li> ECLI: FR: CEFSP: 2020: 433555.20201221</li><li> Unpublished in the Lebon collection</li></ul></div><div><div class="h2 title horsAbstract print-black"> Monday, December 21, 2020 reading</div></div></div><div class="frame-block print-sommaire"><div><dt> Reporter</dt><dd> Mr. Philippe Josse</dd></div><div><dt> Public reporter</dt><dd> Mr. Guillaume Odinet-fs</dd></div><div><dt> Lawyer (s)</dt><dd> SCP THOUIN-PALAT, BOUCARD </dd></div></div><div id="stickyScrollDefault"></div><div id="overlayContent"><div id="spin"><div></div><div></div><div></div><div></div><div></div><div></div><div></div><div></div></div></div><div class="content-page"><h2 class="title">Full Text</h2><div class="intro"> <strong>FRENCH REPUBLIC</strong><br /> <strong>IN THE NAME OF THE FRENCH PEOPLE</strong><br /><br /></div><div> Considering the following procedure:<br/><br/> By a request, registered on August 13, 2019 at the litigation secretariat, Mrs. B ... A ... asks the Council of State:<br/><br/> 1 °) annul the decision of 25 March 2019 by which the Minister of the Interior refused her access to data likely to concern her appearing in the Schengen Information System (N-SIS II), as a State security would be concerned;<br/><br/> 2) to order the Minister of the Interior to erase the data concerning him which appears illegally in this file;<br/><br/> 3) to charge the State with the payment to SCP Thouin-Palat and Boucard, its lawyer, of a sum of 2,800 euros under Articles L. 761-1 of the Administrative Justice Code and 37 of the law of July 10, 1991.<br/><br/><br/> Having regard to the other documents in the file;<br/><br/> Seen:<br/><br/> - Regulation (EU) 2016/679 of the European Parliament and of the Council of April 27, 2016 on the protection of individuals with regard to the processing of personal data and on the free movement of such data;<br/> - the code of internal security;<br/> - Law n ° 78-17 of January 6, 1978;<br/> - Law n ° 91-647 of July 10, 1991;<br/> - Decree n ° 2005-1309 of October 20, 2005;<br/> - Decree No. 2019-536 of May 29, 2019;<br/> - the code of administrative justice;<br/><br/><br/> After having summoned to a closed session, on the one hand, Mrs. A ... and the SCP Thouin-Palat and Boucard, his lawyer, and, on the other hand, the Minister of the Interior and the National Commission data processing and freedoms, which were given the opportunity to speak before the conclusions;<br/><br/> And after hearing during the session:<br/><br/> - the report by Mr. Philippe Josse, State Councilor,<br/><br/> - and, without the presence of the parties, the conclusions of Mr. Guillaume Odinet, public rapporteur;<br/><br/><br/><br/> Considering the following:<br/><br/> 1. Under the provisions of articles 70-18 et seq. Of the law of January 6, 1978 relating to data processing, files and freedoms, resulting from law n ° 2018-693 of June 20, 2018, applicable to the procedure involved and now included in Articles 104 et seq. of the same law, in the wording resulting from Ordinance No. 2018-1125 of 12 December 2018, when the processing of personal data is carried out for the purposes of prevention and the detection, investigation and prosecution of criminal offenses or the execution of criminal sanctions, including protection against threats to public security or the prevention of such threats, the data subject has the right to obtain from the controller confirmation that personal data concerning him or her are or are not processed and, when they are, the right to access these data as well as certain information, to request rectification, complement, the eff acement of this data or limit its processing. The data controller may however delay or limit the communication of this data, or refuse access to it, under the conditions provided for in article 70-21 of the law, applicable to the procedure in question and now included in article 107 of the same law.<br/><br/> 2. Pursuant to article 31 of the law of January 6, 1978, the processing of personal data carried out on behalf of the State and involving State security, defense or public security is authorized by order of the competent minister (s), taken after a reasoned opinion from the National Commission for Information Technology and Freedoms (CNIL), published with the order authorizing the processing. Those of these treatments which relate to the data mentioned in I of article 6 of the same law must be authorized by decree in Council of State taken after a reasoned opinion of the Commission, published with this decree. A Council of State decree may exempt from publication the regulatory act authorizing the implementation of these treatments; the meaning of the opinion issued by the CNIL is then published with this decree.<br/><br/> 3. Article L. 841-2 of the Internal Security Code provides that the Council of State is competent to hear, under the conditions provided for in Chapter III bis of Title VII of Book VII of the Code of Administrative Justice, requests concerning the implementation of the right of access to personal data and of interest to State security or defense which are contained in the processing carried out on behalf of the State, the list of which is fixed by decree in Board of state. By virtue of article R. 841-2 of the same code, the file called N-SIS II provided for by point 1 of article R. 231-3 of the internal security code is included in the number of these treatments, for the only data concerning the security of the State mentioned in 3 ° of article R. 231-8 of this code;<br/><br/> 4. Article L. 773-8 of the administrative justice code provides that, when it deals with requests relating to the implementation of article 41, now article 118 of the law of January 6, 1978: &quot;the formation of the judgment is based on the elements contained, if any, in the treatment without revealing them or revealing whether or not the applicant is included in the treatment. However, when it finds that the treatment or the part of the treatment which is the subject of the dispute includes personal data concerning him which is inaccurate, incomplete, equivocal or out of date, or whose collection, use, communication or conservation is prohibited, it informs the applicant, without mentioning any element protected by the secrecy of national defense. It can order that these data be, according to the cases, rectified, updated or erased. Seized of conclusions in this direction, it can compensate the applicant &quot;. Article R. 773-20 of the same code specifies that: &quot;The defendant indicates to the Council of State, when filing his briefs and documents, the passages of his productions and, where applicable, of those of the Commission national control of intelligence techniques, which are protected by national defense secrecy. / The briefs and attachments produced by the defendant and, where applicable, by the National Commission for the control of intelligence techniques are communicated to the applicant , with the exception of passages from briefs and documents which either contain information protected by national defense secrecy, or confirm or deny the implementation of an intelligence technique with regard to the applicant, or disclose elements contained in the data processing, either reveal that the requester appears or does not appear in the processing. / When an intervention is formed, the president of the specialized formation orders, if necessary , that the brief be communicated to the parties, and to the National Commission for the Control of Intelligence Techniques, under the same conditions and subject to the same reservations as those mentioned in the previous paragraph &quot;.<br/><br/> 5. It appears from the documents in the file that Mrs. A ... seized the Minister of the Interior, in application of articles 70-19 and 70-20 of the law of January 6, 1978, then applicable and now included in articles 105 and 106 of the law of January 6, 1978, a request for access to data likely to concern it appearing in the N-SIS II file and of interest to State security. By decision of March 25, 2019, the Minister of the Interior refused to provide him with the requested data. Mrs A ... asks the annulment of this refusal, to order the Minister to proceed with the erasure of the data in question and to charge the State for the payment of a sum of 2,800 euros for Articles L. 761-1 of the Administrative Justice Code and 37 of the Law of July 10, 1991.<br/><br/> 6. The Minister of the Interior communicated to the Council of State, under the conditions provided for in Article R. 773-20 of the Code of Administrative Justice, the information relating to the situation of the person concerned.<br/><br/> 7. It belongs to the specialized training, created by article L. 773-2 of the code of administrative justice, seized of conclusions directed against the refusal to communicate the data relating to a person who claims to be mentioned in a file appearing in the Article R. 841-2 of the Internal Security Code, to verify, in view of the information communicated to him outside the adversarial procedure, whether the applicant is or is not in the contested file. If so, it is for him to assess whether the data appearing therein are relevant with regard to the purposes pursued by this file, adequate and proportionate. To do this, it may automatically raise any means as provided for in Article L. 773-5 of the Code of Administrative Justice. When it appears either that the applicant is not mentioned in the contested file or that the personal data concerning him which appear therein are not vitiated by any illegality, the formation of judgment rejects the conclusions of the applicant without further clarification. In the event that information relating to the applicant appears in the contested file and appears to be tainted with illegality, either because the personal data concerning him are inaccurate, incomplete, equivocal or out of date or because their collection, use, communication or consultation is prohibited, it informs the applicant without mentioning any element protected by national defense secrecy. This circumstance, if applicable automatically raised by the judge under the conditions provided for in Article R. 773-21 of the Administrative Justice Code, necessarily implies that the authority managing the file restores legality by erasing or rectifying, to the extent necessary, illegal data. In such a case, the implied decision refusing to proceed with such erasure or rectification must be annulled.<br/><br/> 8. The specialized training examined the information provided by the Minister, in view of the observations of the CNIL. This examination was carried out according to the methods described in the previous point, which do not disregard the provisions of Articles 15 and 23 of the aforementioned Regulation of the European Parliament and of the Council of 27 April 2016, contrary to what is supported, and did not revealed no illegality. It follows from there that the conclusions of Mrs. A ..., who can not usefully take advantage of that the decision which it attacks would be insufficiently motivated, must be rejected, including its conclusions for the purposes of injunction and application of article L. 761-1 of the code of administrative justice.<br/><br/><br/><br/> DECIDES:<br/> --------------<br/><br/> Article 1: The request of Mrs. A ... is rejected.<br/> Article 2: This decision will be notified to Mrs. B ... A ... and to the Minister of the Interior.<br/> A copy will be sent to the National Commission for Informatics and Liberties.<br/><br/><RECH_ECLI> ECLI: FR: CEFSP: 2020: 433555.20201221</RECH_ECLI></div></div></div></div><!-- Marquage Xiti. --><script><br />
/*<![CDATA[*/<br />
// Creation d'un tag avec envoi en mode securise.<br />
var tag = new ATInternet.Tracker.Tag();<br />
// Marquage de la page avec son niveau 2.<br />
tag.page.set({<br />
level2 : '60'<br />
});<br />
// Envoi du hit.<br />
tag.dispatch();<br />
/*]]>*/<br />
</script><a class="back-top" href="#top"><span class="hidden-element">Return to the top of the page</span></a> </div></main><div id="stickyScroll" style="display:none"><div class="stickyScrollFirstRow"><div class="content" id="stickyScrollTitre"> <label class="ssTitre" style='font-size:1.125em;color:#4a5e81;' defaultValue="Conseil d&#39;État, Formation spécialisée, 21/12/2020, 433555, Inédit au recueil Lebon">Council of State, Specialized training, 12/21/2020, 433555, Unpublished in the Lebon collection</label> <span class="ssTooltip"><span >Conseil d&#39;État, Specialized training, 21/12/2020, 433555, Unpublished in the Lebon collection</span></span> </div></div><div class="stickyScrollSecondRow"><nav role="navigation"><ul class="precedent-suivant-list"><div class="precedent-suivant-list-left"><li class="options-item-btnResults"> <a href="/search/cetat?juridiction=CONSEIL_ETAT&amp;juridiction=COURS_APPEL&amp;page=1&amp;pageSize=10&amp;query=2016%2F679&amp;searchField=ALL&amp;searchType=ALL&amp;sortValue=DATE_DESC&amp;tab_selection=cetat&amp;tab_selection=cetat"><span class="fleche">←</span> Back to results</a></li><li class="options-item-btnPrevNextResults"> <a href="/ceta/id/CETATEXT000042729495?juridiction=CONSEIL_ETAT&amp;juridiction=COURS_APPEL&amp;page=1&amp;pageSize=10&amp;query=2016%2F679&amp;searchField=ALL&amp;searchType=ALL&amp;sortValue=DATE_DESC&amp;tab_selection=cetat&amp;tab_selection=cetat"><span class="fleche">‹</span> Previous result</a></li><li class="options-item-btnPrevNextResults"> <a href="/ceta/id/CETATEXT000042713077?juridiction=CONSEIL_ETAT&amp;juridiction=COURS_APPEL&amp;page=1&amp;pageSize=10&amp;query=2016%2F679&amp;searchField=ALL&amp;searchType=ALL&amp;sortValue=DATE_DESC&amp;tab_selection=cetat&amp;tab_selection=cetat">Next result <span class="fleche">›</span></a> </li><!--&nbsp; --></div><div class="precedent-suivant-list-right"></div></ul></nav></div></div><div class="modal fade" id="modal-timeline" tabindex="-1" role="dialog" aria-label="Chronologie des versions de l’article" aria-hidden="true"></div><div class="modal fade" id="modal-compare" tabindex="-1" role="dialog" aria-label="Comparaison entre les versions des articles" aria-hidden="true"><div id="content_compare" class="modal-dialog chronolegi compare" role="document"><div class="modal-content" id="modaleComparaisonContenu"><div class="loader"></div></div></div></div><div id="idCookiesModal" class="cookiesModal"><form class="cookiesModal-content"> <span class="cookiesModalBtnClose" title="To close">×</span><div class="cookiesContainer"><p class="cookiesModalTitre"> <span id="cookiesModalName">Cookies</span> is disabled.</p><p> Authorize the deposit of cookies to access this functionality</p><div class="clearfix"> <button type="button" class="cookiesAcceptBtn">Allow</button> <button type="button" class="cookiesPersonaliseBtn">Customize</button> </div></div></form></div><input id="anchor-to-go" type="hidden" value=""/><footer role="contentinfo"><div class="footer"><div class="container"><ul><li> <a href="/contenu/pied-de-page/a-propos-de-cette-version">About this version</a></li><li> <a href="/contenu/pied-de-page/mentions-legales">Legal Notice</a></li><li> <a href="/contenu/pied-de-page/politique-de-confidentialite">privacy policy</a></li><li> <a href="/contenu/pied-de-page/plan-du-site">Sitemap</a></li><li> <a href="/contenu/pied-de-page/open-data-et-api">Open data and API</a></li><li> <a href="/contenu/pied-de-page/accessibilite-partiellement-conforme">Accessibility: partially compliant</a></li></ul><ul><li> <a href="https://www.service-public.fr/" target="_blank" title="service-public.fr (new window)" rel="noopener noreferrer">service-public.fr</a></li><li> <a href="https://www.data.gouv.fr/fr/" target="_blank" title="data.gouv.fr (new window)" rel="noopener noreferrer">data.gouv.fr</a></li><li> <a href="https://code.travail.gouv.fr/" target="_blank" title="Digital Labor Code (new window)" rel="noopener noreferrer">Digital Labor Code</a></li><li> <a href="https://www.gouvernement.fr/" target="_blank" title="government.fr (new window)" rel="noopener noreferrer">government.fr</a></li><li> <a href="https://www.france.fr/fr" target="_blank" title="france.fr (new window)" rel="noopener noreferrer">france.fr</a> </li></ul></div></div></footer></div></div><div id="hotjar_local" data-state="minimized" data-minimized-position="middle_right" data-device="desktop" data-viewmode="desktop"><div id="hotjar_local_minimized"><div class="hotjar_local_minimized_label"><div class="hotjar_local_minimized_label_text"> Your opinion</div></div></div></div><!-- Gestion Cookie Tarteaucitron --><script type="text/javascript"><br />
(tarteaucitron.job = tarteaucitron.job || []).push('hotjar');<br />
</script><script type="text/javascript"><br />
tarteaucitron.user.atLibUrl = '/resources/scripts/smartTag/smarttag.js';<br />
tarteaucitron.user.atMore = function () { /* add here your optionnal ATInternet.Tracker.Tag configuration */ };<br />
(tarteaucitron.job = tarteaucitron.job || []).push('atinternet');<br />
</script><script async type="text/javascript" src="/_Incapsula_Resource?SWJIYLWA=719d34d31c8e3a6e6fffd425f7e032f3&ns=1&cb=1037914188"></script></body></html><br />
</pre></div>Tsekhttps://gdprhub.eu/index.php?title=CE_-_433555&diff=13151CE - 4335552021-01-04T21:39:00Z<p>Tsek: Created page with "{{COURTdecisionBOX |Jurisdiction=France |Court-BG-Color= |Courtlogo=Courts_logo1.png |Court_Abbrevation=CE |Court_With_Country=CE (France) |Case_Number_Name=433555 |ECLI=ECL..."</p>
<hr />
<div>{{COURTdecisionBOX<br />
<br />
|Jurisdiction=France<br />
|Court-BG-Color=<br />
|Courtlogo=Courts_logo1.png<br />
|Court_Abbrevation=CE<br />
|Court_With_Country=CE (France)<br />
<br />
|Case_Number_Name=433555<br />
|ECLI=ECLI:FR:CEFSP:2020:433555.20201221<br />
<br />
|Original_Source_Name_1=Legifrance<br />
|Original_Source_Link_1=https://www.legifrance.gouv.fr/ceta/id/CETATEXT000042713078?tab_selection=cetat&searchField=ALL&query=2016%2F679&searchType=ALL&juridiction=CONSEIL_ETAT&juridiction=COURS_APPEL&sortValue=DATE_DESC&pageSize=10&page=1&tab_selection=cetat&anchor=cetat#cetat<br />
|Original_Source_Language_1=French<br />
|Original_Source_Language__Code_1=FR<br />
<br />
|Date_Decided=21.12.2020<br />
|Date_Published=<br />
|Year=2020<br />
<br />
|GDPR_Article_1=Article 15 GDPR<br />
|GDPR_Article_Link_1=Article 15 GDPR<br />
|GDPR_Article_2=Article 23 GDPR<br />
|GDPR_Article_Link_2=Article 23 GDPR<br />
<br />
<br />
|National_Law_Name_1=Article L. 773-8 du code de justice administrative<br />
|National_Law_Link_1=https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000037825316<br />
<br />
|Party_Name_1=Ministère de l'Intérieur<br />
|Party_Link_1=https://www.interieur.gouv.fr/<br />
|Party_Name_2=Mme A<br />
|Party_Link_2=<br />
|Party_Name_3=CNIL<br />
|Party_Link_3=https://www.cnil.fr/<br />
|Party_Name_4=<br />
|Party_Link_4=<br />
|Party_Name_5=<br />
|Party_Link_5=<br />
<br />
|Appeal_From_Body=<br />
|Appeal_From_Case_Number_Name=<br />
|Appeal_From_Status=<br />
|Appeal_From_Link=<br />
|Appeal_To_Body=<br />
|Appeal_To_Case_Number_Name=<br />
|Appeal_To_Status=Not appealed<br />
|Appeal_To_Link=<br />
<br />
|Initial_Contributor=Kest<br />
|<br />
}}<br />
<br />
The French Administrative Supreme Court held that the legal procedure applicable to the exercise of the right of access and the right to erasure of personal data processed for national security purposes is compliant with Article 15 and 23 GDPR.<br />
<br />
== English Summary ==<br />
<br />
=== Facts ===<br />
The Applicant claims that his name is registered on French National Schengen Information System (“N-SIS II database”). Under Regulation (EU) 2018/1862, the Schengen Information System is composed of, on one hand, a central system (“C-SIS”), and, on the other hand, national systems (“N-SIS”) that communicate with the central system. The system as a whole allows Member States to share alerts on persons for several purposes.<br />
<br />
The applicant exercised his rights of access and deletion against the Ministry of the Interior (“Ministère de l’intérieur”), without success. She then petitioned the French DPA (“CNIL”), with the same outcome. In this context, she seeks the annulment of the Ministry’s decision before the French Administrative Supreme Court (“Conseil d’Etat”).<br />
<br />
As it appeared during the proceedings, her demand was processed according to the procedure applicable to data processed for national security purposes. The applicant demands that the Court reviews the lawfulness of this procedure and the decision of the Ministry.<br />
<br />
<br />
=== Dispute ===<br />
Is French procedural law applicable to the exercise of the right of access and the right to erasure in the context of personal data processed for national safety purposes compliant with Article 15 and 23 GDPR?<br />
<br />
=== Holding ===<br />
The Court finds that the applicant’s petitions have been lawfully processed. According to Article L773-1 to 773-8 of the Administrative Justice Code (“Code de la Justice administrative”), a specific panel of judges reviews the application. The defendant has limited access to the file. <br />
<br />
If the alleged data do not exist or are lawfully processed, the application is rejected without further indication. However, if the processing is found unlawful, the applicant is informed of this outcome, and the decision specifies the reason. The Court mentions legal reasons laid down by Article L773-8 of the Administrative justice Code: personal data are incorrect, incomplete, ambiguous or out of date or their collection, utilisation, communication or storage are prohibited.<br />
<br />
The Court finds this process compliant with Article 15 GDPR, on the right to access, and Article 23 GDPR on restrictions to the rights of data subject by legislative measures. Subsequently, it finds that the Ministry of Interior has acted pursuant to this procedure and thus lawfully. <br />
<br />
Regarding the rights exercised by the data subject, the Court rejects the demands on the basis of their own review of the file.<br />
<br />
<br />
== Comment ==<br />
Regarding the review of the compliance with Article 15 and 23 GDPR, the Court only indicates the outcome of its review. The reasonning itself is not displayed. Furthemore, the opinion of the Rapporteur public has not been published.<br />
<br />
The Adminsitrative Supreme Court issued a similar decision on the same day : CE, 21 december 2020, n° 433554, M. B v. Ministry of Interior<br />
<br />
== Further Resources ==<br />
''Share blogs or news articles here!''<br />
<br />
== English Machine Translation of the Decision ==<br />
The decision below is a machine translation of the French original. Please refer to the French original for more details.<br />
<br />
<pre><br />
<!DOCTYPE html><html lang="fr" class="no-js" dir="ltr"><head><title>Council of State, Specialized training, 21/12/2020, 433555, Unpublished in the Lebon - Légifrance collection </title><meta charset="utf-8"/><meta http-equiv="X-UA-Compatible" content="IE=edge"/><meta name="viewport" content="width=device-width, initial-scale=1"/><meta name="description" content="Council of State, Specialized training, 12/21/2020, 433555, Unpublished in Lebon collection"/><meta name="author" content=""/><meta name="format-detection" content="telephone=no"/><meta name="_csrf" content="9575f6bd-4d36-4426-9a6f-f252144ea03d"/><meta name="_csrf_header" content="X-CSRF-TOKEN"/><meta name="robots" content="index, follow"><link rel="Shortcut icon" type="image/x-icon" href="/resources/images/favicon.ico"/><link rel="icon" sizes="16x16 32x32 48x48 64x64" href="/resources/images/favicon.ico"/><link rel="apple-touch-icon" href="/resources/images/favicon-152.png"/><!-- Optional: IE10 Tile. --><meta name="msapplication-TileColor" content="#FFFFFF"/><meta name="msapplication-TileImage" content="/resources/images/favicon-144.png"/><!-- Optional: ipads, androids, iphones, ... --><link rel="apple-touch-icon" sizes="152x152" href="/resources/images/favicon-152.png"/><link rel="apple-touch-icon" sizes="144x144" href="/resources/images/favicon-144.png"/><link rel="apple-touch-icon" sizes="120x120" href="/resources/images/favicon-120.png"/><link rel="apple-touch-icon" sizes="114x114" href="/resources/images/favicon-114.png"/><link rel="apple-touch-icon" sizes="72x72" href="/resources/images/favicon-72.png"/><link rel="apple-touch-icon" href="/resources/images/favicon-57.png"/><!--[if lt IE 9]><script src="https://oss.maxcdn.com/html5shiv/3.7.2/html5shiv.min.js"></script><script src="https://oss.maxcdn.com/respond/1.4.2/respond.min.js"></script><![endif]--><link rel="stylesheet" type="text/css" href="/resources/css/vendors/introjs.css" /><link rel="stylesheet" type="text/css" href="/resources/css/vendors/introjs-legi.css" /><link rel="stylesheet" type="text/css" href="/resources/css/vendors/tarteaucitron.css" /><link rel="stylesheet" type="text/css" href="/resources/css/legifrance.css" /><!-- Gestion du onboarding --><script type="text/javascript">displayOnboarding = false;</script><script src="/webjars/jquery/2.2.4/jquery.min.js"></script><script src="/webjars/bootstrap/4.1.3/js/bootstrap.min.js"></script><script src="/webjars/js-cookie/2.2.0/js.cookie.js"></script><script src="/resources/scripts/vendors/jquery-accessible-accordion-aria.js"></script><script src="/resources/scripts/vendors/jquery-accessible-tabs.js"></script><script src="/resources/scripts/vendors/modernizr.js"></script><script src="/resources/scripts/vendors/jquery.easy-autocomplete.js"></script><script src="/resources/scripts/vendors/jquery-accessible-simple-tooltip-aria.js"></script><script src="/resources/scripts/vendors/datepicker-fr.min.js"></script><script src="/resources/scripts/vendors/datepicker.min.js"></script><!-- <script th:src="@{/resources/scripts/vendors/datatable.js}"></script> --><script src="/resources/scripts/vendors/intro.js"></script><script src="/resources/scripts/legifrance.js"></script><!-- Gestion des cookies --><script type="text/javascript" src="/resources/scripts/tarteaucitron/tarteaucitron.js"></script><script type="text/javascript">tarteaucitron.user.hotjarId = 1420898;tarteaucitron.user.HotjarSv = 6;</script><!-- A mettre en commentaire si tarteaucitron activé !important --><!-- <script th:inline="javascript" th:remove="${hotjar==null or #strings.isEmpty(hotjar)}? all"><br />
/*<![CDATA[*/ <br />
(function(h,o,t,j,a,r){<br />
h.hj=h.hj||function(){(h.hj.q=h.hj.q||[]).push(arguments)};<br />
h._hjSettings={hjid:/*1420898*/,hjsv:6};<br />
a=o.getElementsByTagName('head')[0];<br />
r=o.createElement('script');r.async=1;<br />
r.src=t+h._hjSettings.hjid+j+h._hjSettings.hjsv;<br />
a.appendChild(r);<br />
})(window,document,'https://static.hotjar.com/c/hotjar-','.js?sv=');<br />
/*]]>*/<br />
</script>--><!-- Marquage Xiti : Calcul des variables dependants de l'environnement. --><script><br />
/*<![CDATA[*/<br />
var computedSite = 124093;<br />
var computedCollectDomain = "logp4.xiti.com";<br />
var computedCollectDomainSSL = "logs4.xiti.com";<br />
var computedCookieDomain = "legifrance.gouv.fr";<br />
/*]]>*/<br />
</script><!-- Marquage Xiti : Chargement du javascript dedie avec specialisation des variables. --><script src="/resources/scripts/smartTag/smarttag.js"></script><!-- <link rel="stylesheet" type="text/css" href="http://cdn.datatables.net/1.10.19/css/jquery.dataTables.min.css">--><!-- Donnée structurée Logo --><script type="application/ld+json"><br />
{<br />
"@context": "http://schema.org",<br />
"@type": "Organization",<br />
"url": "https://www.legifrance.gouv.fr",<br />
"logo": "https://www.legifrance.gouv.fr/contenu/logo"<br />
}<br />
</script><!-- Données structurées Breadcrumb --><script type="application/ld+json"><br />
{<br />
"@context": "http://schema.org",<br />
"@type": "BreadcrumbList",<br />
"itemListElement": [<br />
{<br />
"@type": "ListItem",<br />
"position": 1,<br />
"item": {<br />
"@id": "https://www.legifrance.gouv.fr/contenu/menu/droit-national-en-vigueur",<br />
"name": "Droit national en vigueur"<br />
}<br />
},<br />
{<br />
"@type": "ListItem",<br />
"position": 2,<br />
"item": {<br />
"@id": "https://www.legifrance.gouv.fr/contenu/menu/droit-national-en-vigueur/jurisprudence",<br />
"name": "Jurisprudence"<br />
