Conseil d'État
N° 451423
Mentionné aux tables du recueil Lebon
Lecture du lundi 27 juin 2022
15-05 : Communautés européennes et Union européenne- Règles applicables-
1) Régimes de protection des données personnelles - Compétence répressive de la CNIL - Inclusion - Établissement se bornant à assurer, en France, la promotion et la vente d'espaces publicitaires permettant de rentabiliser les services offerts par le responsable d'un traitement de données - 2) CDFUE - Règle du non bis in idem (art. 50) - Condition - Procédure pénale définitivement close.
1) Il résulte de la jurisprudence de la Cour de justice de l'Union européenne (CJUE), notamment de son arrêt du 5 juin 2018, Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein contre Wirtschaftsakademie Schleswig-Holstein GmbH (C-210/16), qu'au vu de l'objectif poursuivi par la directive 95/46/CE du 24 octobre 1995, consistant à assurer une protection efficace et complète des libertés et des droits fondamentaux des personnes physiques, notamment du droit à la protection de la vie privée et à la protection des données à caractère personnel, un traitement de données à caractère personnel peut être regardé comme effectué « dans le cadre des activités » d'un établissement national non seulement si cet établissement intervient lui-même dans la mise en oeuvre de ce traitement, mais aussi dans le cas où ce dernier se borne à assurer, sur le territoire d'un Etat membre, la promotion et la vente d'espaces publicitaires permettant de rentabiliser les services offerts par le responsable d'un traitement consistant à collecter des données à caractère personnel par le biais de traceurs de connexion installés sur les terminaux des visiteurs d'un site. Il résulte de l'arrêt de la CJUE du 15 juin 2021, Facebook Ireland Ltd e.a. (C-645/19), que le paragraphe 1 de l'article 3 du règlement (UE) 2016/679 du 27 avril 2016, dit règlement général sur la protection des données (RGPD) doit être interprété de la même façon. Au I de l'article 3 de la loi n° 78-17 du 6 janvier 1978, le législateur a repris les termes figurant tant au paragraphe 1 de l'article 4 de la directive 95/46/CE du 24 octobre 1995 que, désormais, au paragraphe 1 de l'article 3 du RGPD et a entendu définir le champ d'application de la loi du 6 janvier 1978, y compris de son article 82 - et, en conséquence, le champ de compétence de la Commission nationale de l'informatique et des libertés (CNIL) pour sanctionner les manquements à ces dispositions -, en référence à l'interprétation, rappelée au paragraphe précédent, que la CJUE a donnée de la directive 95/46/CE et, désormais, du RGPD. 2) Selon l'article 50 de la charte des droits fondamentaux de l'Union européenne (CDFUE), tel qu'interprété par la CJUE dans ses arrêts Aklagaren c/ Akerberg Fransson du 26 février 2013 (C-617/10), Powszechny Zaklad Ubezpieczen na Zycie SA du 3 avril 2019 (C-617/17) et Bpost SA c/ Autorité belge de la concurrence du 22 mars 2022 (C-117/20), ce n'est que lorsqu'une procédure à caractère pénal, au sens de ces dispositions, est définitivement close, notamment lorsqu'une sanction pénale est devenue définitive, ce qui suppose qu'une décision a été rendue à la suite d'une appréciation portant sur le fond de l'affaire et n'est plus susceptible de recours, que ces dispositions s'opposent à ce que des poursuites de nature pénale pour la même infraction soient par la suite diligentées contre une même personne et, le cas échéant, qu'une sanction à caractère pénal soit prononcée.
26-07-10 : Droits civils et individuels- Protection des données à caractère personnel- Commission nationale de l'informatique et des libertés-
Compétence répressive - Inclusion - Établissement se bornant à assurer, en France, la promotion et la vente d'espaces publicitaires permettant de rentabiliser les services offerts par le responsable d'un traitement de données.