}<br />
},<br />
{<br />
"@type": "ListItem",<br />
"position": 3,<br />
"item": {<br />
"@id": "https://www.legifrance.gouv.fr/search/cetat?tab_selection=cetat&searchField=ALL&query=&page=1&init=true",<br />
"name": "Jurisprudence administrative"<br />
}<br />
},<br />
{<br />
"@type": "ListItem",<br />
"position": 4,<br />
"item": {<br />
"@id": "https://www.legifrance.gouv.fr/ceta/id/CETATEXT000042713078",<br />
"name": "Conseil d'État, Formation spécialisée, 21/12/2020, 433555, Inédit au recueil Lebon"<br />
}<br />
}<br />
]<br />
}<br />
</script><!-- Données structurées Searchbox --></head><body class="consultation-jurisprudence"><div id="scrollable-area"><noscript><p class="js-off"> Javascript is disabled in your browser. </p></noscript><!--[if lt IE 8]><div class="browsehappy"><div class="container"><p>Savez-vous que votre navigateur est obsolète ?</p><p>Pour naviguer de la manière la plus satisfaisante sur le Web, nous vous recommandons de procéder à une <a href="http://windows.microsoft.com/fr-fr/internet-explorer/download-ie">mise à jour de votre navigateur</a>.<br />
<br>Vous pouvez aussi <a href="http://browsehappy.com/">essayer d’autres navigateurs web populaires</a>.<br />
</p></div></div><![endif]--><div class="print-page"><header role="banner"><div class="skip-link"><div class="container" id="top"><ul><li> <a href="#main">Skip to content</a></li><li class="only-desktop"> <a href="#navigation">Go to menu</a></li><li class="only-tactile"> <a href="#navigation-mobile">Go to menu</a></li><li> <a href="#search-container">Go to search</a> </li></ul></div></div><div class="header-top menu-mobile"><div class="container"><div class="top-content"><ul class="logos block-link"><li><img class="logo-rf" alt="French Republic. Liberty, Equality, Fraternity." src="/contenu/logo-mobile-rf"<br />
/></li><li> <a href="/"><span><img class="logo-legifrance" alt="Home Légifrance.fr - the public service for the dissemination of law" src="/contenu/logo-mobile"<br />
/></span></a></li></ul><div class="container-block"><div class="quick-access"></div> <button class="button-burger" type="button"><span class="hidden-element">Menu</span><span class="icon" aria-hidden="true"></span></button> </div></div><div class="menu-block" style="display:none;"><div><nav id="navigation-mobile" class="main-menu mobile" role="navigation" aria-label="navigation principale"><ul class="level-one"><li></li><li class="menu-item expanded"> <a href="/contenu/menu/droit-national-en-vigueur"<br />
title="National law in force" role="button"><span>National law<br> in force</span></a><ul class="sub-menu level-two"><li class="menu-item expanded"> <a href="/contenu/menu/droit-national-en-vigueur/constitution" title="Constitution">Constitution</a><ul class="sub-menu level-three"><li class="menu-item"> <a<br />
href="/loda/id/JORFTEXT000000571356/2019-07-01/" rel="noopener noreferrer" title="Constitution of October 4, 1958" >Constitution of October 4, 1958</a></li><li class="menu-item"> <a<br />
href="/contenu/menu/droit-national-en-vigueur/constitution/declaration-des-droits-de-l-homme-et-du-citoyen-de-1789" title="Declaration of the Rights of Man and of the Citizen of 1789">Declaration of the Rights of Man and of the Citizen of 1789</a></li><li class="menu-item"> <a<br />
href="/contenu/menu/droit-national-en-vigueur/constitution/preambule-de-la-constitution-du-27-octobre-1946" title="Preamble to the Constitution of October 27, 1946">Preamble to the Constitution of October 27, 1946</a></li><li class="menu-item"> <a<br />
href="/contenu/menu/droit-national-en-vigueur/constitution/charte-de-l-environnement" title="Environmental charter">Environmental charter</a></li></ul></li><li class="menu-item "> <a href="/liste/code?etatTexte=VIGUEUR&amp;etatTexte=VIGUEUR_DIFF" rel="noopener noreferrer" title="Codes" >Codes</a><ul class="sub-menu level-three"></ul></li><li class="menu-item "> <a href="/liste/lois?etatTexte=VIGUEUR&amp;etatTexte=ABROGE_DIFF" rel="noopener noreferrer" title="Consolidated texts" >Consolidated texts</a><ul class="sub-menu level-three"></ul></li><li class="menu-item expanded"> <a href="/contenu/menu/droit-national-en-vigueur/jurisprudence" title="Case law">Case law</a><ul class="sub-menu level-three"><li class="menu-item"> <a<br />
href="/search/constit?tab_selection=constit&amp;searchField=ALL&amp;query=&amp;page=1&amp;init=true" rel="noopener noreferrer" title="Constitutional case law" >Constitutional case law</a></li><li class="menu-item"> <a<br />
href="/search/cetat?tab_selection=cetat&amp;searchField=ALL&amp;query=&amp;page=1&amp;init=true" rel="noopener noreferrer" title="Administrative case law" >Administrative case law</a></li><li class="menu-item"> <a<br />
href="/search/juri?tab_selection=juri&amp;searchField=ALL&amp;query=&amp;page=1&amp;init=true" rel="noopener noreferrer" title="Judicial case law" >Judicial case law</a></li><li class="menu-item"> <a<br />
href="/search/jufi?tab_selection=jufi&amp;searchField=ALL&amp;query=&amp;page=1&amp;init=true" rel="noopener noreferrer" title="Financial case law" >Financial case law</a></li></ul></li><li class="menu-item "> <a href="/liste/circ" rel="noopener noreferrer" title="Circulars and Instructions" >Circulars and Instructions</a><ul class="sub-menu level-three"></ul></li><li class="menu-item expanded"> <a href="/contenu/menu/droit-national-en-vigueur/accords-collectifs" title="Collective agreements">Collective agreements</a><ul class="sub-menu level-three"><li class="menu-item"> <a<br />
href="/liste/idcc?facetteTexteBase=TEXTE_BASE&amp;facetteEtat=VIGUEUR&amp;facetteEtat=VIGUEUR_ETEN&amp;facetteEtat=VIGUEUR_NON_ETEN&amp;sortValue=DATE_UPDATE&amp;pageSize=50&amp;page=1&amp;tab_selection=all#idcc" rel="noopener noreferrer" title="Branch agreements and collective agreements" >Branch agreements and collective agreements</a></li><li class="menu-item"> <a<br />
href="/liste/acco" rel="noopener noreferrer" title="Company agreements" >Company agreements</a></li></ul></li></ul></li><li class="menu-item expanded"> <a href="/contenu/menu/publications-officielles"<br />
title="Official publications" role="button"><span>Publications<br> official</span></a><ul class="sub-menu level-two"><li class="menu-item "> <a href="/contenu/menu/publications-officielles/bulletins-officiels" title="Official bulletins">Official bulletins</a><ul class="sub-menu level-three"></ul></li><li class="menu-item "> <a href="/liste/bocc" rel="noopener noreferrer" title="Official collective agreement bulletins" >Official collective agreement bulletins</a><ul class="sub-menu level-three"></ul></li><li class="menu-item "> <a href="/jorf/jo" rel="noopener noreferrer" title="Official newspaper" >Official newspaper</a><ul class="sub-menu level-three"></ul></li><li class="menu-item "> <a href="/liste/debatsParlementaires" rel="noopener noreferrer" title="Parliamentary debates" >Parliamentary debates</a><ul class="sub-menu level-three"></ul></li><li class="menu-item "> <a href="/liste/questionsEcritesParlementaires" rel="noopener noreferrer" title="Parliamentary written questions" >Parliamentary written questions</a><ul class="sub-menu level-three"></ul></li><li class="menu-item "> <a href="/liste/docAdmin" rel="noopener noreferrer" title="Administrative documents" >Administrative documents</a><ul class="sub-menu level-three"></ul></li></ul></li><li class="menu-item expanded"> <a href="/contenu/menu/autour-de-la-loi"<br />
title="Around the law" role="button"><span>Around<br> of the law</span></a><ul class="sub-menu level-two"><li class="menu-item expanded"> <a href="/contenu/menu/autour-de-la-loi/codification" title="Codification">Codification</a><ul class="sub-menu level-three"><li class="menu-item"> <a<br />
href="/contenu/menu/autour-de-la-loi/codification/rapports-annuels-de-la-commission-superieure-de-codification" title="Annual reports of the Higher Codification Commission">Annual reports of the Higher Codification Commission</a></li><li class="menu-item"> <a<br />
href="/contenu/menu/autour-de-la-loi/codification/tables-de-concordance" title="Concordance tables">Concordance tables</a></li></ul></li><li class="menu-item expanded"> <a href="/contenu/menu/autour-de-la-loi/legislatif-et-reglementaire" title="Legislative and regulatory">Legislative and regulatory</a><ul class="sub-menu level-three"><li class="menu-item"> <a<br />
href="/liste/legislatures" rel="noopener noreferrer" title="Legislative files" >Legislative files</a></li><li class="menu-item"> <a<br />
href="/contenu/menu/autour-de-la-loi/legislatif-et-reglementaire/etudes-d-impact-des-lois" title="Law impact studies">Law impact studies</a></li><li class="menu-item"> <a<br />
href="/contenu/menu/autour-de-la-loi/legislatif-et-reglementaire/les-avis-du-conseil-d-etat-rendus-sur-les-projets-de-loi" title="Opinions of the Council of State on bills">Opinions of the Council of State on bills</a></li><li class="menu-item"> <a<br />
href="/contenu/menu/autour-de-la-loi/legislatif-et-reglementaire/application-des-lois" title="Law enforcement">Law enforcement</a></li><li class="menu-item"> <a<br />
href="/contenu/menu/autour-de-la-loi/legislatif-et-reglementaire/fiches-d-impact-des-ordonnances-decrets-et-arretes" title="Impact sheets for ordinances, decrees and orders">Impact sheets for ordinances, decrees and orders</a></li><li class="menu-item"> <a<br />
href="/contenu/menu/autour-de-la-loi/legislatif-et-reglementaire/statistiques-de-la-norme" title="Standard statistics">Standard statistics</a></li></ul></li><li class="menu-item expanded"> <a href="/contenu/menu/autour-de-la-loi/autorites-independantes" title="Independent authorities">Independent authorities</a><ul class="sub-menu level-three"><li class="menu-item"> <a<br />
href="/contenu/menu/autour-de-la-loi/autorites-independantes/autorites-administratives-independantes-et-autorites-publiques-independantes-relevant-du-statut-general-defini-par-la-loi-n-2017-55-du-20-janvier" title="Independent administrative authorities and independent public authorities falling under the general statute defined by Law No. 2017-55 of January 20, 2017">Independent administrative authorities and independent public authorities falling under the general statute defined by Law No. 2017-55 of January 20, 2017</a></li><li class="menu-item"> <a<br />
href="/contenu/menu/autour-de-la-loi/autorites-independantes/autorites-ne-relevant-pas-du-statut-general-des-autorites-administratives-independantes" title="Authorities not falling under the general statute of independent administrative authorities">Authorities not falling under the general statute of independent administrative authorities</a></li></ul></li><li class="menu-item expanded"> <a href="/contenu/menu/autour-de-la-loi/entreprises"<br />
title="Companies"<br />
title="Entreprises">Companies</a><ul class="sub-menu level-three"><li class="menu-item"> <a<br />
href="/contenu/menu/autour-de-la-loi/entreprises/tableaux-et-chronologies-des-dates-communes-d-entree-en-vigueur" title="Tables and chronologies of common dates of entry into force">Tables and chronologies of common dates of entry into force</a></li><li class="menu-item"> <a<br />
href="/contenu/menu/autour-de-la-loi/entreprises/normes-afnor-d-application-obligatoire" title="Mandatory AFNOR standards">Mandatory AFNOR standards</a></li></ul></li><li class="menu-item "> <a href="/contenu/menu/autour-de-la-loi/guide-de-legistique" title="Legistics guide">Legistics guide</a><ul class="sub-menu level-three"></ul></li><li class="menu-item "> <a href="/contenu/menu/autour-de-la-loi/sva-silence-vaut-accord" title="SVA &quot;Silence equals agreement&quot;">SVA &quot;Silence equals agreement&quot;</a><ul class="sub-menu level-three"></ul></li></ul></li><li class="menu-item small-menu expanded"> <a href="/contenu/menu/droit-et-jurisprudence-de-l-union-europeenne"<br />
title="European Union law and case-law" role="button"><span>Law and jurisprudence<br> of the European Union</span></a><ul class="sub-menu level-two"><li class="menu-item "> <a href="https://eur-lex.europa.eu/oj/direct-access.html?locale=fr" rel="noopener noreferrer" title="Official Journal of the European Union" target="_blank" rel="noopener noreferrer" title="Journal officiel de l&#039;Union européenne (nouvelle fenêtre)" >Official Journal of the European Union</a><ul class="sub-menu level-three"></ul></li><li class="menu-item "> <a href="https://europa.eu/european-union/law/find-case-law_fr" rel="noopener noreferrer" title="European Union case law" target="_blank" rel="noopener noreferrer" title="Jurisprudence de l&#039;Union Européenne (nouvelle fenêtre)" >European Union case law</a><ul class="sub-menu level-three"></ul></li></ul></li><li class="menu-item small-menu expanded"> <a href="/contenu/menu/droit-international"<br />
title="International law" role="button"><span>Law<br> international</span></a><ul class="sub-menu level-two"><li class="menu-item "> <a href="https://www.echr.coe.int/Pages/home.aspx?p=caselaw&amp;c=fre" rel="noopener noreferrer" title="ECHR case law" target="_blank" rel="noopener noreferrer" title="Jurisprudence CEDH (nouvelle fenêtre)" >ECHR case law</a><ul class="sub-menu level-three"></ul></li><li class="menu-item "> <a href="/contenu/menu/droit-international/juridictions-internationales" title="International courts">International courts</a> <ul class="sub-menu level-three"></ul></li></ul></li></ul></nav></div><div class="quick-access"><ul class="speed-menu"><li> <a href="/contenu/en-tete/informations-de-mises-a-jour" class="informations" title="Update information">Update information</a></li><li> <a href="#" class="btnGestionCookies" >Managing cookies</a></li><li> <a href="/contact/message" class="nouscontacter" >Contact us</a></li></ul><ul class="speed-menu display-demo-mobile"><li> <a class="start-demo-btn" onclick="initDemoOnboarding(true)">Activate help on the page</a> </li></ul></div></div></div></div><div class="header-top menu-desktop"><div class="container"><div class="quick-access"><ul class="speed-menu"><li> <a href="/contenu/en-tete/informations-de-mises-a-jour" class="informations" title="Update information">Update information</a></li><li> <a href="#" class="btnGestionCookies" >Managing cookies</a></li><li> <a href="/contact/message" class="nouscontacter" >Contact us</a></li></ul><div class="start-demo-block"> <button class="start-demo-btn" onclick="initDemoOnboarding(true)">Activate help on the page</button> </div></div><nav id="navigation" class="main-menu" role="navigation" aria-label="navigation principale"><ul class="level-one"><li class="menu-item logo-item"><ul class="logos block-link"><li><img class="logo-rf" alt="French Republic. Liberty, Equality, Fraternity." src="/contenu/logo-rf" /></li><li > <a href="/"><span><img class="logo-legifrance" alt="Home Légifrance.fr - the public service for the dissemination of law" src="/contenu/logo"/></span></a></li></ul></li><li></li><li class="menu-item expanded"> <a href="/contenu/menu/droit-national-en-vigueur"<br />
title="National law in force" role="button"><span>National law<br> in force</span></a><ul class="sub-menu level-two"><li class="menu-item expanded"> <a href="/contenu/menu/droit-national-en-vigueur/constitution"<br />
title="Constitution">Constitution</a><ul class="sub-menu level-three"><li class="menu-item"> <a<br />
href="/loda/id/JORFTEXT000000571356/2019-07-01/" rel="noopener noreferrer" title="Constitution of October 4, 1958" >Constitution of October 4, 1958</a></li><li class="menu-item"> <a<br />
href="/contenu/menu/droit-national-en-vigueur/constitution/declaration-des-droits-de-l-homme-et-du-citoyen-de-1789"<br />
title="Declaration of the Rights of Man and of the Citizen of 1789">Declaration of the Rights of Man and of the Citizen of 1789</a></li><li class="menu-item"> <a<br />
href="/contenu/menu/droit-national-en-vigueur/constitution/preambule-de-la-constitution-du-27-octobre-1946"<br />
title="Preamble to the Constitution of October 27, 1946">Preamble to the Constitution of October 27, 1946</a></li><li class="menu-item"> <a<br />
href="/contenu/menu/droit-national-en-vigueur/constitution/charte-de-l-environnement"<br />
title="Environmental charter">Environmental charter</a></li></ul></li><li class="menu-item "> <a href="/liste/code?etatTexte=VIGUEUR&amp;etatTexte=VIGUEUR_DIFF" rel="noopener noreferrer" title="Codes" >Codes</a></li><li class="menu-item "> <a href="/liste/lois?etatTexte=VIGUEUR&amp;etatTexte=ABROGE_DIFF" rel="noopener noreferrer" title="Consolidated texts" >Consolidated texts</a></li><li class="menu-item expanded"> <a href="/contenu/menu/droit-national-en-vigueur/jurisprudence"<br />
title="Case law">Case law</a><ul class="sub-menu level-three"><li class="menu-item"> <a<br />
href="/search/constit?tab_selection=constit&amp;searchField=ALL&amp;query=&amp;page=1&amp;init=true" rel="noopener noreferrer" title="Constitutional case law" >Constitutional case law</a></li><li class="menu-item"> <a<br />
href="/search/cetat?tab_selection=cetat&amp;searchField=ALL&amp;query=&amp;page=1&amp;init=true" rel="noopener noreferrer" title="Administrative case law" >Administrative case law</a></li><li class="menu-item"> <a<br />
href="/search/juri?tab_selection=juri&amp;searchField=ALL&amp;query=&amp;page=1&amp;init=true" rel="noopener noreferrer" title="Judicial case law" >Judicial case law</a></li><li class="menu-item"> <a<br />
href="/search/jufi?tab_selection=jufi&amp;searchField=ALL&amp;query=&amp;page=1&amp;init=true" rel="noopener noreferrer" title="Financial case law" >Financial case law</a></li></ul></li><li class="menu-item "> <a href="/liste/circ" rel="noopener noreferrer" title="Circulars and Instructions" >Circulars and Instructions</a></li><li class="menu-item expanded"> <a href="/contenu/menu/droit-national-en-vigueur/accords-collectifs"<br />
title="Collective agreements">Collective agreements</a><ul class="sub-menu level-three"><li class="menu-item"> <a<br />
href="/liste/idcc?facetteTexteBase=TEXTE_BASE&amp;facetteEtat=VIGUEUR&amp;facetteEtat=VIGUEUR_ETEN&amp;facetteEtat=VIGUEUR_NON_ETEN&amp;sortValue=DATE_UPDATE&amp;pageSize=50&amp;page=1&amp;tab_selection=all#idcc" rel="noopener noreferrer" title="Branch agreements and collective agreements" >Branch agreements and collective agreements</a></li><li class="menu-item"> <a<br />
href="/liste/acco" rel="noopener noreferrer" title="Company agreements" >Company agreements</a></li></ul></li></ul></li><li class="menu-item expanded"> <a href="/contenu/menu/publications-officielles"<br />
title="Official publications" role="button"><span>Publications<br> official</span></a><ul class="sub-menu level-two"><li class="menu-item "> <a href="/contenu/menu/publications-officielles/bulletins-officiels"<br />
title="Official bulletins">Official bulletins</a></li><li class="menu-item "> <a href="/liste/bocc" rel="noopener noreferrer" title="Official collective agreement bulletins" >Official collective agreement bulletins</a></li><li class="menu-item "> <a href="/jorf/jo" rel="noopener noreferrer" title="Official newspaper" >Official newspaper</a></li><li class="menu-item "> <a href="/liste/debatsParlementaires" rel="noopener noreferrer" title="Parliamentary debates" >Parliamentary debates</a></li><li class="menu-item "> <a href="/liste/questionsEcritesParlementaires" rel="noopener noreferrer" title="Parliamentary written questions" >Parliamentary written questions</a></li><li class="menu-item "> <a href="/liste/docAdmin" rel="noopener noreferrer" title="Administrative documents" >Administrative documents</a></li></ul></li><li class="menu-item expanded"> <a href="/contenu/menu/autour-de-la-loi"<br />
title="Around the law" role="button"><span>Around<br> of the law</span></a><ul class="sub-menu level-two"><li class="menu-item expanded"> <a href="/contenu/menu/autour-de-la-loi/codification"<br />
title="Codification">Codification</a><ul class="sub-menu level-three"><li class="menu-item"> <a<br />
href="/contenu/menu/autour-de-la-loi/codification/rapports-annuels-de-la-commission-superieure-de-codification"<br />
title="Annual reports of the Higher Codification Commission">Annual reports of the Higher Codification Commission</a></li><li class="menu-item"> <a<br />
href="/contenu/menu/autour-de-la-loi/codification/tables-de-concordance"<br />
title="Concordance tables">Concordance tables</a></li></ul></li><li class="menu-item expanded"> <a href="/contenu/menu/autour-de-la-loi/legislatif-et-reglementaire"<br />
title="Legislative and regulatory">Legislative and regulatory</a><ul class="sub-menu level-three"><li class="menu-item"> <a<br />
href="/liste/legislatures" rel="noopener noreferrer" title="Legislative files" >Legislative files</a></li><li class="menu-item"> <a<br />
href="/contenu/menu/autour-de-la-loi/legislatif-et-reglementaire/etudes-d-impact-des-lois"<br />
title="Law impact studies">Law impact studies</a></li><li class="menu-item"> <a<br />
href="/contenu/menu/autour-de-la-loi/legislatif-et-reglementaire/les-avis-du-conseil-d-etat-rendus-sur-les-projets-de-loi"<br />
title="Opinions of the Council of State on bills">Opinions of the Council of State on bills</a></li><li class="menu-item"> <a<br />
href="/contenu/menu/autour-de-la-loi/legislatif-et-reglementaire/application-des-lois"<br />
title="Law enforcement">Law enforcement</a></li><li class="menu-item"> <a<br />
href="/contenu/menu/autour-de-la-loi/legislatif-et-reglementaire/fiches-d-impact-des-ordonnances-decrets-et-arretes"<br />
title="Impact sheets for ordinances, decrees and orders">Impact sheets for ordinances, decrees and orders</a></li><li class="menu-item"> <a<br />
href="/contenu/menu/autour-de-la-loi/legislatif-et-reglementaire/statistiques-de-la-norme"<br />
title="Standard statistics">Standard statistics</a></li></ul></li><li class="menu-item expanded"> <a href="/contenu/menu/autour-de-la-loi/autorites-independantes"<br />
title="Independent authorities">Independent authorities</a><ul class="sub-menu level-three"><li class="menu-item"> <a<br />
href="/contenu/menu/autour-de-la-loi/autorites-independantes/autorites-administratives-independantes-et-autorites-publiques-independantes-relevant-du-statut-general-defini-par-la-loi-n-2017-55-du-20-janvier"<br />
title="Independent administrative authorities and independent public authorities falling under the general statute defined by Law No. 2017-55 of January 20, 2017">Independent administrative authorities and independent public authorities falling under the general statute defined by Law No. 2017-55 of January 20, 2017</a></li><li class="menu-item"> <a<br />
href="/contenu/menu/autour-de-la-loi/autorites-independantes/autorites-ne-relevant-pas-du-statut-general-des-autorites-administratives-independantes"<br />
title="Authorities not falling under the general statute of independent administrative authorities">Authorities not falling under the general statute of independent administrative authorities</a></li></ul></li><li class="menu-item expanded"> <a href="/contenu/menu/autour-de-la-loi/entreprises"<br />
title="Companies"<br />
title="Entreprises">Companies</a><ul class="sub-menu level-three"><li class="menu-item"> <a<br />
href="/contenu/menu/autour-de-la-loi/entreprises/tableaux-et-chronologies-des-dates-communes-d-entree-en-vigueur"<br />
title="Tables and chronologies of common dates of entry into force">Tables and chronologies of common dates of entry into force</a></li><li class="menu-item"> <a<br />
href="/contenu/menu/autour-de-la-loi/entreprises/normes-afnor-d-application-obligatoire"<br />
title="Mandatory AFNOR standards">Mandatory AFNOR standards</a></li></ul></li><li class="menu-item "> <a href="/contenu/menu/autour-de-la-loi/guide-de-legistique"<br />
title="Legistics guide">Legistics guide</a></li><li class="menu-item "> <a href="/contenu/menu/autour-de-la-loi/sva-silence-vaut-accord"<br />
title="SVA &quot;Silence equals agreement&quot;">SVA &quot;Silence equals agreement&quot;</a></li></ul></li><li class="menu-item small-menu expanded"> <a href="/contenu/menu/droit-et-jurisprudence-de-l-union-europeenne"<br />
title="European Union law and case-law" role="button"><span>Law and jurisprudence<br> of the European Union</span></a><ul class="sub-menu level-two"><li class="menu-item "> <a href="https://eur-lex.europa.eu/oj/direct-access.html?locale=fr" rel="noopener noreferrer" title="Official Journal of the European Union" target="_blank" rel="noopener noreferrer" title="Journal officiel de l&#039;Union européenne (nouvelle fenêtre)" >Official Journal of the European Union</a></li><li class="menu-item "> <a href="https://europa.eu/european-union/law/find-case-law_fr" rel="noopener noreferrer" title="European Union case law" target="_blank" rel="noopener noreferrer" title="Jurisprudence de l&#039;Union Européenne (nouvelle fenêtre)" >European Union case law</a></li></ul></li><li class="menu-item small-menu expanded"> <a href="/contenu/menu/droit-international"<br />
title="International law" role="button"><span>Law<br> international</span></a><ul class="sub-menu level-two"><li class="menu-item "> <a href="https://www.echr.coe.int/Pages/home.aspx?p=caselaw&amp;c=fre" rel="noopener noreferrer" title="ECHR case law" target="_blank" rel="noopener noreferrer" title="Jurisprudence CEDH (nouvelle fenêtre)" >ECHR case law</a></li><li class="menu-item "> <a href="/contenu/menu/droit-international/juridictions-internationales"<br />
title="International courts">International courts</a> </li></ul></li></ul></nav><p class="header-date"></p></div></div><div class="header-bottom"><div class="content"><div><nav class="breadcrumb" role="navigation" id="filAriane" aria-label="Vous êtes ici : "><ol class="container"><li class="home"><span aria-hidden="true"></span> <a href="/" title="Home"><span>Home</span></a></li><li><span aria-hidden="true"></span> <a href="/contenu/menu/droit-national-en-vigueur">National law in force</a></li><li><span aria-hidden="true"></span> <a href="/contenu/menu/droit-national-en-vigueur/jurisprudence">Case law</a></li><li><span aria-hidden="true"></span><a href="/search/cetat?tab_selection=cetat&amp;searchField=ALL&amp;query=&amp;page=1&amp;init=true">Administrative case law</a></li><li><span aria-hidden="true"></span> <strong aria-current="page" data-ref="/ceta/id/CETATEXT000042713078">Council of State, Specialized training, 12/21/2020, 433555, Unpublished in Lebon collection</strong></li></ol></nav></div><div class="print-only print-title-main"> Council of State, Specialized training, 12/21/2020, 433555, Unpublished in Lebon collection </div><div><div class="general-search-block" id="search-container"><div class="container"><form id="searchForm" method="get" action="/search/all" enctype="application/x-www-form-urlencoded"><p id="label-recherche" class="title"> Search in:</p><div class="search-wrapper" role="search"><div class="search-elements"><div class="search-base"><div class="search-select js-collapsible" data-collapsible-close="true"> <button id="search-select-filter-content" class="search-select-cta js-collapsible-cta" aria-expanded="false" aria-controls="search-select-tip-content" aria-describedby="label-recherche" type="button"><span class="icon" aria-hidden="true"></span><span class="text">All contents</span></button> <div id="search-select-tip-content" class="search-select-content js-collapsible-content" aria-hidden="true"><span class="arrow" aria-hidden="true"></span><fieldset><legend> Select a fund </legend><div class="search-choice"><div class="form-radio type-codes"><input class="form-check-input" data-autoclose="true" data-icon="type-codes" id="select-filter-content-codes" type="radio" name="tab_selection" value="code" onclick="validateTroncatureSearchAdvancesSltFond(&#39;code&#39;)" /> <label class="form-check-label" for="select-filter-content-codes"><span class="icon" aria-hidden="true"></span>Codes</label> </div><div class="form-radio type-lois"><input class="form-check-input" data-autoclose="true" data-icon="type-lois" id="select-filter-content-lois" type="radio" name="tab_selection" value="lawarticledecree" onclick="validateTroncatureSearchAdvancesSltFond(&#39;lawarticledecree&#39;)" /> <label class="form-check-label" for="select-filter-content-lois"><span class="icon" aria-hidden="true"></span>Consolidated texts</label> </div><div class="form-radio type-JORF"><input class="form-check-input" data-autoclose="true" data-icon="type-JORF" id="select-filter-content-JORF" type="radio" name="tab_selection" value="jorf" onclick="validateTroncatureSearchAdvancesSltFond(&#39;jorf&#39;)" /> <label class="form-check-label" for="select-filter-content-JORF"><span class="icon" aria-hidden="true"></span>Official newspaper</label> </div><div class="form-radio type-circulaire"><input class="form-check-input" data-autoclose="true" data-icon="type-circulaire" id="select-filter-content-CIRC" type="radio" name="tab_selection" value="circ" onclick="validateTroncatureSearchAdvancesSltFond(&#39;circ&#39;)" /> <label class="form-check-label" for="select-filter-content-CIRC"><span class="icon" aria-hidden="true"></span>Circulars and Instructions</label> </div><div class="form-radio type-jurisprudence"><input class="form-check-input" data-autoclose="true" data-icon="type-jurisprudence" id="select-filter-content-jurisprudence-constitutionnelle" type="radio" name="tab_selection" value="constit" onclick="validateTroncatureSearchAdvancesSltFond(&#39;constit&#39;)" /> <label class="form-check-label" for="select-filter-content-jurisprudence-constitutionnelle"><span class="icon" aria-hidden="true"></span>Constitutional case law</label> </div><div class="form-radio type-jurisprudence"><input class="form-check-input" data-autoclose="true" data-icon="type-jurisprudence" id="select-filter-content-jurisprudence-administrative" type="radio" name="tab_selection" value="cetat" onclick="validateTroncatureSearchAdvancesSltFond(&#39;cetat&#39;)" /> <label class="form-check-label" for="select-filter-content-jurisprudence-administrative"><span class="icon" aria-hidden="true"></span>Administrative case law</label> </div><div class="form-radio type-jurisprudence"><input class="form-check-input" data-autoclose="true" data-icon="type-jurisprudence" id="select-filter-content-jurisprudence-judiciaire" type="radio" name="tab_selection" value="juri" onclick="validateTroncatureSearchAdvancesSltFond(&#39;juri&#39;)" /> <label class="form-check-label" for="select-filter-content-jurisprudence-judiciaire"><span class="icon" aria-hidden="true"></span>Judicial case law</label> </div><div class="form-radio type-jurisprudence"><input class="form-check-input" data-autoclose="true" data-icon="type-jurisprudence" id="select-filter-content-jurisprudence-financiere" type="radio" name="tab_selection" value="jufi" onclick="validateTroncatureSearchAdvancesSltFond(&#39;jufi&#39;)" /> <label class="form-check-label" for="select-filter-content-jurisprudence-financiere"><span class="icon" aria-hidden="true"></span>Financial case law</label> </div><div class="form-radio type-collectif"><input class="form-check-input" data-autoclose="true" data-icon="type-collectif" id="select-filter-content-accords" type="radio" name="tab_selection" value="kali" onclick="validateTroncatureSearchAdvancesSltFond(&#39;kali&#39;)" /> <label class="form-check-label" for="select-filter-content-accords"><span class="icon" aria-hidden="true"></span>Branch agreements and collective agreements</label> </div><div class="form-radio type-collectif"><input class="form-check-input" data-autoclose="true" data-icon="type-collectif" id="select-filter-content-ACCO" type="radio" name="tab_selection" value="acco" onclick="validateTroncatureSearchAdvancesSltFond(&#39;acco&#39;)" /> <label class="form-check-label" for="select-filter-content-ACCO"><span class="icon" aria-hidden="true"></span>Company agreements</label> </div><div class="form-radio type-CNIL"><input class="form-check-input" data-autoclose="true" data-icon="type-CNIL" id="select-filter-content-CNIL" type="radio" name="tab_selection" value="cnil" onclick="validateTroncatureSearchAdvancesSltFond(&#39;cnil&#39;)" /> <label class="form-check-label" for="select-filter-content-CNIL"><span class="icon" aria-hidden="true"></span>CNIL</label> </div><div class="form-radio"><input class="form-check-input" data-autoclose="true" id="select-filter-content-all" type="radio" name="tab_selection" value="all" onclick="validateTroncatureSearchAdvancesSltFond(&#39;all&#39;)" checked="checked" /> <label class="form-check-label" for="select-filter-content-all"><span class="icon" aria-hidden="true"></span>All contents</label></div></div></fieldset></div><script><br />
/*<![CDATA[*/<br />
<br />
var searchConfigs = [];<br />
<br />
<br />
<br />
var config = {base:"CODE",value:"code",url:"\/search\/code",sort:["PERTINENCE"],defaultTarget:"ALL",targets:"ALL,TITLE,ARTICLE,TABLE,NUM_ARTICLE"};<br />
searchConfigs.push(config);<br />
<br />
var config = {base:"LODA",value:"lawarticledecree",url:"\/search\/lois",sort:["PERTINENCE","SIGNATURE_DATE_DESC","SIGNATURE_DATE_ASC","PUBLICATION_DATE_DESC","PUBLICATION_DATE_ASC"],defaultTarget:"ALL",targets:"ALL,TITLE,NUM_ARTICLE,ARTICLE,VISA_NOTICE,NUM,NOR,SIGNATURE"};<br />
searchConfigs.push(config);<br />
<br />
var config = {base:"JORF",value:"jorf",url:"\/search\/jorf",sort:["PERTINENCE","SIGNATURE_DATE_DESC","SIGNATURE_DATE_ASC","PUBLICATION_DATE_DESC","PUBLICATION_DATE_ASC"],defaultTarget:"ALL",targets:"ALL,TITLE,NOR,NUM,NUM_ARTICLE,ARTICLE,VISA_NOTICE,SIGNATURE"};<br />
searchConfigs.push(config);<br />
<br />
var config = {base:"CIRC",value:"circ",url:"\/search\/circ",sort:["PERTINENCE","SIGNATURE_DATE_DESC","SIGNATURE_DATE_ASC","PUBLICATION_DATE_DESC","PUBLICATION_DATE_ASC"],defaultTarget:"ALL",targets:"ALL,TITLE,NOR"};<br />
searchConfigs.push(config);<br />
<br />
var config = {base:"ACCO",value:"acco",url:"\/search\/acco",sort:["PERTINENCE","SIGNATURE_DATE_DESC","SIGNATURE_DATE_ASC"],defaultTarget:"ALL",targets:"ALL,RAISON_SOCIALE,IDCC,TITLE"};<br />
searchConfigs.push(config);<br />
<br />
var config = {base:"CONSTIT",value:"constit",url:"\/search\/constit",sort:["PERTINENCE","DATE_DESC","DATE_ASC"],defaultTarget:"ALL",targets:"ALL,TITLE,NUM_DEC,TEXTE"};<br />
searchConfigs.push(config);<br />
<br />
var config = {base:"CETAT",value:"cetat",url:"\/search\/cetat",sort:["PERTINENCE","DATE_DESC","DATE_ASC"],defaultTarget:"ALL",targets:"ALL,TITLE,NUM_DEC,ABSTRATS,TEXTE"};<br />
searchConfigs.push(config);<br />
<br />
var config = {base:"JURI",value:"juri",url:"\/search\/juri",sort:["PERTINENCE","DATE_DESC","DATE_ASC"],defaultTarget:"ALL",targets:"ALL,TITLE,NUM_AFFAIRE,ABSTRATS,TEXTE"};<br />
searchConfigs.push(config);<br />
<br />
var config = {base:"JUFI",value:"jufi",url:"\/search\/jufi",sort:["PERTINENCE","DATE_DESC","DATE_ASC"],defaultTarget:"ALL",targets:"ALL,TITLE,NUM_DEC,ABSTRATS,TEXTE"};<br />
searchConfigs.push(config);<br />
<br />
var config = {base:"KALI",value:"kali",url:"\/search\/kali",sort:["PERTINENCE"],defaultTarget:"ALL",targets:"ALL,TITLE,ARTICLE,IDCC"};<br />
searchConfigs.push(config);<br />
<br />
var config = {base:"CNIL",value:"cnil",url:"\/search\/cnil",sort:["PERTINENCE"],defaultTarget:"ALL",targets:"ALL,TITLE,NOR,NUM_DELIB"};<br />
searchConfigs.push(config);<br />
<br />
var config = {base:"ALL",value:"all",url:"\/search\/all",sort:["PERTINENCE"],defaultTarget:"ALL",targets:"ALL,TITLE"};<br />
searchConfigs.push(config);<br />
<br />
var typesSearch = [];<br />
<br />
<br />
var type = {value:"ALL", proximity:true};<br />
typesSearch.push(type);<br />
<br />
var type = {value:"EXACT", proximity:false};<br />
typesSearch.push(type);<br />
<br />
var type = {value:"ONE", proximity:false};<br />
typesSearch.push(type);<br />
<br />
var type = {value:"EXCEPT", proximity:false};<br />
typesSearch.push(type);<br />
<br />
var type = {value:"EXACTEXCEPT", proximity:false};<br />
typesSearch.push(type);<br />
<br />
<br />
var tabTarget = [];<br />
<br />
<br />
/*]]>*/<br />
</script></div><div class="search-select js-collapsible" data-collapsible-close="true"><button id="searchField-control" class="search-select-cta js-collapsible-cta btn-cta btn-field-search" aria-expanded="false" aria-controls="searchField-tip" aria-describedby="label-recherche" type="button" value="ALL" ><span class="text">In all fields</span></button> <div id="searchField-tip" class="search-select-content js-collapsible-content" aria-hidden="true"><span class="arrow" aria-hidden="true"></span><fieldset><legend class="hidden-element"> Select a search field </legend><div class="search-choice"><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-ALL" value="ALL" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;ALL&#39;,&#39;true&#39;)" checked="checked"/> <label class="form-check-label" for="searchField-input-ALL">In all fields</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-TITLE" value="TITLE" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;TITLE&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-TITLE">In the titles</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-TABLE" value="TABLE" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;TABLE&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-TABLE">In the tables of contents</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-NOR" value="NOR" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;NOR&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-NOR">In NOR</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-NUM" value="NUM" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;NUM&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-NUM">In text numbers</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-NUM_DELIB" value="NUM_DELIB" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;NUM_DELIB&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-NUM_DELIB">In the deliberation numbers</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-NUM_DEC" value="NUM_DEC" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;NUM_DEC&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-NUM_DEC">In the numbers of decisions</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-NUM_ARTICLE" value="NUM_ARTICLE" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;NUM_ARTICLE&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-NUM_ARTICLE">In article numbers</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-ARTICLE" value="ARTICLE" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;ARTICLE&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-ARTICLE">In the content of articles</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-MINISTERE" value="MINISTERE" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;MINISTERE&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-MINISTERE">In the names of ministries</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-VISA" value="VISA" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;VISA&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-VISA">In visas</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-NOTICE" value="NOTICE" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;NOTICE&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-NOTICE">In the notices</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-VISA_NOTICE" value="VISA_NOTICE" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;VISA_NOTICE&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-VISA_NOTICE">In visas or notices</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-TRAVAUX_PREP" value="TRAVAUX_PREP" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;TRAVAUX_PREP&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-TRAVAUX_PREP">In the preparatory work</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-SIGNATURE" value="SIGNATURE" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;SIGNATURE&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-SIGNATURE">In the signatures</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-NOTA" value="NOTA" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;NOTA&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-NOTA">In the notas</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-NUM_AFFAIRE" value="NUM_AFFAIRE" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;NUM_AFFAIRE&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-NUM_AFFAIRE">In business numbers</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-ABSTRATS" value="ABSTRATS" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;ABSTRATS&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-ABSTRATS">In the abstrates</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-RESUMES" value="RESUMES" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;RESUMES&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-RESUMES">In summaries</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-TEXTE" value="TEXTE" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;TEXTE&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-TEXTE">In the contents of the texts</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-ECLI" value="ECLI" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;ECLI&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-ECLI">In ECLI</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-NUM_LOI_DEF" value="NUM_LOI_DEF" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;NUM_LOI_DEF&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-NUM_LOI_DEF">In the numbers of referred laws</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-TYPE_DECISION" value="TYPE_DECISION" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;TYPE_DECISION&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-TYPE_DECISION">In the types of decisions rendered</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-NUMERO_INTERNE" value="NUMERO_INTERNE" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;NUMERO_INTERNE&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-NUMERO_INTERNE">In internal numbers</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-REF_PUBLI" value="REF_PUBLI" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;REF_PUBLI&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-REF_PUBLI">In OJ or BO publication references</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-RESUME_CIRC" value="RESUME_CIRC" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;RESUME_CIRC&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-RESUME_CIRC">In summaries</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-TEXTE_REF" value="TEXTE_REF" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;TEXTE_REF&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-TEXTE_REF">In the reference texts</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-TITRE_LOI_DEF" value="TITRE_LOI_DEF" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;TITRE_LOI_DEF&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-TITRE_LOI_DEF">In the titles of referred laws</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-RAISON_SOCIALE" value="RAISON_SOCIALE" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;RAISON_SOCIALE&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-RAISON_SOCIALE">In the social names</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-MOTS_CLES" value="MOTS_CLES" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;MOTS_CLES&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-MOTS_CLES">In the keywords</label> </div><div class="form-radio"><input class="form-check-input form-select-search radio-target" data-autoclose="true" id="searchField-input-IDCC" value="IDCC" type="radio" name="searchField" onclick="validateTroncatureSearchAdvancesSltChmp(&#39;select-target-group&#39;,&#39;&#39;,&#39;IDCC&#39;,&#39;true&#39;)"/> <label class="form-check-label" for="searchField-input-IDCC">In IDCCs</label></div></div></fieldset></div></div><div class="search-input"> <label for="query" class="hidden-element">Ex .: L. 121-1, CGI, 10-15056, fraud, protected adults</label> <input type="text" id="query" name="query" class="text-input" placeholder="Ex. : L. 121-1, CGI, 10-15056, dol, majeurs protégés" onkeyup="validateTroncatureSearchPrecise(&#39;&#39;, &#39;&#39;)"/></div><input type="hidden" name="page" id="page" value="1"/><input type="hidden" name="init" id="init" value="true"/></div><div id="search-precise-facet"></div></div> <button id="submitPreciseSearch" type="submit" class="form-submit search" aria-describedby="label-recherche search-select-filter-content searchField-control"><span aria-hidden="true" class="icon"></span><span class="text">search</span></button></div> <a rel="nofollow" href="/recherche" class="advanced-search">advanced search</a> </form></div></div></div></div></div></header><main role="main" id="main" class="main"><div class="container main-container"><div class="content"><div id="stickyPage"><div class="options"><nav role="navigation"><ul class="precedent-suivant-list"><li class="options-item next-subpart"> <a href="/search/cetat?juridiction=CONSEIL_ETAT&amp;juridiction=COURS_APPEL&amp;page=1&amp;pageSize=10&amp;query=2016%2F679&amp;searchField=ALL&amp;searchType=ALL&amp;sortValue=DATE_DESC&amp;tab_selection=cetat&amp;tab_selection=cetat"><span class="fleche"></span>Back to results</a></li><li class="options-item next-subpart"> <a href="/ceta/id/CETATEXT000042729495?juridiction=CONSEIL_ETAT&amp;juridiction=COURS_APPEL&amp;page=1&amp;pageSize=10&amp;query=2016%2F679&amp;searchField=ALL&amp;searchType=ALL&amp;sortValue=DATE_DESC&amp;tab_selection=cetat&amp;tab_selection=cetat"><span class="fleche">‹</span> Previous result</a></li><li class="options-item next-subpart"> <a href="/ceta/id/CETATEXT000042713077?juridiction=CONSEIL_ETAT&amp;juridiction=COURS_APPEL&amp;page=1&amp;pageSize=10&amp;query=2016%2F679&amp;searchField=ALL&amp;searchType=ALL&amp;sortValue=DATE_DESC&amp;tab_selection=cetat&amp;tab_selection=cetat">Next result <span class="fleche">›</span></a> </li></ul></nav><div class="stickyPageRight"><div class="options-item type-highlight"><input type="checkbox" name="seeHighlight" id="seeHighlightConsult" onclick="javascript:showHideHighlight($(&#39;#seeHighlightConsult&#39;).is(&#39;:checked&#39;))" title="Highlight search terms" data-id="HHHHHHH"/> <label for="seeHighlightConsult">Highlight search terms</label> </div><ul class="options-list"><!--<li class="options-item js-collapsible type-share" data-collapsible-close="true">--><!--<button type="button" class="options-cta js-collapsible-cta" aria-expanded="false" aria-controls="tip-share"--><!--title="Partager sur les réseaux sociaux">--><!--<span class="icon" aria-hidden="true"></span>--><!--<span class="text">Partager <span class="hidden-element">sur les réseaux sociaux</span></span>--><!--</button>--><!--<div id="tip-share" class="options-content js-collapsible-content" aria-hidden="true">--><!--<div class="share">--><!--<ul class="share-list">--><!--<li class="share-item type-twitter">--><!--<a class="share-cta" href="" title="Partager via Twitter">--><!--<span class="icon" aria-hidden="true"></span>--><!--<span class="text">Partager via Twitter</span>--><!--</a>--><!--</li>--><!--<li class="share-item type-fb">--><!--<a class="share-cta" href="" title="Partager via Facebook">--><!--<span class="icon" aria-hidden="true"></span>--><!--<span class="text">Partager via Facebook</span>--><!--</a>--><!--</li>--><!--<li class="share-item type-mail">--><!--<a class="share-cta" href="mailto:?body=Texte" title="Partager par e-mail">--><!--<span class="icon" aria-hidden="true"></span>--><!--<span class="text">Partager par e-mail</span>--><!--</a>--><!--</li>--><!--</ul>--><!--</div>--><!--</div>--><!--</li>--><!--&lt;!&ndash; @DEV : ajouter la classe .is-fav et changer le texte en "Retirer des..." lorsque la page est déjà en favori (ne pas oublier le title) &ndash;&gt;--><!--<li class="options-item type-fav">--><!--<button type="button" class="options-cta" title="Ajouter en favoris">--><!--<span class="icon" aria-hidden="true"></span>--><!--<span class="text"><span class="hidden-element">Ajouter en</span>Favoris</span>--><!--</button>--><!--</li>--><li class="options-item type-print"> <button type="button" class="options-cta" title="Print page"><span class="icon" aria-hidden="true"></span><span class="text">To print</span></button></li><li class="options-item type-copy"> <button type="button" class="copy-cta" title="Copy text" isRunning="true"><span class="icon" aria-hidden="true"></span><span class="text">Copy text</span></button> </li><!--<li class="options-item type-download">--><!--<a href="#" class="options-cta" title="Télécharger au format PDF">--><!--<span class="icon" aria-hidden="true"></span>--><!--<span class="text">Télécharger <span class="hidden-element">au format PDF</span></span>--><!--</a>--><!--</li>--></ul></div></div></div><div class="main-col"><h1 class="main-title"> Council of State, Specialized training, 12/21/2020, 433555, Unpublished in Lebon collection</h1><div class="frame-block print-sommaire"><div><h2 class="title horsAbstract print-black"> Council of State - Specialized training</h2><ul><li> No. 433555</li><li> ECLI: FR: CEFSP: 2020: 433555.20201221</li><li> Unpublished in the Lebon collection</li></ul></div><div><div class="h2 title horsAbstract print-black"> Monday, December 21, 2020 reading</div></div></div><div class="frame-block print-sommaire"><div><dt> Reporter</dt><dd> Mr. Philippe Josse</dd></div><div><dt> Public reporter</dt><dd> Mr. Guillaume Odinet-fs</dd></div><div><dt> Lawyer (s)</dt><dd> SCP THOUIN-PALAT, BOUCARD </dd></div></div><div id="stickyScrollDefault"></div><div id="overlayContent"><div id="spin"><div></div><div></div><div></div><div></div><div></div><div></div><div></div><div></div></div></div><div class="content-page"><h2 class="title">Full Text</h2><div class="intro"> <strong>FRENCH REPUBLIC</strong><br /> <strong>IN THE NAME OF THE FRENCH PEOPLE</strong><br /><br /></div><div> Considering the following procedure:<br/><br/> By a request, registered on August 13, 2019 at the litigation secretariat, Mrs. B ... A ... asks the Council of State:<br/><br/> 1 °) annul the decision of 25 March 2019 by which the Minister of the Interior refused her access to data likely to concern her appearing in the Schengen Information System (N-SIS II), as a State security would be concerned;<br/><br/> 2) to order the Minister of the Interior to erase the data concerning him which appears illegally in this file;<br/><br/> 3) to charge the State with the payment to SCP Thouin-Palat and Boucard, its lawyer, of a sum of 2,800 euros under Articles L. 761-1 of the Administrative Justice Code and 37 of the law of July 10, 1991.<br/><br/><br/> Having regard to the other documents in the file;<br/><br/> Seen:<br/><br/> - Regulation (EU) 2016/679 of the European Parliament and of the Council of April 27, 2016 on the protection of individuals with regard to the processing of personal data and on the free movement of such data;<br/> - the code of internal security;<br/> - Law n ° 78-17 of January 6, 1978;<br/> - Law n ° 91-647 of July 10, 1991;<br/> - Decree n ° 2005-1309 of October 20, 2005;<br/> - Decree No. 2019-536 of May 29, 2019;<br/> - the code of administrative justice;<br/><br/><br/> After having summoned to a closed session, on the one hand, Mrs. A ... and the SCP Thouin-Palat and Boucard, his lawyer, and, on the other hand, the Minister of the Interior and the National Commission data processing and freedoms, which were given the opportunity to speak before the conclusions;<br/><br/> And after hearing during the session:<br/><br/> - the report by Mr. Philippe Josse, State Councilor,<br/><br/> - and, without the presence of the parties, the conclusions of Mr. Guillaume Odinet, public rapporteur;<br/><br/><br/><br/> Considering the following:<br/><br/> 1. Under the provisions of articles 70-18 et seq. Of the law of January 6, 1978 relating to data processing, files and freedoms, resulting from law n ° 2018-693 of June 20, 2018, applicable to the procedure involved and now included in Articles 104 et seq. of the same law, in the wording resulting from Ordinance No. 2018-1125 of 12 December 2018, when the processing of personal data is carried out for the purposes of prevention and the detection, investigation and prosecution of criminal offenses or the execution of criminal sanctions, including protection against threats to public security or the prevention of such threats, the data subject has the right to obtain from the controller confirmation that personal data concerning him or her are or are not processed and, when they are, the right to access these data as well as certain information, to request rectification, complement, the eff acement of this data or limit its processing. The data controller may however delay or limit the communication of this data, or refuse access to it, under the conditions provided for in article 70-21 of the law, applicable to the procedure in question and now included in article 107 of the same law.<br/><br/> 2. Pursuant to article 31 of the law of January 6, 1978, the processing of personal data carried out on behalf of the State and involving State security, defense or public security is authorized by order of the competent minister (s), taken after a reasoned opinion from the National Commission for Information Technology and Freedoms (CNIL), published with the order authorizing the processing. Those of these treatments which relate to the data mentioned in I of article 6 of the same law must be authorized by decree in Council of State taken after a reasoned opinion of the Commission, published with this decree. A Council of State decree may exempt from publication the regulatory act authorizing the implementation of these treatments; the meaning of the opinion issued by the CNIL is then published with this decree.<br/><br/> 3. Article L. 841-2 of the Internal Security Code provides that the Council of State is competent to hear, under the conditions provided for in Chapter III bis of Title VII of Book VII of the Code of Administrative Justice, requests concerning the implementation of the right of access to personal data and of interest to State security or defense which are contained in the processing carried out on behalf of the State, the list of which is fixed by decree in Board of state. By virtue of article R. 841-2 of the same code, the file called N-SIS II provided for by point 1 of article R. 231-3 of the internal security code is included in the number of these treatments, for the only data concerning the security of the State mentioned in 3 ° of article R. 231-8 of this code;<br/><br/> 4. Article L. 773-8 of the administrative justice code provides that, when it deals with requests relating to the implementation of article 41, now article 118 of the law of January 6, 1978: &quot;the formation of the judgment is based on the elements contained, if any, in the treatment without revealing them or revealing whether or not the applicant is included in the treatment. However, when it finds that the treatment or the part of the treatment which is the subject of the dispute includes personal data concerning him which is inaccurate, incomplete, equivocal or out of date, or whose collection, use, communication or conservation is prohibited, it informs the applicant, without mentioning any element protected by the secrecy of national defense. It can order that these data be, according to the cases, rectified, updated or erased. Seized of conclusions in this direction, it can compensate the applicant &quot;. Article R. 773-20 of the same code specifies that: &quot;The defendant indicates to the Council of State, when filing his briefs and documents, the passages of his productions and, where applicable, of those of the Commission national control of intelligence techniques, which are protected by national defense secrecy. / The briefs and attachments produced by the defendant and, where applicable, by the National Commission for the control of intelligence techniques are communicated to the applicant , with the exception of passages from briefs and documents which either contain information protected by national defense secrecy, or confirm or deny the implementation of an intelligence technique with regard to the applicant, or disclose elements contained in the data processing, either reveal that the requester appears or does not appear in the processing. / When an intervention is formed, the president of the specialized formation orders, if necessary , that the brief be communicated to the parties, and to the National Commission for the Control of Intelligence Techniques, under the same conditions and subject to the same reservations as those mentioned in the previous paragraph &quot;.<br/><br/> 5. It appears from the documents in the file that Mrs. A ... seized the Minister of the Interior, in application of articles 70-19 and 70-20 of the law of January 6, 1978, then applicable and now included in articles 105 and 106 of the law of January 6, 1978, a request for access to data likely to concern it appearing in the N-SIS II file and of interest to State security. By decision of March 25, 2019, the Minister of the Interior refused to provide him with the requested data. Mrs A ... asks the annulment of this refusal, to order the Minister to proceed with the erasure of the data in question and to charge the State for the payment of a sum of 2,800 euros for Articles L. 761-1 of the Administrative Justice Code and 37 of the Law of July 10, 1991.<br/><br/> 6. The Minister of the Interior communicated to the Council of State, under the conditions provided for in Article R. 773-20 of the Code of Administrative Justice, the information relating to the situation of the person concerned.<br/><br/> 7. It belongs to the specialized training, created by article L. 773-2 of the code of administrative justice, seized of conclusions directed against the refusal to communicate the data relating to a person who claims to be mentioned in a file appearing in the Article R. 841-2 of the Internal Security Code, to verify, in view of the information communicated to him outside the adversarial procedure, whether the applicant is or is not in the contested file. If so, it is for him to assess whether the data appearing therein are relevant with regard to the purposes pursued by this file, adequate and proportionate. To do this, it may automatically raise any means as provided for in Article L. 773-5 of the Code of Administrative Justice. When it appears either that the applicant is not mentioned in the contested file or that the personal data concerning him which appear therein are not vitiated by any illegality, the formation of judgment rejects the conclusions of the applicant without further clarification. In the event that information relating to the applicant appears in the contested file and appears to be tainted with illegality, either because the personal data concerning him are inaccurate, incomplete, equivocal or out of date or because their collection, use, communication or consultation is prohibited, it informs the applicant without mentioning any element protected by national defense secrecy. This circumstance, if applicable automatically raised by the judge under the conditions provided for in Article R. 773-21 of the Administrative Justice Code, necessarily implies that the authority managing the file restores legality by erasing or rectifying, to the extent necessary, illegal data. In such a case, the implied decision refusing to proceed with such erasure or rectification must be annulled.<br/><br/> 8. The specialized training examined the information provided by the Minister, in view of the observations of the CNIL. This examination was carried out according to the methods described in the previous point, which do not disregard the provisions of Articles 15 and 23 of the aforementioned Regulation of the European Parliament and of the Council of 27 April 2016, contrary to what is supported, and did not revealed no illegality. It follows from there that the conclusions of Mrs. A ..., who can not usefully take advantage of that the decision which it attacks would be insufficiently motivated, must be rejected, including its conclusions for the purposes of injunction and application of article L. 761-1 of the code of administrative justice.<br/><br/><br/><br/> DECIDES:<br/> --------------<br/><br/> Article 1: The request of Mrs. A ... is rejected.<br/> Article 2: This decision will be notified to Mrs. B ... A ... and to the Minister of the Interior.<br/> A copy will be sent to the National Commission for Informatics and Liberties.<br/><br/><RECH_ECLI> ECLI: FR: CEFSP: 2020: 433555.20201221</RECH_ECLI></div></div></div></div><!-- Marquage Xiti. --><script><br />