Il résulte de la jurisprudence de la Cour de justice de l'Union européenne (CJUE), notamment de son arrêt du 5 juin 2018, Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein contre Wirtschaftsakademie Schleswig-Holstein GmbH (C-210/16), qu'au vu de l'objectif poursuivi par la directive 95/46/CE du 24 octobre 1995, consistant à assurer une protection efficace et complète des libertés et des droits fondamentaux des personnes physiques, notamment du droit à la protection de la vie privée et à la protection des données à caractère personnel, un traitement de données à caractère personnel peut être regardé comme effectué « dans le cadre des activités » d'un établissement national non seulement si cet établissement intervient lui-même dans la mise en oeuvre de ce traitement, mais aussi dans le cas où ce dernier se borne à assurer, sur le territoire d'un Etat membre, la promotion et la vente d'espaces publicitaires permettant de rentabiliser les services offerts par le responsable d'un traitement consistant à collecter des données à caractère personnel par le biais de traceurs de connexion installés sur les terminaux des visiteurs d'un site. Il résulte de l'arrêt de la CJUE du 15 juin 2021, Facebook Ireland Ltd e.a. (C-645/19), que le paragraphe 1 de l'article 3 du règlement (UE) 2016/679 du 27 avril 2016, dit règlement général sur la protection des données (RGPD) doit être interprété de la même façon. Au I de l'article 3 de la loi n° 78-17 du 6 janvier 1978, le législateur a repris les termes figurant tant au paragraphe 1 de l'article 4 de la directive 95/46/CE du 24 octobre 1995 que, désormais, au paragraphe 1 de l'article 3 du RGPD et a entendu définir le champ d'application de la loi du 6 janvier 1978, y compris de son article 82 - et, en conséquence, le champ de compétence de la Commission nationale de l'informatique et des libertés (CNIL) pour sanctionner les manquements à ces dispositions -, en référence à l'interprétation, rappelée au paragraphe précédent, que la CJUE a donnée de la directive 95/46/CE et, désormais, du RGPD.
59-02-02-03 : Répression- Domaine de la répression administrative Régime de la sanction administrative- Bienfondé-
Règle du non bis in idem (art. 50 de la CDFUE) - Condition - Procédure pénale définitivement close.
Selon l'article 50 de la charte des droits fondamentaux de l'Union européenne (CDFUE), tel qu'interprété par la Cour de Justice de l'Union européenne (CJUE) dans ses arrêts Aklagaren c/ Akerberg Fransson du 26 février 2013 (C-617/10), Powszechny Zaklad Ubezpieczen na Zycie SA du 3 avril 2019 (C-617/17) et Bpost SA c/ Autorité belge de la concurrence du 22 mars 2022 (C-117/20), ce n'est que lorsqu'une procédure à caractère pénal, au sens de ces dispositions, est définitivement close, notamment lorsqu'une sanction pénale est devenue définitive, ce qui suppose qu'une décision a été rendue à la suite d'une appréciation portant sur le fond de l'affaire et n'est plus susceptible de recours, que ces dispositions s'opposent à ce que des poursuites de nature pénale pour la même infraction soient par la suite diligentées contre une même personne et, le cas échéant, qu'une sanction à caractère pénal soit prononcée.
N° 451423
Mentionné aux tables du recueil Lebon
Lecture du lundi 27 juin 2022
15-05 : Communautés européennes et Union européenne- Règles applicables-
1) Régimes de protection des données personnelles - Compétence répressive de la CNIL - Inclusion - Établissement se bornant à assurer, en France, la promotion et la vente d'espaces publicitaires permettant de rentabiliser les services offerts par le responsable d'un traitement de données - 2) CDFUE - Règle du non bis in idem (art. 50) - Condition - Procédure pénale définitivement close.
1) Il résulte de la jurisprudence de la Cour de justice de l'Union européenne (CJUE), notamment de son arrêt du 5 juin 2018, Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein contre Wirtschaftsakademie Schleswig-Holstein GmbH (C-210/16), qu'au vu de l'objectif poursuivi par la directive 95/46/CE du 24 octobre 1995, consistant à assurer une protection efficace et complète des libertés et des droits fondamentaux des personnes physiques, notamment du droit à la protection de la vie privée et à la protection des données à caractère personnel, un traitement de données à caractère personnel peut être regardé comme effectué « dans le cadre des activités » d'un établissement national non seulement si cet établissement intervient lui-même dans la mise en oeuvre de ce traitement, mais aussi dans le cas où ce dernier se borne à assurer, sur le territoire d'un Etat membre, la promotion et la vente d'espaces publicitaires permettant de rentabiliser les services offerts par le responsable d'un traitement consistant à collecter des données à caractère personnel par le biais de traceurs de connexion installés sur les terminaux des visiteurs d'un site. Il résulte de l'arrêt de la CJUE du 15 juin 2021, Facebook Ireland Ltd e.a. (C-645/19), que le paragraphe 1 de l'article 3 du règlement (UE) 2016/679 du 27 avril 2016, dit règlement général sur la protection des données (RGPD) doit être interprété de la même façon. Au I de l'article 3 de la loi n° 78-17 du 6 janvier 1978, le législateur a repris les termes figurant tant au paragraphe 1 de l'article 4 de la directive 95/46/CE du 24 octobre 1995 que, désormais, au paragraphe 1 de l'article 3 du RGPD et a entendu définir le champ d'application de la loi du 6 janvier 1978, y compris de son article 82 - et, en conséquence, le champ de compétence de la Commission nationale de l'informatique et des libertés (CNIL) pour sanctionner les manquements à ces dispositions -, en référence à l'interprétation, rappelée au paragraphe précédent, que la CJUE a donnée de la directive 95/46/CE et, désormais, du RGPD. 2) Selon l'article 50 de la charte des droits fondamentaux de l'Union européenne (CDFUE), tel qu'interprété par la CJUE dans ses arrêts Aklagaren c/ Akerberg Fransson du 26 février 2013 (C-617/10), Powszechny Zaklad Ubezpieczen na Zycie SA du 3 avril 2019 (C-617/17) et Bpost SA c/ Autorité belge de la concurrence du 22 mars 2022 (C-117/20), ce n'est que lorsqu'une procédure à caractère pénal, au sens de ces dispositions, est définitivement close, notamment lorsqu'une sanction pénale est devenue définitive, ce qui suppose qu'une décision a été rendue à la suite d'une appréciation portant sur le fond de l'affaire et n'est plus susceptible de recours, que ces dispositions s'opposent à ce que des poursuites de nature pénale pour la même infraction soient par la suite diligentées contre une même personne et, le cas échéant, qu'une sanction à caractère pénal soit prononcée.
26-07-10 : Droits civils et individuels- Protection des données à caractère personnel- Commission nationale de l'informatique et des libertés-
Compétence répressive - Inclusion - Établissement se bornant à assurer, en France, la promotion et la vente d'espaces publicitaires permettant de rentabiliser les services offerts par le responsable d'un traitement de données.
Il résulte de la jurisprudence de la Cour de justice de l'Union européenne (CJUE), notamment de son arrêt du 5 juin 2018, Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein contre Wirtschaftsakademie Schleswig-Holstein GmbH (C-210/16), qu'au vu de l'objectif poursuivi par la directive 95/46/CE du 24 octobre 1995, consistant à assurer une protection efficace et complète des libertés et des droits fondamentaux des personnes physiques, notamment du droit à la protection de la vie privée et à la protection des données à caractère personnel, un traitement de données à caractère personnel peut être regardé comme effectué « dans le cadre des activités » d'un établissement national non seulement si cet établissement intervient lui-même dans la mise en oeuvre de ce traitement, mais aussi dans le cas où ce dernier se borne à assurer, sur le territoire d'un Etat membre, la promotion et la vente d'espaces publicitaires permettant de rentabiliser les services offerts par le responsable d'un traitement consistant à collecter des données à caractère personnel par le biais de traceurs de connexion installés sur les terminaux des visiteurs d'un site. Il résulte de l'arrêt de la CJUE du 15 juin 2021, Facebook Ireland Ltd e.a. (C-645/19), que le paragraphe 1 de l'article 3 du règlement (UE) 2016/679 du 27 avril 2016, dit règlement général sur la protection des données (RGPD) doit être interprété de la même façon. Au I de l'article 3 de la loi n° 78-17 du 6 janvier 1978, le législateur a repris les termes figurant tant au paragraphe 1 de l'article 4 de la directive 95/46/CE du 24 octobre 1995 que, désormais, au paragraphe 1 de l'article 3 du RGPD et a entendu définir le champ d'application de la loi du 6 janvier 1978, y compris de son article 82 - et, en conséquence, le champ de compétence de la Commission nationale de l'informatique et des libertés (CNIL) pour sanctionner les manquements à ces dispositions -, en référence à l'interprétation, rappelée au paragraphe précédent, que la CJUE a donnée de la directive 95/46/CE et, désormais, du RGPD.
59-02-02-03 : Répression- Domaine de la répression administrative Régime de la sanction administrative- Bienfondé-
Règle du non bis in idem (art. 50 de la CDFUE) - Condition - Procédure pénale définitivement close.
Selon l'article 50 de la charte des droits fondamentaux de l'Union européenne (CDFUE), tel qu'interprété par la Cour de Justice de l'Union européenne (CJUE) dans ses arrêts Aklagaren c/ Akerberg Fransson du 26 février 2013 (C-617/10), Powszechny Zaklad Ubezpieczen na Zycie SA du 3 avril 2019 (C-617/17) et Bpost SA c/ Autorité belge de la concurrence du 22 mars 2022 (C-117/20), ce n'est que lorsqu'une procédure à caractère pénal, au sens de ces dispositions, est définitivement close, notamment lorsqu'une sanction pénale est devenue définitive, ce qui suppose qu'une décision a été rendue à la suite d'une appréciation portant sur le fond de l'affaire et n'est plus susceptible de recours, que ces dispositions s'opposent à ce que des poursuites de nature pénale pour la même infraction soient par la suite diligentées contre une même personne et, le cas échéant, qu'une sanction à caractère pénal soit prononcée.