/*<![CDATA[*/<br />
// Creation d'un tag avec envoi en mode securise.<br />
var tag = new ATInternet.Tracker.Tag();<br />
// Marquage de la page avec son niveau 2.<br />
tag.page.set({<br />
level2 : '60'<br />
});<br />
// Envoi du hit.<br />
tag.dispatch();<br />
/*]]>*/<br />
</script><a class="back-top" href="#top"><span class="hidden-element">Return to the top of the page</span></a> </div></main><div id="stickyScroll" style="display:none"><div class="stickyScrollFirstRow"><div class="content" id="stickyScrollTitre"> <label class="ssTitre" style='font-size:1.125em;color:#4a5e81;' defaultValue="Conseil d&#39;État, Formation spécialisée, 21/12/2020, 433555, Inédit au recueil Lebon">Council of State, Specialized training, 12/21/2020, 433555, Unpublished in the Lebon collection</label> <span class="ssTooltip"><span >Conseil d&#39;État, Specialized training, 21/12/2020, 433555, Unpublished in the Lebon collection</span></span> </div></div><div class="stickyScrollSecondRow"><nav role="navigation"><ul class="precedent-suivant-list"><div class="precedent-suivant-list-left"><li class="options-item-btnResults"> <a href="/search/cetat?juridiction=CONSEIL_ETAT&amp;juridiction=COURS_APPEL&amp;page=1&amp;pageSize=10&amp;query=2016%2F679&amp;searchField=ALL&amp;searchType=ALL&amp;sortValue=DATE_DESC&amp;tab_selection=cetat&amp;tab_selection=cetat"><span class="fleche">←</span> Back to results</a></li><li class="options-item-btnPrevNextResults"> <a href="/ceta/id/CETATEXT000042729495?juridiction=CONSEIL_ETAT&amp;juridiction=COURS_APPEL&amp;page=1&amp;pageSize=10&amp;query=2016%2F679&amp;searchField=ALL&amp;searchType=ALL&amp;sortValue=DATE_DESC&amp;tab_selection=cetat&amp;tab_selection=cetat"><span class="fleche">‹</span> Previous result</a></li><li class="options-item-btnPrevNextResults"> <a href="/ceta/id/CETATEXT000042713077?juridiction=CONSEIL_ETAT&amp;juridiction=COURS_APPEL&amp;page=1&amp;pageSize=10&amp;query=2016%2F679&amp;searchField=ALL&amp;searchType=ALL&amp;sortValue=DATE_DESC&amp;tab_selection=cetat&amp;tab_selection=cetat">Next result <span class="fleche">›</span></a> </li><!--&nbsp; --></div><div class="precedent-suivant-list-right"></div></ul></nav></div></div><div class="modal fade" id="modal-timeline" tabindex="-1" role="dialog" aria-label="Chronologie des versions de l’article" aria-hidden="true"></div><div class="modal fade" id="modal-compare" tabindex="-1" role="dialog" aria-label="Comparaison entre les versions des articles" aria-hidden="true"><div id="content_compare" class="modal-dialog chronolegi compare" role="document"><div class="modal-content" id="modaleComparaisonContenu"><div class="loader"></div></div></div></div><div id="idCookiesModal" class="cookiesModal"><form class="cookiesModal-content"> <span class="cookiesModalBtnClose" title="To close">×</span><div class="cookiesContainer"><p class="cookiesModalTitre"> <span id="cookiesModalName">Cookies</span> is disabled.</p><p> Authorize the deposit of cookies to access this functionality</p><div class="clearfix"> <button type="button" class="cookiesAcceptBtn">Allow</button> <button type="button" class="cookiesPersonaliseBtn">Customize</button> </div></div></form></div><input id="anchor-to-go" type="hidden" value=""/><footer role="contentinfo"><div class="footer"><div class="container"><ul><li> <a href="/contenu/pied-de-page/a-propos-de-cette-version">About this version</a></li><li> <a href="/contenu/pied-de-page/mentions-legales">Legal Notice</a></li><li> <a href="/contenu/pied-de-page/politique-de-confidentialite">privacy policy</a></li><li> <a href="/contenu/pied-de-page/plan-du-site">Sitemap</a></li><li> <a href="/contenu/pied-de-page/open-data-et-api">Open data and API</a></li><li> <a href="/contenu/pied-de-page/accessibilite-partiellement-conforme">Accessibility: partially compliant</a></li></ul><ul><li> <a href="https://www.service-public.fr/" target="_blank" title="service-public.fr (new window)" rel="noopener noreferrer">service-public.fr</a></li><li> <a href="https://www.data.gouv.fr/fr/" target="_blank" title="data.gouv.fr (new window)" rel="noopener noreferrer">data.gouv.fr</a></li><li> <a href="https://code.travail.gouv.fr/" target="_blank" title="Digital Labor Code (new window)" rel="noopener noreferrer">Digital Labor Code</a></li><li> <a href="https://www.gouvernement.fr/" target="_blank" title="government.fr (new window)" rel="noopener noreferrer">government.fr</a></li><li> <a href="https://www.france.fr/fr" target="_blank" title="france.fr (new window)" rel="noopener noreferrer">france.fr</a> </li></ul></div></div></footer></div></div><div id="hotjar_local" data-state="minimized" data-minimized-position="middle_right" data-device="desktop" data-viewmode="desktop"><div id="hotjar_local_minimized"><div class="hotjar_local_minimized_label"><div class="hotjar_local_minimized_label_text"> Your opinion</div></div></div></div><!-- Gestion Cookie Tarteaucitron --><script type="text/javascript"><br />
(tarteaucitron.job = tarteaucitron.job || []).push('hotjar');<br />
</script><script type="text/javascript"><br />
tarteaucitron.user.atLibUrl = '/resources/scripts/smartTag/smarttag.js';<br />
tarteaucitron.user.atMore = function () { /* add here your optionnal ATInternet.Tracker.Tag configuration */ };<br />
(tarteaucitron.job = tarteaucitron.job || []).push('atinternet');<br />
</script><script async type="text/javascript" src="/_Incapsula_Resource?SWJIYLWA=719d34d31c8e3a6e6fffd425f7e032f3&ns=1&cb=1037914188"></script></body></html><br />
</pre></div>Tsekhttps://gdprhub.eu/index.php?title=CNIL_(France)_-_SAN-2020-015&diff=13082CNIL (France) - SAN-2020-0152020-12-22T17:05:34Z<p>Tsek: </p>
<hr />
<div>{{DPAdecisionBOX<br />
<br />
|Jurisdiction=France<br />
|DPA-BG-Color=<br />
|DPAlogo=LogoFR.png<br />
|DPA_Abbrevation=CNIL<br />
|DPA_With_Country=CNIL (France)<br />
<br />
|Case_Number_Name=SAN-2020-015<br />
|ECLI=<br />
<br />
|Original_Source_Name_1=Legifrance<br />
|Original_Source_Link_1=https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000042676787<br />
|Original_Source_Language_1=French<br />
|Original_Source_Language__Code_1=FR<br />
<br />
|Type=Complaint<br />
|Outcome=Upheld<br />
|Date_Decided=07.12.2020<br />
|Date_Published=17.12.2020<br />
|Year=2020<br />
|Fine=6000<br />
|Currency=EUR<br />
<br />
|GDPR_Article_1=Article 32(1) GDPR<br />
|GDPR_Article_Link_1=Article 32 GDPR#1<br />
|GDPR_Article_2=Article 33(1) GDPR<br />
|GDPR_Article_Link_2=Article 33 GDPR#1<br />
<br />
<br />
<br />
|Party_Name_1=<br />
|Party_Link_1=<br />
|Party_Name_2=<br />
|Party_Link_2=<br />
|Party_Name_3=<br />
|Party_Link_3=<br />
|Party_Name_4=<br />
|Party_Link_4=<br />
|Party_Name_5=<br />
|Party_Link_5=<br />
<br />
|Appeal_To_Body=<br />
|Appeal_To_Case_Number_Name=<br />
|Appeal_To_Status=Unknown<br />
|Appeal_To_Link=<br />
<br />
|Initial_Contributor=n/a<br />
|<br />
}}<br />
<br />
The French DPA (CNIL) imposed a €6000 fine on a private doctor for failing to comply with the security obligation. His patients' health data were freely accessible on the web in breach of Article 32 GDPR. <br />
<br />
==English Summary==<br />
<br />
===Facts===<br />
A computing security company reported that medical imaging servers were freely accessible, exposing medical images, names and other data relating to patients of a medical practice.<br />
<br />
The CNIL carried out an online check in September 2019. The breach was established to be the result of the opening of ports of the Internet box of a medical practice, the set up of the picture archiving and communication system (PACS) and the absence of encryption.<br />
===Dispute===<br />
Does opening all the ports of its internet box in order to be able to access remotely the health data of its patients constitute a breach of the security obligation of [[Article 32 GDPR]]?<br />
<br />
Does the fact that this health data is not encrypted constitute a breach of the security obligation under Article 32 GDPR?<br />
<br />
Is the data controller responsible of the violation of Article 32 GDPR if an IT service provider has caused the security flaw?<br />
<br />
Does the fact that the data breach was brought to the doctor's attention by the CNIL's control department relieve the doctor of his obligation to notify a breach, as required by [[Article 33 GDPR]]?<br />
<br />
===Holding===<br />
The CNIL pronounced an administrative fine of €6000 against a doctor whose patients' health data was freely accessible on the web. To base its decision, the French DPA found two breaches: failure to comply to with the security obligation, and failure to notify the breach to the CNIL. <br />
<br />
==== On the failure to comply to the security obligation ====<br />
After recalling the provisions of Article 32 GDPR, the CNIL retains several things:<br />
<br />
• The doctor had not taken care to limit the network functions to those strictly necessary for the functioning of the treatment.<br />
<br />
• Based on its Personal Data Security guide, the CNIL recommends providing encryption means for mobile workstations and mobile storage media, for example by encrypting the entire hard disk when the operating system offers it, encrypting file by file or creating encrypted containers (a file likely to contain several files). Similarly, the Practical Guide for Physicians encourages physicians to encrypt their patients' data with suitable software. In this case, the French DPA emphasizes that none of the data freely accessible on the Internet was encrypted.<br />
<br />
• The CNIL reminds that the data concerned are so-called sensitive data within the meaning of Article 9 GDPR. The CNIL’s sub-commission thus recalls that the data concerned by the violation included, in addition to the medical images, the patient's surname, first names and date of birth, the date the examination was carried out, the name of the referring practitioner and the practitioner who carried out the examination, and the name of the establishment where the examination took place. In addition, the data were exposed for approximately 5 years.<br />
<br />
Based on the evidence, the CNIL therefore concludes that there has been a breach of the obligation of security, as provided for in Article 32 GDPR. <br />
<br />
==== On the responsibility of the data controller in case of failure of its IT service provider ====<br />
The doctor declared that the opening of ports of the internet box had been done by its IT service provider. The CNIL holds that the circumstances are not taken in account when assessing the data controller compliance with Article 32 GDPR. <br />
<br />
==== On the failure to comply to the obligation to notify breaches to the DPA ====<br />
In the present case, the data violation was brought to the doctor’s awareness by the CNIL notification on the online-check. The doctor refutes its obligation on the ground that the CNIL did not indicate to him that he still had to notify the breach under Article 33 GDPR.<br />
<br />
Recalling the provisions of Article 33 GDPR, the CNIL emphasised that a notification from the CNIL does not relieve data controllers of their obligation to notify. Moreover, the Commission notes that the existence and nature of the obligation to notify appeared in the email of 8 October 2019 informing the doctor of the data breach. It therefore concludes that there has been a breach of Article 33 GDPR. <br />
==Comment==<br />
This decision is linked to [[CNIL - SAN-2020-014|decision SAN-2020-014]] by which the the French DPA condemns a private doctor to a fine of €6,000 for having insufficiently protected the personal data of their patients and not having notified a data breach to the CNIL. <br />
<br />
==Further Resources==<br />
''Share blogs or news articles here!''<br />
<br />
==English Machine Translation of the Decision==<br />
The decision below is a machine translation of the French original. Please refer to the French original for more details.<br />
<br />
<pre><br />
Délibération de la formation restreinte no SAN-2020-015 du 7 décembre 2020 concernant Monsieur […]<br />
<br />
La Commission nationale de l’informatique et des libertés, réunie en sa formation restreinte composée de Messieurs Alexandre LINDEN, président, Philippe-Pierre CABOURDIN, vice-président, et de Mesdames Dominique CASTERA, Anne DEBET et Christine MAUGÜE, membres ;<br />
<br />
Vu la Convention no 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;<br />
<br />
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données à caractère personnel et à la libre circulation de ces données ;<br />
<br />
Vu la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 20 et suivants ;<br />
<br />
Vu le décret no 2019-536 du 29 mai 2019 pris pour l'application de la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;<br />
<br />
Vu la délibération no 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l'informatique et des libertés ;<br />
<br />
Vu la décision no 2019-152C du 20 septembre 2019 de la présidente de la Commission nationale de l’informatique et des libertés de charger le secrétaire général de procéder ou de faire procéder à une mission de vérification des traitements notamment accessibles à partir de l’adresse IP portant le numéro […] ;<br />
<br />
Vu la décision de la présidente de la Commission nationale de l’informatique et des libertés portant désignation d’un rapporteur devant la formation restreinte, en date du 27 juillet 2020 ;<br />
<br />
Vu le rapport de Monsieur François PELLEGRINI, commissaire rapporteur, notifié [...] le 23 septembre 2020 ;<br />
<br />
Vu les observations écrites versées par le conseil de Monsieur [...] le 22 octobre 2020 ;<br />
<br />
Vu les observations orales formulées lors de la séance de la formation restreinte ;<br />
<br />
Vu les autres pièces du dossier ;<br />
<br />
Étaient présents, lors de la séance de la formation restreinte du 3 décembre 2020 :<br />
<br />
Monsieur François PELLEGRINI, commissaire, entendu en son rapport ;<br />
<br />
En qualité de représentant de Monsieur [...] :<br />
<br />
Maître […] ;<br />
<br />
M. […], délégué à la protection des données et informaticien, a été entendu en application de l’article 22, paragraphe 1, de la loi no 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ;<br />
<br />
Monsieur [...] ayant eu la parole en dernier ;<br />
<br />
La formation restreinte a adopté la décision suivante :<br />
<br />
I.Faits et procédure<br />
<br />
M. […] exerce une activité libérale dans un cabinet […] à Paris […].<br />
Le […], une enquête de la société de sécurité informatique […], relayée par le site web […], a signalé l’accès libre à des serveurs informatiques d’imagerie médicale situés […] permettant la consultation et le téléchargement […] d’images médicales (IRM, radios, scanners, etc…) suivies notamment des nom, prénoms, date de naissance et date de consultation des patients.<br />
En application de la décision n° 2019-152C du 20 septembre 2019 de la présidente de la Commission nationale de l’informatique et des libertés (ci-après la CNIL ou la Commission), les services de la CNIL ont procédé à un contrôle en ligne, les 20 et 24 septembre 2019, qui a confirmé le caractère librement accessible de ces données, exploitables par l’intermédiaire d’un simple logiciel de consultation d’images médicales. Le contrôle a également permis d’établir la liste des adresses IP de ces serveurs qui sont localisées en France.<br />
Ces missions avaient notamment pour objet de vérifier le respect, par les attributaires de ces adresses IP, de l’ensemble des dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (ci-après le Règlement ou le RGPD ) et de la loi no 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (ci-après la loi informatique et libertés ).<br />
Après avoir demandé aux différents fournisseurs d’accès à Internet de leur communiquer l’identité et les coordonnées des responsables de traitement utilisant ces adresses IP françaises, les services de la CNIL ont été informés que l’une de ces adresses, portant le numéro […] , avait pour attributaire M. [...].<br />
Par un courrier électronique du 2 octobre 2019, la délégation de contrôle a notifié le contrôle en ligne à M. [...], après l’avoir informé du caractère librement accessible des images médicales de ses patients à partir de l’adresse IP de son serveur.<br />
Par un courrier électronique du même jour, M. [...] a répondu avoir pris les mesures nécessaires pour mettre fin à la violation.<br />
Le 17 décembre 2019, M. [...], assisté de son conseil, a été auditionné par la délégation de contrôle dans les locaux de la CNIL. Il a indiqué avoir, en 2015, paramétré son logiciel d’imagerie [...] pour pouvoir transférer automatiquement des images issues de son équipement de radiographie vers la base de données de son logiciel d’imagerie hébergée dans son cabinet et accéder à distance aux images.<br />
Par courrier du 7 janvier 2020, M. [...] a fait parvenir à la délégation de contrôle plusieurs documents sollicités dans le cadre de son audition, tels que la volumétrie des images contenues dans la base de données du logiciel d’imagerie médicale ainsi que les registres des traitements de données à caractère personnel mis en œuvre dans son cabinet.<br />
Par courrier du 20 janvier 2020, M. [...] a fait parvenir à la délégation de contrôle des documents rendant compte du renforcement des mesures de sécurité apportées au dispositif d’imagerie médicale de son cabinet.<br />
Aux fins d’instruction de ces éléments, la présidente de la Commission a désigné M. François PELLEGRINI en qualité de rapporteur, le 27 juillet 2020, sur le fondement de l’article 22 de la loi informatique et libertés .<br />
À l’issue de son instruction, le rapporteur a fait remettre en main propre à M. [...], le 23 septembre 2020, un rapport détaillant les manquements au RGPD qu’il estimait constitués en l’espèce. Le même jour, les services de la CNIL ont notifié à ce dernier une convocation à la séance de la formation restreinte du 3 décembre 2020.<br />
Ce rapport proposait à la formation restreinte de la Commission de prononcer une amende administrative à l’encontre de M. [...] au titre de manquements aux articles 32 et 33 du Règlement.<br />
Le 22 octobre 2020, par l’intermédiaire de son conseil, M. [...] a produit des observations et formulé une demande pour que la séance devant la formation restreinte se tienne à huis clos.<br />
Le 29 octobre 2020, le président de la formation restreinte a fait droit à cette demande au motif que les données à caractère personnel versées au débat étaient protégées par le secret médical.<br />
M. [...] et le rapporteur ont présenté des observations orales lors de la séance de la formation restreinte.<br />
<br />
II.Motifs de la décision<br />
<br />
A.Sur le manquement à l’obligation d’assurer la sécurité des données traitées<br />
<br />
17. Aux termes de l’article 32, paragraphe 1, du RGPD, le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque .<br />
<br />
18. Les a) et b) de ce même paragraphe 1 prévoient qu’en fonction notamment de la portée, du contexte et des finalités du traitement ainsi que des risques pour les personnes concernées, le responsable de traitement met en œuvre le chiffrement des données à caractère personnel et des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement .<br />
<br />
19. Le rapporteur fait valoir que la vulnérabilité du dispositif d’imagerie médicale à l’origine de la violation de données est imputable à M. [...] qui n’a pas mis en œuvre les mesures techniques appropriées pour garantir la sécurité du traitement.<br />
<br />
20. M. [...] répond notamment n’être pas à l’origine de la violation de données dès lors que le paramétrage de la box Internet, qui sert de routeur à son matériel informatique professionnel, a selon lui été effectué par des prestataires externes au cabinet. Il reconnaît toutefois ne pas être en mesure de prouver la matérialité de ces interventions, n’en n’ayant conservé aucun compte rendu.<br />
<br />
21. La formation restreinte relève qu’en application de l’article 32 du RGPD, c’est à M. [...] qu’il incombait, en tant que responsable de traitement, de veiller à la sécurité des données qu’il traitait, la détermination de l’auteur du paramétrage de la box Internet étant inopérante en l’espèce.<br />
<br />
22. Tout d’abord, la formation restreinte souligne qu’il n’est pas contesté que la violation de données a pour cause l’ouverture des ports réseaux de la box Internet utilisée au cabinet de M. [...] couplée au paramétrage de la fonction serveur ( PACS ) du logiciel d’imagerie [...].<br />
<br />
23. Elle relève que dans son courrier électronique du 2 octobre 2019, M. [...] a indiqué : Je ne me sers pas d’un PACS au cabinet car nous visionnons directement les clichés réalisés sur le réseau Ethernet sécurisé . Par ailleurs, dans le cadre de son audition du 17 décembre 2019, il a précisé avoir mis en œuvre l’accès à distance aux images en 2015 et n’avoir pas eu recours à un prestataire pour l’installation et le paramétrage du logiciel [...] . Il ressort donc de ces éléments que M. [...] n’avait pas pris soin de limiter les fonctions réseaux à celles qui étaient strictement nécessaires au fonctionnement du traitement.<br />
<br />
24. Or, la formation restreinte souligne que la protection du réseau informatique interne et le chiffrement des données à caractère personnel font partie des exigences élémentaires en matière de sécurité informatique, qui incombent à tout responsable de traitement.<br />
<br />
A cet égard, dans le guide La sécurité des données personnelles , qui offre un éclairage utile aux responsables de traitement quant aux mesures à mettre en œuvre afin de garantir la sécurité de leur traitement, la Commission recommande d’ autoriser uniquement les fonctions réseau nécessaires aux traitements mis en place . De même, le Guide pratique pour les médecins , publié par la CNIL en concertation avec le Conseil national de l’ordre des médecins, invite les médecins à limiter le plus possible la connexion d’appareils non professionnels sur le réseau au sein duquel sont traitées les données des patients, ainsi qu’à recourir à des moyens d’authentification forte pour accéder à ce réseau.<br />
<br />
25. Ensuite, la formation restreinte souligne qu’il ressort également de l’audition du 17 décembre 2019 que M. [...] n’avait pas non plus pris soin de chiffrer les données contenues dans son ordinateur portable personnel, estimant que le chiffrement ralentit trop l’exécution des applications (dossier médical, outil de visualisation des images) .<br />
<br />
26. Or, en l’absence de chiffrement, les données médicales contenues dans le disque dur de cet ordinateur étaient lisibles en clair par toute personne prenant possession de cet appareil (par exemple, à la suite de sa perte ou de son vol) ou par toute personne s’introduisant de manière indue sur le réseau auquel cet ordinateur était raccordé.<br />
<br />
27. A cet égard, dans son guide La sécurité des données personnelles , la CNIL recommande de prévoir des moyens de chiffrement des postes nomades et supports de stockage mobiles (ordinateur portable, clés USB, disque dur externes, CD-R, DVD-RW, etc.), par exemple via le chiffrement du disque dur dans sa totalité lorsque le système d’exploitation le propose, le chiffrement fichier par fichier ou la création de conteneurs (fichier susceptible de contenir plusieurs fichiers) chiffrés. De même, le Guide pratique pour les médecins invite les médecins à procéder au chiffrement des données de leurs patients avec un logiciel adapté.<br />
<br />
28. Enfin, la formation restreinte relève que le traitement en cause concerne des données médicales, qui constituent des catégories particulières de données à caractère personnel, au sens de l’article 9 du Règlement. La nature de ces informations appelait donc une vigilance toute particulière afin d’éviter une violation de données.<br />
<br />
29. Elle rappelle ainsi que parmi les données concernées par la violation figuraient, outre l’image médicale, les nom, prénoms et date de naissance du patient, la date de réalisation de l’examen, le nom du praticien référent et du praticien ayant réalisé l’examen et le nom de l’établissement dans lequel l’examen a eu lieu.<br />
<br />
30. Elle souligne qu’il ressort des propres déclarations de M. [...] dans le cadre de son audition du 17 décembre 2019 que plus de mille deux cents séries d’images médicales sont concernées.<br />
<br />
31. Enfin, elle relève qu’il ressort du dossier que ces données ont été exposées environ cinq ans.<br />
<br />
32. Au regard de l’ensemble de ces éléments, la formation restreinte considère qu’un manquement à l’article 32 du RGPD est constitué.<br />
<br />
B.Sur le manquement à l’obligation de notifier la violation de données à la CNIL<br />
<br />
33. Aux termes de l’article 33, paragraphe 1, du RGPD, en cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l'autorité de contrôle compétente conformément à l'article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance .<br />
<br />
34. Le rapporteur fait valoir que le M. [...] n’a pas déclaré la violation de données auprès des services compétents de la Commission.<br />
<br />
35. M. [...] répond que la nécessité de notifier la violation de données à la Commission ne lui a jamais été indiquée. Il invoque, par ailleurs, le caractère artificiel d’une telle obligation dès lors qu’il a eu connaissance du libre accès de la base de données de son logiciel d’imagerie médicale par la délégation de contrôle de la CNIL.<br />
<br />
36. La formation restreinte considère que le responsable de traitement doit, en toute circonstance, respecter l’exigence de notification prévue à l’article 33 du Règlement à moins que la violation en question ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques. La circonstance que la violation de données avait été portée à la connaissance de M. [...] par le service des contrôles de la CNIL ne le déchargeait pas de cette obligation.<br />
<br />
37. En effet, consécutivement au contrôle, le responsable de traitement peut avoir connaissance d’éléments complémentaires relatifs à la violation de données qui méritent d’être communiqués aux services compétents de la CNIL, lesquels ont notamment pour mission de centraliser les différentes violations de données et d’en assurer le suivi afin de prévenir la compromission de données à caractère personnel. Un téléservice est disponible sur le site de la CNIL pour effectuer ces notifications.<br />
<br />
38. En l’espèce, la formation restreinte rappelle que l’existence et la nature de l’obligation de notification figuraient dans le courrier électronique du 2 octobre 2019 qui informait M. [...] de ladite violation de données.<br />
<br />
39. La formation restreinte relève qu’au 24 septembre 2020, jour de la notification du rapport de sanction, M. [...] n’avait toujours pas notifié la violation de données à la Commission, alors qu’il en avait connaissance depuis le 2 octobre 2019.<br />
<br />
40. La formation restreinte considère donc qu’un manquement à l’article 33 du Règlement est constitué.<br />
<br />
III.Sur les mesures correctrices et la publicité<br />
<br />
41. Aux termes du III de l’article 20 de la loi informatique et libertés :<br />
<br />
Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi, le président de la Commission nationale de l'informatique et des libertés peut également, le cas échéant après lui avoir adressé l'avertissement prévu au I du présent article ou, le cas échéant en complément d'une mise en demeure prévue au II, saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l'une ou de plusieurs des mesures suivantes : […]<br />
<br />
7° À l'exception des cas où le traitement est mis en œuvre par l'État, une amende administrative ne pouvant excéder 10 millions d'euros ou, s'agissant d'une entreprise, 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux 5 et 6 de l'article 83 du règlement (UE) 2016/679 du 27 avril 2016, ces plafonds sont portés, respectivement, à 20 millions d'euros et 4 % dudit chiffre d'affaires. La formation restreinte prend en compte, dans la détermination du montant de l'amende, les critères précisés au même article 83.<br />
<br />
42. L’article 83 du RGPD prévoit :<br />
<br />
1. Chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives.<br />
<br />
2. Selon les caractéristiques propres à chaque cas, les amendes administratives sont imposées en complément ou à la place des mesures visées à l'article 58, paragraphe 2, points a) à h), et j). Pour décider s'il y a lieu d'imposer une amende administrative et pour décider du montant de l'amende administrative, il est dûment tenu compte, dans chaque cas d'espèce, des éléments suivants :<br />
<br />
a) la nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes concernées affectées et le niveau de dommage qu'elles ont subi ;<br />
<br />
b) le fait que la violation a été commise délibérément ou par négligence ;<br />
<br />
c) toute mesure prise par le responsable du traitement ou le sous-traitant pour atténuer le dommage subi par les personnes concernées ;<br />
<br />
d) le degré de responsabilité du responsable du traitement ou du sous-traitant, compte tenu des mesures techniques et organisationnelles qu'ils ont mises en œuvre en vertu des articles 25 et 32 ;<br />
<br />
e) toute violation pertinente commise précédemment par le responsable du traitement ou le sous-traitant ;<br />
<br />
f) le degré de coopération établi avec l'autorité de contrôle en vue de remédier à la violation et d'en atténuer les éventuels effets négatifs ;<br />
<br />
g) les catégories de données à caractère personnel concernées par la violation ;<br />
<br />
h) la manière dont l'autorité de contrôle a eu connaissance de la violation, notamment si, et dans quelle mesure, le responsable du traitement ou le sous-traitant a notifié la violation ;<br />
<br />
i) lorsque des mesures visées à l'article 58, paragraphe 2, ont été précédemment ordonnées à l'encontre du responsable du traitement ou du sous-traitant concerné pour le même objet, le respect de ces mesures ;<br />
<br />
j) l'application de codes de conduite approuvés en application de l'article 40 ou de mécanismes de certification approuvés en application de l'article 42 ; et<br />
<br />
k) toute autre circonstance aggravante ou atténuante applicable aux circonstances de l'espèce, telle que les avantages financiers obtenus ou les pertes évitées, directement ou indirectement, du fait de la violation.<br />
<br />
43. Concernant le prononcé d’une amende administrative, M. [...] estime notamment que la mesure correctrice proposée par le rapporteur est disproportionnée au regard de sa responsabilité dans la violation de données.<br />
<br />
44. Il revendique également le fait d’avoir réagi très rapidement pour mettre un terme à la violation dès qu’il en a eu connaissance par la délégation, et souligne qu’il s’est, pour cela, entouré de spécialistes compétents.<br />
<br />
45. Il fait valoir, en outre, avoir mis en œuvre de nombreuses mesures de sécurité avant l’audition et souligne sa pleine coopération avec les services de la Commission.<br />
<br />
46. La formation restreinte rappelle que pour apprécier l’opportunité de prononcer une amende administrative il convient de se référer aux critères pertinents précisés par l’article 83, paragraphe 2, du RGPD.<br />
<br />
47. En l’espèce, elle estime qu’il convient de faire d’abord application du critère prévu à l’alinéa f) de l’article 83, paragraphe 2, du Règlement relatif au degré de coopération établi avec l'autorité de contrôle en vue de remédier à la violation et d'en atténuer les éventuels effets négatifs.<br />
<br />
48. La formation restreinte relève que dès qu’il a eu connaissance de la violation, M. [...] a pris les mesures nécessaires permettant d’y mettre un terme aussitôt.<br />
<br />
49. Elle rappelle ainsi que dans son courrier électronique du 2 octobre 2019 en réponse à la délégation de contrôle, M. [...] a indiqué avoir fait supprimer purement et simplement ce PACS logiciel dès la réception de votre appel et avoir écrit une procédure interne pour éviter qu’à l’avenir un prestataire n’ouvre un port ou un PACS sur le serveur et qu’il soit possible de se connecter dessus comme vous semblez avoir pu le faire .<br />
<br />
50. Elle souligne également qu’il s’est, par la suite, entouré de prestataires, dont la société […], afin de renforcer les mesures de sécurité apportées au dispositif d’imagerie médicale du cabinet, à travers notamment le chiffrement du disque dur de démarrage et l’installation d’un certificat SSL destiné au serveur web du logiciel [...].<br />
<br />
51. Cependant, la formation restreinte souligne qu’il convient de faire également application des critères prévu aux alinéas a) et g) de l’article 83, paragraphe 2, du Règlement relatifs, d’une part, à la nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes concernées affectées et d’autre part, aux catégories de données à caractère personnel concernées par la violation.<br />
<br />
52. Elle relève ainsi que M. [...] a failli à deux principes élémentaires en matière de sécurité informatique, à savoir la protection du réseau informatique interne par la limitation des flux réseau au strict nécessaire et le chiffrement des données à caractère personnel.<br />
<br />
53. La formation restreinte souligne à nouveau que la gravité du manquement à l’article 32 du RGPD est d’autant plus caractérisée que des données de santé sont concernées et que cette catégorie particulière de données à caractère personnel doit bénéficier de mesures de sécurité renforcées, conformément au considérant 75 du RGPD.<br />
<br />
54. Elle répète que le non-respect de ces pratiques élémentaires a eu pour conséquence directe de rendre accessibles plus de mille deux cents séries de données de santé comprenant, pour chacune de ces séries, outre l’image médicale, les nom, prénoms et date de naissance de chaque patient, la date de réalisation de l’examen, le nom du praticien référent et du praticien ayant réalisé l’examen et le nom de l’établissement dans lequel l’examen a eu lieu.<br />
<br />
55. Elle rappelle que les données à caractère personnel hébergées sur la base de données du logiciel d’images [...] sont restées accessibles sans aucune authentification pendant une durée d’un peu moins de cinq ans, prolongeant de la sorte le risque que des tiers non autorisés accèdent aux données et puissent éventuellement les compromettre.<br />
<br />
56. Enfin, la formation restreinte souligne qu’il convient également de faire application du critère prévu à l’alinéa h) de l’article 83, paragraphe 2, du Règlement relatif à la manière dont l'autorité de contrôle a eu connaissance de la violation, notamment si, et dans quelle mesure, le responsable du traitement a notifié la violation.<br />
<br />
57. Elle rappelle en l’occurrence que la Commission a eu connaissance de la violation de données par le biais d’un article de presse et que M. [...] ne l’a jamais notifiée aux services compétents de la Commission, même après que la délégation de contrôle a attiré son attention sur ce point.<br />
<br />
58. Au regard de ces éléments, la formation restreinte considère donc nécessaire le prononcé d’une amende administrative à l’encontre de M. [...].<br />
<br />
59. Concernant la détermination du montant de cette amende, la formation restreinte considère que le manquement à l’article 32 du RGPD présente une gravité certaine, qu’en revanche le manquement à l’article 33 présente en l’espèce un caractère formel.<br />
<br />
60. Elle note que selon ses déclarations lors de la séance du 3 décembre 2020, M. [...] indique gagner environ 8 000 € par mois et qu’en application des dispositions de l’article 83, paragraphe 4, du RGPD, il encourt une sanction financière d’un montant maximum de 10 millions d’euros.<br />
<br />
61. Dès lors, au regard des capacités financières de M. [...] et des critères pertinents de l’article 83, paragraphe 2, du Règlement, la formation restreinte estime que le prononcé d’une amende de 6 000 € apparaît à la fois effectif, proportionné et dissuasif, conformément aux exigences de l’article 83, paragraphe 1, de ce Règlement.<br />
<br />
PAR CES MOTIFS<br />
<br />
La formation restreinte de la CNIL, après en avoir délibéré, décide de :<br />
<br />
prononcer à l’encontre de M. [...] une amende administrative d’un montant de 6 000 € (six mille euros) pour les manquements aux articles 32 et 33 du RGPD ;<br />
rendre publique cette décision sur le site de la CNIL et sur le site de Légifrance sans identifier le responsable de traitement.<br />
<br />
Le président<br />
<br />
Alexandre LINDEN<br />
</pre></div>Tsekhttps://gdprhub.eu/index.php?title=CNIL_(France)_-_SAN-2020-015&diff=13081CNIL (France) - SAN-2020-0152020-12-22T17:02:50Z<p>Tsek: /* Dispute */</p>
<hr />
<div>{{DPAdecisionBOX<br />
<br />
|Jurisdiction=France<br />
|DPA-BG-Color=<br />
|DPAlogo=LogoFR.png<br />
|DPA_Abbrevation=CNIL<br />
|DPA_With_Country=CNIL (France)<br />
<br />
|Case_Number_Name=SAN-2020-015<br />
|ECLI=<br />
<br />
|Original_Source_Name_1=Legifrance<br />
|Original_Source_Link_1=https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000042676787<br />
|Original_Source_Language_1=French<br />
|Original_Source_Language__Code_1=FR<br />
<br />
|Type=Complaint<br />
|Outcome=Upheld<br />
|Date_Decided=07.12.2020<br />
|Date_Published=17.12.2020<br />
|Year=2020<br />
|Fine=6000<br />
|Currency=EUR<br />
<br />
|GDPR_Article_1=Article 32(1) GDPR<br />
|GDPR_Article_Link_1=Article 32 GDPR#1<br />
|GDPR_Article_2=Article 33(1) GDPR<br />
|GDPR_Article_Link_2=Article 33 GDPR#1<br />
<br />
<br />
<br />
|Party_Name_1=<br />
|Party_Link_1=<br />
|Party_Name_2=<br />
|Party_Link_2=<br />
|Party_Name_3=<br />
|Party_Link_3=<br />
|Party_Name_4=<br />
|Party_Link_4=<br />
|Party_Name_5=<br />
|Party_Link_5=<br />
<br />
|Appeal_To_Body=<br />
|Appeal_To_Case_Number_Name=<br />
|Appeal_To_Status=Unknown<br />
|Appeal_To_Link=<br />
<br />
|Initial_Contributor=n/a<br />
|<br />
}}<br />
<br />
The French DPA (CNIL) imposed a €6000 fine on a private doctor for failing to comply with the security obligation. His patients' health data were freely accessible on the web in breach of Article 32 GDPR. <br />
<br />
==English Summary==<br />
<br />
===Facts===<br />
A computing security company reported that medical imaging servers were freely accessible, exposing medical images, names and other data relating to patients of a medical practice.<br />
<br />
The CNIL carried out an online check in September 2019. The breach was established to be the result of the opening of ports of the Internet box of a medical practice, the set up of the picture archiving and communication system (PACS) and the absence of encryption.<br />
<br />
<br />
===Dispute===<br />
Does opening all the ports of its internet box in order to be able to access remotely the health data of its patients constitute a breach of the security obligation of [[Article 32 GDPR]]?<br />
<br />
Does the fact that this health data is not encrypted constitute a breach of the security obligation under Article 32 GDPR?<br />
<br />
Is the data controller responsible of the violation of Article 32 GDPR if an IT service provider has caused the security flaw?<br />
<br />
Does the fact that the data breach was brought to the doctor's attention by the CNIL's control department relieve the doctor of his obligation to notify a breach, as required by [[Article 33 GDPR]]?<br />
<br />
===Holding===<br />
The CNIL pronounced an administrative fine of €6000 against a doctor whose patients' health data was freely accessible on the web. To base its decision, the French DPA found two breaches: failure to comply to with the security obligation, and failure to notify the breach to the CNIL. <br />
<br />
'''''On the failure to comply to the security obligation'''''<br />
<br />
After recalling the provisions of Article 32 GDPR, the CNIL retains several things:<br />
<br />
• The doctor had not taken care to limit the network functions to those strictly necessary for the functioning of the treatment.<br />
<br />
• Based on its Personal Data Security guide, the CNIL recommends providing encryption means for mobile workstations and mobile storage media, for example by encrypting the entire hard disk when the operating system offers it, encrypting file by file or creating encrypted containers (a file likely to contain several files). Similarly, the Practical Guide for Physicians encourages physicians to encrypt their patients' data with suitable software. In this case, the French DPA emphasizes that none of the data freely accessible on the Internet was encrypted.<br />
<br />
• The CNIL reminds that the data concerned are so-called sensitive data within the meaning of Article 9 GDPR. The CNIL’s sub-commission thus recalls that the data concerned by the violation included, in addition to the medical images, the patient's surname, first names and date of birth, the date the examination was carried out, the name of the referring practitioner and the practitioner who carried out the examination, and the name of the establishment where the examination took place. In addition, the data were exposed for approximately 5 years.<br />
<br />
Based on the evidence, the CNIL therefore concludes that there has been a breach of the obligation of security, as provided for in Article 32 GDPR. <br />
<br />
'''''On the responsibility of the data controller in case of failure of its IT service provider'''''<br />
<br />
The doctor declared that the opening of ports of the internet box had been done by its IT service provider. The CNIL holds that the circumstances are not taken in account when assessing the data controller compliance with Article 32 GDPR. <br />
<br />
'''''On the failure to comply to the obligation to notify breaches to the DPA'''''<br />
<br />
In the present case, the data violation was brought to the doctor’s awareness by the CNIL notification on the online-check. The doctor refutes its obligation on the ground that the CNIL did not indicate to him that he still had to notify the breach under Article 33 GDPR.<br />
<br />
Recalling the provisions of Article 33 GDPR, the CNIL emphasised that a notification from the CNIL does not relieve data controllers of their obligation to notify. Moreover, the Commission notes that the existence and nature of the obligation to notify appeared in the email of 8 October 2019 informing the doctor of the data breach. It therefore concludes that there has been a breach of Article 33 GDPR. <br />
==Comment==<br />
This decision is linked to [[CNIL - SAN-2020-014|decision SAN-2020-014]] by which the the French DPA condemns a private doctor to a fine of €6,000 for having insufficiently protected the personal data of their patients and not having notified a data breach to the CNIL. <br />
<br />
==Further Resources==<br />
''Share blogs or news articles here!''<br />
<br />
==English Machine Translation of the Decision==<br />
The decision below is a machine translation of the French original. Please refer to the French original for more details.<br />
<br />
<pre><br />
Délibération de la formation restreinte no SAN-2020-015 du 7 décembre 2020 concernant Monsieur […]<br />
<br />
La Commission nationale de l’informatique et des libertés, réunie en sa formation restreinte composée de Messieurs Alexandre LINDEN, président, Philippe-Pierre CABOURDIN, vice-président, et de Mesdames Dominique CASTERA, Anne DEBET et Christine MAUGÜE, membres ;<br />
<br />
Vu la Convention no 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;<br />
<br />
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données à caractère personnel et à la libre circulation de ces données ;<br />
<br />
Vu la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 20 et suivants ;<br />
<br />
Vu le décret no 2019-536 du 29 mai 2019 pris pour l'application de la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;<br />
<br />
Vu la délibération no 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l'informatique et des libertés ;<br />
<br />
Vu la décision no 2019-152C du 20 septembre 2019 de la présidente de la Commission nationale de l’informatique et des libertés de charger le secrétaire général de procéder ou de faire procéder à une mission de vérification des traitements notamment accessibles à partir de l’adresse IP portant le numéro […] ;<br />
<br />
Vu la décision de la présidente de la Commission nationale de l’informatique et des libertés portant désignation d’un rapporteur devant la formation restreinte, en date du 27 juillet 2020 ;<br />
<br />
Vu le rapport de Monsieur François PELLEGRINI, commissaire rapporteur, notifié [...] le 23 septembre 2020 ;<br />
<br />
Vu les observations écrites versées par le conseil de Monsieur [...] le 22 octobre 2020 ;<br />
<br />
Vu les observations orales formulées lors de la séance de la formation restreinte ;<br />
<br />
Vu les autres pièces du dossier ;<br />
<br />
Étaient présents, lors de la séance de la formation restreinte du 3 décembre 2020 :<br />
<br />
Monsieur François PELLEGRINI, commissaire, entendu en son rapport ;<br />
<br />
En qualité de représentant de Monsieur [...] :<br />
<br />
Maître […] ;<br />
<br />
M. […], délégué à la protection des données et informaticien, a été entendu en application de l’article 22, paragraphe 1, de la loi no 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ;<br />
<br />
Monsieur [...] ayant eu la parole en dernier ;<br />
<br />
La formation restreinte a adopté la décision suivante :<br />
<br />
I.Faits et procédure<br />
<br />
M. […] exerce une activité libérale dans un cabinet […] à Paris […].<br />
Le […], une enquête de la société de sécurité informatique […], relayée par le site web […], a signalé l’accès libre à des serveurs informatiques d’imagerie médicale situés […] permettant la consultation et le téléchargement […] d’images médicales (IRM, radios, scanners, etc…) suivies notamment des nom, prénoms, date de naissance et date de consultation des patients.<br />
En application de la décision n° 2019-152C du 20 septembre 2019 de la présidente de la Commission nationale de l’informatique et des libertés (ci-après la CNIL ou la Commission), les services de la CNIL ont procédé à un contrôle en ligne, les 20 et 24 septembre 2019, qui a confirmé le caractère librement accessible de ces données, exploitables par l’intermédiaire d’un simple logiciel de consultation d’images médicales. Le contrôle a également permis d’établir la liste des adresses IP de ces serveurs qui sont localisées en France.<br />
Ces missions avaient notamment pour objet de vérifier le respect, par les attributaires de ces adresses IP, de l’ensemble des dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (ci-après le Règlement ou le RGPD ) et de la loi no 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (ci-après la loi informatique et libertés ).<br />
Après avoir demandé aux différents fournisseurs d’accès à Internet de leur communiquer l’identité et les coordonnées des responsables de traitement utilisant ces adresses IP françaises, les services de la CNIL ont été informés que l’une de ces adresses, portant le numéro […] , avait pour attributaire M. [...].<br />
Par un courrier électronique du 2 octobre 2019, la délégation de contrôle a notifié le contrôle en ligne à M. [...], après l’avoir informé du caractère librement accessible des images médicales de ses patients à partir de l’adresse IP de son serveur.<br />
Par un courrier électronique du même jour, M. [...] a répondu avoir pris les mesures nécessaires pour mettre fin à la violation.<br />
Le 17 décembre 2019, M. [...], assisté de son conseil, a été auditionné par la délégation de contrôle dans les locaux de la CNIL. Il a indiqué avoir, en 2015, paramétré son logiciel d’imagerie [...] pour pouvoir transférer automatiquement des images issues de son équipement de radiographie vers la base de données de son logiciel d’imagerie hébergée dans son cabinet et accéder à distance aux images.<br />
Par courrier du 7 janvier 2020, M. [...] a fait parvenir à la délégation de contrôle plusieurs documents sollicités dans le cadre de son audition, tels que la volumétrie des images contenues dans la base de données du logiciel d’imagerie médicale ainsi que les registres des traitements de données à caractère personnel mis en œuvre dans son cabinet.<br />
Par courrier du 20 janvier 2020, M. [...] a fait parvenir à la délégation de contrôle des documents rendant compte du renforcement des mesures de sécurité apportées au dispositif d’imagerie médicale de son cabinet.<br />
Aux fins d’instruction de ces éléments, la présidente de la Commission a désigné M. François PELLEGRINI en qualité de rapporteur, le 27 juillet 2020, sur le fondement de l’article 22 de la loi informatique et libertés .<br />
À l’issue de son instruction, le rapporteur a fait remettre en main propre à M. [...], le 23 septembre 2020, un rapport détaillant les manquements au RGPD qu’il estimait constitués en l’espèce. Le même jour, les services de la CNIL ont notifié à ce dernier une convocation à la séance de la formation restreinte du 3 décembre 2020.<br />
Ce rapport proposait à la formation restreinte de la Commission de prononcer une amende administrative à l’encontre de M. [...] au titre de manquements aux articles 32 et 33 du Règlement.<br />
Le 22 octobre 2020, par l’intermédiaire de son conseil, M. [...] a produit des observations et formulé une demande pour que la séance devant la formation restreinte se tienne à huis clos.<br />
Le 29 octobre 2020, le président de la formation restreinte a fait droit à cette demande au motif que les données à caractère personnel versées au débat étaient protégées par le secret médical.<br />
M. [...] et le rapporteur ont présenté des observations orales lors de la séance de la formation restreinte.<br />
<br />
II.Motifs de la décision<br />
<br />
A.Sur le manquement à l’obligation d’assurer la sécurité des données traitées<br />
<br />
17. Aux termes de l’article 32, paragraphe 1, du RGPD, le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque .<br />
<br />
18. Les a) et b) de ce même paragraphe 1 prévoient qu’en fonction notamment de la portée, du contexte et des finalités du traitement ainsi que des risques pour les personnes concernées, le responsable de traitement met en œuvre le chiffrement des données à caractère personnel et des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement .<br />
<br />
19. Le rapporteur fait valoir que la vulnérabilité du dispositif d’imagerie médicale à l’origine de la violation de données est imputable à M. [...] qui n’a pas mis en œuvre les mesures techniques appropriées pour garantir la sécurité du traitement.<br />
<br />
20. M. [...] répond notamment n’être pas à l’origine de la violation de données dès lors que le paramétrage de la box Internet, qui sert de routeur à son matériel informatique professionnel, a selon lui été effectué par des prestataires externes au cabinet. Il reconnaît toutefois ne pas être en mesure de prouver la matérialité de ces interventions, n’en n’ayant conservé aucun compte rendu.<br />
<br />
21. La formation restreinte relève qu’en application de l’article 32 du RGPD, c’est à M. [...] qu’il incombait, en tant que responsable de traitement, de veiller à la sécurité des données qu’il traitait, la détermination de l’auteur du paramétrage de la box Internet étant inopérante en l’espèce.<br />
<br />
22. Tout d’abord, la formation restreinte souligne qu’il n’est pas contesté que la violation de données a pour cause l’ouverture des ports réseaux de la box Internet utilisée au cabinet de M. [...] couplée au paramétrage de la fonction serveur ( PACS ) du logiciel d’imagerie [...].<br />
<br />
23. Elle relève que dans son courrier électronique du 2 octobre 2019, M. [...] a indiqué : Je ne me sers pas d’un PACS au cabinet car nous visionnons directement les clichés réalisés sur le réseau Ethernet sécurisé . Par ailleurs, dans le cadre de son audition du 17 décembre 2019, il a précisé avoir mis en œuvre l’accès à distance aux images en 2015 et n’avoir pas eu recours à un prestataire pour l’installation et le paramétrage du logiciel [...] . Il ressort donc de ces éléments que M. [...] n’avait pas pris soin de limiter les fonctions réseaux à celles qui étaient strictement nécessaires au fonctionnement du traitement.<br />
<br />
24. Or, la formation restreinte souligne que la protection du réseau informatique interne et le chiffrement des données à caractère personnel font partie des exigences élémentaires en matière de sécurité informatique, qui incombent à tout responsable de traitement.<br />
<br />
A cet égard, dans le guide La sécurité des données personnelles , qui offre un éclairage utile aux responsables de traitement quant aux mesures à mettre en œuvre afin de garantir la sécurité de leur traitement, la Commission recommande d’ autoriser uniquement les fonctions réseau nécessaires aux traitements mis en place . De même, le Guide pratique pour les médecins , publié par la CNIL en concertation avec le Conseil national de l’ordre des médecins, invite les médecins à limiter le plus possible la connexion d’appareils non professionnels sur le réseau au sein duquel sont traitées les données des patients, ainsi qu’à recourir à des moyens d’authentification forte pour accéder à ce réseau.<br />
<br />
25. Ensuite, la formation restreinte souligne qu’il ressort également de l’audition du 17 décembre 2019 que M. [...] n’avait pas non plus pris soin de chiffrer les données contenues dans son ordinateur portable personnel, estimant que le chiffrement ralentit trop l’exécution des applications (dossier médical, outil de visualisation des images) .<br />
<br />
26. Or, en l’absence de chiffrement, les données médicales contenues dans le disque dur de cet ordinateur étaient lisibles en clair par toute personne prenant possession de cet appareil (par exemple, à la suite de sa perte ou de son vol) ou par toute personne s’introduisant de manière indue sur le réseau auquel cet ordinateur était raccordé.<br />
<br />
27. A cet égard, dans son guide La sécurité des données personnelles , la CNIL recommande de prévoir des moyens de chiffrement des postes nomades et supports de stockage mobiles (ordinateur portable, clés USB, disque dur externes, CD-R, DVD-RW, etc.), par exemple via le chiffrement du disque dur dans sa totalité lorsque le système d’exploitation le propose, le chiffrement fichier par fichier ou la création de conteneurs (fichier susceptible de contenir plusieurs fichiers) chiffrés. De même, le Guide pratique pour les médecins invite les médecins à procéder au chiffrement des données de leurs patients avec un logiciel adapté.<br />
<br />
28. Enfin, la formation restreinte relève que le traitement en cause concerne des données médicales, qui constituent des catégories particulières de données à caractère personnel, au sens de l’article 9 du Règlement. La nature de ces informations appelait donc une vigilance toute particulière afin d’éviter une violation de données.<br />
<br />
29. Elle rappelle ainsi que parmi les données concernées par la violation figuraient, outre l’image médicale, les nom, prénoms et date de naissance du patient, la date de réalisation de l’examen, le nom du praticien référent et du praticien ayant réalisé l’examen et le nom de l’établissement dans lequel l’examen a eu lieu.<br />
<br />
30. Elle souligne qu’il ressort des propres déclarations de M. [...] dans le cadre de son audition du 17 décembre 2019 que plus de mille deux cents séries d’images médicales sont concernées.<br />
<br />
31. Enfin, elle relève qu’il ressort du dossier que ces données ont été exposées environ cinq ans.<br />
<br />
32. Au regard de l’ensemble de ces éléments, la formation restreinte considère qu’un manquement à l’article 32 du RGPD est constitué.<br />
<br />
B.Sur le manquement à l’obligation de notifier la violation de données à la CNIL<br />
<br />
33. Aux termes de l’article 33, paragraphe 1, du RGPD, en cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l'autorité de contrôle compétente conformément à l'article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance .<br />
<br />
34. Le rapporteur fait valoir que le M. [...] n’a pas déclaré la violation de données auprès des services compétents de la Commission.<br />
<br />
35. M. [...] répond que la nécessité de notifier la violation de données à la Commission ne lui a jamais été indiquée. Il invoque, par ailleurs, le caractère artificiel d’une telle obligation dès lors qu’il a eu connaissance du libre accès de la base de données de son logiciel d’imagerie médicale par la délégation de contrôle de la CNIL.<br />
<br />
36. La formation restreinte considère que le responsable de traitement doit, en toute circonstance, respecter l’exigence de notification prévue à l’article 33 du Règlement à moins que la violation en question ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques. La circonstance que la violation de données avait été portée à la connaissance de M. [...] par le service des contrôles de la CNIL ne le déchargeait pas de cette obligation.<br />
<br />
37. En effet, consécutivement au contrôle, le responsable de traitement peut avoir connaissance d’éléments complémentaires relatifs à la violation de données qui méritent d’être communiqués aux services compétents de la CNIL, lesquels ont notamment pour mission de centraliser les différentes violations de données et d’en assurer le suivi afin de prévenir la compromission de données à caractère personnel. Un téléservice est disponible sur le site de la CNIL pour effectuer ces notifications.<br />
<br />
38. En l’espèce, la formation restreinte rappelle que l’existence et la nature de l’obligation de notification figuraient dans le courrier électronique du 2 octobre 2019 qui informait M. [...] de ladite violation de données.<br />
<br />
39. La formation restreinte relève qu’au 24 septembre 2020, jour de la notification du rapport de sanction, M. [...] n’avait toujours pas notifié la violation de données à la Commission, alors qu’il en avait connaissance depuis le 2 octobre 2019.<br />
<br />
40. La formation restreinte considère donc qu’un manquement à l’article 33 du Règlement est constitué.<br />
<br />
III.Sur les mesures correctrices et la publicité<br />
<br />
41. Aux termes du III de l’article 20 de la loi informatique et libertés :<br />
<br />
Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi, le président de la Commission nationale de l'informatique et des libertés peut également, le cas échéant après lui avoir adressé l'avertissement prévu au I du présent article ou, le cas échéant en complément d'une mise en demeure prévue au II, saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l'une ou de plusieurs des mesures suivantes : […]<br />
<br />
7° À l'exception des cas où le traitement est mis en œuvre par l'État, une amende administrative ne pouvant excéder 10 millions d'euros ou, s'agissant d'une entreprise, 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux 5 et 6 de l'article 83 du règlement (UE) 2016/679 du 27 avril 2016, ces plafonds sont portés, respectivement, à 20 millions d'euros et 4 % dudit chiffre d'affaires. La formation restreinte prend en compte, dans la détermination du montant de l'amende, les critères précisés au même article 83.<br />
<br />
42. L’article 83 du RGPD prévoit :<br />
<br />
1. Chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives.<br />
<br />
2. Selon les caractéristiques propres à chaque cas, les amendes administratives sont imposées en complément ou à la place des mesures visées à l'article 58, paragraphe 2, points a) à h), et j). Pour décider s'il y a lieu d'imposer une amende administrative et pour décider du montant de l'amende administrative, il est dûment tenu compte, dans chaque cas d'espèce, des éléments suivants :<br />
<br />
a) la nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes concernées affectées et le niveau de dommage qu'elles ont subi ;<br />
<br />
b) le fait que la violation a été commise délibérément ou par négligence ;<br />
<br />
c) toute mesure prise par le responsable du traitement ou le sous-traitant pour atténuer le dommage subi par les personnes concernées ;<br />
<br />
d) le degré de responsabilité du responsable du traitement ou du sous-traitant, compte tenu des mesures techniques et organisationnelles qu'ils ont mises en œuvre en vertu des articles 25 et 32 ;<br />
<br />
e) toute violation pertinente commise précédemment par le responsable du traitement ou le sous-traitant ;<br />
<br />
f) le degré de coopération établi avec l'autorité de contrôle en vue de remédier à la violation et d'en atténuer les éventuels effets négatifs ;<br />
<br />
g) les catégories de données à caractère personnel concernées par la violation ;<br />
<br />
h) la manière dont l'autorité de contrôle a eu connaissance de la violation, notamment si, et dans quelle mesure, le responsable du traitement ou le sous-traitant a notifié la violation ;<br />
<br />
i) lorsque des mesures visées à l'article 58, paragraphe 2, ont été précédemment ordonnées à l'encontre du responsable du traitement ou du sous-traitant concerné pour le même objet, le respect de ces mesures ;<br />
<br />
j) l'application de codes de conduite approuvés en application de l'article 40 ou de mécanismes de certification approuvés en application de l'article 42 ; et<br />
<br />
k) toute autre circonstance aggravante ou atténuante applicable aux circonstances de l'espèce, telle que les avantages financiers obtenus ou les pertes évitées, directement ou indirectement, du fait de la violation.<br />
<br />
43. Concernant le prononcé d’une amende administrative, M. [...] estime notamment que la mesure correctrice proposée par le rapporteur est disproportionnée au regard de sa responsabilité dans la violation de données.<br />
<br />
44. Il revendique également le fait d’avoir réagi très rapidement pour mettre un terme à la violation dès qu’il en a eu connaissance par la délégation, et souligne qu’il s’est, pour cela, entouré de spécialistes compétents.<br />
<br />
45. Il fait valoir, en outre, avoir mis en œuvre de nombreuses mesures de sécurité avant l’audition et souligne sa pleine coopération avec les services de la Commission.<br />
<br />
46. La formation restreinte rappelle que pour apprécier l’opportunité de prononcer une amende administrative il convient de se référer aux critères pertinents précisés par l’article 83, paragraphe 2, du RGPD.<br />
<br />
47. En l’espèce, elle estime qu’il convient de faire d’abord application du critère prévu à l’alinéa f) de l’article 83, paragraphe 2, du Règlement relatif au degré de coopération établi avec l'autorité de contrôle en vue de remédier à la violation et d'en atténuer les éventuels effets négatifs.<br />
<br />
48. La formation restreinte relève que dès qu’il a eu connaissance de la violation, M. [...] a pris les mesures nécessaires permettant d’y mettre un terme aussitôt.<br />
<br />
49. Elle rappelle ainsi que dans son courrier électronique du 2 octobre 2019 en réponse à la délégation de contrôle, M. [...] a indiqué avoir fait supprimer purement et simplement ce PACS logiciel dès la réception de votre appel et avoir écrit une procédure interne pour éviter qu’à l’avenir un prestataire n’ouvre un port ou un PACS sur le serveur et qu’il soit possible de se connecter dessus comme vous semblez avoir pu le faire .<br />
<br />
50. Elle souligne également qu’il s’est, par la suite, entouré de prestataires, dont la société […], afin de renforcer les mesures de sécurité apportées au dispositif d’imagerie médicale du cabinet, à travers notamment le chiffrement du disque dur de démarrage et l’installation d’un certificat SSL destiné au serveur web du logiciel [...].<br />
<br />
51. Cependant, la formation restreinte souligne qu’il convient de faire également application des critères prévu aux alinéas a) et g) de l’article 83, paragraphe 2, du Règlement relatifs, d’une part, à la nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes concernées affectées et d’autre part, aux catégories de données à caractère personnel concernées par la violation.<br />
<br />
52. Elle relève ainsi que M. [...] a failli à deux principes élémentaires en matière de sécurité informatique, à savoir la protection du réseau informatique interne par la limitation des flux réseau au strict nécessaire et le chiffrement des données à caractère personnel.<br />
<br />
53. La formation restreinte souligne à nouveau que la gravité du manquement à l’article 32 du RGPD est d’autant plus caractérisée que des données de santé sont concernées et que cette catégorie particulière de données à caractère personnel doit bénéficier de mesures de sécurité renforcées, conformément au considérant 75 du RGPD.<br />
<br />
54. Elle répète que le non-respect de ces pratiques élémentaires a eu pour conséquence directe de rendre accessibles plus de mille deux cents séries de données de santé comprenant, pour chacune de ces séries, outre l’image médicale, les nom, prénoms et date de naissance de chaque patient, la date de réalisation de l’examen, le nom du praticien référent et du praticien ayant réalisé l’examen et le nom de l’établissement dans lequel l’examen a eu lieu.<br />
<br />
55. Elle rappelle que les données à caractère personnel hébergées sur la base de données du logiciel d’images [...] sont restées accessibles sans aucune authentification pendant une durée d’un peu moins de cinq ans, prolongeant de la sorte le risque que des tiers non autorisés accèdent aux données et puissent éventuellement les compromettre.<br />
<br />
56. Enfin, la formation restreinte souligne qu’il convient également de faire application du critère prévu à l’alinéa h) de l’article 83, paragraphe 2, du Règlement relatif à la manière dont l'autorité de contrôle a eu connaissance de la violation, notamment si, et dans quelle mesure, le responsable du traitement a notifié la violation.<br />
<br />
57. Elle rappelle en l’occurrence que la Commission a eu connaissance de la violation de données par le biais d’un article de presse et que M. [...] ne l’a jamais notifiée aux services compétents de la Commission, même après que la délégation de contrôle a attiré son attention sur ce point.<br />
<br />
58. Au regard de ces éléments, la formation restreinte considère donc nécessaire le prononcé d’une amende administrative à l’encontre de M. [...].<br />
<br />
59. Concernant la détermination du montant de cette amende, la formation restreinte considère que le manquement à l’article 32 du RGPD présente une gravité certaine, qu’en revanche le manquement à l’article 33 présente en l’espèce un caractère formel.<br />
<br />
60. Elle note que selon ses déclarations lors de la séance du 3 décembre 2020, M. [...] indique gagner environ 8 000 € par mois et qu’en application des dispositions de l’article 83, paragraphe 4, du RGPD, il encourt une sanction financière d’un montant maximum de 10 millions d’euros.<br />
<br />
61. Dès lors, au regard des capacités financières de M. [...] et des critères pertinents de l’article 83, paragraphe 2, du Règlement, la formation restreinte estime que le prononcé d’une amende de 6 000 € apparaît à la fois effectif, proportionné et dissuasif, conformément aux exigences de l’article 83, paragraphe 1, de ce Règlement.<br />
<br />
PAR CES MOTIFS<br />
<br />
La formation restreinte de la CNIL, après en avoir délibéré, décide de :<br />
<br />
prononcer à l’encontre de M. [...] une amende administrative d’un montant de 6 000 € (six mille euros) pour les manquements aux articles 32 et 33 du RGPD ;<br />
rendre publique cette décision sur le site de la CNIL et sur le site de Légifrance sans identifier le responsable de traitement.<br />
<br />
Le président<br />
<br />
Alexandre LINDEN<br />
</pre></div>Tsekhttps://gdprhub.eu/index.php?title=CNIL_(France)_-_SAN-2020-015&diff=13080CNIL (France) - SAN-2020-0152020-12-22T16:51:42Z<p>Tsek: Created page with "{{DPAdecisionBOX |Jurisdiction=France |DPA-BG-Color= |DPAlogo=LogoFR.png |DPA_Abbrevation=CNIL |DPA_With_Country=CNIL (France) |Case_Number_Name=SAN-2020-015 |ECLI= |Origin..."</p>
<hr />
<div>{{DPAdecisionBOX<br />
<br />
|Jurisdiction=France<br />
|DPA-BG-Color=<br />
|DPAlogo=LogoFR.png<br />
|DPA_Abbrevation=CNIL<br />
|DPA_With_Country=CNIL (France)<br />
<br />
|Case_Number_Name=SAN-2020-015<br />
|ECLI=<br />
<br />
|Original_Source_Name_1=Legifrance<br />
|Original_Source_Link_1=https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000042676787<br />
|Original_Source_Language_1=French<br />
|Original_Source_Language__Code_1=FR<br />
<br />
|Type=Complaint<br />
|Outcome=Upheld<br />
|Date_Decided=07.12.2020<br />
|Date_Published=17.12.2020<br />
|Year=2020<br />
|Fine=6000<br />
|Currency=EUR<br />
<br />
|GDPR_Article_1=Article 32(1) GDPR<br />
|GDPR_Article_Link_1=Article 32 GDPR#1<br />
|GDPR_Article_2=Article 33(1) GDPR<br />
|GDPR_Article_Link_2=Article 33 GDPR#1<br />
<br />
<br />
<br />
|Party_Name_1=<br />
|Party_Link_1=<br />
|Party_Name_2=<br />
|Party_Link_2=<br />
|Party_Name_3=<br />
|Party_Link_3=<br />
|Party_Name_4=<br />
|Party_Link_4=<br />
|Party_Name_5=<br />
|Party_Link_5=<br />
<br />
|Appeal_To_Body=<br />
|Appeal_To_Case_Number_Name=<br />
|Appeal_To_Status=Unknown<br />
|Appeal_To_Link=<br />
<br />
|Initial_Contributor=n/a<br />
|<br />
}}<br />
<br />
The French DPA (CNIL) imposed a €6000 fine on a private doctor for failing to comply with the security obligation. His patients' health data were freely accessible on the web in breach of Article 32 GDPR. <br />
<br />
== English Summary ==<br />
<br />
=== Facts ===<br />
A computing security company reported that medical imaging servers were freely accessible, exposing medical images, names and other data relating to patients of a medical practice.<br />
<br />
The CNIL carried out an online check in September 2019. The breach was established to be the result of the opening of ports of the Internet box of a medical practice, the set up of the picture archiving and communication system (PACS) and the absence of encryption.<br />
<br />
<br />
=== Dispute ===<br />
Does opening all the ports of its internet box in order to be able to access remotely the health data of its patients constitute a breach of the security obligation of [[Article 32 GDPR]]?<br />
Does the fact that this health data is not encrypted constitute a breach of the security obligation under Article 32 GDPR?<br />
Is the data controller responsible of the violation of Article 32 GDPR if an IT service provider has caused the security flaw?<br />
Does the fact that the data breach was brought to the doctor's attention by the CNIL's control department relieve the doctor of his obligation to notify a breach, as required by [[Article 33 GDPR]]?<br />
<br />
=== Holding ===<br />
The CNIL pronounced an administrative fine of €6000 against a doctor whose patients' health data was freely accessible on the web. To base its decision, the French DPA found two breaches: failure to comply to with the security obligation, and failure to notify the breach to the CNIL. <br />
<br />
On the failure to comply to the security obligation<br />
<br />
After recalling the provisions of Article 32 GDPR, the CNIL retains several things: <br />
• The doctor had not taken care to limit the network functions to those strictly necessary for the functioning of the treatment.<br />
• Based on its Personal Data Security guide, the CNIL recommends providing encryption means for mobile workstations and mobile storage media, for example by encrypting the entire hard disk when the operating system offers it, encrypting file by file or creating encrypted containers (a file likely to contain several files). Similarly, the Practical Guide for Physicians encourages physicians to encrypt their patients' data with suitable software. In this case, the French DPA emphasizes that none of the data freely accessible on the Internet was encrypted.<br />
• The CNIL reminds that the data concerned are so-called sensitive data within the meaning of Article 9 GDPR. The CNIL’s sub-commission thus recalls that the data concerned by the violation included, in addition to the medical images, the patient's surname, first names and date of birth, the date the examination was carried out, the name of the referring practitioner and the practitioner who carried out the examination, and the name of the establishment where the examination took place. In addition, the data were exposed for approximately 5 years.<br />
<br />
Based on the evidence, the CNIL therefore concludes that there has been a breach of the obligation of security, as provided for in Article 32 GDPR. <br />
<br />
On the responsibility of the data controller in case of failure of its IT service provider<br />
<br />
The doctor declared that the opening of ports of the internet box had been done by its IT service provider. The CNIL holds that the circumstances are not taken in account when assessing the data controller compliance with Article 32 GDPR. <br />
<br />
On the failure to comply to the obligation to notify breaches to the DPA<br />
<br />
In the present case, the data violation was brought to the doctor’s awareness by the CNIL notification of the online-check. The doctor then refutes its obligation on the ground that the CNIL did not indicate to him that he still had to notify the breach under Article 33 GDPR.<br />
<br />
Recalling the provisions of Article 33 GDPR, the CNIL emphasised that the fact that the data breach was brought to the doctor's attention by the CNIL's control department did not relieve him of this obligation to notify. Moreover, the Commission notes that the existence and nature of the obligation to notify appeared in the email of 8 October 2019 informing the doctor of the data breach. It therefore concludes that there has been a breach of Article 33 GDPR. <br />
<br />
<br />
== Comment ==<br />
This decision is linked to decision SAN-2020-014 by which the the French DPA condemns a private doctor to a fine of €6,000 for having insufficiently protected the personal data of their patients and not having notified a data breach to the CNIL. <br />
<br />
== Further Resources ==<br />
''Share blogs or news articles here!''<br />
<br />
== English Machine Translation of the Decision ==<br />
The decision below is a machine translation of the French original. Please refer to the French original for more details.<br />
<br />
<pre><br />
Délibération de la formation restreinte no SAN-2020-015 du 7 décembre 2020 concernant Monsieur […]<br />
<br />
La Commission nationale de l’informatique et des libertés, réunie en sa formation restreinte composée de Messieurs Alexandre LINDEN, président, Philippe-Pierre CABOURDIN, vice-président, et de Mesdames Dominique CASTERA, Anne DEBET et Christine MAUGÜE, membres ;<br />
<br />
Vu la Convention no 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;<br />
<br />
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données à caractère personnel et à la libre circulation de ces données ;<br />
<br />
Vu la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 20 et suivants ;<br />
<br />
Vu le décret no 2019-536 du 29 mai 2019 pris pour l'application de la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;<br />
<br />
Vu la délibération no 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l'informatique et des libertés ;<br />
<br />
Vu la décision no 2019-152C du 20 septembre 2019 de la présidente de la Commission nationale de l’informatique et des libertés de charger le secrétaire général de procéder ou de faire procéder à une mission de vérification des traitements notamment accessibles à partir de l’adresse IP portant le numéro […] ;<br />
<br />
Vu la décision de la présidente de la Commission nationale de l’informatique et des libertés portant désignation d’un rapporteur devant la formation restreinte, en date du 27 juillet 2020 ;<br />
<br />
Vu le rapport de Monsieur François PELLEGRINI, commissaire rapporteur, notifié [...] le 23 septembre 2020 ;<br />
<br />
Vu les observations écrites versées par le conseil de Monsieur [...] le 22 octobre 2020 ;<br />
<br />
Vu les observations orales formulées lors de la séance de la formation restreinte ;<br />
<br />
Vu les autres pièces du dossier ;<br />
<br />
Étaient présents, lors de la séance de la formation restreinte du 3 décembre 2020 :<br />
<br />
Monsieur François PELLEGRINI, commissaire, entendu en son rapport ;<br />
<br />
En qualité de représentant de Monsieur [...] :<br />
<br />
Maître […] ;<br />
<br />
M. […], délégué à la protection des données et informaticien, a été entendu en application de l’article 22, paragraphe 1, de la loi no 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ;<br />
<br />
Monsieur [...] ayant eu la parole en dernier ;<br />
<br />
La formation restreinte a adopté la décision suivante :<br />
<br />
I.Faits et procédure<br />
<br />
M. […] exerce une activité libérale dans un cabinet […] à Paris […].<br />
Le […], une enquête de la société de sécurité informatique […], relayée par le site web […], a signalé l’accès libre à des serveurs informatiques d’imagerie médicale situés […] permettant la consultation et le téléchargement […] d’images médicales (IRM, radios, scanners, etc…) suivies notamment des nom, prénoms, date de naissance et date de consultation des patients.<br />
En application de la décision n° 2019-152C du 20 septembre 2019 de la présidente de la Commission nationale de l’informatique et des libertés (ci-après la CNIL ou la Commission), les services de la CNIL ont procédé à un contrôle en ligne, les 20 et 24 septembre 2019, qui a confirmé le caractère librement accessible de ces données, exploitables par l’intermédiaire d’un simple logiciel de consultation d’images médicales. Le contrôle a également permis d’établir la liste des adresses IP de ces serveurs qui sont localisées en France.<br />
Ces missions avaient notamment pour objet de vérifier le respect, par les attributaires de ces adresses IP, de l’ensemble des dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (ci-après le Règlement ou le RGPD ) et de la loi no 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (ci-après la loi informatique et libertés ).<br />
Après avoir demandé aux différents fournisseurs d’accès à Internet de leur communiquer l’identité et les coordonnées des responsables de traitement utilisant ces adresses IP françaises, les services de la CNIL ont été informés que l’une de ces adresses, portant le numéro […] , avait pour attributaire M. [...].<br />
Par un courrier électronique du 2 octobre 2019, la délégation de contrôle a notifié le contrôle en ligne à M. [...], après l’avoir informé du caractère librement accessible des images médicales de ses patients à partir de l’adresse IP de son serveur.<br />
Par un courrier électronique du même jour, M. [...] a répondu avoir pris les mesures nécessaires pour mettre fin à la violation.<br />
Le 17 décembre 2019, M. [...], assisté de son conseil, a été auditionné par la délégation de contrôle dans les locaux de la CNIL. Il a indiqué avoir, en 2015, paramétré son logiciel d’imagerie [...] pour pouvoir transférer automatiquement des images issues de son équipement de radiographie vers la base de données de son logiciel d’imagerie hébergée dans son cabinet et accéder à distance aux images.<br />
Par courrier du 7 janvier 2020, M. [...] a fait parvenir à la délégation de contrôle plusieurs documents sollicités dans le cadre de son audition, tels que la volumétrie des images contenues dans la base de données du logiciel d’imagerie médicale ainsi que les registres des traitements de données à caractère personnel mis en œuvre dans son cabinet.<br />
Par courrier du 20 janvier 2020, M. [...] a fait parvenir à la délégation de contrôle des documents rendant compte du renforcement des mesures de sécurité apportées au dispositif d’imagerie médicale de son cabinet.<br />
Aux fins d’instruction de ces éléments, la présidente de la Commission a désigné M. François PELLEGRINI en qualité de rapporteur, le 27 juillet 2020, sur le fondement de l’article 22 de la loi informatique et libertés .<br />
À l’issue de son instruction, le rapporteur a fait remettre en main propre à M. [...], le 23 septembre 2020, un rapport détaillant les manquements au RGPD qu’il estimait constitués en l’espèce. Le même jour, les services de la CNIL ont notifié à ce dernier une convocation à la séance de la formation restreinte du 3 décembre 2020.<br />
Ce rapport proposait à la formation restreinte de la Commission de prononcer une amende administrative à l’encontre de M. [...] au titre de manquements aux articles 32 et 33 du Règlement.<br />
Le 22 octobre 2020, par l’intermédiaire de son conseil, M. [...] a produit des observations et formulé une demande pour que la séance devant la formation restreinte se tienne à huis clos.<br />
Le 29 octobre 2020, le président de la formation restreinte a fait droit à cette demande au motif que les données à caractère personnel versées au débat étaient protégées par le secret médical.<br />
M. [...] et le rapporteur ont présenté des observations orales lors de la séance de la formation restreinte.<br />
<br />
II.Motifs de la décision<br />
<br />
A.Sur le manquement à l’obligation d’assurer la sécurité des données traitées<br />
<br />
17. Aux termes de l’article 32, paragraphe 1, du RGPD, le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque .<br />
<br />
18. Les a) et b) de ce même paragraphe 1 prévoient qu’en fonction notamment de la portée, du contexte et des finalités du traitement ainsi que des risques pour les personnes concernées, le responsable de traitement met en œuvre le chiffrement des données à caractère personnel et des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement .<br />
<br />
19. Le rapporteur fait valoir que la vulnérabilité du dispositif d’imagerie médicale à l’origine de la violation de données est imputable à M. [...] qui n’a pas mis en œuvre les mesures techniques appropriées pour garantir la sécurité du traitement.<br />
<br />
20. M. [...] répond notamment n’être pas à l’origine de la violation de données dès lors que le paramétrage de la box Internet, qui sert de routeur à son matériel informatique professionnel, a selon lui été effectué par des prestataires externes au cabinet. Il reconnaît toutefois ne pas être en mesure de prouver la matérialité de ces interventions, n’en n’ayant conservé aucun compte rendu.<br />
<br />
21. La formation restreinte relève qu’en application de l’article 32 du RGPD, c’est à M. [...] qu’il incombait, en tant que responsable de traitement, de veiller à la sécurité des données qu’il traitait, la détermination de l’auteur du paramétrage de la box Internet étant inopérante en l’espèce.<br />
<br />
22. Tout d’abord, la formation restreinte souligne qu’il n’est pas contesté que la violation de données a pour cause l’ouverture des ports réseaux de la box Internet utilisée au cabinet de M. [...] couplée au paramétrage de la fonction serveur ( PACS ) du logiciel d’imagerie [...].<br />
<br />
23. Elle relève que dans son courrier électronique du 2 octobre 2019, M. [...] a indiqué : Je ne me sers pas d’un PACS au cabinet car nous visionnons directement les clichés réalisés sur le réseau Ethernet sécurisé . Par ailleurs, dans le cadre de son audition du 17 décembre 2019, il a précisé avoir mis en œuvre l’accès à distance aux images en 2015 et n’avoir pas eu recours à un prestataire pour l’installation et le paramétrage du logiciel [...] . Il ressort donc de ces éléments que M. [...] n’avait pas pris soin de limiter les fonctions réseaux à celles qui étaient strictement nécessaires au fonctionnement du traitement.<br />
<br />
24. Or, la formation restreinte souligne que la protection du réseau informatique interne et le chiffrement des données à caractère personnel font partie des exigences élémentaires en matière de sécurité informatique, qui incombent à tout responsable de traitement.<br />
<br />
A cet égard, dans le guide La sécurité des données personnelles , qui offre un éclairage utile aux responsables de traitement quant aux mesures à mettre en œuvre afin de garantir la sécurité de leur traitement, la Commission recommande d’ autoriser uniquement les fonctions réseau nécessaires aux traitements mis en place . De même, le Guide pratique pour les médecins , publié par la CNIL en concertation avec le Conseil national de l’ordre des médecins, invite les médecins à limiter le plus possible la connexion d’appareils non professionnels sur le réseau au sein duquel sont traitées les données des patients, ainsi qu’à recourir à des moyens d’authentification forte pour accéder à ce réseau.<br />
<br />
25. Ensuite, la formation restreinte souligne qu’il ressort également de l’audition du 17 décembre 2019 que M. [...] n’avait pas non plus pris soin de chiffrer les données contenues dans son ordinateur portable personnel, estimant que le chiffrement ralentit trop l’exécution des applications (dossier médical, outil de visualisation des images) .<br />
<br />
26. Or, en l’absence de chiffrement, les données médicales contenues dans le disque dur de cet ordinateur étaient lisibles en clair par toute personne prenant possession de cet appareil (par exemple, à la suite de sa perte ou de son vol) ou par toute personne s’introduisant de manière indue sur le réseau auquel cet ordinateur était raccordé.<br />
<br />
27. A cet égard, dans son guide La sécurité des données personnelles , la CNIL recommande de prévoir des moyens de chiffrement des postes nomades et supports de stockage mobiles (ordinateur portable, clés USB, disque dur externes, CD-R, DVD-RW, etc.), par exemple via le chiffrement du disque dur dans sa totalité lorsque le système d’exploitation le propose, le chiffrement fichier par fichier ou la création de conteneurs (fichier susceptible de contenir plusieurs fichiers) chiffrés. De même, le Guide pratique pour les médecins invite les médecins à procéder au chiffrement des données de leurs patients avec un logiciel adapté.<br />
<br />
28. Enfin, la formation restreinte relève que le traitement en cause concerne des données médicales, qui constituent des catégories particulières de données à caractère personnel, au sens de l’article 9 du Règlement. La nature de ces informations appelait donc une vigilance toute particulière afin d’éviter une violation de données.<br />
<br />
29. Elle rappelle ainsi que parmi les données concernées par la violation figuraient, outre l’image médicale, les nom, prénoms et date de naissance du patient, la date de réalisation de l’examen, le nom du praticien référent et du praticien ayant réalisé l’examen et le nom de l’établissement dans lequel l’examen a eu lieu.<br />
<br />
30. Elle souligne qu’il ressort des propres déclarations de M. [...] dans le cadre de son audition du 17 décembre 2019 que plus de mille deux cents séries d’images médicales sont concernées.<br />
<br />
31. Enfin, elle relève qu’il ressort du dossier que ces données ont été exposées environ cinq ans.<br />
<br />
32. Au regard de l’ensemble de ces éléments, la formation restreinte considère qu’un manquement à l’article 32 du RGPD est constitué.<br />
<br />
B.Sur le manquement à l’obligation de notifier la violation de données à la CNIL<br />
<br />
33. Aux termes de l’article 33, paragraphe 1, du RGPD, en cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l'autorité de contrôle compétente conformément à l'article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance .<br />
<br />
34. Le rapporteur fait valoir que le M. [...] n’a pas déclaré la violation de données auprès des services compétents de la Commission.<br />
<br />
35. M. [...] répond que la nécessité de notifier la violation de données à la Commission ne lui a jamais été indiquée. Il invoque, par ailleurs, le caractère artificiel d’une telle obligation dès lors qu’il a eu connaissance du libre accès de la base de données de son logiciel d’imagerie médicale par la délégation de contrôle de la CNIL.<br />
<br />
36. La formation restreinte considère que le responsable de traitement doit, en toute circonstance, respecter l’exigence de notification prévue à l’article 33 du Règlement à moins que la violation en question ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques. La circonstance que la violation de données avait été portée à la connaissance de M. [...] par le service des contrôles de la CNIL ne le déchargeait pas de cette obligation.<br />
<br />
37. En effet, consécutivement au contrôle, le responsable de traitement peut avoir connaissance d’éléments complémentaires relatifs à la violation de données qui méritent d’être communiqués aux services compétents de la CNIL, lesquels ont notamment pour mission de centraliser les différentes violations de données et d’en assurer le suivi afin de prévenir la compromission de données à caractère personnel. Un téléservice est disponible sur le site de la CNIL pour effectuer ces notifications.<br />
<br />
38. En l’espèce, la formation restreinte rappelle que l’existence et la nature de l’obligation de notification figuraient dans le courrier électronique du 2 octobre 2019 qui informait M. [...] de ladite violation de données.<br />
<br />
39. La formation restreinte relève qu’au 24 septembre 2020, jour de la notification du rapport de sanction, M. [...] n’avait toujours pas notifié la violation de données à la Commission, alors qu’il en avait connaissance depuis le 2 octobre 2019.<br />
<br />
40. La formation restreinte considère donc qu’un manquement à l’article 33 du Règlement est constitué.<br />
<br />
III.Sur les mesures correctrices et la publicité<br />
<br />
41. Aux termes du III de l’article 20 de la loi informatique et libertés :<br />
<br />
Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi, le président de la Commission nationale de l'informatique et des libertés peut également, le cas échéant après lui avoir adressé l'avertissement prévu au I du présent article ou, le cas échéant en complément d'une mise en demeure prévue au II, saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l'une ou de plusieurs des mesures suivantes : […]<br />
<br />
7° À l'exception des cas où le traitement est mis en œuvre par l'État, une amende administrative ne pouvant excéder 10 millions d'euros ou, s'agissant d'une entreprise, 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux 5 et 6 de l'article 83 du règlement (UE) 2016/679 du 27 avril 2016, ces plafonds sont portés, respectivement, à 20 millions d'euros et 4 % dudit chiffre d'affaires. La formation restreinte prend en compte, dans la détermination du montant de l'amende, les critères précisés au même article 83.<br />
<br />
42. L’article 83 du RGPD prévoit :<br />
<br />
1. Chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement visées aux paragraphes 4, 5 et 6 soient, dans chaque cas, effectives, proportionnées et dissuasives.<br />
<br />
2. Selon les caractéristiques propres à chaque cas, les amendes administratives sont imposées en complément ou à la place des mesures visées à l'article 58, paragraphe 2, points a) à h), et j). Pour décider s'il y a lieu d'imposer une amende administrative et pour décider du montant de l'amende administrative, il est dûment tenu compte, dans chaque cas d'espèce, des éléments suivants :<br />
<br />
a) la nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes concernées affectées et le niveau de dommage qu'elles ont subi ;<br />
<br />
b) le fait que la violation a été commise délibérément ou par négligence ;<br />
<br />
c) toute mesure prise par le responsable du traitement ou le sous-traitant pour atténuer le dommage subi par les personnes concernées ;<br />
<br />
d) le degré de responsabilité du responsable du traitement ou du sous-traitant, compte tenu des mesures techniques et organisationnelles qu'ils ont mises en œuvre en vertu des articles 25 et 32 ;<br />
<br />
e) toute violation pertinente commise précédemment par le responsable du traitement ou le sous-traitant ;<br />
<br />
f) le degré de coopération établi avec l'autorité de contrôle en vue de remédier à la violation et d'en atténuer les éventuels effets négatifs ;<br />
<br />
g) les catégories de données à caractère personnel concernées par la violation ;<br />
<br />
h) la manière dont l'autorité de contrôle a eu connaissance de la violation, notamment si, et dans quelle mesure, le responsable du traitement ou le sous-traitant a notifié la violation ;<br />
<br />
i) lorsque des mesures visées à l'article 58, paragraphe 2, ont été précédemment ordonnées à l'encontre du responsable du traitement ou du sous-traitant concerné pour le même objet, le respect de ces mesures ;<br />
<br />
j) l'application de codes de conduite approuvés en application de l'article 40 ou de mécanismes de certification approuvés en application de l'article 42 ; et<br />
<br />
k) toute autre circonstance aggravante ou atténuante applicable aux circonstances de l'espèce, telle que les avantages financiers obtenus ou les pertes évitées, directement ou indirectement, du fait de la violation.<br />
<br />
43. Concernant le prononcé d’une amende administrative, M. [...] estime notamment que la mesure correctrice proposée par le rapporteur est disproportionnée au regard de sa responsabilité dans la violation de données.<br />
<br />
44. Il revendique également le fait d’avoir réagi très rapidement pour mettre un terme à la violation dès qu’il en a eu connaissance par la délégation, et souligne qu’il s’est, pour cela, entouré de spécialistes compétents.<br />
<br />
45. Il fait valoir, en outre, avoir mis en œuvre de nombreuses mesures de sécurité avant l’audition et souligne sa pleine coopération avec les services de la Commission.<br />
<br />
46. La formation restreinte rappelle que pour apprécier l’opportunité de prononcer une amende administrative il convient de se référer aux critères pertinents précisés par l’article 83, paragraphe 2, du RGPD.<br />
<br />
47. En l’espèce, elle estime qu’il convient de faire d’abord application du critère prévu à l’alinéa f) de l’article 83, paragraphe 2, du Règlement relatif au degré de coopération établi avec l'autorité de contrôle en vue de remédier à la violation et d'en atténuer les éventuels effets négatifs.<br />
<br />
48. La formation restreinte relève que dès qu’il a eu connaissance de la violation, M. [...] a pris les mesures nécessaires permettant d’y mettre un terme aussitôt.<br />
<br />
49. Elle rappelle ainsi que dans son courrier électronique du 2 octobre 2019 en réponse à la délégation de contrôle, M. [...] a indiqué avoir fait supprimer purement et simplement ce PACS logiciel dès la réception de votre appel et avoir écrit une procédure interne pour éviter qu’à l’avenir un prestataire n’ouvre un port ou un PACS sur le serveur et qu’il soit possible de se connecter dessus comme vous semblez avoir pu le faire .<br />
<br />
50. Elle souligne également qu’il s’est, par la suite, entouré de prestataires, dont la société […], afin de renforcer les mesures de sécurité apportées au dispositif d’imagerie médicale du cabinet, à travers notamment le chiffrement du disque dur de démarrage et l’installation d’un certificat SSL destiné au serveur web du logiciel [...].<br />
<br />
51. Cependant, la formation restreinte souligne qu’il convient de faire également application des critères prévu aux alinéas a) et g) de l’article 83, paragraphe 2, du Règlement relatifs, d’une part, à la nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes concernées affectées et d’autre part, aux catégories de données à caractère personnel concernées par la violation.<br />
<br />
52. Elle relève ainsi que M. [...] a failli à deux principes élémentaires en matière de sécurité informatique, à savoir la protection du réseau informatique interne par la limitation des flux réseau au strict nécessaire et le chiffrement des données à caractère personnel.<br />
<br />
53. La formation restreinte souligne à nouveau que la gravité du manquement à l’article 32 du RGPD est d’autant plus caractérisée que des données de santé sont concernées et que cette catégorie particulière de données à caractère personnel doit bénéficier de mesures de sécurité renforcées, conformément au considérant 75 du RGPD.<br />
<br />
54. Elle répète que le non-respect de ces pratiques élémentaires a eu pour conséquence directe de rendre accessibles plus de mille deux cents séries de données de santé comprenant, pour chacune de ces séries, outre l’image médicale, les nom, prénoms et date de naissance de chaque patient, la date de réalisation de l’examen, le nom du praticien référent et du praticien ayant réalisé l’examen et le nom de l’établissement dans lequel l’examen a eu lieu.<br />
<br />
55. Elle rappelle que les données à caractère personnel hébergées sur la base de données du logiciel d’images [...] sont restées accessibles sans aucune authentification pendant une durée d’un peu moins de cinq ans, prolongeant de la sorte le risque que des tiers non autorisés accèdent aux données et puissent éventuellement les compromettre.<br />
<br />
56. Enfin, la formation restreinte souligne qu’il convient également de faire application du critère prévu à l’alinéa h) de l’article 83, paragraphe 2, du Règlement relatif à la manière dont l'autorité de contrôle a eu connaissance de la violation, notamment si, et dans quelle mesure, le responsable du traitement a notifié la violation.<br />
<br />
57. Elle rappelle en l’occurrence que la Commission a eu connaissance de la violation de données par le biais d’un article de presse et que M. [...] ne l’a jamais notifiée aux services compétents de la Commission, même après que la délégation de contrôle a attiré son attention sur ce point.<br />
<br />
58. Au regard de ces éléments, la formation restreinte considère donc nécessaire le prononcé d’une amende administrative à l’encontre de M. [...].<br />
<br />
59. Concernant la détermination du montant de cette amende, la formation restreinte considère que le manquement à l’article 32 du RGPD présente une gravité certaine, qu’en revanche le manquement à l’article 33 présente en l’espèce un caractère formel.<br />
<br />
60. Elle note que selon ses déclarations lors de la séance du 3 décembre 2020, M. [...] indique gagner environ 8 000 € par mois et qu’en application des dispositions de l’article 83, paragraphe 4, du RGPD, il encourt une sanction financière d’un montant maximum de 10 millions d’euros.<br />
<br />
61. Dès lors, au regard des capacités financières de M. [...] et des critères pertinents de l’article 83, paragraphe 2, du Règlement, la formation restreinte estime que le prononcé d’une amende de 6 000 € apparaît à la fois effectif, proportionné et dissuasif, conformément aux exigences de l’article 83, paragraphe 1, de ce Règlement.<br />
<br />
PAR CES MOTIFS<br />
<br />
La formation restreinte de la CNIL, après en avoir délibéré, décide de :<br />
<br />
prononcer à l’encontre de M. [...] une amende administrative d’un montant de 6 000 € (six mille euros) pour les manquements aux articles 32 et 33 du RGPD ;<br />
rendre publique cette décision sur le site de la CNIL et sur le site de Légifrance sans identifier le responsable de traitement.<br />
<br />
Le président<br />
<br />
Alexandre LINDEN<br />
</pre></div>Tsekhttps://gdprhub.eu/index.php?title=CE_-_N%C2%B0_429571&diff=13049CE - N° 4295712020-12-21T14:15:54Z<p>Tsek: minor editing</p>
<hr />
<div>{{COURTdecisionBOX<br />
<br />
|Jurisdiction=France<br />
|Court-BG-Color=<br />
|Courtlogo=Courts_logo1.png<br />
|Court_Abbrevation=CE<br />
|Court_With_Country=CE (France)<br />
<br />
|Case_Number_Name=429571<br />
|ECLI=ECLI:FR:CECHR:2020:429571.20201210<br />
<br />
|Original_Source_Name_1=Legifrance<br />
|Original_Source_Link_1=https://www.legifrance.gouv.fr/ceta/id/CETATEXT000042659632?tab_selection=cetat&searchField=ALL&query=2016%2F679&searchType=ALL&juridiction=CONSEIL_ETAT&juridiction=COURS_APPEL&sortValue=DATE_DESC&pageSize=10&page=1&tab_selection=cetat#cetat<br />
|Original_Source_Language_1=French<br />
|Original_Source_Language__Code_1=FR<br />
<br />
|Date_Decided=10.12.2020<br />
|Date_Published=<br />
|Year=2020<br />
<br />
|GDPR_Article_1=Article 6(1)(a) GDPR<br />
|GDPR_Article_Link_1=Article 6 GDPR#1a<br />
|GDPR_Article_2=Article 6(1)(b) GDPR<br />
|GDPR_Article_Link_2=Article 6 GDPR#1b<br />
|GDPR_Article_3=Article 6(1)(f) GDPR<br />
|GDPR_Article_Link_3=Article 6 GDPR#1f<br />
<br />
<br />
<br />
|Party_Name_1=Cdiscount<br />
|Party_Link_1=https://www.cdiscount.com/<br />
|Party_Name_2=CNIL<br />
|Party_Link_2=https://www.cnil.fr/<br />
|Party_Name_3=<br />
|Party_Link_3=<br />
|Party_Name_4=<br />
|Party_Link_4=<br />
|Party_Name_5=<br />
|Party_Link_5=<br />
<br />
|Appeal_From_Body=CNIL<br />
|Appeal_From_Case_Number_Name=<br />
|Appeal_From_Status=<br />
|Appeal_From_Link=<br />
|Appeal_To_Body=<br />
|Appeal_To_Case_Number_Name=<br />
|Appeal_To_Status=Not appealed<br />
|Appeal_To_Link=<br />
<br />
|Initial_Contributor=Tsek<br />
|<br />
}}<br />
<br />
The French Administrative Suprem Court (Conseil d’Etat) held that the French DPA (CNIL) lawfully issued a recommendation dissuading the storage of credit card data by e-commerce websites if the customer has not expressed prior and explicit consent or subscribed to additional services. Among else, the Court found that said websites do not have a legitimate interest to store credit card data under Article 6(1)(f) GDPR. <br />
<br />
==English Summary==<br />
<br />
===Facts===<br />
On Septembre 6, 2018, the CNIL issued a Recommendation on the processing of credit card data in the context of online purchase of goods and services. The recommendation provides that:<br />
(1) Credit card data can only be processed in order to complete a transaction in connection with the performance of a contract; <br />
(2) The storage of such data in order to facilitate subsequent payments is only possible if:<br />
(a) The data subject has expressed prior and explicit consent; or <br />
(b) Has taken a subscription offering access to additional services, thus intending to enter in a regular commercial relationship.<br />
<br />
Cdiscount, a marketplace website, requested the CNIL to modify those rules. It argued that websites should also be able to store credit card data of customers who can reasonably foresee their data will be stored, on the basis of their purchasing frequency. The CNIL did not meet the demand. Cdiscount is thus seeking the annulment of the decision before the French Administrative Supreme Court.<br />
<br />
===Dispute===<br />
Did the CNIL exceed its remit when construing the Article 6 GDPR in its Recommendation? <br />
<br />
Did the CNIL, by requiring prior and explicit consent, wrongly considered credit card data as a special categorie of personal data (Article 9 GDPR)?<br />
<br />
Does the data processor have a legitimate interest to process credit card data of recurring purchasers under Article 6(1)(f)?<br />
<br />
Can the recommendation be annulled on the ground that it creates a distortion of concurrence with foreign economic operators that are not subject to similar legislation?<br />
<br />
<br />
===Holding===<br />
The Supreme Administrative Court dismisses the appeal, on the following grounds.<br />
<br />
On the CNIL competence to construe the Article 6 GDPR<br />
<br />
The Court holds that the CNIL acted within its power when construing Article 6 GDPR. This power is derived from Article 11(I) and I(2°)(a bis) of the Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. These provisions designate the CNIL as Supervisory authority for France under Article 51 GDPR. They also expressly grant the CNIL power to issue guidelines and recommendations in order to help achieving compliance with the GDPR.<br />
<br />
On the alleged confusion of credit card data with special categories of data<br />
<br />
The French Administrative Supreme Court finds that the CNIL only referred to Article 6 GDPR. Thus, the argument is dismissed.<br />
<br />
On the legitimate interest to process credit card data of regular customers<br />
<br />
The French Administrative Suprem Court balances the possible legitimate interest of websites to process such data against the fundamental rights and freedom of data subjects. Relevant elements in this test are the nature of collected data, the purpose and methods of the data processing and the data subject reasonable expectation that its data are not subsequently processed.<br />
<br />
Firstly, the Court notes that the storage of credit card data does not stem from any legal obligation. It is not necessary to protect vital interests or the performance of a task carried out in the public interest. Likewise, it is not necessary for the performance of a contract.<br />
<br />
Secondly, the Court holds that the storage of credit card data in order to ease future payments does not prevail on customers’ interest to the protection of their data. This conclusion takes in account the sensitivity of this category of data in regard with the damage that would cause any leak. Furthemore, the Court considers that customers cannot reasonably foresee that such data will be stored.<br />
<br />
On the distortion of competition<br />
<br />
The Court holds that the alleged distortion does not affect the recommendation’s lawfulness.<br />
<br />
<br />
==Comment==<br />
''Share your comments here!''<br />
<br />
==Further Resources==<br />
''Share blogs or news articles here!''<br />
<br />
==English Machine Translation of the Decision==<br />
The decision below is a machine translation of the French original. Please refer to the French original for more details.<br />
<br />
<pre><br />
RÉPUBLIQUE FRANCAISE<br />
AU NOM DU PEUPLE FRANCAIS<br />
<br />
Vu la procédure suivante :<br />
<br />
Par une requête et deux mémoires en réplique, enregistrés les 8 avril 2019, 2 mars et 17 novembre 2020 au secrétariat du contentieux du Conseil d'Etat, la société Cdiscount demande au Conseil d'Etat :<br />
<br />
1°) d'annuler pour excès de pouvoir la décision implicite de la présidente de la Commission nationale de l'informatique et des libertés (CNIL) rejetant la demande qu'elle a présentée le 7 décembre 2018 tendant à la modification de la délibération n° 2018-303 du 6 septembre 2018 ;<br />
<br />
2°) d'enjoindre à la CNIL de réexaminer, à l'aune de la décision à intervenir, le régime de conservation des données de cartes bancaires pour les clients non abonnés, et ce dans un délai d'un mois à compter de la notification de la décision à intervenir ;<br />
<br />
3°) à titre subsidiaire, de saisir à titre préjudiciel la Cour de justice de l'Union européenne d'une question portant sur l'interprétation du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données ;<br />
<br />
4°) de mettre à la charge de la CNIL la somme de 3 000 euros au titre des dispositions de l'article L. 761-1 du code de justice administrative.<br />
<br />
<br />
Vu les autres pièces du dossier ;<br />
<br />
Vu :<br />
- la Constitution ;<br />
- la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales ;<br />
- la charte des droits fondamentaux de l'Union européenne ;<br />
- le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ;<br />
- la loi n° 78-17 du 6 janvier 1978 ;<br />
- le code de justice administrative et le décret n° 2020-1406 du 18 novembre 2020 ;<br />
<br />
<br />
Après avoir entendu en séance publique :<br />
<br />
- le rapport de Mme Myriam Benlolo Carabot, maître des requêtes en service extraordinaire,<br />
<br />
- les conclusions de M. Alexandre Lallet, rapporteur public ;<br />
<br />
La parole ayant été donnée, après les conclusions, à la SCP Piwnica, Molinié, avocat de la société Cdiscount ;<br />
<br />
<br />
<br />
Considérant ce qui suit :<br />
<br />
1. Il ressort des pièces du dossier que, par une délibération du 6 septembre 2018, la Commission nationale de l'informatique et des libertés (CNIL) a adopté une recommandation concernant le traitement des données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance. Par cette recommandation, la CNIL a indiqué que ces données ne peuvent être collectées et traitées par une société vendant des biens ou des services à distance que pour permettre la réalisation d'une transaction dans le cadre de l'exécution d'un contrat et que la conservation de ces données afin de faciliter d'éventuels paiements ultérieurs n'est possible que si les personnes auxquelles ces données se rapportent ont donné préalablement et explicitement leur consentement, à moins qu'elles aient souscrit un abonnement donnant accès à des services additionnels, traduisant leur inscription dans une relation commerciale régulière.<br />
<br />
2. La société Cdiscount a saisi la présidente de la CNIL d'une demande de modification de la délibération du 6 septembre 2018, afin d'autoriser la conservation des numéros de cartes bancaires pour les clients non abonnés mais dont la récurrence des achats laisse supposer qu'ils peuvent raisonnablement s'attendre à ce que leurs données bancaires soient conservées pour simplifier leurs achats ultérieurs. Elle demande l'annulation pour excès de pouvoir du refus opposé par la présidente de la CNIL à cette demande.<br />
<br />
3. D'une part, aux termes de l'article 6 du règlement du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données : " 1. Le traitement n'est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie : a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ; / b) le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci;/ c) le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis; / d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique; /e) le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement; / f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant. (...) ". Selon le considérant 47 des motifs de ce règlement : " Les intérêts légitimes d'un responsable du traitement, y compris ceux d'un responsable du traitement à qui les données à caractère personnel peuvent être communiquées, ou d'un tiers peuvent constituer une base juridique pour le traitement, à moins que les intérêts ou les libertés et droits fondamentaux de la personne concernée ne prévalent, compte tenu des attentes raisonnables des personnes concernées fondées sur leur relation avec le responsable du traitement (...) ".<br />
<br />
4. D'autre part, l'article 58 du règlement dispose que : " 3. Chaque autorité de contrôle dispose de tous les pouvoirs d'autorisation et de tous les pouvoirs consultatifs suivants : (...) b) émettre, de sa propre initiative ou sur demande, des avis à l'attention du parlement national, du gouvernement de l'État membre ou, conformément au droit de l'État membre, d'autres institutions et organismes ainsi que du public, sur toute question relative à la protection des données à caractère personnel ;(...) ". Aux termes de l'article 11 de la loi du 6 janvier 1978 relative à l'informatique et aux libertés dans sa version applicable au litige : " I. La Commission nationale de l'informatique et des libertés est une autorité administrative indépendante. Elle est l'autorité de contrôle nationale au sens et pour l'application du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité. Elle exerce les missions suivantes : (...) 2° Elle veille à ce que les traitements de données à caractère personnel soient mis en oeuvre conformément aux dispositions de la présente loi et aux autres dispositions relatives à la protection des données personnelles prévues par les textes législatifs et réglementaires, le droit de l'Union européenne et les engagements internationaux de la France. / A ce titre : (...) a bis) Elle établit et publie des lignes directrices, recommandations ou référentiels destinés à faciliter la mise en conformité des traitements de données à caractère personnel avec les textes relatifs à la protection des données à caractère personnel et à procéder à l'évaluation préalable des risques par les responsables de traitement et leurs sous-traitants (...) ".<br />
<br />
5. En premier lieu, par la délibération litigieuse, la CNIL s'est bornée, dans le cadre des prérogatives que lui confèrent les dispositions mentionnées au point 4, à donner son interprétation des dispositions du règlement du 27 avril 2016 mentionnées au point 3 en ce qui concerne les modalités selon lesquelles un responsable de traitement peut légalement conserver les données de cartes bancaires des clients de ses services d'achat en ligne. Par suite, le moyen tiré de ce qu'elle aurait incompétemment modifié ce règlement ne peut qu'être écarté.<br />
<br />
6. En deuxième lieu, l'article 9 du règlement du 27 avril 2016 dispose que " 1. Le traitement des données à caractère personnel qui révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique sont interdits. / 2. Le paragraphe 1 ne s'applique pas si l'une des conditions suivantes est remplie: / a) la personne concernée a donné son consentement explicite au traitement de ces données à caractère personnel pour une ou plusieurs finalités spécifiques, sauf lorsque le droit de l'Union ou le droit de l'État membre prévoit que l'interdiction visée au paragraphe 1 ne peut pas être levée par la personne concernée (...) ". Contrairement à ce que soutient la société Cdiscount, la CNIL n'a pas fondé l'exigence de consentement préalable des personnes concernées par les traitements considérés sur les dispositions de l'article 9 du règlement du 27 avril 2016 qui viennent d'être citées, mais sur celles de son article 6. Par suite, le moyen selon lequel la CNIL aurait à tort assimilé les données bancaires à des données sensibles au sens de l'article 9 du règlement du 27 avril 2016 ne peut qu'être écarté.<br />
<br />
7. En troisième lieu, il résulte clairement des dispositions de l'article 6 du règlement du 27 avril 2016 citées au point 3 qu'un traitement de données à caractère personnel ne satisfait aux exigences du règlement, dès lors qu'il n'est nécessaire ni au respect d'une obligation légale à laquelle le responsable du traitement est soumis, ni à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement, ni à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique, que si la personne concernée a consenti au traitement de ses données, sauf à ce que le traitement soit nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci, ou à ce qu'il soit nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à la condition, dans ce dernier cas, que ces intérêts légitimes puissent être regardés comme prévalant sur les intérêts des personnes concernées ou sur leurs libertés et droits fondamentaux. Pour porter cette appréciation, il y a lieu de mettre en balance, d'une part, l'intérêt légitime poursuivi par le responsable du traitement et, d'autre part, l'intérêt ou les libertés et droits fondamentaux des personnes concernées, eu égard notamment à la nature des données traitées, à la finalité et aux modalités du traitement ainsi qu'aux attentes que ces personnes peuvent raisonnablement avoir quant à l'absence de traitement ultérieur des données collectées.<br />
<br />
8. D'une part, il n'est pas contesté que la conservation des numéros de cartes bancaires pour certains clients des sites de commerce en ligne non abonnés pour faciliter des achats ultérieurs n'est nécessaire ni au respect d'une obligation légale, ni à l'exécution d'une mission d'intérêt public, ni à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne. S'agissant de l'exécution d'un contrat auquel la personne concernée est partie, la conservation du numéro de carte bancaire ne saurait se justifier une fois ce contrat exécuté.<br />
<br />
9. D'autre part, si la société soutient que la conservation du numéro de carte bancaire du client qui a procédé à un achat en ligne est nécessaire aux fins de l'intérêt légitime consistant à faciliter des paiements ultérieurs en dispensant le client de le saisir à chacun de ses achats, notamment dans le cadre d'une fonctionnalité d'achat rapide - dite " en un clic " - cet intérêt ne saurait prévaloir sur l'intérêt des clients de protéger ces données, compte tenu de la sensibilité de ces informations bancaires et des préjudices susceptibles de résulter pour eux de leur captation et d'une utilisation détournée, et alors que de nombreux clients qui utilisent des sites de commerce en ligne en vue de réaliser des achats ponctuels ne peuvent raisonnablement s'attendre à ce que les entreprises concernées conservent de telles données sans leur consentement. Par suite, la CNIL a pu à bon droit estimer que, de façon générale, devait être soumise au consentement explicite de la personne concernée la conservation des numéros de cartes bancaires des clients des sites de commerce en ligne pour faciliter des achats ultérieurs. Il suit de là que le moyen tiré de la méconnaissance par la délibération litigieuse du règlement du 27 avril 2016 doit être écarté.<br />
<br />
10. En quatrième lieu, la circonstance alléguée que la délibération litigieuse aurait pour effet de créer une distorsion de concurrence au bénéfice d'opérateurs économiques étrangers relevant des régulateurs d'autres pays, ou n'étant soumis à aucune régulation, est, par elle-même, sans incidence sur sa légalité.<br />
<br />
11. Il résulte de tout ce qui précède que, sans qu'il y ait lieu de saisir la Cour de justice de l'Union européenne à titre préjudiciel, la société Cdiscount n'est pas fondée à demander l'annulation pour excès de pouvoir de la décision implicite de la présidente de la CNIL rejetant sa demande tendant à la modification de la délibération du 6 septembre 2018. Ses conclusions à fins d'injonction ainsi que celles présentées au titre de l'article L. 761-1 du code de justice administrative doivent, par voie de conséquence, être rejetées.<br />
<br />
<br />
<br />
D E C I D E :<br />
--------------<br />
<br />
Article 1er : La requête de la Société Cdiscount est rejetée.<br />
Article 2 : La présente décision sera notifiée à la Société Cdiscount et à la commission nationale de l'informatique et des libertés.<br />
</pre></div>Tsekhttps://gdprhub.eu/index.php?title=CE_-_N%C2%B0_429571&diff=13048CE - N° 4295712020-12-21T14:12:41Z<p>Tsek: Created page with "{{COURTdecisionBOX |Jurisdiction=France |Court-BG-Color= |Courtlogo=Courts_logo1.png |Court_Abbrevation=CE |Court_With_Country=CE (France) |Case_Number_Name=429571 |ECLI=ECL..."</p>
<hr />
<div>{{COURTdecisionBOX<br />
<br />
|Jurisdiction=France<br />
|Court-BG-Color=<br />
|Courtlogo=Courts_logo1.png<br />
|Court_Abbrevation=CE<br />
|Court_With_Country=CE (France)<br />
<br />
|Case_Number_Name=429571<br />
|ECLI=ECLI:FR:CECHR:2020:429571.20201210<br />
<br />
|Original_Source_Name_1=Legifrance<br />
|Original_Source_Link_1=https://www.legifrance.gouv.fr/ceta/id/CETATEXT000042659632?tab_selection=cetat&searchField=ALL&query=2016%2F679&searchType=ALL&juridiction=CONSEIL_ETAT&juridiction=COURS_APPEL&sortValue=DATE_DESC&pageSize=10&page=1&tab_selection=cetat#cetat<br />
|Original_Source_Language_1=French<br />
|Original_Source_Language__Code_1=FR<br />
<br />
|Date_Decided=10.12.2020<br />
|Date_Published=<br />
|Year=2020<br />
<br />
|GDPR_Article_1=Article 6(1)(a) GDPR<br />
|GDPR_Article_Link_1=Article 6 GDPR#1a<br />
|GDPR_Article_2=Article 6(1)(b) GDPR<br />
|GDPR_Article_Link_2=Article 6 GDPR#1b<br />
|GDPR_Article_3=Article 6(1)(f) GDPR<br />
|GDPR_Article_Link_3=Article 6 GDPR#1f<br />
<br />
<br />
<br />
|Party_Name_1=Cdiscount<br />
|Party_Link_1=https://www.cdiscount.com/<br />
|Party_Name_2=CNIL<br />
|Party_Link_2=https://www.cnil.fr/<br />
|Party_Name_3=<br />
|Party_Link_3=<br />
|Party_Name_4=<br />
|Party_Link_4=<br />
|Party_Name_5=<br />
|Party_Link_5=<br />
<br />
|Appeal_From_Body=CNIL<br />
|Appeal_From_Case_Number_Name=<br />
|Appeal_From_Status=<br />
|Appeal_From_Link=<br />
|Appeal_To_Body=<br />
|Appeal_To_Case_Number_Name=<br />
|Appeal_To_Status=Not appealed<br />
|Appeal_To_Link=<br />
<br />
|Initial_Contributor=Tsek<br />
|<br />
}}<br />
<br />
The French Administrative Suprem Court (Conseil d’Etat) held that the French DPA (CNIL) lawfully issued a recommendation dissuading the storage of credit card data by e-commerce websites if the customer has not expressed prior and explicit consent or subscribed to additional services. Among else, the Court found that said websites do not have a legitimate interest to store credit card data under Article 6(1)(f) GDPR. <br />
<br />
== English Summary ==<br />
<br />
=== Facts ===<br />
On Septembre 6, 2018, the CNIL issued a Recommendation on the processing of credit card data in the context of online purchase of goods and services. The recommendation provides that:<br />
(1) Credit card data can only be processed in order to complete a transaction in connection with the performance of a contract; <br />
(2) The storage of such data in order to facilitate subsequent payments is only possible if:<br />
(a) The data subject has expressed prior and explicit consent; or <br />
(b) Has taken a subscription offering access to additional services, thus intending to enter in a regular commercial relationship.<br />
<br />
Cdiscount, a marketplace website, requested the CNIL to modify those rules. It argued that websites should also be able to store credit card data of customers who can reasonably foresee their data will be stored, on the basis of their purchasing frequency. The CNIL did not meet the demand. Cdiscount is thus seeking the annulment of the decision before the French Administrative Supreme Court.<br />
<br />
=== Dispute ===<br />
• Did the CNIL exceed its remit when construing the Article 6 GDPR in its Recommendation? <br />
• Did the CNIL, by requiring prior and explicit consent, wrongly considered credit card data as a special categorie of personal data (Article 9 GDPR)?<br />
• Does the data processor have a legitimate interest to process credit card data of recurring purchasers under Article 6(1)(f)?<br />
• Can the recommendation be annulled on the ground that it creates a distortion of concurrence with foreign economic operators that are not subject to similar legislation?<br />
<br />
<br />
=== Holding ===<br />
The Supreme Administrative Court dismisses the appeal, on the following grounds.<br />
<br />
On the CNIL competence to construe the Article 6 GDPR<br />
<br />
The Court holds that the CNIL acted within its power when construing Article 6 GDPR. This power is derived from Article 11(I) and I(2°)(a bis) of the Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. These provisions designate the CNIL as Supervisory authority for France under Article 51 GDPR. They also expressly grant the CNIL power to issue guidelines and recommendations in order to help achieving compliance with the GDPR.<br />
<br />
On the alleged confusion of credit card data with special categories of data<br />
<br />
The French Administrative Supreme Court finds that the CNIL only referred to Article 6 GDPR. Thus, the argument is dismissed.<br />
<br />
On the legitimate interest to process credit card data of regular customers<br />
<br />
The French Administrative Suprem Court balances the possible legitimate interest of websites to process such data against the fundamental rights and freedom of data subjects. Relevant elements in this test are the nature of collected data, the purpose and methods of the data processing and the data subject reasonable expectation that its data are not subsequently processed.<br />
<br />
Firstly, the Court notes that the storage of credit card data does not stem from any legal obligation. It is not necessary to protect vital interests or the performance of a task carried out in the public interest. Likewise, it is not necessary for the performance of a contract.<br />
<br />
Secondly, the Court holds that the storage of credit card data in order to ease future payments does not prevail on customers’ interest to the protection of their data. This conclusion takes in account the sensitivity of this category of data in regard with the damage that would cause any leak. Furthemore, the Court considers that customers cannot reasonably foresee that such data will be stored.<br />
<br />
On the distortion of competition<br />
<br />
The Court holds that the alleged distortion does not affect the recommendation’s lawfulness.<br />
<br />
<br />
== Comment ==<br />
''Share your comments here!''<br />
<br />
== Further Resources ==<br />
''Share blogs or news articles here!''<br />
<br />
== English Machine Translation of the Decision ==<br />
The decision below is a machine translation of the French original. Please refer to the French original for more details.<br />
<br />
<pre><br />
RÉPUBLIQUE FRANCAISE<br />
AU NOM DU PEUPLE FRANCAIS<br />
<br />
Vu la procédure suivante :<br />
<br />
Par une requête et deux mémoires en réplique, enregistrés les 8 avril 2019, 2 mars et 17 novembre 2020 au secrétariat du contentieux du Conseil d'Etat, la société Cdiscount demande au Conseil d'Etat :<br />
<br />
1°) d'annuler pour excès de pouvoir la décision implicite de la présidente de la Commission nationale de l'informatique et des libertés (CNIL) rejetant la demande qu'elle a présentée le 7 décembre 2018 tendant à la modification de la délibération n° 2018-303 du 6 septembre 2018 ;<br />
<br />
2°) d'enjoindre à la CNIL de réexaminer, à l'aune de la décision à intervenir, le régime de conservation des données de cartes bancaires pour les clients non abonnés, et ce dans un délai d'un mois à compter de la notification de la décision à intervenir ;<br />
<br />
3°) à titre subsidiaire, de saisir à titre préjudiciel la Cour de justice de l'Union européenne d'une question portant sur l'interprétation du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données ;<br />
<br />
4°) de mettre à la charge de la CNIL la somme de 3 000 euros au titre des dispositions de l'article L. 761-1 du code de justice administrative.<br />
<br />
<br />
Vu les autres pièces du dossier ;<br />
<br />
Vu :<br />
- la Constitution ;<br />
- la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales ;<br />
- la charte des droits fondamentaux de l'Union européenne ;<br />
- le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ;<br />
- la loi n° 78-17 du 6 janvier 1978 ;<br />
- le code de justice administrative et le décret n° 2020-1406 du 18 novembre 2020 ;<br />
<br />
<br />
Après avoir entendu en séance publique :<br />
<br />
- le rapport de Mme Myriam Benlolo Carabot, maître des requêtes en service extraordinaire,<br />
<br />
- les conclusions de M. Alexandre Lallet, rapporteur public ;<br />
<br />
La parole ayant été donnée, après les conclusions, à la SCP Piwnica, Molinié, avocat de la société Cdiscount ;<br />
<br />
<br />
<br />
Considérant ce qui suit :<br />
<br />
1. Il ressort des pièces du dossier que, par une délibération du 6 septembre 2018, la Commission nationale de l'informatique et des libertés (CNIL) a adopté une recommandation concernant le traitement des données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance. Par cette recommandation, la CNIL a indiqué que ces données ne peuvent être collectées et traitées par une société vendant des biens ou des services à distance que pour permettre la réalisation d'une transaction dans le cadre de l'exécution d'un contrat et que la conservation de ces données afin de faciliter d'éventuels paiements ultérieurs n'est possible que si les personnes auxquelles ces données se rapportent ont donné préalablement et explicitement leur consentement, à moins qu'elles aient souscrit un abonnement donnant accès à des services additionnels, traduisant leur inscription dans une relation commerciale régulière.<br />
<br />
2. La société Cdiscount a saisi la présidente de la CNIL d'une demande de modification de la délibération du 6 septembre 2018, afin d'autoriser la conservation des numéros de cartes bancaires pour les clients non abonnés mais dont la récurrence des achats laisse supposer qu'ils peuvent raisonnablement s'attendre à ce que leurs données bancaires soient conservées pour simplifier leurs achats ultérieurs. Elle demande l'annulation pour excès de pouvoir du refus opposé par la présidente de la CNIL à cette demande.<br />
<br />
3. D'une part, aux termes de l'article 6 du règlement du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données : " 1. Le traitement n'est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie : a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ; / b) le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci;/ c) le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis; / d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique; /e) le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement; / f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant. (...) ". Selon le considérant 47 des motifs de ce règlement : " Les intérêts légitimes d'un responsable du traitement, y compris ceux d'un responsable du traitement à qui les données à caractère personnel peuvent être communiquées, ou d'un tiers peuvent constituer une base juridique pour le traitement, à moins que les intérêts ou les libertés et droits fondamentaux de la personne concernée ne prévalent, compte tenu des attentes raisonnables des personnes concernées fondées sur leur relation avec le responsable du traitement (...) ".<br />
<br />
4. D'autre part, l'article 58 du règlement dispose que : " 3. Chaque autorité de contrôle dispose de tous les pouvoirs d'autorisation et de tous les pouvoirs consultatifs suivants : (...) b) émettre, de sa propre initiative ou sur demande, des avis à l'attention du parlement national, du gouvernement de l'État membre ou, conformément au droit de l'État membre, d'autres institutions et organismes ainsi que du public, sur toute question relative à la protection des données à caractère personnel ;(...) ". Aux termes de l'article 11 de la loi du 6 janvier 1978 relative à l'informatique et aux libertés dans sa version applicable au litige : " I. La Commission nationale de l'informatique et des libertés est une autorité administrative indépendante. Elle est l'autorité de contrôle nationale au sens et pour l'application du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité. Elle exerce les missions suivantes : (...) 2° Elle veille à ce que les traitements de données à caractère personnel soient mis en oeuvre conformément aux dispositions de la présente loi et aux autres dispositions relatives à la protection des données personnelles prévues par les textes législatifs et réglementaires, le droit de l'Union européenne et les engagements internationaux de la France. / A ce titre : (...) a bis) Elle établit et publie des lignes directrices, recommandations ou référentiels destinés à faciliter la mise en conformité des traitements de données à caractère personnel avec les textes relatifs à la protection des données à caractère personnel et à procéder à l'évaluation préalable des risques par les responsables de traitement et leurs sous-traitants (...) ".<br />
<br />
5. En premier lieu, par la délibération litigieuse, la CNIL s'est bornée, dans le cadre des prérogatives que lui confèrent les dispositions mentionnées au point 4, à donner son interprétation des dispositions du règlement du 27 avril 2016 mentionnées au point 3 en ce qui concerne les modalités selon lesquelles un responsable de traitement peut légalement conserver les données de cartes bancaires des clients de ses services d'achat en ligne. Par suite, le moyen tiré de ce qu'elle aurait incompétemment modifié ce règlement ne peut qu'être écarté.<br />
<br />
6. En deuxième lieu, l'article 9 du règlement du 27 avril 2016 dispose que " 1. Le traitement des données à caractère personnel qui révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique sont interdits. / 2. Le paragraphe 1 ne s'applique pas si l'une des conditions suivantes est remplie: / a) la personne concernée a donné son consentement explicite au traitement de ces données à caractère personnel pour une ou plusieurs finalités spécifiques, sauf lorsque le droit de l'Union ou le droit de l'État membre prévoit que l'interdiction visée au paragraphe 1 ne peut pas être levée par la personne concernée (...) ". Contrairement à ce que soutient la société Cdiscount, la CNIL n'a pas fondé l'exigence de consentement préalable des personnes concernées par les traitements considérés sur les dispositions de l'article 9 du règlement du 27 avril 2016 qui viennent d'être citées, mais sur celles de son article 6. Par suite, le moyen selon lequel la CNIL aurait à tort assimilé les données bancaires à des données sensibles au sens de l'article 9 du règlement du 27 avril 2016 ne peut qu'être écarté.<br />
<br />
7. En troisième lieu, il résulte clairement des dispositions de l'article 6 du règlement du 27 avril 2016 citées au point 3 qu'un traitement de données à caractère personnel ne satisfait aux exigences du règlement, dès lors qu'il n'est nécessaire ni au respect d'une obligation légale à laquelle le responsable du traitement est soumis, ni à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement, ni à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique, que si la personne concernée a consenti au traitement de ses données, sauf à ce que le traitement soit nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci, ou à ce qu'il soit nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à la condition, dans ce dernier cas, que ces intérêts légitimes puissent être regardés comme prévalant sur les intérêts des personnes concernées ou sur leurs libertés et droits fondamentaux. Pour porter cette appréciation, il y a lieu de mettre en balance, d'une part, l'intérêt légitime poursuivi par le responsable du traitement et, d'autre part, l'intérêt ou les libertés et droits fondamentaux des personnes concernées, eu égard notamment à la nature des données traitées, à la finalité et aux modalités du traitement ainsi qu'aux attentes que ces personnes peuvent raisonnablement avoir quant à l'absence de traitement ultérieur des données collectées.<br />
<br />
8. D'une part, il n'est pas contesté que la conservation des numéros de cartes bancaires pour certains clients des sites de commerce en ligne non abonnés pour faciliter des achats ultérieurs n'est nécessaire ni au respect d'une obligation légale, ni à l'exécution d'une mission d'intérêt public, ni à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne. S'agissant de l'exécution d'un contrat auquel la personne concernée est partie, la conservation du numéro de carte bancaire ne saurait se justifier une fois ce contrat exécuté.<br />
<br />
9. D'autre part, si la société soutient que la conservation du numéro de carte bancaire du client qui a procédé à un achat en ligne est nécessaire aux fins de l'intérêt légitime consistant à faciliter des paiements ultérieurs en dispensant le client de le saisir à chacun de ses achats, notamment dans le cadre d'une fonctionnalité d'achat rapide - dite " en un clic " - cet intérêt ne saurait prévaloir sur l'intérêt des clients de protéger ces données, compte tenu de la sensibilité de ces informations bancaires et des préjudices susceptibles de résulter pour eux de leur captation et d'une utilisation détournée, et alors que de nombreux clients qui utilisent des sites de commerce en ligne en vue de réaliser des achats ponctuels ne peuvent raisonnablement s'attendre à ce que les entreprises concernées conservent de telles données sans leur consentement. Par suite, la CNIL a pu à bon droit estimer que, de façon générale, devait être soumise au consentement explicite de la personne concernée la conservation des numéros de cartes bancaires des clients des sites de commerce en ligne pour faciliter des achats ultérieurs. Il suit de là que le moyen tiré de la méconnaissance par la délibération litigieuse du règlement du 27 avril 2016 doit être écarté.<br />
<br />
10. En quatrième lieu, la circonstance alléguée que la délibération litigieuse aurait pour effet de créer une distorsion de concurrence au bénéfice d'opérateurs économiques étrangers relevant des régulateurs d'autres pays, ou n'étant soumis à aucune régulation, est, par elle-même, sans incidence sur sa légalité.<br />
<br />
11. Il résulte de tout ce qui précède que, sans qu'il y ait lieu de saisir la Cour de justice de l'Union européenne à titre préjudiciel, la société Cdiscount n'est pas fondée à demander l'annulation pour excès de pouvoir de la décision implicite de la présidente de la CNIL rejetant sa demande tendant à la modification de la délibération du 6 septembre 2018. Ses conclusions à fins d'injonction ainsi que celles présentées au titre de l'article L. 761-1 du code de justice administrative doivent, par voie de conséquence, être rejetées.<br />
<br />
<br />
<br />
D E C I D E :<br />
--------------<br />
<br />
Article 1er : La requête de la Société Cdiscount est rejetée.<br />
Article 2 : La présente décision sera notifiée à la Société Cdiscount et à la commission nationale de l'informatique et des libertés.<br />
</pre></div>Tsek